采集系统上云(企业上云如何对SLS日志审计服务进行权限控制(图) )
优采云 发布时间: 2021-12-16 06:35采集系统上云(企业上云如何对SLS日志审计服务进行权限控制(图)
)
企业上云时如何控制SLS日志审计服务的权限
来自:阿里云存储服务 2021-04-27545
简介:日志审计是信息安全审计功能的核心部分,是企业信息系统安全风险管控的重要组成部分。SLS的日志审计服务为阿里云多云产品(Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF等)提供一站式的日志采集、存储、查询、可视化、告警能力,可用于支持安全分析、合规审计等常见应用场景。
+关注继续查看
一、后台日志审计介绍
日志审计是信息安全审计功能的核心部分,是企业信息系统安全风险管控的重要组成部分。SLS的日志审计服务为阿里云多云产品(Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF等)提供一站式的日志采集、存储、查询、可视化、告警能力,可用于支持安全分析、合规审计等常见应用场景。
日志审计的特点:
日志审计服务提供统一的管理界面,方便用户方便的配置云产品日志采集。本页面提供各种云产品审计日志采集开关、存储方式(区域化/集中化)、TTL、是否开启威胁情报检测等功能。
企业上云后面临的权限问题
众所周知,master账户拥有该账户下所有资源的所有权,可以修改该账户下所有资源的配置。企业上云后,特别是在一个公司的多个部门或多个业务线发展的场景下,如果都使用主账号来操作,风险是非常高的。而RAM则为企业解决了上述问题,提供了一个简单统一的安全资源管控系统,可以分配权限,集中管理资源。
企业上云后面临的一些常见权限管控问题:
企业上云后,可以创建和管理RAM用户,控制这些RAM用户对资源的操作权限(权限最少分配原则),从而达到权限控制的目的。日志审计服务作为云日志安全审计的控制中心,是云日志合规的配置入口点,安全是重中之重。同样,我们也可以合理地使用RAM来达到访问控制的目的。
二、日志审计最佳实践
为了使用RAM来控制日志审计服务的权限,首先需要明确日志审计场景所涉及的资源:
权限控制涉及的账户类型和权限,按权限降序排列:
三、RAM子账号日志审计操作最小权限1、自定义日志审计写入最小权限
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:GetApp",
"log:CreateApp"
],
"Resource": [
"acs:log:*:*:app/audit"
]
},
{
"Effect": "Allow",
"Action": [
"log:Get*",
"log:List*",
"log:CreateJob",
"log:UpdateJob",
"log:CreateProject"
],
"Resource": [
"acs:log:*:*:project/slsaudit-*"
]
}
]
}
2、自定义日志审计只读最低权限
与“自定义日志审计写入最小权限”相比,去掉了“log:CreateApp”“log:CreateJob”“log:UpdateJob”“log:CreateProject”等权限。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:GetApp"
],
"Resource": [
"acs:log:*:*:app/audit"
]
},
{
"Effect": "Allow",
"Action": [
"log:Get*",
"log:List*"
],
"Resource": [
"acs:log:*:*:project/slsaudit-*"
]
}
]
}
四、操作步骤1、创建第三部分提到的权限
例如,创建一个名为 audit_test 的权限策略。
2、根据第二部分的权限列表,对子账号进行授权
3、登录子账号进行审计操作五、通过拒绝授权进行控制
本文第三部分提到的“RAM子账户日志审计操作的最小权限”主要是前瞻性的,尽可能限制子账户的权限。但是在某些场景下,子账号想要拥有更大的SLS权限,但是需要排除日志审计APP的配置权限。这时候就需要用到RAM的拒绝权限功能了。详细权限配置如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"log:CreateApp"
],
"Resource": [
"acs:log:*:*:app/audit"
]
},
{
"Effect": "Deny",
"Action": [
"log:CreateJob",
"log:UpdateJob",
"log:CreateProject"
],
"Resource": [
"acs:log:*:*:project/slsaudit-*"
]
}
]
}
例如,如果授予子账户 AliyunLogFullAccess 权限,则子账户将拥有所有 SLS 权限。但是当您想撤销审核APP配置权限时,可以添加自定义否定策略。
