基本信息
CAM中产品名 |
CAM中简称 |
控制台访问 |
按标签授权 |
授权粒度 |
IP限制 |
操作审计 |
cloudaudit |
支持 |
不支持 |
操作级 |
部分支持 |
说明:
云产品的授权粒度按照粒度粗细分为服务级、操作级和资源级三个级别。
- 服务级:定义对服务的整体是否拥有访问权限,分为允许对服务拥有全部操作权限或者拒绝对服务拥有全部操作权限。服务级授权粒度的云产品,不支持对具体的接口进行授权。
- 操作级:定义对服务的特定接口(API)是否拥有访问权限,例如:授权某账号对云服务器服务进行只读操作。
- 资源级:定义对特定资源是否有访问权限,这是最细的授权粒度,例如:授权某账号仅读写操作某台云服务器实例。能支持资源级接口授权的产品,则会被认定为资源级授权粒度。
接口授权粒度
接口授权粒度分为资源级和操作级两个级别:
- 资源级接口:此类型接口支持对某一个具体特定的资源进行授权。
- 操作级接口:此类型接口不支持对某一个特定的资源进行授权。授权时策略语法若限定了具体的资源,CAM会判断此接口不在授权范围,判断为无权限。
写操作
接口名 |
接口描述 |
授权粒度 |
资源六段式 |
IP限制 |
CreateAudit |
创建操作审计 |
操作级 |
* |
支持 |
CreateAuditTrack |
创建操作审计跟踪集 |
操作级 |
* |
支持 |
CreateEventBridgeTrack |
事件总线创建操作审计跟踪集 |
操作级 |
* |
支持 |
DeleteAudit |
删除操作审计 |
操作级 |
* |
支持 |
DeleteAuditTrack |
删除操作审计跟踪集 |
操作级 |
* |
支持 |
DeleteExport |
删除操作审计导出任务 |
操作级 |
* |
支持 |
ModifyAuditTrack |
修改操作审计跟踪 |
操作级 |
* |
支持 |
StartLogging |
开启日志采集 |
操作级 |
* |
支持 |
StopLogging |
关闭日志采集 |
操作级 |
* |
支持 |
UpdateAudit |
更新操作审计 |
操作级 |
* |
支持 |
读操作
接口名 |
接口描述 |
授权粒度 |
资源六段式 |
IP限制 |
DescribeAuditTrack |
查询操作审计跟踪集详情 |
操作级 |
* |
支持 |
DescribeAuditTracks |
查询操作审计跟踪集列表 |
操作级 |
* |
支持 |
DescribeAudits |
查看操作审计信息 |
操作级 |
* |
不支持 |
DescribeEventBridgeTracks |
查询事件总线跟踪集列表 |
操作级 |
* |
支持 |
DescribeEvents |
查询操作审计日志 |
操作级 |
* |
支持 |
DescribeExports |
查询导出任务列表 |
操作级 |
* |
支持 |
DescribeInterfaces |
获取接入操作审计接口列表 |
操作级 |
* |
支持 |
DescribeProducts |
查询接入操作审计产品 |
操作级 |
* |
支持 |
GetEventNameSearchValue |
获取事件的检索范围 |
操作级 |
* |
支持 |
GetSearchValueRange |
GetSearchValueRange |
操作级 |
* |
支持 |
ListAudits |
拉取操作审计列表 |
操作级 |
* |
支持 |
ListCosBuckets |
拉取COS列表 |
操作级 |
* |
不支持 |
ListDetectors |
列出账户中威胁探测器的探测器 ID。 |
操作级 |
* |
支持 |
ListIpSets |
列出由探测器 ID 指定的所有IpSet |
操作级 |
* |
支持 |
LookUpEvents |
LookUpEvents |
操作级 |
* |
支持 |
LookupEvents |
检索日志 |
操作级 |
* |
支持 |
LookupSensitiveEvents |
检索敏感操作记录 |
操作级 |
* |
不支持 |