将资源目录中多个成员的事件投递到同一账号 - 操作审计

当您需要管理一个账号中的多个成员时，您可以使用操作审计的跟踪功能跨账号投递事件，将资源目录中多个成员的事件投递到同一账号的日志服务SLS、对象存储OSS或大数据计算服务MaxCompute中，从而实现统一的审计数据归档和监控。本文为您介绍如何将资源目录中多个成员的事件投递到同一账号。

背景信息

在操作审计的跨账号投递功能中，您需要理解目标账号和源账号，具体如下。

账号	说明	操作
目标账号	用于接收其他账号事件的账号。	创建用于接收事件的存储空间，例如：SLS Logstore、OSS存储空间或MaxCompute数据表。创建可信实体为操作审计服务的RAM角色，其他账号需通过扮演该角色向目标账号写入事件。
源账号	需要向目标账号写入事件的账号。	使用成员对应的管理账号创建跟踪，将事件投递到目标账号的存储空间。

当目标账号和源账号处于同一资源目录时，基于资源目录的结构互信，跨账号投递可以省略很多配置步骤。根据目标账号的不同分为以下两种情况：

当目标账号是管理账号时，您可以创建多账号跟踪，将资源目录下所有账号的事件投递到管理账号中的日志服务SLS、对象存储OSS或大数据计算服务MaxCompute。具体操作，请参见创建多账号跟踪。
当目标账号是成员时，请按照本文所述的操作步骤进行配置。

操作步骤

在目标账号中创建RAM角色，并授权操作审计服务向目标账号投递事件的权限。
1. 使用目标账号登录RAM控制台。
2. 创建可信实体为操作审计的RAM角色。
  1. 在左侧导航栏，选择身份管理 > 角色。
  2. 在角色页面，单击创建角色。
  3. 在创建角色面板，选择可信实体类型为阿里云服务，然后单击下一步。
  4. 选择角色类型为普通服务角色。
  5. 设置角色名称为ActionTrailDeliveryRole。
  6. 选择受信服务为操作审计。
  7. 单击完成。
3. 为RAM角色进行精确授权，授予系统策略AliyunActionTrailDeliveryPolicy。
  1. 单击精确授权。
  2. 选择系统策略，并设置策略名称为AliyunActionTrailDeliveryPolicy。
  3. 单击确定，然后单击关闭。
  您可以在角色页面，查看RAM角色ActionTrailDeliveryRole绑定的权限策略AliyunActionTrailDeliveryPolicy的详细内容。关于权限策略的更多信息，请参见事件投递的系统权限策略。
4. 修改RAM角色的信任策略，将Service字段修改为管理账号@actiontrail.aliyuncs.com的格式。
  例如：管理账号是159498693826****，则需要将Service中的actiontrail.aliyuncs.com修改为159498693826****@actiontrail.aliyuncs.com，表示该RAM角色可以被管理账号159498693826****下的操作审计服务扮演。
```
{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "159498693826****@actiontrail.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}
```
  具体操作，请参见修改RAM角色的信任策略。
使用目标账号创建日志服务SLS的Project、对象存储OSS的存储空间或大数据计算服务MaxCompute的Project。
具体操作，请参见SLS创建项目Project、OSS创建存储空间、创建MaxCompute项目。
说明
MaxCompute项目名称必须以actiontrail_开头。
基于数据安全考虑，建议您在创建OSS存储空间时，设置服务器加密和合规保留策略。具体操作，请参见服务器端加密和设置合规保留策略。

使用管理账号创建多账号跟踪，设置投递目标为步骤2创建的SLS Project、OSS存储空间或MaxCompute Project。

使用管理账号登录操作审计控制台。
在左侧导航栏，单击跟踪。
在顶部导航栏选择您想创建多账号跟踪的地域。
说明
该地域将成为多账号跟踪的Home地域。
在跟踪页面，单击创建跟踪。

在创建跟踪页面，设置跟踪的相关参数。

在基本信息区域，设置跟踪投递的基本信息。
说明
- 应用到所有成员请设置为是。
- 系统默认将跟踪投递的地域设置为全部地域。推荐您将管控事件设置为所有事件，以便跟踪全部地域的全部事件。
- 关于参数的更多信息，请参见创建多账号跟踪。

在审计事件投递区域，设置将跟踪分别投递到日志服务SLS、对象存储OSS或大数据计算服务MaxCompute，或者同时进行投递。关于如何选择存储服务，请参见将事件持续投递到指定服务。

选择将事件投递到日志服务SLS，然后选择投递到其他账号，并设置以下参数。

参数

描述

日志项目ARN

输入日志项目所在地域、目标账号ID和日志项目名称。

其中，日志项目名称为步骤2中创建的Project名称。

日志写入角色ARN

输入目标账号ID和角色名称。

其中，角色名称为步骤1中创建的RAM角色名称（本文示例为ActionTrailDeliveryRole）。

选择将事件投递到对象存储OSS时，然后选择投递到其他账号，并设置以下参数。

参数	描述
存储空间角色ARN	输入目标账号ID和角色名称。其中，角色名称为步骤1中创建的RAM角色名称（本文示例为ActionTrailDeliveryRole）。
存储空间名称	输入步骤2中创建的存储空间名称。
日志文件前缀	输入事件存放的日志文件前缀。

选择将事件投递到大数据计算服务MaxCompute时，然后选择投递到其他账号，并设置以下参数。

参数

描述

大数据计算服务写入角色ARN

输入阿里云账号ID（目标账号）和角色名称。

其中，角色名称为步骤1中创建的RAM角色名称（本文示例为ActionTrailDeliveryRole）。

大数据计算服务ARN

输入大数据计算服务项目所在地域、阿里云账号ID（目标账号）和大数据计算服务项目名称。其中，大数据计算服务项目名称为步骤2中创建的Project名称。

单击确认。

执行结果

跟踪创建成功后，您可以使用目标账号在SLS Project、OSS存储空间或MaxCompute项目中查看来自多个成员的事件。具体操作，请参见查询和分析日志和实时日志查询。