产品文档

组织管理

2023-08-18 03:28:29

治理基线

治理基线是为专项成员设置的安全、合规、管理基线。本文介绍如何创建和使用治理基线。

功能特性

  • 操作审计统一日志投递

治理基线管理

创建

创建基线时,可以新建也可以从已有的基线克隆创建。

image.png

编辑

如果基线已对专项成员生效,则基线不可编辑。如需变更成员的治理基线,可以通过克隆当前基线并编辑保存新基线版本后,再为成员设置切换的基线。

删除

如果基线已对专项成员生效,则基线不可删除。

为专项成员设置治理基线

为成员设置基线后,成员将按照基线设置内容接受专项负责人的统一管理。如果更新成员基线,则在新基线生效过程中,成员会短暂处于无基线管控状态。

image.png

操作审计统一日志投递

设置操作审计统一日志投递规则时,组织服务将在日志投递账号下设置 OssBucketVerifyForOrgGovernance 角色,用于获取对象存储桶信息,并在专项成员启用治理基线时设置存储桶的访问权限。同时,在启用治理基线的成员账号下,每一条治理规则将生成一条 “组织跟踪” 类型的操作审计跟踪集并强制启用。
对专项成员启用治理基线后,成员账户的操作审计日志将自动根据投递规则,保存至指定的存储桶。

当成员变更或移除治理基线时,存储桶的访问授权及操作审计跟踪集将被同步变更 / 移除。

规则说明

  1. 每个治理基线仅可指定一个日志采集账号,该账号可为专项内的任意成员。

  2. 每个治理基线下,可以设置不同产品事件的多条投递规则。

  3. 治理基线生效后,专项成员将被强制按照规则投递审计日志,专项成员不可变更或删除该规则。

  4. 日志投递的目标存储桶如果不存在,请联系日志账户的存储管理员先进行创建。

  5. 日志投递账号下的 OssBucketVerifyForOrgGovernance 角色被人为删除时,如果之前获取的角色临时凭证仍在有效期,则由于IAM无法解析到临时凭证的角色信息,治理基线设置可能会失败。请等待 1-2 个小时,待临时凭证过期后再进行重试。

  6. “组织跟踪” 跟踪集数据投递可能出现延迟,这段时间的审计日志数据不会丢失,请您耐心等待。如果超过24小时仍未生效,请联系京东云客服协助处理。

审计产品和事件信息

常见的审计产品和事件信息如下:

service code 产品类型 事件说明
UC 用户中心 主、子用户登录事件
user 用户 账号联系人、联系组管理事件
iam IAM 子用户、用户组、角色、MFA设备、授权策略、身份提供商管理事件
sts 安全令牌 角色代入事件
resourcegroup 资源组 资源组相关事件
resourcetag 标签 资源标签相关事件
organization 组织管理API 组织管理、专项管理相关事件
asset APIasasset 充值、提现事件
order 订单管理 创建正式订单、查询订单时间
refund 售后系统 控制台保存退货记录
vm 云主机 云主机实例、镜像、ssh密钥对相关事件
disk 云硬盘 云硬盘、快照相关事件
vpc 弹性网卡 私有网络、子网、公网IP、路由表、安全组相关事件
lb 负载均衡 负载均衡相关事件
nativecontainer 原生容器 原生容器相关事件
oss 对象存储 S3相关事件
rds 云数据库RDS RDS数据库相关事件
redis 缓存Redis Redis相关事件
mongodb 数据库MongoDB MongoDB相关事件
es es Elasticsearch相关事件
jcq 消息队列 消息队列JCQ相关事件
kafka kafka 消息队列Kafka相关事件
cdn cdn CDN相关事件
logs JCLOUDLOGSAPI 日志服务相关事件
monitor 云监控 报警(告警 / 规则)管理相关事件
文档反馈

开始与售前顾问沟通

可直接拨打电话 400-098-8505转1

我们的产品专家为您找到最合适的产品/解决⽅案

在线咨询 5*8⼩时

1v1线上咨询获取售前专业咨询

点击咨询
企微服务助手

专业产品顾问,随时随地沟通