本文介绍了计算巢在代运维场景下提供的审计功能,包括录屏回放和资源操作日志审计。录屏回放允许用户查看服务商在其资源上执行的命令,而资源操作日志审计则让用户能够审计服务商对云资源的操作,确保运维操作的透明性和安全性。
使用场景
目前计算巢提供的审计方式主要分为两种:
-
录屏回放:在ECS上进行代运维操作时,通过录屏回放功能,用户可查看服务商执行的命令。
-
资源操作日志审计:提供资源操作日志,用户可通过日志来查看服务商执行了哪些资源的操作。
前提条件
-
服务商侧创建支持代运维的服务。请参见创建代运维服务,私有部署服务代运维设置。
录屏回放
原理
-
在ECS实例上执行代运维操作时,Workbench提供了一个录屏回放功能。用户和服务商可以在计算巢控制台中指定各自的OSS Bucket,用于接收Workbench生成的录屏文件。
-
Workbench会将录屏数据发送到用户和服务商的OSS Bucket中,使得用户和服务商都能够通过Workbench链接直接访问和查看录屏回放。
步骤一:设置录屏回放功能
服务商侧和用户侧都可以选择设置录屏回放功能,将ECS的操作录屏投放到自己账户对应的Oss Bucket中,便于后续进行操作回溯。
未设置录屏回放无法查看录屏信息。
服务商侧设置
-
登录计算巢控制台。
-
在左侧导航栏中单击设置,并在设置页面编辑代运维设置。
其中包含代运维访问IP、是否开启远程连接录屏和录屏保存路径等配置项,单击右侧编辑可进行修改。
-
根据参数含义配置,配置完成后单击保存。
参数
说明
代运维访问IP
设置可以进行代运维访问的ip段,0.0.0.0/0代表允许任意ip。
代运维是否必须开启MFA
这个是指代运维时操作账号是否必须开启MFA认证。
是否开启远程连接录屏
这里设置是否开启远程连接录屏,不开启服务商侧无法查看代运维操作录屏。
OSS存储空间
保存录屏信息存OSS Bucket。
录屏保存路径
录屏信息保存在OSS Bucket下对应的路径中。
录屏保留时长
录屏保留时间,超过时间会对OSS Bucket中录屏信息进行清理。
用户侧设置
-
登录计算巢控制台。
-
在左侧导航栏中单击设置,并在设置页面编辑代运维设置。
-
根据参数含义配置,配置完成后单击保存。
此外,还需配置是否开启操作审计投递开关,开启后可对代运维操作进行审计日志投递。
参数
说明
是否开启远程连接录屏
设置是否开启远程连接录屏,不开启用户侧无法查看代运维操作录屏。
OSS存储空间
保存录屏信息存OSS Bucket。
录屏保存路径
录屏信息保存在OSS Bucket下对应的路径中。
录屏保留时长
录屏保留时间,超过时间会对OSS Bucket中录屏信息进行清理。
步骤二:服务商代运维
-
服务商侧通过服务实例详情页进行ECS实例登录。
具体操作路径:在左侧导航栏单击服务实例,找到目标服务实例,单击资源页签,在ECS实例的操作列单击远程连接。
-
执行操作,执行完后关闭连接。
[ecs-axxxx ~]$ ls a [ecs-axxxx ~]$
步骤三:录屏回放查看
服务商侧和用户侧均可进入服务实例详情页进行录屏回放查看。
-
返回服务实例详情的资源页签,单击录屏回放。
在目标ECS实例的操作列中,单击最右侧的 ⋮ 图标,在展开的下拉菜单中选择 录屏回放。
-
在Workbench审计回放页面中,可以选择单击播放查看录屏。
[ecs-assist xxx xxx]# ls xxx [ecs-assist xxx xxx]#
资源操作日志审计
用户可以在计算巢代运维设置里开启操作审计投递,开启后服务商侧对用户云资源的操作日志也会投递到用户侧,供用户去审计服务商相关代运维操作。
-
登录计算巢控制台。
-
在左侧导航栏中单击设置,并在设置页面编辑代运维设置,开启是否操作审计投递。
-
在服务实例详情页的日志管理页签中选择资源操作日志。可以查看服务商对服务实例中云资源的操作记录。
说明用户名为
aliyuncomputenestsupplierroleforservice前缀时,为服务商扮演代运维角色进行的操作,可以重点对这部分操作进行审计。单击目标操作记录操作列的详情可查看具体操作信息。