您可以使用操作审计的跨账号投递功能,将资源目录中多个成员账号的事件投递到同一账号的日志服务SLS或对象存储OSS中,从而实现统一的审计数据归档和监控。

背景信息

在操作审计的跨账号投递功能中,您需要理解目标账号和源账号,具体如下。

账号 说明 操作
目标账号 用于接收其他账号事件的账号。
  • 创建用于接收事件的存储空间,例如:SLS Logstore或OSS存储空间。
  • 创建可信实体为操作审计服务的RAM角色,其他账号需通过扮演该角色向目标账号写入事件。
源账号 需要向目标账号写入事件的账号。 使用成员账号对应的企业管理账号创建跟踪,将事件投递到目标账号的存储空间。
当目标账号和源账号处于同一资源目录时,基于资源目录的结构互信,跨账号投递可以省略很多配置步骤。根据目标账号的不同分为以下两种情况:
  • 当目标账号是企业管理账号时,您可以创建多账号跟踪,将资源目录下所有账号的事件投递到企业管理账号中的日志服务SLS或对象存储OSS。具体操作,请参见创建多账号跟踪
  • 当目标账号是成员账号时,请按照本文所述的操作步骤进行配置。

操作步骤

  1. 在目标账号中创建RAM角色,并授权操作审计服务向目标账号投递事件的权限。
    1. 使用目标账号登录RAM控制台
    2. 创建可信实体为操作审计的RAM角色。
      1. 在左侧导航栏,选择身份管理 > 角色
      2. 角色页面,单击创建角色
      3. 创建角色面板,选择可信实体类型为阿里云服务,然后单击下一步
      4. 选择角色类型为普通服务角色
      5. 设置角色名称为ActionTrailDeliveryRole
      6. 选择受信服务为操作审计
      7. 单击完成
    3. 为RAM角色进行精确授权,授予系统策略AliyunActionTrailDeliveryPolicy。
      1. 单击精确授权
      2. 选择系统策略,并设置策略名称为AliyunActionTrailDeliveryPolicy
      3. 单击确定,然后单击关闭

      您可以在角色页面,查看RAM角色ActionTrailDeliveryRole绑定的权限策略AliyunActionTrailDeliveryPolicy的详细内容。关于权限策略的更多信息,请参见事件投递的系统权限策略

    4. 修改RAM角色的信任策略,将Service字段修改为企业管理账号@actiontrail.aliyuncs.com的格式。
      例如:企业管理账号是159498693826****,则需要将Service中的actiontrail.aliyuncs.com修改为159498693826****@actiontrail.aliyuncs.com,表示该RAM角色可以被企业管理账号159498693826****下的操作审计服务扮演。
      {
          "Statement": [
              {
                  "Action": "sts:AssumeRole",
                  "Effect": "Allow",
                  "Principal": {
                      "Service": [
                          "159498693826****@actiontrail.aliyuncs.com"
                      ]
                  }
              }
          ],
          "Version": "1"
      }

      具体操作,请参见修改RAM角色的信任策略

  2. 使用目标账号创建日志服务SLS的Project或对象存储OSS的存储空间。
    具体操作,请参见创建Project创建存储空间
    说明 基于数据安全考虑,建议您在创建存储空间时,设置服务器加密和合规保留策略。具体操作,请参见设置服务器端加密设置合规保留策略
  3. 使用企业管理账号创建多账号跟踪,设置投递目标为步骤2创建的Project或存储空间。
    1. 使用企业管理账号登录操作审计控制台
    2. 在左侧导航栏,单击跟踪列表
    3. 在顶部导航栏选择您想创建多账号跟踪的地域。
      说明 该地域将成为多账号跟踪的Home地域。
    4. 跟踪列表页面,单击创建跟踪
    5. 跟踪基本属性页面,设置跟踪名称、管控事件的事件类型将跟踪应用到所有成员账号,然后单击下一步
      说明
      • 将跟踪应用到所有成员账号请设置为
      • 系统默认将跟踪投递的地域设置为全部地域。推荐您将事件类型设置为所有事件,以便跟踪全部地域的全部事件。
      • 关于参数的更多信息,请参见创建多账号跟踪
    6. 审计事件投递页面,选择投递方式,单击下一步
      您可以将跟踪分别投递到日志服务SLS或对象存储OSS,或者同时进行投递。关于如何选择存储服务,请参见将操作事件持续投递到指定服务跨账号投递
      • 选择将事件投递到日志服务SLS,然后选择投递到其他账号,并设置以下参数。
        参数 描述
        日志项目ARN 输入日志项目所在地域、目标账号ID和日志项目名称。

        其中,日志项目名称为步骤2中创建的Project名称。

        日志写入角色ARN 输入目标账号ID和角色名称。

        其中,角色名称为步骤1中创建的RAM角色名称(本文示例为ActionTrailDeliveryRole)。

      • 选择将事件投递到对象存储OSS时,然后选择投递到其他账号,并设置以下参数。
        参数 描述
        存储空间角色ARN 输入目标账号ID和角色名称。

        其中,角色名称为步骤1中创建的RAM角色名称(本文示例为ActionTrailDeliveryRole)。

        存储空间名称 输入步骤2中创建的存储空间名称。
        日志文件前缀 输入事件存放的日志文件前缀。
    7. 预览并创建页面,确认跟踪信息,然后单击提交

执行结果

跟踪创建成功后,您可以使用目标账号查看SLS Project或OSS存储空间中来自多个成员账号的事件。