使用操作审计监控AccessKey的使用

AccessKey包括AccessKey ID和AccessKey Secret,用于标识用户和验证用户的密钥。AccessKey泄露会威胁您资源的安全。操作审计帮助您监控AccessKey相关事件,以便您发现AccessKey使用异常时快速应对。

前提条件

请确保您已开通日志服务SLS。具体操作,请参见开通日志服务

说明

开通日志服务SLS不收费,操作审计将审计事件投递到日志服务SLS,并使用其查询和分析功能需要收费。具体计费标准,请参见计费概述

背景信息

您可以使用操作审计直接查询AccessKey相关事件,也可以将事件投递到日志服务并对AccessKey相关事件设置告警。

  • 查询最近90天AccessKey相关事件:在操作审计控制台事件查询页面,将筛选条件设置为AccessKey ID,查询最近90天AccessKey相关事件。具体操作,请参见通过操作审计控制台查询事件

  • 查询90天以上AccessKey相关事件:按照本文的操作步骤进行设置,查询90天以上AccessKey相关事件并设置告警。

步骤一:创建跟踪

以创建单账号跟踪为例,为您介绍如何创建跟踪并将事件投递到日志服务SLS。

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击跟踪

  3. 在顶部导航栏选择您想创建单账号跟踪的地域。

    说明

    该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。

  4. 跟踪页面,单击创建跟踪

  5. 创建跟踪页面,设置跟踪的相关参数。

    • 基本信息区域,设置日志事件。

      参数

      说明

      跟踪名称

      跟踪的名称。同一阿里云账号中跟踪名称不能重复。

      跟踪事件

      默认为管控事件

    • 管控事件投递区域。

      • 事件读写类型选择为所有事件

      • 勾选将事件投递到日志服务SLS

      • 投递账号选择为投递到本账号

      • 日志项目选择创建新的日志项目后需要选择日志库所属地域,并输入新的日志项目名称

  6. 单击确认

步骤二:在日志服务SLS中查询事件并设置告警

  1. 在操作审计控制台,单击跟踪

  2. 将鼠标悬浮到目标跟踪存储服务列的SLSSLS&OSS,然后单击SLS日志库名称。

  3. 在页面右上角,单击最近15分钟,设置查询的时间范围。

  4. 在搜索框中输入查询语句:event.userIdentity.accessKeyId: "<YourAccessKeyId>" | select count(1) as use_ak_<YourAccessKeyId>,然后单击查询/分析

    说明

    <YourAccessKeyId>请替换为您自己的AccessKey ID。

  5. 将事件另存为快速查询另存为告警

    • 另存为快速查询:单击页面右上角的image.png图标,输入快速查询名称后,单击确定

      说明

      将事件另存为快速查询后,您可以在日志服务控制台直接选择该快速查询。

      更多信息,请参见快速查询

    • 另存为告警:单击页面右上角的image.png图标,在告警监控规则面板配置相关参数,然后单击确定

      更多信息,请参见设置告警

      说明

      将事件另存为告警后,满足触发条件即可收到告警通知,例如:按照以上步骤进行告警配置后,如果accessKeyId在5分钟内被使用过,则上报告警。

执行结果

创建的快速查询和告警均可在日志服务控制台进行管理。

image.png