本文介绍了计算巢在代运维场景下提供的审计功能,包括录屏回放和资源操作日志审计。录屏回放允许用户查看服务商在其资源上执行的命令,而资源操作日志审计则让用户能够审计服务商对云资源的操作,确保运维操作的透明性和安全性。
使用场景
目前计算巢提供的审计方式主要分为两种:
录屏回放:在ECS上进行代运维操作时,通过录屏回放功能,用户可查看服务商执行的命令。
资源操作日志审计:提供资源操作日志,用户可通过日志来查看服务商执行了哪些资源的操作。
前提条件
服务商侧创建支持代运维的服务。请参见创建代运维服务,私有部署服务代运维设置。
录屏回放
原理
在ECS实例上执行代运维操作时,Workbench提供了一个录屏回放功能。用户和服务商可以在计算巢控制台中指定各自的OSS Bucket,用于接收Workbench生成的录屏文件。
Workbench会将录屏数据发送到用户和服务商的OSS Bucket中,使得用户和服务商都能够通过Workbench链接直接访问和查看录屏回放。
步骤一:设置录屏回放功能
服务商侧和用户侧都可以选择设置录屏回放功能,将ECS的操作录屏投放到自己账户对应的Oss Bucket中,便于后续进行操作回溯。
未设置录屏回放无法查看录屏信息。
服务商侧设置
登录计算巢控制台。
在左侧导航栏中单击设置,并在设置页面编辑代运维设置。
根据参数含义配置,配置完成后单击保存。
参数
说明
代运维访问IP
设置可以进行代运维访问的ip段,0.0.0.0/0代表允许任意ip。
代运维是否必须开启MFA
这个是指代运维时操作账号是否必须开启MFA认证。
是否开启远程连接录屏
这里设置是否开启远程连接录屏,不开启服务商侧无法查看代运维操作录屏。
OSS存储空间
保存录屏信息存OSS Bucket。
录屏保存路径
录屏信息保存在OSS Bucket下对应的路径中。
录屏保留时长
录屏保留时间,超过时间会对OSS Bucket中录屏信息进行清理。
用户侧设置
登录计算巢控制台。
在左侧导航栏中单击设置,并在设置页面编辑代运维设置。
根据参数含义配置,配置完成后单击保存。
参数
说明
是否开启远程连接录屏
设置是否开启远程连接录屏,不开启用户侧无法查看代运维操作录屏。
OSS存储空间
保存录屏信息存OSS Bucket。
录屏保存路径
录屏信息保存在OSS Bucket下对应的路径中。
录屏保留时长
录屏保留时间,超过时间会对OSS Bucket中录屏信息进行清理。
步骤二:服务商代运维
服务商侧通过服务实例详情页进行ECS实例登录。
执行操作,执行完后关闭连接。
步骤三:录屏回放查看
服务商侧和用户侧均可进入服务实例详情页进行录屏回放查看。
返回服务实例详情的资源页签,单击录屏回放。
在Workbench审计回放页面中,可以选择单击播放查看录屏。
资源操作日志审计
用户可以在计算巢代运维设置里开启操作审计投递,开启后服务商侧对用户云资源的操作日志也会投递到用户侧,供用户去审计服务商相关代运维操作。
登录计算巢控制台。
在左侧导航栏中单击设置,并在设置页面编辑代运维设置,开启是否操作审计投递。
在服务实例详情页的日志管理页签中选择资源操作日志。可以查看服务商对服务实例中云资源的操作记录。
说明用户名为
aliyuncomputenestsupplierroleforservice前缀时,为服务商扮演代运维角色进行的操作,可以重点对这部分操作进行审计。