すべてのプロダクト
Search

このプロダクト

    ActionTrail:複数 Alibaba Cloud アカウントのイベントを 1 つのアカウントに配信する

    ドキュメントセンター

    ActionTrail:複数 Alibaba Cloud アカウントのイベントを 1 つのアカウントに配信する

    最終更新日:Mar 26, 2025

    複数 Alibaba Cloud アカウントを管理および維持する場合、ActionTrail でトレイルを作成して、複数 Alibaba Cloud アカウントのイベントを 1 つのアカウントの Simple Log Service、Object Storage Service (OSS)、または MaxCompute に配信できます。 この方法で、監査データを一元的にアーカイブおよび監視できます。 このトピックでは、複数 Alibaba Cloud アカウントのイベントを 1 つのアカウントに配信する方法について説明します。

    背景情報

    ActionTrail でアカウントをまたがってイベントを配信するトレイルを作成する前に、宛先アカウントとソースアカウントの概念を理解しておく必要があります。 次の表に、これらの概念を示します。

    アカウント

    説明

    操作

    宛先アカウント

    ソースアカウントからイベントを受信するために使用されるアカウント。

    • イベントを格納するストレージスペース(Simple Log Service Logstore、OSS バケット、MaxCompute テーブルなど)を作成します。

    • ActionTrail を信頼できるサービスとして選択した Resource Access Management (RAM) ロールを作成します。 ソースアカウントの ActionTrail は、宛先アカウントにイベントを書き込むために RAM ロールをアサインする必要があります。

    ソースアカウント

    イベントが宛先アカウントに書き込まれるアカウント。

    Alibaba Cloud アカウントを使用して、宛先アカウントに作成したストレージスペースにイベントを配信するトレイルを作成します。

    宛先アカウントとソースアカウントが同じ組織構造にない独立した Alibaba Cloud アカウントである場合、ソースアカウントごとにシングルアカウントトレイルを作成する必要があります。 次の例では、Alibaba Cloud アカウント A と Alibaba Cloud アカウント B から Alibaba Cloud アカウント C にイベントを配信する方法について説明します。

    手順

    1. Alibaba Cloud アカウント C を使用して RAM ロールを作成し、Alibaba Cloud アカウント C にイベントを配信する権限を ActionTrail に付与します。

      1. Alibaba Cloud アカウント C を使用して RAM コンソール にログインします。

      2. AliyunActionTrailDeliveryPolicy システムポリシーを [actiontraildeliveryrole] RAM ロールにアタッチします。

        1. [actiontraildeliveryrole] RAM ロールの名前をクリックします。

        2. [権限] タブで、[詳細な権限] をクリックします。

        3. [ポリシータイプ] パラメーターを [システムポリシー] に設定し、[ポリシー名] パラメーターを [aliyunactiontraildeliverypolicy] に設定します。

        4. [OK] をクリックします。

        説明

        ポリシーの詳細については、「イベント配信の権限ポリシーを管理する」をご参照ください。

      4. RAM ロールの信頼ポリシーを変更します。 Service フィールドの値を Alibaba Cloud account@actiontrail.aliyuncs.com 形式の値に変更します。

        たとえば、Alibaba Cloud アカウント A が 159498693825**** で、Alibaba Cloud アカウント B が 123435555956**** の場合、actiontrail.aliyuncs.comService フィールドで "159498693825****@actiontrail.aliyuncs.com","123435555956****@actiontrail.aliyuncs.com" に変更する必要があります。 これにより、Alibaba Cloud アカウント A 159498693825**** と Alibaba Cloud アカウント B 123435555956**** の ActionTrail は RAM ロールをアサインできます。

        {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    // Alibaba Cloud アカウント A と B の ActionTrail
                    "159498693825****@actiontrail.aliyuncs.com",
                    "123435555956****@actiontrail.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

        詳細については、「RAM ロールの信頼ポリシーを編集する」をご参照ください。

    2. Alibaba Cloud アカウント C を使用して、Simple Log Service プロジェクト、OSS バケット、または MaxCompute プロジェクトを作成します。

      詳細については、「プロジェクトの管理」、「バケットの作成」、および「MaxCompute プロジェクトの作成」をご参照ください。

      説明

      MaxCompute プロジェクトの名前は、actiontrail_ で始まる必要があります。

      データセキュリティを確保するために、OSS バケットを作成するときにサーバー側暗号化とライフサイクルルールを設定することをお勧めします。 詳細については、「サーバー側暗号化」および「ライフサイクルルールを設定する」をご参照ください。

