在使用日志审计服务进行跨账号采集云产品日志时,需先授予日志服务采集相关云产品日志的权限以及授权多个主账号之间的数据同步。您可以直接使用具备特定权限的RAM用户的密钥或者参见本文进行自定义授权。

背景信息

日志审计服务支持采集同一主账号下的云产品日志,也支持跨主账号采集云产品日志。 进行跨账号采集云产品日志时,当前主账号和其他主账号需要进行双向授权。
说明 当前主账号的授权在创建服务关联角色AliyunServiceRoleForSLSAudit时,自动完成。具体操作,请参见首次配置。其他主账号要使用自定义权限时,需参见本文完成授权。
  • 当前主账号允许其他账号同步数据到当前主账号的审计Logstore。
  • 其他主账号允许同步数据到当前主账号的审计Logstore。
使用日志审计服务涉及多个授权角色和策略,对应关系如下所示:

操作步骤

  1. 使用其他账号登录RAM 控制台
    建议使用RAM用户登录,且该RAM用户需具备RAM读写权限(例如已被授予AliyunRAMFullAccess策略)。
  2. 创建权限策略AliyunLogAuditServiceMonitorAccess。
    1. 在左侧导航栏中,选择权限管理 > 权限策略管理,单击创建权限策略
    2. 新建自定义权限策略页面,配置如下参数,并单击确定
      参数说明
      策略名称配置为AliyunLogAuditServiceMonitorAccess
      配置模式选择脚本配置
      策略内容将配置框中的原有脚本替换为如下内容。 
      {
    "Version": "1",
    "Statement": [
        {
            "Action": "log:*",
            "Resource": [
                "acs:log:*:*:project/slsaudit-*",
                "acs:log:*:*:app/audit"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "rds:ModifySQLCollectorPolicy",
                "vpc:*FlowLog*",
                "drds:*SqlAudit*",
                "kvstore:ModifyAuditLogConfig",
                "polardb:ModifyDBClusterAuditLogCollector",
                "config:UpdateIntegratedServiceStatus",
                "config:StartConfigurationRecorder",
                "config:PutConfigurationRecorder"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "config.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}
  3. 创建sls-audit-service-monitor角色。
    1. 在左侧导航栏中,选择身份管理 > 角色,然后单击创建RAM角色
    2. 选择类型配置向导中,选择阿里云服务,单击下一步
    3. 配置角色配置向导中,配置如下参数后,然后单击完成
      参数说明
      角色类型选择普通服务角色
      角色名称配置为sls-audit-service-monitor
      选择受信服务选择日志服务
    4. 创建完成配置向导中,单击为角色授权
  4. 授予sls-audit-service-monitor角色AliyunLogAuditServiceMonitorAccess策略。
    添加权限面板中,选择自定义策略下的AliyunLogAuditServiceMonitorAccess策略和系统策略下的ReadOnlyAccess策略。单击确定
  5. 修改sls-audit-service-monitor角色的信任策略。
    1. 在RAM角色列表中,单击sls-audit-service-monitor角色。
    2. 信任策略管理页签,将配置框中的原有脚本替换为如下内容,然后单击确定
      其中,中心主账号ID请根据实际值替换,您可以在账号中心查看阿里云账号的ID。 
       {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "中心主账号ID@log.aliyuncs.com",
                    "log.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}