将资源目录中多个成员的事件投递到同一账号

当您需要管理一个账号中的多个成员时,您可以使用操作审计的跟踪功能跨账号投递事件,将资源目录中多个成员的事件投递到同一账号的日志服务SLS、对象存储OSS或大数据计算服务MaxCompute中,从而实现统一的审计数据归档和监控。本文为您介绍如何将资源目录中多个成员的事件投递到同一账号。

背景信息

在操作审计的跨账号投递功能中,您需要理解目标账号和源账号,具体如下。

账号

说明

操作

目标账号

用于接收其他账号事件的账号。

  • 创建用于接收事件的存储空间,例如:SLS Logstore、OSS存储空间或MaxCompute数据表。

  • 创建可信实体为操作审计服务的RAM角色,其他账号需通过扮演该角色向目标账号写入事件。

源账号

需要向目标账号写入事件的账号。

使用成员对应的管理账号创建跟踪,将事件投递到目标账号的存储空间。

当目标账号和源账号处于同一资源目录时,基于资源目录的结构互信,跨账号投递可以省略很多配置步骤。根据目标账号的不同分为以下两种情况:

  • 当目标账号是管理账号时,您可以创建多账号跟踪,将资源目录下所有账号的事件投递到管理账号中的日志服务SLS、对象存储OSS或大数据计算服务MaxCompute。具体操作,请参见创建多账号跟踪

  • 当目标账号是成员时,请按照本文所述的操作步骤进行配置。

操作步骤

  1. 在目标账号中创建RAM角色,并授权操作审计服务向目标账号投递事件的权限。

    1. 使用目标账号登录RAM控制台

    2. 创建可信实体为操作审计的RAM角色。

      1. 在左侧导航栏,选择身份管理 > 角色

      2. 角色页面,单击创建角色

      3. 创建角色面板,选择可信实体类型为阿里云服务,然后单击下一步

      4. 选择角色类型为普通服务角色

      5. 设置角色名称为ActionTrailDeliveryRole

      6. 选择受信服务为操作审计

      7. 单击完成

    3. 为RAM角色进行精确授权,授予系统策略AliyunActionTrailDeliveryPolicy。

      1. 单击精确授权

      2. 选择系统策略,并设置策略名称为AliyunActionTrailDeliveryPolicy

      3. 单击确定,然后单击关闭

      您可以在角色页面,查看RAM角色ActionTrailDeliveryRole绑定的权限策略AliyunActionTrailDeliveryPolicy的详细内容。关于权限策略的更多信息,请参见事件投递的系统权限策略

    4. 修改RAM角色的信任策略,将Service字段修改为管理账号@actiontrail.aliyuncs.com的格式。

      例如:管理账号是159498693826****,则需要将Service中的actiontrail.aliyuncs.com修改为159498693826****@actiontrail.aliyuncs.com,表示该RAM角色可以被管理账号159498693826****下的操作审计服务扮演。

      {
          "Statement": [
              {
                  "Action": "sts:AssumeRole",
                  "Effect": "Allow",
                  "Principal": {
                      "Service": [
                          "159498693826****@actiontrail.aliyuncs.com"
                      ]
                  }
              }
          ],
          "Version": "1"
      }

      具体操作,请参见修改RAM角色的信任策略

  2. 使用目标账号创建日志服务SLS的Project、对象存储OSS的存储空间或大数据计算服务MaxCompute的Project。

    具体操作,请参见SLS创建项目ProjectOSS创建存储空间创建MaxCompute项目

    说明

    MaxCompute项目名称必须以actiontrail_开头。

    基于数据安全考虑,建议您在创建OSS存储空间时,设置服务器加密和合规保留策略。具体操作,请参见服务器端加密设置合规保留策略

  3. 使用管理账号创建多账号跟踪,设置投递目标为步骤2创建的SLS Project、OSS存储空间或MaxCompute Project。

    1. 使用管理账号登录操作审计控制台

    2. 在左侧导航栏,单击跟踪

    3. 在顶部导航栏选择您想创建多账号跟踪的地域。

      说明

      该地域将成为多账号跟踪的Home地域。

    4. 跟踪页面,单击创建跟踪

    5. 创建跟踪页面,设置跟踪的相关参数。

      • 基本信息区域,设置跟踪投递的基本信息。

        说明
        • 应用到所有成员请设置为

        • 系统默认将跟踪投递的地域设置为全部地域。推荐您将管控事件设置为所有事件,以便跟踪全部地域的全部事件。

        • 关于参数的更多信息,请参见创建多账号跟踪

      • 审计事件投递区域,设置将跟踪分别投递到日志服务SLS、对象存储OSS或大数据计算服务MaxCompute,或者同时进行投递。关于如何选择存储服务,请参见将事件持续投递到指定服务

        • 选择将事件投递到日志服务SLS,然后选择投递到其他账号,并设置以下参数。

          参数

          描述

          日志项目ARN

          输入日志项目所在地域、目标账号ID和日志项目名称。

          其中,日志项目名称为步骤2中创建的Project名称。

          日志写入角色ARN

          输入目标账号ID和角色名称。

          其中,角色名称为步骤1中创建的RAM角色名称(本文示例为ActionTrailDeliveryRole)。

        • 选择将事件投递到对象存储OSS时,然后选择投递到其他账号,并设置以下参数。

          参数

          描述

          存储空间角色ARN

          输入目标账号ID和角色名称。

          其中,角色名称为步骤1中创建的RAM角色名称(本文示例为ActionTrailDeliveryRole)。

          存储空间名称

          输入步骤2中创建的存储空间名称。

          日志文件前缀

          输入事件存放的日志文件前缀。

        • 选择将事件投递到大数据计算服务MaxCompute时,然后选择投递到其他账号,并设置以下参数。

          参数

          描述

          大数据计算服务写入角色ARN

          输入阿里云账号ID(目标账号)和角色名称。

          其中,角色名称为步骤1中创建的RAM角色名称(本文示例为ActionTrailDeliveryRole)。

          大数据计算服务ARN

          输入大数据计算服务项目所在地域、阿里云账号ID(目标账号)和大数据计算服务项目名称。其中,大数据计算服务项目名称为步骤2中创建的Project名称。

    6. 单击确认

执行结果

跟踪创建成功后,您可以使用目标账号在SLS Project、OSS存储空间或MaxCompute项目中查看来自多个成员的事件。具体操作,请参见查询和分析日志实时日志查询