要完成跨账号投递,您需要执行以下操作:
- 投递目标账号创建投递RAM角色,供操作审计扮演,完成操作记录投递
- 投递目标账号创建对象存储(OSS)或日志服务(SLS),用于存储多个账号的操作记录
- 其他账号创建操作审计跟踪,设置投递目标为目标账号的对象存储(OSS)或日志服务(SLS)
下面将为您介绍使用资源目录产品管理多账号和未使用时不同的操作步骤。
使用成员账号存储操作审计组织跟踪收集的事件
当您使用了资源目录产品来管理您多个云账号,操作审计与资源目录深度集成,无须为每个成员账号创建跟踪,只需要在资源目录的master账号上创建组织跟踪即可。
当您期望将资源目录下所有账号的操作事件投递到主账号下的对象存储(OSS)或日志服务(SLS)中时,可以参考文档:
当您期望将资源目录下所有账号的操作事件投递到某一个成员账号下的对象存储(OSS)或日志服务(SLS)中时,
您可以通过 CloudShell 快速完成组织跟踪日志投递到成员账号的配置,使用前请确保您正在使用资源目录管理账号下的子账号或角色身份登陆控制台。
您也可以通过控制台完成配置,需要按照以下步骤操作:
步骤一:目标账号创建投递角色
使用目标成员账号创建投递角色, ActionTrailDeliveryRole
为角色增加授权,点击精确授权按钮,选择系统策略,填入AliyunActionTrailDeliveryPolicy
设置信任策略管理,修改信任策略,格式为 master账号UID@actiontrail.aliyuncs.com,此策略表明角色可由master账号的操作审计服务扮演。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "159498693826****@actiontrail.aliyuncs.com" ] } } ], "Version": "1" }
步骤二:目标账号创建资源
使用目标账号创建想要收集操作记录的对象存储(OSS)或日志服务(SLS)。我们建议您同时投递到日志服务(SLS)和对象存储(OSS)中,日志服务帮助您实时查询和监控操作事件,可配置较短的数据生命周期以节省成本(如30天);对象存储(OSS)帮助您低成本、长时间存储操作事件,可根据需要进行下载和使用,基于数据安全考虑,建议您开启OSS服务端加密和数据合规保留。
可以参考文档:
步骤三:master账号创建跟踪
使用master账号创建组织跟踪,设置投递目标为刚刚创建的对象存储(OSS)或日志服务(SLS)。
通过操作审计控制台创建跟踪:
单独配置多个账号
步骤一:目标账号创建投递角色
使用目标成员账号创建投递角色, ActionTrailDeliveryRole
为角色增加授权,点击精确授权按钮,选择系统策略,填入AliyunActionTrailDeliveryPolicy
设置信任策略管理,修改信任策略,格式为 成员账号UID@actiontrail.aliyuncs.com,此策略表明角色可由成员账号的操作审计服务扮演。如果有多个账号,将多个账号都填入到信任策略中。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "159498693826****@actiontrail.aliyuncs.com", "159494****@actiontrail.aliyuncs.com", "123435555****@actiontrail.aliyuncs.com" ] } } ], "Version": "1" }
步骤二:目标账号创建资源
使用目标账号创建想要收集操作记录的对象存储(OSS)或日志服务(SLS)。我们建议您同时投递到日志服务(SLS)和对象存储(OSS)中,日志服务帮助您实时查询和监控操作事件,可配置较短的数据生命周期以节省成本(如30天);对象存储(OSS)帮助您低成本、长时间存储操作事件,可根据需要进行下载和使用,基于数据安全考虑,建议您开启OSS服务端加密和数据合规保留。
可以参考文档:
步骤三:其他账号创建跟踪
所有需要收集操作日志的账号,都需要创建跟踪,并设置投递目标为刚刚创建的对象存储(OSS)或日志服务(SLS)。
通过操作审计控制台创建跟踪:
已经投递的数据迁移
如果您想将原有已经投递到当前账号的数据迁移到另一个账号时,可以采用如下的迁移方案进行数据迁移: