投递资源快照到对象存储OSS - 配置审计

当您需要将资源的配置变更历史和定时配置信息以快照形式投递到对象存储OSS的指定地址时，需要设置存储空间（Bucket）。资源快照投递到指定存储空间后，您可以查看或下载JSON格式文件。

前提条件

请确保您已开通对象存储OSS服务。具体操作，请参见开通OSS服务。

从存储空间的存储成本和应用场景角度考虑，推荐您采用存储类型为标准存储的存储空间。如果您仅需长期存储数据，但访问频率低，则建议您采用存储类型为低频访问存储的存储空间，该存储类型适用于平均每月访问频率1到2次的业务场景。更多信息，请参见创建存储空间。

设置用于接收资源快照的存储空间。

存储空间的相关参数如下表所示。


参数	描述
地域	存储空间所在地域。
存储空间	对象存储OSS中存储空间的名称。存储空间名称不能重复。当您选中本账号中新建存储空间时，通过配置审计控制台新建存储空间，输入存储空间名称。当您选中选择本账号中已有的存储空间时，在对象存储OSS中选择已有存储空间名称。
日志文件加密	存储空间中的日志文件是否加密。当您选中本账号中新建存储空间时，需要设置该参数。参数取值如下：否 AES256 KMS

企业管理账号可以设置将自己和资源目录中所有成员账号的资源快照，统一投递到企业管理账号或指定成员账号的存储空间中。成员账号无权设置资源快照投递，只能按照企业管理账号的设置进行投递。

设置用于接收资源配置变更快照的存储空间。

您可以在当前企业管理账号中新建存储空间，也可以选择当前企业管理账号或其他成员账号中已有存储空间。该存储空间用于接收企业管理账号和所有成员账号的资源配置变更快照。

您需要将企业管理账号和所有成员账号的资源快照统一投递到当前企业管理账号的指定存储空间时，需要选择本账号中新建存储空间或选择本账号中已有的存储空间。存储空间的相关参数如下表所示。


参数	描述
地域	存储空间所在地域。
存储空间	对象存储OSS中存储空间的名称。存储空间名称不能重复。当您选中本账号中新建存储空间时，通过配置审计控制台新建存储空间，输入存储空间名称。当您选中选择本账号中已有的存储空间时，在对象存储OSS中选择已有存储空间名称。
日志文件加密	存储空间中的日志文件是否加密。当您选中本账号中新建存储空间时，需要设置该参数。参数取值如下：否 AES256 KMS

当您需要将企业管理账号和所有成员账号的资源快照统一投递到指定成员账号的指定存储空间时，需要选择选择其他账号已有的存储空间（仅支持企业管理账号）。设置存储空间相关参数之前，请您确保该成员账号中已有可用存储空间。目标成员账号中存储空间ARN和扮演角色ARN的相关参数如下表所示。


参数	描述
目标账号中存储空间的ARN	目标成员账号中存储空间的ARN，例如：`acs:oss:cn-shanghai:178589740730**:test123`。 ARN格式为`acs:oss:{regionId}:{AccountID}:{bucketName}`，各参数含义如下： `{regionId}`：存储空间所在地域ID，例如：cn-shanghai。 `{AccountID}`：成员账号ID，例如：178589740730**。 `{bucketName}`：存储空间名称，例如：test123。
目标账号中需扮演的角色的ARN	目标成员账号需要扮演角色的ARN，例如：`acs:ram::178589740730**:role/aliyunserviceroleforconfig`。设置该参数之前，请确保您已获取目标成员账号ID，再根据ARN的格式填写。 ARN格式为`acs:ram::{AccountID}:role/aliyunserviceroleforconfig`，各参数含义如下： `{AccountID}`：成员账号ID，例如：178589740730**。 `aliyunserviceroleforconfig`：配置审计服务关联角色。

资源快照投递到指定存储空间后，您可以在OSS管理控制台的目标存储空间的文件管理页面，查看或下载JSON格式文件。关于JSON格式文件的代码示例，请参见投递资源快照到对象存储OSS的代码示例。

快照文件所在路径为/ACSLogs/AccountId/Config/RegionId/yyyy/mm/dd/。