すべてのプロダクト
Search

このプロダクト

    ActionTrail:ActionTrail を使用して RAM ユーザー作成をモニタリングする

    ドキュメントセンター

    ActionTrail:ActionTrail を使用して RAM ユーザー作成をモニタリングする

    最終更新日:Feb 07, 2025

    ActionTrail は、証跡とアラート機能を提供します。これらの機能を使用して、Resource Access Management (RAM) ユーザーの作成をモニタリングし、ショートメッセージを使用してアラート通知を送信できます。

    シナリオ

    現代企業のデジタルトランスフォーメーションにおいて、クラウドアカウントの管理とセキュリティは非常に重要になっています。権限のないアカウントを作成すると、機密情報が漏洩し、ネットワーク攻撃、詐欺、不当競争などの違法行為に利用される可能性があります。その結果、企業と個人の両方が深刻な損失を被る可能性があります。ActionTrail は、証跡とアラート機能を提供します。これらの機能を使用して、RAM ユーザーの作成をモニタリングし、ショートメッセージを使用してアラート通知を送信できます。

    前提条件

    Simple Log Service が有効化されていること。Simple Log Service を有効にするには、Simple Log Service コンソールにログインし、画面の指示に従います。詳細については、「Simple Log Service とは」をご参照ください。

    重要

    Simple Log Service を使用すると、ストレージ料金や通知料金などの費用が発生します。詳細については、「課金概要」をご参照ください。

    ステップ 1:証跡を作成する

    以下の条件を満たす証跡を作成します。

    • 証跡はすべてのリージョンからのイベントを配信する。

    • 証跡はすべての管理イベントを配信する。

    • 証跡は読み取りイベントと書き込みイベントの両方を配信する。

    • 証跡は Simple Log Service にイベントを配信する。

    詳細については、「シングルアカウント証跡を作成する」または「マルチアカウント証跡を作成する」をご参照ください。

    ステップ 2:証跡のログストアを選択する

    1. ActionTrail コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[高度なイベントクエリ] をクリックします。表示されるページで、[クエリ範囲] セクションの ステップ 1:証跡を作成する で作成した証跡を選択します。

    3. 左側のナビゲーションウィンドウで、[アラート] をクリックします。

    4. [アラートセンター] ページで、[アラートルール] タブをクリックします。

    5. 証跡用に自動的に作成されたログストアを選択します。ログストアは actiontrail_証跡名 の形式で命名されます。image

    ステップ 3:カスタムアラートを構成する

    アラートルールを作成する

    1. ActionTrail コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[アラート] をクリックします。

    3. [アラートルール] タブをクリックし、[アラートの作成] をクリックします。次に、プロンプトに従ってアラートルールを構成します。

      以下のパラメーターに注意してください。ビジネス要件に基づいて他のパラメーターを構成する必要があります。

      パラメーター

      説明

      クエリ統計

      • [クエリ統計] ダイアログボックスで、ログストアをステップ 1 で作成したログストアに設定します。ログストアは actiontrail_証跡名 形式である必要があります。

      • 次のクエリ文を入力します。

        (event.serviceName:Ram or event.serviceName:Ims) and event.eventName:CreateUser 
| SELECT
  "event.userIdentity.principalId" as operator,
  "event.resourceName" as user,
  date_format(__time__, '%Y-%m-%d %H:%i:%s') as time
        説明

        クエリ文では、event.serviceName はクラウドサービスを指定し、event.eventName は RAM ユーザー作成のイベントを指定します。SELECT 文を使用して、操作者、作成された RAM ユーザー、アラート通知のイベントにおける操作時間などの情報を取得できます。

        • ActionTrail と連携するサービスと ActionTrail でサポートされているイベントの詳細については、「ActionTrail と連携するサービス」をご参照ください。

        • イベント構造の詳細については、「管理イベントの構造」をご参照ください。

        • Simple Log Service でサポートされているクエリ構文の詳細については、「検索構文」をご参照ください。

      トリガー条件

      • トリガー条件を [データが返されたとき] に設定します。

      • ビジネス要件に基づいて重大度を指定します。

    4. [OK] をクリックします。

    アラートテンプレートを作成する

    1. 左側のナビゲーションウィンドウで、[アラート] をクリックします。

    2. [アラートセンター] ページで、[通知管理] > [アラートテンプレート] を選択します。

    3. [アラートテンプレート] タブで、[作成] をクリックし、パラメーターを構成します。

      [SMS] タブをクリックし、次の通知情報を指定します。

      Alibaba Cloud ユーザー:{{ alert.aliuid }}
アラートルール名: {{ alert.alert_name }}
重大度: {{ alert.severity | format_severity }}
{% for result in alert.fire_results %}
操作者: {{ result.operator }} が {{ result.time }} に RAM ユーザー {{ result.user }} を作成しました。
{% endfor %}
      説明

      {{パラメーター名}} は、参照されるテンプレート変数を指定します。{% for result in alert.fire_results %} 文を使用して、すべてのクエリ結果を走査し、{{ result. パラメーター名}} を使用してイベントで指定されたパラメーターを取得できます。アラートテンプレートのパラメーターと構文の詳細については、「新しいアラートテンプレートの構文」をご参照ください。

    4. [確認] をクリックします。

    アラート連絡先を作成する

    1. 左側のナビゲーションウィンドウで、[アラート] をクリックします。

    2. [アラートセンター] ページで、[通知オブジェクト] > [ユーザー管理] を選択します。

    3. [ユーザー管理] タブで、[作成] をクリックします。[ユーザーの作成] ダイアログボックスで、パラメーターを構成します。

      • [電話番号]:アラートを受信するために使用する携帯電話番号。アラートを受信するには、[電話の受信] をオンにする必要があります。

      • [有効]:スイッチはデフォルトでオンになっています。スイッチをオフにすると、アラートを受信できません。

    4. [OK] をクリックします。

    アクションポリシーを作成する

    1. 左側のナビゲーションウィンドウで、[アラート] をクリックします。

    2. [アラートセンター] ページで、[通知管理] > [アクションポリシー] を選択します。

    3. [アクションポリシー] タブで、[作成] をクリックします。[アクションポリシーの追加] ダイアログボックスで、パラメーターを構成します。

      条件とアクショングループの構成を完了します。

      パラメーター

      説明

      条件

      image.png アイコンをクリックします。[条件] ダイアログボックスで、アラートルールを作成する で作成したルールを選択します。

      アクショングループ

    4. [確認] をクリックします。

    アラートルールをアクションポリシーに関連付ける

    1. 左側のナビゲーションウィンドウで、[アラート] をクリックします。

    2. [アラートセンター] ページで、アラート ルール タブをクリックします。

    3. アラートルールを作成する で作成したアラートルールを見つけ、[操作] 列の [編集] をクリックします。[アラートの編集] パネルで、アラートルールをアクションポリシーに関連付けます。

      パラメーター

      説明

      送信先

      通知方法。[Simple Log Service 通知] をクリックします。

      有効

      アラートルールのステータス。アラートルールを有効にする必要があります。

      アラートポリシー

    4. [OK] をクリックします。

    ステップ 4:アラートルールを確認する

    1. RAM コンソール にログインし、RAM ユーザーを作成します。

    2. 次の通知情報を受信したかどうかを確認します。

      [Alibaba Cloud] Simple Log Service アラート: 合計 1 件のアラート。アラートの詳細:
Alibaba Cloud ユーザー: 159498693826****
アラートルール名: RAM ユーザー作成のアラート
重大度: 中
操作者 27723316148169**** が 2023-07-14 17:08:15 に RAM ユーザー test-create-a***@actiontrail-test.onaliyun.com を作成しました。
操作者 27723316148169**** が 2023-07-14 17:31:00 に RAM ユーザー test-create-u***@actiontrail-test.onaliyun.com を作成しました。

    FAQ

    RAM ユーザーに ActionTrail コンソールで証跡を作成する権限がない場合はどうすればよいですか?

    RAM ユーザーに ActionTrail へのアクセスと管理の権限を付与する必要があります。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。