使用操作审计查询资源编排服务的操作事件

资源编排服务ROS已经集成操作审计(ActionTrail),使用操作审计查询所有用户(阿里云账号或RAM用户)对ROS的访问和使用行为。本文为您介绍如何使用操作审计控制台查询资源编排服务的操作事件。

前置概念

  • 操作审计是什么?

    操作审计是阿里云提供的云账号资源操作记录的查询和投递服务,会监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对ROS的访问和使用行为。

  • 操作审计为ROS带来了什么?

    通过使用操作审计您可以确认是哪位用户向ROS发出了什么请求、请求时间、源IP、请求地域等详细信息,同时您可以对信息进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。

有关操作审计的更多信息,请参见什么是操作审计

资源编排事件说明

操作审计(ActionTrail)是默认开通的,当您在ROS中发生操作时,该操作活动将被记录在操作审计(ActionTrail)的事件中,并与其他阿里云服务事件一并保存在事件记录中,每个事件包含请求的身份信息,可以帮助您确定以下内容:

  • 请求是哪种类型(阿里云账号或RAM用户)的用户发出。

  • 请求通过哪种方式(控制台、OpenAPI、开发者工具等)发出。

  • 请求是否由阿里云其他云服务发出。

有关更多信息,请参见管控事件结构定义

资源编排事件示例

本节以ActionTrail中ROS的创建资源栈(CreateStack)操作事件为例,通过操作审计控制台查询资源编排服务创建资源栈的所有操作事件。

说明

您也可以通过其他方式查询事件,请参见事件查询概览

  1. 登录操作审计控制台

  2. 在左侧导航栏,选择事件 > 事件查询

  3. 在顶部导航栏选择待查询事件的地域。

  4. 事件查询页面,从下拉列表中选择云服务名称

  5. 在文本框中输入ROS并进行查询。

  6. 定位到目标时间,单击操作列的查看事件详情

    image

  7. 事件记录表示在北京时间2024年09月03日12:23:15,RAM用户her****调用CreateStack接口的信息。

    重要

    由于请求参数(requestParameters)可能包含敏感信息,仅记录传了多少参数,而不记录参数名称和值。例如"Parameters.1.ParameterKey": "***"

    {
      "eventId": "DF0F32E7-5964-5C76-BE5F-414E83D1****",
      "eventVersion": 1,
      "responseElements": {
        "RequestId": "DF0F32E7-5964-5C76-BE5F-414E83D1****",
        "StackId": "c458666c-6795-48c6-bf70-53872ef8****"
      },
      "eventSource": "ros-share.aliyuncs.com",
      "requestParameters": {
        "RegionId": "cn-hangzhou",
        "TemplateVersion": "v14",
        "Parameters.1.ParameterKey": "***",
        "Parameters.1.ParameterValue": "***",
        "Parameters.2.ParameterKey": "***",
        "Parameters.2.ParameterValue": "***",
        "DisableRollback": true,
        "StackName": "metric-adapter_2024-09-03_psl5z****",
        "TemplateId": "39193be5-7edf-4d94-8693-ca7766bd****",
        "TimeoutInMinutes": 60,
        "ClientPort": 62011,
        "DeletionProtection": "Disabled",
        "AcsProduct": "ROS",
        "SourceTlsVersion": "TLSv1.2",
        "ReplacementOption": "Disabled",
        "proxy_original_source_tls_version": "TLSv1.2",
        "AcceptLanguage": "zh-CN",
        "X-Acs-Public-Access": false,
        "X-Acs-Ingress-Network": "crossdomain",
        "X-Acs-Account-Site-Type": "domestic",
        "X-Acs-Client-Request-Host": "ros-share.aliyuncs.com"
      },
      "sourceIpAddress": "59.**.**.46",
      "userAgent": "rosnext.console.aliyun.com",
      "eventRW": "Write",
      "eventType": "ConsoleOperation",
      "referencedResources": {
        "ACS::ROS::Stack": [
          "c458666c-6795-48c6-bf70-53872ef8****"
        ]
      },
      "userIdentity": {
        "sessionContext": {
          "attributes": {
            "mfaAuthenticated": "true",
            "creationDate": "2024-09-03T12:23:15Z"
          }
        },
        "accountId": "156345785543****",
        "principalId": "20463465787785****",
        "type": "ram-user",
        "userName": "her****"
      },
      "serviceName": "ROS",
      "additionalEventData": {
        "CallerBid": "26842"
      },
      "apiVersion": "2019-09-10",
      "requestId": "DF0F32E7-5964-5C76-BE5F-414E83D1****",
      "eventTime": "2024-09-03T12:23:15Z",
      "isGlobal": false,
      "acsRegion": "cn-hangzhou",
      "eventName": "CreateStack"
    }

    示例中关键参数含义如下:

    参数

    含义

    requestParameters

    创建栈时提供的参数,包括栈名称、模板版本、客户端端口等信息。

    eventRW

    操作类型。取值为Write,表示写入操作。

    userIdentity.type

    请求者的身份类型。取值为ram-user,表示RAM用户。

    eventType

    操作类型,取值为ConsoleOperation,表示控制台操作。

    serviceName

    提供服务的名称,表示为ROS。

    eventTime

    事件发生的时间。取值为2024-09-03T12:23:15Z,表示北京时间2024年09月03日12:23:15。

相关文档

资源编排支持被审计的事件,请参见资源编排支持被审计的事件说明