全部产品
Search
文档中心

操作审计:将多个阿里云账号的事件投递到同一账号

更新时间:Sep 14, 2024

当您需要管理和维护多个阿里云账号时,您可以使用操作审计的跟踪功能跨账号投递事件,将多个阿里云账号的事件投递到同一账号的日志服务SLS、对象存储OSS或大数据计算服务MaxCompute中,从而实现统一的审计数据归档和监控。本文为您介绍如何将多个阿里云账号的事件投递到同一账号。

背景信息

在操作审计的跨账号投递功能中,您需要理解目标账号和源账号,具体如下。

账号

说明

操作

目标账号

用于接收其他账号事件的账号。

  • 创建用于接收事件的存储空间,例如:SLS Logstore、OSS存储空间或MaxCompute数据表。

  • 创建可信实体为操作审计服务的RAM角色,其他账号需通过扮演该角色向目标账号写入事件。

源账号

需要向目标账号写入事件的账号。

使用阿里云账号创建跟踪,将事件投递到目标账号的存储空间。

当目标账号和源账号是无组织关系的独立阿里云账号时,跨账号投递需要为每个阿里云账号分别创建单账号跟踪。以下同时将阿里云账号A(源账号)和阿里云账号B(源账号)的事件投递到阿里云账号C(目标账号)为例,为您进行介绍。

操作步骤

  1. 在阿里云账号C中创建RAM角色,并授权操作审计服务向阿里云账号C投递事件的权限。

    1. 使用阿里云账号C登录RAM控制台

    2. 创建可信实体为操作审计的RAM角色。

      1. 在左侧导航栏,选择身份管理 > 角色

      2. 角色页面,单击创建角色

      3. 创建角色面板,选择可信实体类型为阿里云服务,然后单击下一步

      4. 选择角色类型为普通服务角色

      5. 设置角色名称为ActionTrailDeliveryRole

      6. 选择受信服务为操作审计

      7. 单击完成

    3. 为RAM角色进行精确授权,授予系统策略AliyunActionTrailDeliveryPolicy。

      1. 单击精确授权

      2. 选择系统策略,并设置策略名称为AliyunActionTrailDeliveryPolicy

      3. 单击确定,然后单击关闭

      您可以在角色页面,查看RAM角色ActionTrailDeliveryRole绑定的权限策略AliyunActionTrailDeliveryPolicy的详细内容。关于权限策略的更多信息,请参见事件投递的系统权限策略

    4. 修改RAM角色的信任策略,将Service字段修改为阿里云账号@actiontrail.aliyuncs.com的格式。

      例如:阿里云账号A是159498693825****、阿里云账号B是123435555956****,则需要将Service中的actiontrail.aliyuncs.com修改为["159498693825****@actiontrail.aliyuncs.com","123435555956****@actiontrail.aliyuncs.com"],表示该RAM角色可以被阿里云账号A159498693825****和阿里云账号B123435555956****下的操作审计服务扮演。

      {
          "Statement": [
              {
                  "Action": "sts:AssumeRole",
                  "Effect": "Allow",
                  "Principal": {
                      "Service": [
                          "159498693825****@actiontrail.aliyuncs.com",
                          "123435555956****@actiontrail.aliyuncs.com"
                      ]
                  }
              }
          ],
          "Version": "1"
      }

      具体操作,请参见修改RAM角色的信任策略

  2. 使用阿里云账号C创建日志服务SLS的Project、对象存储OSS的存储空间或大数据计算服务MaxCompute的Project。

    具体操作,请参见SLS创建项目ProjectOSS创建存储空间创建MaxCompute项目

    说明

    MaxCompute项目名称必须以actiontrail_开头。

    基于数据安全考虑,建议您在创建OSS存储空间时,设置服务器加密和合规保留策略。具体操作,请参见服务器端加密设置合规保留策略

  3. 使用阿里云账号A创建单账号跟踪,设置投递目标为步骤2创建的SLS Project、OSS存储空间或MaxCompute Project。

    1. 使用阿里云账号A登录操作审计控制台

    2. 在左侧导航栏,单击跟踪

    3. 在顶部导航栏选择您想创建单账号跟踪的地域。

      说明

      该地域将成为单账号跟踪的Home地域。

    4. 跟踪页面,单击创建跟踪

    5. 创建跟踪页面,设置跟踪的相关参数。

      • 基本信息区域,设置跟踪名称和管控事件类型。

        说明

        系统默认将跟踪投递的地域设置为全部地域。推荐您将管控事件设置为所有事件,以便跟踪全部地域的全部事件。关于参数的更多信息,请参见创建单账号跟踪

      • 审计事件投递区域,设置将跟踪分别投递到日志服务SLS、对象存储OSS或大数据计算服务MaxCompute,或者同时进行投递。关于如何选择存储服务,请参见将事件持续投递到指定服务

        • 选择将事件投递到日志服务SLS,然后选择投递到其他账号,并设置以下参数。

          参数

          描述

          日志项目ARN

          输入日志项目所在地域、阿里云账号C(目标账号)ID和日志项目名称。

          其中,日志项目名称为步骤2中创建的Project名称。

          日志写入角色ARN

          输入阿里云账号C(目标账号)ID和角色名称。

          其中,角色名称为步骤1中创建的RAM角色名称(本文示例为ActionTrailDeliveryRole)。

        • 选择将事件投递到对象存储OSS时,然后选择投递到其他账号,并设置以下参数。

          参数

          描述

          存储空间角色ARN

          输入阿里云账号C(目标账号)ID和角色名称。

          其中,角色名称为步骤1中创建的RAM角色名称(本文示例为ActionTrailDeliveryRole)。

          存储空间名称

          输入步骤2中创建的存储空间名称。

          日志文件前缀

          输入事件存放的日志文件前缀。

        • 选择将事件投递到大数据计算服务MaxCompute时,然后选择投递到其他账号,并设置以下参数。

          参数

          描述

          大数据计算服务写入角色ARN

          输入阿里云账号ID(目标账号)和角色名称。

          其中,角色名称为步骤1中创建的RAM角色名称(本文示例为ActionTrailDeliveryRole)。

          大数据计算服务ARN

          输入大数据计算服务项目所在地域、阿里云账号ID(目标账号)和大数据计算服务项目名称。其中,大数据计算服务项目名称为步骤2中创建的Project名称。

    6. 单击确认

  4. 以相同的方法,使用阿里云账号B创建单账号跟踪,设置投递目标为步骤2创建的SLS Project、OSS存储空间或MaxCompute Project。

执行结果

跟踪创建成功后,您可以使用阿里云账号C在SLS Project、OSS存储空间或MaxCompute Project中查看来自阿里云账号A和阿里云账号B的事件。具体操作,请参见查询和分析日志实时日志查询

相关操作