同组织或关联组织下不同的阿里云账号通常需要进行事件互通,事件总线EventBridge提供跨账号路由事件的能力,您可以将多个账号的事件路由到一个账号中统一处理。本文介绍跨账号路由事件的背景信息、使用限制、操作步骤和结果验证。
背景信息
如下图所示,在实际应用场景中,阿里云账号A、B属于同组织或者相关组织,您可以将发送账号A的RAM用户的审计事件路由到接收账号B的云服务专用事件总线中集中处理。操作步骤如下所示:
- 接收账号B创建RAM角色。可信实体为发送账号A。
- 接收账号B为RAM角色授予发布事件的权限。发送账号A可以扮演RAM角色,拥有向接收账号B发布事件的权限。
- 接收账号B修改RAM角色的信任策略,为接收账号B的阿里云服务添加发布事件的权限策略。接收账号B的阿里云服务也可以扮演RAM角色,拥有向接收账号B发布事件的权限。
- 发送账号A创建事件规则,将审计事件路由到接收账号B的云服务专用总线。
说明 接收账号的同一个总线支持来自多个发送账号的事件,这些事件的aliyunoriginalaccountid扩展字段将标识事件的归属信息,接收账号可通过aliyunoriginalaccountid字段过滤事件。
使用限制
- 只支持在同一个地域内跨账号路由事件。
- 云服务专用事件总线的事件只能路由到云服务专用事件总线,同时,自定义事件总线的事件也只能路由到自定义事件总线。
步骤一:创建RAM角色
- 使用接收账号B登录RAM控制台。
在左侧导航栏,选择。
在角色页面,单击创建角色。
在创建角色页面,选择可信实体类型为阿里云账号,然后单击下一步。
- 设置角色信息。
- 输入角色名称。
- 可选:输入备注。
- 选择云账号为其他云账号,输入发送账号A的ID,然后单击完成。
步骤二:为RAM角色授权
- 使用接收账号B登录RAM控制台。
在左侧导航栏,选择。
在角色页面,单击目标RAM角色操作列的新增授权。
您也可以选中多个RAM角色,单击角色列表下方的新增授权,为RAM角色批量授权。
- 在添加权限面板,为RAM角色添加权限。
- 选择授权范围。
- 整个云账号:权限在当前阿里云账号内生效。
- 指定资源组:权限在指定的资源组内生效。说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务。
- 输入被授权主体。被授权主体即需要授权的RAM角色,系统会自动填入当前的RAM角色,您也可以添加其他RAM角色。
- 选择权限策略。在权限策略名称列表下,找到并单击AliyunEventBridgePutEventsPolicy,然后单击确定。说明
- 每次最多绑定5条策略,如需绑定更多策略,请分次操作。
- 如果系统策略无法满足您的需求,您可以通过创建自定义策略实现精细化权限管理,将部分总线的权限授予发送账号。更多信息,请参见创建自定义权限策略。
- 选择授权范围。
步骤三:修改信任策略
- 使用接收账号B登录RAM控制台。
在左侧导航栏,选择。
在角色页面,单击目标RAM角色名称。
在信任策略页签,单击编辑信任策略。
- 修改信任权限策略内容,然后单击确定。
信任权限策略示例如下:
{ "Statement":[ { "Action":"sts:AssumeRole", "Effect":"Allow", "Principal":{ "Service":[ "${账号A}@eventbridge.aliyuncs.com" ] } } ], "Version":"1" }配置完成后,发送账号A的事件总线EventBridge可以扮演RAM角色。
步骤四:创建规则
- 使用发送账号A登录事件总线EventBridge控制台。
- 在左侧导航栏,单击事件总线。
- 在顶部菜单栏,选择地域。
- 在事件总线页面,单击云服务专用事件总线default。
- 在左侧导航栏,单击事件规则。
- 在事件规则页面,单击创建规则。
- 在创建规则页面,完成以下操作。
- 在配置基本信息配置向导,在名称文本框输入规则名称,在描述文本框输入规则的描述,然后单击下一步。
- 在配置事件模式配置向导,事件源类型选择阿里云官方事件源,从事件源列表选择阿里云官方事件源,从事件类型列表选择事件类型,在事件模式内容文本框输入事件模式,然后单击下一步。
- 在配置事件目标配置向导,配置以下参数,然后单击创建。
- 服务类型:单击事件总线。
- 目标账户类型:默认选择其他阿里云账号。
- 账号ID:输入接收账号的ID。
- 总线名称:输入default。
- 事件:默认选择完整事件,不做转换,直接投递原生CloudEvents 1.0协议中的完整结构。
说明 1个事件规则最多可以添加5个目标。
结果验证
您可以使用接收账号B查询事件。更多信息,请参见查询事件。
文档内容是否对您有帮助?