操作审计仅默认为每个阿里云账号记录最近90天的操作事件,您必须创建跟踪才能记录更长时间的操作事件,否则将无法追溯90天以前的操作事件。当企业开通了资源目录后,企业管理账号可以在操作审计中创建多账号跟踪,将资源目录内的所有成员账号的操作事件投递到对象存储OSS或日志服务SLS。
多账号跟踪与资源目录的协作原理如下图所示。
基本概念
| 名词 | 说明 |
|---|---|
| 企业管理账号 |
企业管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员账号拥有完全控制权限。只有通过企业实名认证的阿里云账号才能开通资源目录,每个资源目录有且只有一个企业管理账号。 |
| 成员账号 |
在资源目录内,成员账号作为资源容器,是一种资源分组单位。成员账号通常用于指代一个项目或应用,每个成员账号中的资源相对其他成员账号中的资源是物理隔离的。您可以通过企业管理账号授予RAM用户、RAM用户组或RAM角色对成员账号内资源的访问权限。 成员账号被企业管理账号邀请进入资源目录,或由企业管理账号在资源目录内直接创建。 |
| 多账号跟踪 | 通过企业管理账号在操作审计控制台创建的跟踪,并且将跟踪应用到所有成员账号选择为是。多账号跟踪会把所有成员账号的操作事件投递到多账号跟踪设置的OSS存储空间或SLS Logstore中。 |
| 单账号跟踪 | 通过阿里云账号在操作审计控制台创建的跟踪,可用于跟踪和记录当前账号的操作事件。 |
多账号跟踪和单账号跟踪的区别
| 跟踪类型 | 创建账号 | 投递操作事件范围 | 操作事件查询方式 | 创建的最大跟踪数目 |
|---|---|---|---|---|
| 单账号跟踪 | 阿里云账号 | 当前账号的操作事件 |
|
每个地域5个 |
| 多账号跟踪 | 企业管理账号 | 所有成员账号的操作事件 |
|
所有地域1个 |
资源目录中成员账号的变化
当资源目录中成员账号变更时,操作审计将做如下处理:
- 当新成员账号被邀请进入资源目录,或企业管理账号在指定资源目录中创建新的成员账号时,新成员账号能够在跟踪列表查看多账号跟踪,其操作事件将被自动投递到指定的OSS存储空间或SLS Logstore。
- 当成员账号被从资源目录移除时,该成员账号将无法查看多账号跟踪,并停止将操作事件投递到指定的OSS存储空间或SLS Logstore,但已经投递的操作事件不会自动删除。
- 当成员账号归属的资源目录发生变更时,不会影响操作事件的投递。