企业管理账号可以设置将自己和资源目录中所有成员账号的资源配置变更快照,统一投递到企业管理账号或指定成员账号的存储桶(Bucket)中。成员账号无权设置资源配置变更快照投递,只能按照企业管理账号的设置进行投递。

前提条件

  • 您必须使用企业管理账号登录。
  • 请确保您已开通对象存储OSS服务,操作方法请参见开通OSS服务

背景信息

如果您想深入了解对象存储OSS服务,请参见什么是对象存储OSS

操作步骤

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择投递服务 > 投递到对象存储OSS
  3. 投递到对象存储OSS页面,打开设置对象存储OSS开关。
  4. 设置用于接收资源配置变更快照的存储桶。
    您可以在当前企业管理账号中新建存储桶,也可以选择当前企业管理账号或其他成员账号中已有存储桶。该存储桶用于接收企业管理账号和所有成员账号的资源配置变更快照。
    • 您需要将企业管理账号和所有成员账号的资源配置变更快照统一投递到当前企业管理账号的指定存储桶时,需要选择本账号中新建存储桶选择本账号中已有的存储桶,参数设置方法如下表所示。
      参数 描述
      地域 存储桶所在地域。
      存储桶 对象存储OSS中存储桶的名称。同一账号同一地域下,存储桶名称不能重复。
      • 当您选中本账号中新建存储桶时,通过企业版配置审计控制台新建存储桶,输入存储桶名称。
      • 当您选中选择本账号中已有的存储桶时,在对象存储OSS中选择已有存储桶名称。

        在对象存储OSS中新建存储桶的操作方法,请参见创建存储空间

      日志文件加密 存储桶中的日志文件是否加密。当您选中本账号中新建存储桶时,需要设置该参数。
      存储桶中日志文件支持的加密方式如下:
      • AES256
      • KMS
    • 当您需要将企业管理账号和所有成员账号的资源配置变更快照统一投递到指定成员账号的指定存储桶时,需要选择选择其他账号已有的存储桶(仅支持企业账号),设置存储桶相关参数之前,请您确保该成员账号中已有可用存储桶,参数设置方法如下表所示。
      参数 描述
      目标账号中存储桶的ARN 目标成员账号中存储桶的ARN。

      设置该参数之前,请确保您已获取目标成员账号的ID、地域和存储桶名称。

      ARN格式为acs:oss:{regionId}:{Aliuid}:{bucketName},各参数含义如下:
      • {regionId}:存储桶地域,例如:cn-shanghai。
      • {Aliuid}:成员账号ID,例如:178589740730****。
      • {bucketName}:存储桶名称,例如:test123。

      例如:acs:oss:cn-shanghai:178589740730****:test123。

      目标账号中需扮演的角色的ARN 目标成员账号需要扮演角色的ARN。

      设置该参数之前,请确保您已获取目标成员账号ID,再根据ARN的格式填写。

      ARN格式为acs:ram::{Aliuid}:role/aliyunserviceroleforconfig,各参数含义如下:
      • {Aliuid}:成员账号ID,例如:178589740730****。
      • aliyunserviceroleforconfig:目标成员账号中向指定存储桶推送资源配置变更快照的角色,或目标成员账号中配置审计的关联角色。

      例如:acs:ram::178589740730****:role/aliyunserviceroleforconfig。

  5. 单击确定

后续步骤

投递资源的配置变更快照到存储桶后,您可以在OSS管理控制台,查看快照文件。
  1. 登录OSS管理控制台
  2. 在左侧导航栏,单击Bucket列表
  3. Bucket列表中,通过搜索或筛选查找该存储桶。
  4. 单击目标存储桶名称链接。
  5. 在左侧导航栏,选择文件管理 > 文件管理

    资源配置变更快照以文件形式存储在文件管理中,其路径为:/ACSLogs/AccountId/Config/RegionId/yyyy/mm/dd/