当企业在云上有多个账号时,安全应急团队或运维团队需要实时了解整个企业的云上资源动态,订阅重要或高风险资源的配置变更信息,以便及时监控和维护这些资源。企业通过资源目录对多个账号中的资源进行统一管理后,可以通过配置审计将资源的配置变更事件投递到事件总线EventBridge,还可以通过函数计算中的触发器将事件总线EventBridge中的资源配置变更事件投递到函数计算。
应用场景

某企业的管理账号通过一个成员(日志账号A)查看其他成员(业务账号B和业务账号C)中资源的配置变更事件,本文以查看前缀为sg-
的RAM角色的配置变更事件为例进行介绍。
前提条件
- 资源目录的管理账号已将日志账号A、业务账号B和业务账号C加入资源目录。具体操作,请参见创建成员或邀请阿里云账号加入资源目录。
- 请确保您已开通函数计算服务。具体操作,请参见使用控制台创建函数。
- 请确保您已开通事件总线EventBridge服务。具体操作,请参见开通事件总线EventBridge并授权。
数据规划
云服务 | 操作账号 | 参数 | 示例 |
---|---|---|---|
资源管理 | 管理账号 | 日志账号A(RAM用户) | - |
业务账号B(RAM用户) | - | ||
业务账号C(RAM用户) | - | ||
事件总线 | 业务账号B | 规则名称 | b-eb-filter-ram-role |
业务账号C | 规则名称 | c-eb-filter-ram-role | |
函数计算 | 日志账号A | 服务 | eb_event_action |
服务的系统模板权限 | AliyunFCDefaultRolePolicy | ||
函数 | eb_event_trigger | ||
触发器 | ConfigurationItemChangeTrigger | ||
访问控制 | 日志账号A | RAM角色 | account-eb-role |
业务账号B | RAM角色 | sg-01 | |
业务账号C | RAM角色 | sg-02 |
操作流程

步骤一:日志账号创建RAM角色
日志账号A通过事件总线EventBridge提供的跨账号事件路由的能力,将业务账号B和业务账号C的事件投递到日志账号A的事件总线EventBridge中,日志账号A可以集中查看业务账号B和业务账号C的资源配置变更事件。
首先日志账号A需要完成跨账号投递事件的角色授权,即创建RAM角色(account-eb-role),并授权事件总线EventBridge向业务账号A投递事件的权限。
- 创建RAM角色并授权事件总线EventBridge。
- 修改信任策略。
步骤二:业务账号配置事件总线
业务账号B创建事件总线规则b-eb-filter-ram-role,业务账号C创建事件总线规则c-eb-filter-ram-role。业务账号B和业务账号C中的资源变更事件通过角色account-eb-role路由到日志账号A的事件总线EventBridge中。
- 登录事件总线EventBridge控制台。
- 在顶部菜单栏,选择地域,例如:华东2(上海)。
- 在左侧导航栏,单击事件总线。
- 在事件总线页面,单击云服务专用事件总线区域的创建规则。
- 在创建规则页面,设置事件总线规则的相关参数。
步骤三:日志账号配置函数计算
日志账号A在函数计算中创建函数,并通过触发器将资源的配置变更事件投递到函数计算中。
- 新建服务。
- 登录函数计算控制台。
- 在左侧导航栏,单击服务及函数。
- 在顶部菜单栏,选择地域,例如:华东2(上海)。
- 在服务列表页面,单击创建服务。
- 在创建服务面板,名称输入eb_event_action。
- 单击确定。
- 创建函数。
- 显示函数调用日志。
- 在函数eb_event_trigger的函数代码页签,将文件index.py中的
logger.info('hello world')
修改为logger.info(event)
。 - 先单击右上角的Save,然后单击左上角的部署代码。
- 在函数eb_event_trigger的函数代码页签,将文件index.py中的
步骤四:业务账号变更资源
业务账号B创建一个RAM角色sg-01,业务账号C创建一个RAM角色sg-02。具体操作,请参见创建可信实体为阿里云账号的RAM角色。
步骤五:日志账号查看资源的配置变更事件
- 通过事件总线EventBridge控制台查看
- 登录事件总线EventBridge控制台。
- 在顶部菜单栏,选择地域,例如:华东2(上海)。
- 在左侧导航栏,单击事件总线。
- 单击default对应操作列的事件追踪。
- 选择目标时间范围、事件源为acs.ram访问控制和事件类型为ram:Config:ConfigurationItemChangeNotification,单击查询。
- 单击目标事件对应操作列的事件详情。
- 业务账号B创建的RAM角色sg-01的事件详情。
- 业务账号C创建的RAM角色sg-02的事件详情。
- 业务账号B创建的RAM角色sg-01的事件详情。
- 通过函数计算控制台查看
- 登录函数计算控制台。
- 在顶部菜单栏,选择地域,例如:华东2(上海)。
- 在左侧导航栏,单击服务及函数。
- 单击目标服务名称eb_event_action。
- 单击目标函数名称eb_event_trigger。
- 在函数日志页签,选择目标时间范围。
说明 当您初次查看函数的调用日志时,需要单击一键启用,启用日志功能。
- 业务账号B创建的RAM角色sg-01的事件详情。
- 业务账号C创建的RAM角色sg-02的事件详情。
- 业务账号B创建的RAM角色sg-01的事件详情。