Workbench的录屏审计功能用于录制终端用户在ECS实例内部的操作视频,以便管理员进行操作审计时查看终端用户的操作行为,为安全审计提供有效依据。本文介绍如何配置Workbench的录屏审计功能以及查看录屏文件。
使用限制
Workbench仅支持查看录屏审计视频,不支持下载。
Workbench的录屏审计内容保存在OSS中,您可以在OSS Bucket中查看、下载录屏审计文件,但是文件无法解析(无法查看视频)。
前提条件
已创建符合命名要求(仅支持workbench-record-<阿里云账号ID>-<自定义字符串>命名格式)的OSS Bucket,用于存放录屏审计文件。具体操作,请参见创建存储空间。
如果Bucket命名不符合要求,录屏会失败,不会保存录屏内容。
Workbench的录屏审计内容保存在OSS中,您需要支付存储空间费用。具体计费信息,请参见计费概述。
开启录屏审计
配置录屏审计相关功能的操作权限。
录屏审计相关功能通过以下API接口实现,您可以根据需要选择配置相关权限。
设置实例录屏配置:SetInstanceRecordConfig
查询实例录屏配置:GetInstanceRecordConfig
查看录屏列表:ListInstanceRecords
查询录屏内容:ViewInstanceRecords
创建权限策略。
具体操作:请参见创建自定义权限策略。
策略内容示例:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecs-workbench:SetInstanceRecordConfig", "Resource": "*" }, { "Effect": "Allow", "Action": "ecs-workbench:GetInstanceRecordConfig", "Resource": "*" }, { "Effect": "Allow", "Action": "ecs-workbench:ListInstanceRecords", "Resource": "*" }, { "Effect": "Allow", "Action": "ecs-workbench:ViewInstanceRecords", "Resource": "*" } ] }
添加自定义权限策略。具体操作,请参见为RAM用户授权。
通过API接口SetInstanceRecordConfig,开启录屏审计功能。
参数
是否必填
说明
示例值
Enabled
是
是否录屏审计功能。
true:开启。false:关闭。
true
InstanceId
是
目标实例ID。
填写单台目标实例ID或
*,*表示为所有实例开启录屏审计功能。i-2ze3en5q21ah9x******
RecordStorageTarget
否
录屏存储目标地址。
格式:acs:oss:cn-<Bucket地域>:<阿里云账号ID>:workbench-record-<阿里云账号ID>-<自定义字符串>/<Bucket子目录>。
acs:oss:cn-beijing:1609982529******:workbench-record-1609982529******-<自定义字符串>/record
ExpirationDays
否
过期天数。
说明超过过期天数您将无法在Workbench查看录屏内容,但是在OSS Bucket保存的录屏文件不会被清理。如果未填写
ExpirationDays,录屏文件默认免费存储7天。7
RegionId
否
实例所在地域。
cn-beijing
开启后,终端用户在实例内部的所有操作会被自动录屏。
使用Workbench连接ECS实例。
具体操作,请参见使用Workbench连接实例。
查看录屏列表。
在Workbench顶部菜单栏,选择。
在审计列表页面查看实例的操作用户ID、录屏时长等信息。
查看录屏审计内容。
在Workbench审计列表所在行操作列单击播放,查看录屏内容。
您也可以登录OSS管理控制台,在您创建的OSS Bucket中查看、下载存储的录屏审计文件。
关闭录屏审计
您可以通过API接口SetInstanceRecordConfig将Enabled参数设置为false,关闭实例的录屏审计功能。