操作审计仅默认为每个阿里云账号记录最近90天的事件,您必须创建跟踪才能记录更长时间的事件,否则将无法追溯90天以前的事件。当企业开通了资源目录后,委派管理员账号(或者管理账号)可以在操作审计中创建多账号跟踪,将资源目录内的所有成员的事件投递到对象存储OSS或日志服务SLS。
多账号跟踪与资源目录的协作原理如下图所示。
基本概念
| 概念 | 说明 |
|---|---|
| 管理账号 |
管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员拥有完全控制权限。只有通过企业实名认证的阿里云账号才能开通资源目录,每个资源目录有且只有一个管理账号。 |
| 成员 |
在资源目录内,成员作为资源容器,是一种资源分组单位。成员通常用于指代一个项目或应用,每个成员中的资源相对其他成员中的资源是物理隔离的。您可以通过管理账号授予RAM用户、RAM用户组或RAM角色对成员内资源的访问权限。 成员被管理账号邀请进入资源目录,或由管理账号在资源目录内直接创建。 |
| 委派管理员账号 | 资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。 |
| 多账号跟踪 | 多账号跟踪是委派管理员账号(或者管理账号)创建的用于记录所有成员事件的跟踪。多账号跟踪会把所有成员的事件投递到多账号跟踪设置的OSS存储空间或SLS Logstore。 |
| 单账号跟踪 | 单账号跟踪是阿里云账号创建的用于记录当前账号事件的跟踪。 |
多账号跟踪和单账号跟踪的区别
| 跟踪类型 | 创建账号 | 投递事件范围 | 事件查询方式 | 创建的最大跟踪数目 |
|---|---|---|---|---|
| 单账号跟踪 | 阿里云账号 | 当前账号的事件 |
|
每个地域5个 |
| 多账号跟踪 | 委派管理员账号(或者管理账号) | 所有成员的事件 |
|
所有地域1个 |
资源目录中成员的变化
当资源目录中成员变更时,操作审计将做如下处理:
- 当新成员被邀请进入资源目录,或管理账号在指定资源目录中创建新的成员时,新成员能够在跟踪列表查看多账号跟踪,其事件将被自动投递到指定的OSS存储空间或SLS Logstore。
- 当成员被从资源目录移除时,该成员将无法查看多账号跟踪,并停止将事件投递到指定的OSS存储空间或SLS Logstore,但已经投递的事件不会自动删除。
- 当成员归属的资源目录发生变更时,不会影响事件的投递。