資來源目錄的管理帳號可以將資來源目錄中的成員設定為Action Trail的委派管理員帳號。設定成功後,委派管理員帳號將獲得管理帳號的授權,代替管理帳號建立多帳號跟蹤,將資來源目錄中所有帳號的事件投遞到資來源目錄中任意成員下的SLS Logstore或OSS儲存空間,實現操作事件的統一收集。
前提條件
請確保您已經開通資來源目錄。具體操作,請參見開通資來源目錄。
請確保您已經在資來源目錄中建立成員或邀請成員。具體操作,請參見建立成員和邀請阿里雲帳號加入資來源目錄。
應用情境
為Action Trail添加委派管理員帳號,可以將企業內的組織管理職能和審計管理職能從IT架構上隔離開,這對於企業雲上IT的安全管理至關重要。
管理帳號作為企業的中心管理者預設具有超級管理員權限,在企業IT管理的最佳實務中應使管理帳號聚焦在對資來源目錄的組織管理上,盡量減少對其他雲上配置的管理職責,避免超大許可權的誤操作。但是當企業在雲上使用多個帳號時,始終要有一些管理是面向全組織的,此時需要管理帳號能夠通過委派管理員帳號來分擔職責。例如:管理帳號指定某個成員作為Action Trail的委派管理員帳號,該帳號被企業內審計部門所擁有和使用,審計部門通過該帳號來統一收集事件並進行審計監督和分析。這也符合企業內實際的崗位分工。
總之,企業使用Action Trail的委派管理員帳號可以實現以下需求,符合多帳號管理的最佳實務。
企業內設定專職帳號負責審計事件的收集、管理和分析,與業務帳號隔離開。
委派管理員帳號代替管理帳號管理Action Trail相關的配置操作,分擔管理帳號的部分職責,盡量規避管理帳號的頻繁使用。
關於委派管理員帳號的更多資訊,請參見什麼是委派管理員帳號。
添加委派管理員帳號
企業可以在資來源目錄中指定一個成員作為專職的審計帳號,即Action Trail的委派管理員帳號。該帳號僅用於管理雲上的審計配置和留存審計事件,帳號下不保有其他資源。這也符合三權分立的安全管理要求,將許可權管理、審計管理、資源管理進行帳號維度職能隔離。委派管理員帳號用於在本帳號中建立面向資來源目錄的多帳號跟蹤,並將事件統一投遞到指定的儲存空間。該儲存空間可以在本帳號內(推薦),也可以指定另一個專門用於儲存事件的帳號。您可以使用委派管理員帳號長期管理跟蹤的配置、儲存所有帳號的事件和持續的審計分析警示。
Action Trail服務的委派管理員帳號將獲得以下許可權:
獲得管理帳號的授權,可以在Action Trail服務中訪問資來源目錄組織和成員資訊。
在Action Trail中建立面向全資來源目錄的多帳號跟蹤,統一收集資來源目錄中所有成員的事件。
由於資來源目錄中只能建立一個多帳號跟蹤,所以每個資來源目錄的管理帳號最多支援為Action Trail添加一個委派管理員帳號。
更換委派管理員帳號
當您為Action Trail添加委派管理員帳號後,不建議變更該帳號。委派管理員帳號作為企業的固有資產承擔業務職能,不應該隨意更換,更換帳號也將導致一些配置暫時失效,影響企業完整持續的審計。如果一定要更換帳號,請先移除原有委派管理員帳號(帳號A),然後添加新的委派管理員帳號(帳號B)。
移除委派管理員帳號前,需要先刪除該帳號下的多帳號跟蹤。刪除多帳號跟蹤會中斷事件的收集工作,請在移除前謹慎考慮。關於如何刪除多帳號跟蹤,請參見刪除多帳號跟蹤。
在資源管理主控台,使用管理帳號在資來源目錄中移除Action Trail原有委派管理員帳號(帳號A)。
具體操作,請參見移除委派管理員帳號。
在資源管理主控台,添加新的委派管理員帳號(帳號B)。
具體操作,請參見添加委派管理員帳號。
在Action Trail控制台,使用新的委派管理員帳號(帳號B)建立多帳號跟蹤,將事件投遞到該帳號(帳號B)中的儲存空間。
具體操作,請參見成員登入阿里雲控制台和建立多帳號跟蹤。
在Action Trail控制台,使用新的委派管理員帳號(帳號B)建立資料回補投遞任務,將過去90天的事件以任務的方式一次性補投遞到指定的儲存空間。
具體操作,請參見建立資料回補投遞任務。
在SLS控制台或OSS管理主控台,將原有的委派管理員帳號(帳號A)中已有的事件彙總到新的委派管理員帳號(帳號B)的儲存空間中。
具體操作,請參見SLS的資料線上遷移和OSS的資料線上遷移。
說明更換委派管理員帳號後,新的儲存空間中將出現約90天的重複事件,以便確保審計的完整性。