要完成跨賬号投遞,您需要執行以下操作:
- 投遞目标賬号建立投遞RAM角色,供操作審計扮演,完成操作記錄投遞
- 投遞目标賬号建立對象存儲(OSS)或日志服務(SLS),用于存儲多個賬号的操作記錄
- 其他賬号建立操作審計跟蹤,設定投遞目标為目标賬号的對象存儲(OSS)或日志服務(SLS)
下面将為您介紹使用資源目錄産品管理多賬号和未使用時不同的操作步驟。
使用成員賬号存儲操作審計組織跟蹤收集的事件
當您使用了
資源目錄産品來管理您多個雲賬号,操作審計與資源目錄深度內建,無須為每個成員賬号建立跟蹤,隻需要在資源目錄的master賬号上建立組織跟蹤即可。
當您期望将資源目錄下所有賬号的操作事件投遞到主賬号下的對象存儲(OSS)或日志服務(SLS)中時,可以參考文檔:
當您期望将資源目錄下所有賬号的操作事件投遞到某一個成員賬号下的對象存儲(OSS)或日志服務(SLS)中時,
您可以通過 CloudShell 快速完成組織跟蹤日志投遞到成員賬号的配置,使用前請確定您正在使用資源目錄管理賬号下的子賬号或角色身份登陸控制台。
您也可以通過控制台完成配置,需要按照以下步驟操作:
步驟一:目标賬号建立投遞角色
使用目标成員賬号建立投遞角色, ActionTrailDeliveryRole
為角色增加授權,點選精确授權按鈕,選擇系統政策,填入AliyunActionTrailDeliveryPolicy
設定信任政策管理,修改信任政策,格式為 master賬号[email protected],此政策表明角色可由master賬号的操作審計服務扮演。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"159498693826****@actiontrail.aliyuncs.com"
]
}
}
],
"Version": "1"
} 步驟二:目标賬号建立資源
使用目标賬号建立想要收集操作記錄的對象存儲(OSS)或日志服務(SLS)。我們建議您同時投遞到日志服務(SLS)和對象存儲(OSS)中,日志服務幫助您實時查詢和監控操作事件,可配置較短的資料生命周期以節省成本(如30天);對象存儲(OSS)幫助您低成本、長時間存儲操作事件,可根據需要進行下載下傳和使用,基于資料安全考慮,建議您開啟
OSS服務端加密和
資料合規保留。
可以參考文檔:
步驟三:master賬号建立跟蹤
使用master賬号建立組織跟蹤,設定投遞目标為剛剛建立的對象存儲(OSS)或日志服務(SLS)。
通過
操作審計控制台建立跟蹤:
單獨配置多個賬号
設定信任政策管理,修改信任政策,格式為 成員賬号[email protected],此政策表明角色可由成員賬号的操作審計服務扮演。如果有多個賬号,将多個賬号都填入到信任政策中。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"159498693826****@actiontrail.aliyuncs.com",
"159494****@actiontrail.aliyuncs.com",
"123435555****@actiontrail.aliyuncs.com"
]
}
}
],
"Version": "1"
} 步驟三:其他賬号建立跟蹤
所有需要收集記錄檔的賬号,都需要建立跟蹤,并設定投遞目标為剛剛建立的對象存儲(OSS)或日志服務(SLS)。
已經投遞的資料遷移
如果您想将原有已經投遞到目前賬号的資料遷移到另一個賬号時,可以采用如下的遷移方案進行資料遷移: