文档

企业多账号场景下订阅资源的配置变更事件

更新时间:

当企业在云上有多个账号时,安全应急团队或运维团队需要实时了解整个企业的云上资源动态,订阅重要或高风险资源的配置变更信息,以便及时监控和维护这些资源。企业通过资源目录对多个账号中的资源进行统一管理后,可以通过配置审计将资源的配置变更事件投递到事件总线EventBridge,还可以通过函数计算中的触发器将事件总线EventBridge中的资源配置变更事件投递到函数计算。

应用场景

某企业统一管理多账号中资源的配置变更事件的应用场景如下图所示。应用场景

某企业的管理账号通过一个成员(日志账号A)查看其他成员(业务账号B和业务账号C)中资源的配置变更事件,本文以查看前缀为sg-的RAM角色的配置变更事件为例进行介绍。

前提条件

数据规划

本文以访问控制的RAM角色的配置变更事件为例,为您介绍通过配置审计、事件总线EventBridge和函数计算实现订阅资源的配置变更事件的方法,相关数据规划如下表所示。

云服务

操作账号

参数

示例

资源管理

管理账号

日志账号A(RAM用户)

-

业务账号B(RAM用户)

-

业务账号C(RAM用户)

-

事件总线

业务账号B

规则名称

b-eb-filter-ram-role

业务账号C

规则名称

c-eb-filter-ram-role

函数计算

日志账号A

服务

eb_event_action

服务的系统模板权限

AliyunFCDefaultRolePolicy

函数

eb_event_trigger

触发器

ConfigurationItemChangeTrigger

访问控制

日志账号A

RAM角色

account-eb-role

业务账号B

RAM角色

sg-01

业务账号C

RAM角色

sg-02

操作流程

企业在多账号场景下,订阅资源的配置变更事件的操作流程如下图所示。操作流程

步骤一:日志账号创建RAM角色

日志账号A通过事件总线EventBridge提供的跨账号事件路由的能力,将业务账号B和业务账号C的事件投递到日志账号A的事件总线EventBridge中,日志账号A可以集中查看业务账号B和业务账号C的资源配置变更事件。

首先日志账号A需要完成跨账号投递事件的角色授权,即创建RAM角色(account-eb-role),并授权事件总线EventBridge向业务账号A投递事件的权限。

  1. 创建RAM角色并授权事件总线EventBridge。

    1. 登录RAM控制台

    2. 在左侧导航栏,选择身份管理 > 角色

    3. 角色页面,单击创建角色

    4. 选择类型页面,选择可信实体类型为阿里云账号,然后单击下一步

    5. 配置角色页面,输入角色名称为account-eb-role,信任的云账号保持默认(即当前云账号),单击完成

      说明

      先选择默认信任云账号,再在步骤 2中设置准确的信任策略。

    6. 创建完成页面,单击为角色授权

    7. 添加权限面板,权限选择系统策略页签中的AliyunEventBridgePutEventsPolicy,其他参数保持默认值,单击确定

  2. 修改信任策略。

    1. 角色页面,单击目标RAM角色名称。

    2. 单击信任策略管理页签,然后单击修改信任策略

    3. 修改信任策略内容。

      业务账号B和业务账号C授信于日志账号A后,日志账号A的事件总线EventBridge可以扮演该RAM角色。信任策略示例如下:

      {
          "Statement":[
              {
                  "Action":"sts:AssumeRole",
                  "Effect":"Allow",
                  "Principal":{
                      "Service":[
                          "<业务账号B的ID>@eventbridge.aliyuncs.com",
                          "<业务账号C的ID>@eventbridge.aliyuncs.com"
                      ]
                  }
              }
          ],
          "Version":"1"
      }
    4. 单击确定

步骤二:业务账号配置事件总线

业务账号B创建事件总线规则b-eb-filter-ram-role,业务账号C创建事件总线规则c-eb-filter-ram-role。业务账号B和业务账号C中的资源变更事件通过角色account-eb-role路由到日志账号A的事件总线EventBridge中。

  1. 登录事件总线EventBridge控制台

  2. 在顶部菜单栏,选择地域,例如:华东2(上海)

