AccessKey包括AccessKey ID和AccessKey Secret,用于标识用户和验证用户的密钥。AccessKey泄露会威胁您资源的安全。操作审计帮助您监控AccessKey相关事件,以便您发现AccessKey使用异常时快速应对。
前提条件
请确保您已开通日志服务SLS。
当您首次使用日志服务SLS时,需要登录日志服务控制台,根据页面提示开通日志服务SLS。
背景信息
您可以使用操作审计直接查询AccessKey相关事件,也可以将事件投递到日志服务并对AccessKey相关事件设置告警。
- 查询最近90天AccessKey相关事件:在操作审计控制台事件查询页面,将筛选条件设置为AccessKeyId,查询最近90天查询最近90天AccessKey相关事件。具体操作,请参见通过操作审计控制台查询事件。
- 查询90天以上AccessKey相关事件:按照本文的操作步骤进行设置,查询90天以上AccessKey相关事件并设置告警。
步骤一:创建跟踪
以创建单账号跟踪为例,为您介绍如何创建跟踪并将事件投递到日志服务SLS。
- 登录操作审计控制台。
- 在左侧导航栏,单击跟踪列表。
- 在顶部导航栏选择您想创建单账号跟踪的地域。
说明 该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。
- 在跟踪列表页面,单击创建跟踪。
- 在跟踪基本属性页面,设置如下参数,然后单击下一步。
| 参数 |
说明 |
| 跟踪名称 |
跟踪的名称。同一阿里云账号中跟踪名称不能重复。 |
| 日志事件 |
将管控事件的事件类型设置为所有事件。
|
- 在审计事件投递页面,选择将事件投递到日志服务SLS,然后选择投递到本账号。
- 选择创建新的日志项目,选择日志库所属地域,然后设置日志项目名称。
- 单击下一步。
- 在预览并创建页面,确认跟踪信息,然后单击提交。
步骤二:在日志服务SLS中查询事件并设置告警
- 在操作审计控制台,单击跟踪列表。
- 将鼠标悬浮到目标跟踪存储服务列的
图标,然后单击SLS日志库名称。
- 在页面右上角,单击15分钟(相对),设置查询的时间范围。
- 在搜索框中输入查询语句:
event.userIdentity.accessKeyId: "<YourAccessKeyId>" | select count(1) as use_ak_<YourAccessKeyId>,然后单击查询/分析。
说明 <YourAccessKeyId>请替换为您自己的AccessKey ID。
- 将事件另存为快速查询或另存为告警。
- 另存为快速查询:单击页面右上角的另存为快速查询,输入快速查询名称后,单击确定。
说明 将事件另存为快速查询后,您可以在日志服务控制台直接选择该快速查询。
更多信息,请参见快速查询。
- 另存为告警:在页面右上角选择,在告警监控规则面板配置相关参数,然后单击确定。
更多信息,请参见设置告警。
说明 将事件另存为告警后,满足触发条件即可收到告警通知,例如:按照上图进行告警配置后,如果accessKeyId在5分钟内被使用过,则上报告警。
执行结果
创建的快速查询和告警均可在日志服务控制台进行管理。
