起因
先介绍一下笔者所在的工作环境。我们是一个小的团队,申请了一个主账号作为服务账号,同时在该主账号下创建了多个子账号给不同的同学使用,由于不同的同学有很多不同的需求,因此在使用时没有严格限制不同子账户之间的权限,而是都给了管理员权限,而这也导致了这个事情的发生。
资源被操作了
某天,当我查看我的 NAT 网关时,突然发现某个网关上被多绑上了一个 EIP,如下图所示:
顿时心生疑虑,这个 NAT 我清楚的记得是前段时间处理 VPC 接入公网流量时部署的,接入的时候也只是加上了第一个 EIP,但是今天却突然发现绑了两个 EIP。那另外一个是谁绑的呢?难道是我自己在当初绑定时就绑了两个 EIP?还是说有别的同学错误的把 EIP 绑到了我的 NAT 上?还是说这个同学是基于某个需求需要这样做呢?
在努力回忆确定不是自己做的后,当务之急应该首先要把绑定的操作者确定下来,向他当面问清楚这样做的原因。但是由于我们团队为每个子账户都授予了权限,因此每个人都有可能操作过。幸亏我们团队人不多,我向每个同学都问了一遍,但是没一个人说是自己做的。
既然都记不住是谁操作的,是不是有产品能记录这些操作呢?抱着怀疑的心情,我搜索了下阿里云搜索文档下的产品,还真的有一个叫作 操作审计 的产品,也许它能帮助我找到是谁操作的。
发现是谁操作的
开通操作审计,进入 操作审计控制台,能看到查询面板,这里能清楚的看到每一个操作记录,最关键的是能看到是哪个 RAM 用户做的操作,这正是我需要的信息。
然而,由于主账号下每天有大量的事件记录,我必须更精确地找到 NAT 绑定 EIP 的确切时间和事件,这样才能精准的定位到相关的操作记录。这里操作审计提供了 资源名称 作为搜索项。
首先,查看一下多出来的 EIP 的创建时间,发现它是在 7 月 28 日创建的,同时可以获取到 EIP 的 ID。
在搜索栏上选择 资源名称,并填入对应的 EIP ID,选好时间后进行查询。
将鼠标悬浮在 事件名称 上,可以看到详细的事件情况,结合事件名,我们可以知道这个就是将 EIP 绑定到 NAT 的事件。
最后操作记录上显示是 小A 在 9月21日13:13:01 进行了操作,在询问本人后,他终于想起是当时绑定别的资源时错将我的 NAT 绑定上去了。
虽然只是一个误操作,但是如果没有操作审计的日志记录,排查起来也是很难的。通过操作审计,我们可以通过多个维度进行事件查询,明确操作人员和操作时间,规范整个使用流程。
操作审计详解
操作审计每一条日志都记录了相关操作的详细字段。
展开某条具体日志后,可以看到几个关键的字段,如 AK、事件源、地域、事件时间、错误码、请求ID、事件ID、源IP地址、事件名称、用户名,除此之外,如果该条日志和资源相关,在这条日志下也能看到对应的资源类型以及资源名称。最后点击“查看事件”后,可以看到整个事件详情,具体字段的介绍可以参见 操作事件结构定义。
另外需要注意的是,操作审计默认只支持 90 天的操作事件查询,如果有更长时间的事件需求,可以创建跟踪投递到自己的 SLS 或者 OSS 上进行长期存储。
结束语
随着越来越多的业务上云,如何保障云上开发人员更加规范合规的使用云成为了一个越来越被重视的话题。通过操作审计等审计产品,我们可以合法审查团队人员的相关操作,规范化开发过程,优化权限管理,真正做到安全上云,安全用云。