  3. 在左侧导航栏,单击事件总线

  4. 事件总线页面,单击云服务专用事件总线区域的创建规则

  5. 创建规则页面,设置事件总线规则的相关参数。

    1. 配置基本信息页面,输入事件总线名称,单击下一步

    2. 配置事件模式页面,事件源类型选择阿里云官方事件源事件源选择acs.ram访问控制事件类型选择ram:Config:ConfigurationItemChangeNotification(访问控制配置变更通知)、事件模式内容输入以下信息,然后单击下一步

      仅当访问控制中前缀为sg-的资源(RAM角色或RAM用户)的配置变更时,事件总线EventBridge才会记录事件。事件模式内容如下:

      {
          "source": [
              "acs.ram"
          ],
          "data": {
              "resourceName": [
                  {
                      "prefix": "sg-"
                  }
              ]
          },
          "type": [
              "ram:Config:ConfigurationItemChangeNotification"
          ]
      }
    3. 配置事件目标页面,服务类型选择事件总线EventBridge账号ID输入日志账号A的ID、总线名称输入default角色名称输入account-eb-role,然后单击创建

步骤三:日志账号配置函数计算

日志账号A在函数计算中创建函数,并通过触发器将资源的配置变更事件投递到函数计算中。

  1. 新建服务。

    1. 登录函数计算控制台

    2. 在左侧导航栏,单击服务及函数

    3. 在顶部菜单栏,选择地域,例如:华东2(上海)

    4. 服务列表页面,单击创建服务

    5. 创建服务面板,名称输入eb_event_action

    6. 单击确定

  2. 创建函数。

    1. 在服务eb_event_action函数管理页面,单击创建函数

    2. 创建函数页面,设置函数的基本信息和触发器。

      • 基本信息区域:函数名称输入eb_event_trigger运行环境选择Python 3.6,其他参数保持默认值。

      • 配置触发器区域:触发器类型选择云产品事件触发器下的访问控制名称输入ConfigurationItemChangeTrigger事件类型选择选中全部事件类型。事件模式内容如下:

        {
            "source": [
                "acs.ram"
            ],
            "type": [
                "ram:ActionTrail:AliyunServiceEvent",
                "ram:ActionTrail:ApiCall",
                "ram:ActionTrail:ConsoleOperation",
                "ram:Config:ConfigurationItemChangeNotification",
                "ram:Config:NonCompliantNotification"
            ]
        }
      • 其他参数保持默认值。

      说明

      如果函数计算初次访问事件总线EventBridge,则需要根据提示授权,允许事件总线EventBridge访问函数计算。

    3. 单击创建

  3. 显示函数调用日志。

    1. 在函数eb_event_trigger函数代码页签,将文件index.py中的logger.info('hello world')修改为logger.info(event)

    2. 先单击右上角的Save,然后单击左上角的部署代码

步骤四:业务账号变更资源

业务账号B创建一个RAM角色sg-01,业务账号C创建一个RAM角色sg-02。具体操作,请参见创建可信实体为阿里云账号的RAM角色

步骤五:日志账号查看资源的配置变更事件

日志账号A查看业务账号B和业务账号C资源的配置变更事件。查看方式如下:

  • 通过事件总线EventBridge控制台查看

    1. 登录事件总线EventBridge控制台

    2. 在顶部菜单栏,选择地域,例如:华东2(上海)

    3. 在左侧导航栏,单击事件总线

    4. 单击default对应操作列的事件追踪

    5. 选择目标时间范围、事件源acs.ram访问控制事件类型ram:Config:ConfigurationItemChangeNotification,单击查询

    6. 单击目标事件对应操作列的事件详情

      • 业务账号B创建的RAM角色sg-01的事件详情。事件总线(sg-01)

      • 业务账号C创建的RAM角色sg-02的事件详情。事件总线(sg-02)

  • 通过函数计算控制台查看

    1. 登录函数计算控制台

    2. 在顶部菜单栏,选择地域,例如:华东2(上海)

    3. 在左侧导航栏,单击服务及函数

    4. 单击目标服务名称eb_event_action

    5. 单击目标函数名称eb_event_trigger

    6. 函数日志页签,选择目标时间范围。

      说明

      当您初次查看函数的调用日志时,需要单击一键启用,启用日志功能。

      • 业务账号B创建的RAM角色sg-01的事件详情。函数计算(sg-01)

      • 业务账号C创建的RAM角色sg-02的事件详情。函数计算(sg-02)