    3. Alibaba Cloud アカウント A を使用してシングルアカウントトレイルを作成し、配信先を 手順 2 で作成した Simple Log Service プロジェクト、OSS バケット、または MaxCompute プロジェクトに設定します。

      1. Alibaba Cloud アカウント A を使用して、ActionTrail コンソール にログインします。

      2. 左側のナビゲーションウィンドウで、[トレイル] をクリックします。

      3. 上部のナビゲーションバーで、シングルアカウントトレイルを作成するリージョンを選択します。

        説明

        選択したリージョンは、作成するトレイルのホームリージョンになります。

      4. [トレイル] ページで、[トレイルの作成] をクリックします。

      5. [トレイルの作成] ページで、パラメーターを設定します。

        • [基本情報] セクションで、トレイルの基本情報を設定します。

          説明

          デフォルトでは、トレイルはすべてのリージョンでイベントを配信します。 [管理イベント][すべて] に設定することをお勧めします。 これにより、トレイルはすべてのリージョンで発生するすべてのタイプのイベントを配信します。 詳細については、「シングルアカウントトレイルを作成する」をご参照ください。

        • [イベント配信] セクションで、Simple Log Service、OSS、MaxCompute、またはすべてにイベントを配信するためのパラメーターを設定します。 ストレージサービスの選択方法の詳細については、「指定 Alibaba Cloud サービスにイベントを配信する」をご参照ください。

          • Log Service に配信 を選択し、[宛先アカウント] パラメーターを [別のアカウントに配信] に設定し、その他のパラメーターを設定します。

            パラメーター

            説明

            [プロジェクト ARN]

            プロジェクトが存在するリージョン、Alibaba Cloud アカウント C の ID、およびプロジェクトの名前を入力します。

            この例では、手順 2 で作成されたプロジェクトの名前を使用します。

            [宛先アカウントの RAM ロール ARN]

            Alibaba Cloud アカウント C の ID と RAM ロールの名前を入力します。

            手順 1 で作成された RAM ロールの名前を使用します。 この例では、名前は ActionTrailDeliveryRole です。

          • OSS に配信 を選択し、[宛先アカウント] パラメーターを [別のアカウントに配信] に設定し、その他のパラメーターを設定します。

            パラメーター

            説明

            [OSS バケットの RAM ロール ARN]

            Alibaba Cloud アカウント C の ID と RAM ロールの名前を入力します。

            手順 1 で作成された RAM ロールの名前を使用します。 この例では、名前は ActionTrailDeliveryRole です。

            [バケット名]

            手順 2 で作成された OSS バケットの名前を入力します。

            [ログファイルのプレフィックス]

            イベントを格納するログファイルの名前のプレフィックスを入力します。

          • MaxCompute への配信[別のアカウントへの配信] を選択し、[宛先アカウント] パラメーターを に設定し、その他のパラメーターを設定します。

            パラメーター

            説明

            [maxcompute の RAM ロール ARN]

            Alibaba Cloud アカウント C の ID と RAM ロールの名前を入力します。

            手順 1 で作成された RAM ロールの名前を使用します。 この例では、名前は ActionTrailDeliveryRole です。

            [プロジェクト ARN]

            MaxCompute プロジェクトが存在するリージョン、Alibaba Cloud アカウント C の ID、および MaxCompute プロジェクトの名前を入力します。 この例では、手順 2 で作成された MaxCompute プロジェクトの名前を使用します。

      6. [確認] をクリックします。

    4. 上記の手順に従って、Alibaba Cloud アカウント B を使用してシングルアカウントトレイルを作成し、配信先を 手順 2 で作成した Simple Log Service プロジェクト、OSS バケット、または MaxCompute プロジェクトに設定します。

    次の手順

    トレイルを作成した後、Alibaba Cloud アカウント C を使用して、Simple Log Service プロジェクト、OSS バケット、または MaxCompute プロジェクトで Alibaba Cloud アカウント A と Alibaba Cloud アカウント B からのイベントを表示できます。 詳細については、「ログのクエリと分析」および「リアルタイムログクエリ」をご参照ください。

    関連操作