在使用日志审计服务进行跨账号采集云产品日志时,需先授予日志服务采集相关云产品日志的权限以及授权多个主账号之间的数据同步。您可以直接使用具备特定权限的RAM用户的密钥或者参见本文进行自定义授权。
背景信息
日志审计服务支持采集同一主账号下的云产品日志,也支持跨主账号采集云产品日志。 进行跨账号采集云产品日志时,当前主账号和其他主账号需要进行双向授权。说明 当前主账号的授权在创建服务关联角色AliyunServiceRoleForSLSAudit时,自动完成。具体操作,请参见首次配置。其他主账号要使用自定义权限时,需参见本文完成授权。
- 当前主账号允许其他账号同步数据到当前主账号的审计Logstore。
- 其他主账号允许同步数据到当前主账号的审计Logstore。
使用日志审计服务涉及多个授权角色和策略,对应关系如下所示:
操作步骤
- 使用其他账号登录RAM 控制台。建议使用RAM用户登录,且该RAM用户需具备RAM读写权限(例如已被授予AliyunRAMFullAccess策略)。
- 创建权限策略AliyunLogAuditServiceMonitorAccess。
- 创建sls-audit-service-monitor角色。
- 授予sls-audit-service-monitor角色AliyunLogAuditServiceMonitorAccess策略。在添加权限面板中,选择自定义策略下的AliyunLogAuditServiceMonitorAccess策略和系统策略下的ReadOnlyAccess策略。单击确定。
- 修改sls-audit-service-monitor角色的信任策略。