要完成跨账号投递,您需要执行以下操作:
- 投递目标账号创建投递RAM角色,供操作审计扮演,完成操作记录投递
- 投递目标账号创建对象存储(OSS)或日志服务(SLS),用于存储多个账号的操作记录
- 其他账号创建操作审计跟踪,设置投递目标为目标账号的对象存储(OSS)或日志服务(SLS)
下面将为您介绍使用资源目录产品管理多账号和未使用时不同的操作步骤。
使用成员账号存储操作审计组织跟踪收集的事件
当您使用了资源目录产品来管理您多个云账号,操作审计与资源目录深度集成,无须为每个成员账号创建跟踪,只需要在资源目录的master账号上创建组织跟踪即可。
当您期望将资源目录下所有账号的操作事件投递到主账号下的对象存储(OSS)或日志服务(SLS)中时,可以参考文档:
当您期望将资源目录下所有账号的操作事件投递到某一个成员账号下的对象存储(OSS)或日志服务(SLS)中时,
您可以通过 CloudShell 快速完成组织跟踪日志投递到成员账号的配置,使用前请确保您正在使用资源目录管理账号下的子账号或角色身份登陆控制台。
您也可以通过控制台完成配置,需要按照以下步骤操作:
步骤一:目标账号创建投递角色
使用目标成员账号创建投递角色, ActionTrailDeliveryRole
为角色增加授权,点击精确授权按钮,选择系统策略,填入AliyunActionTrailDeliveryPolicy
RAM访问控割/RAM色管理/AiyunActontralDeliveryRole
AliyunActionTrailDeliveryRole
基本信息
2021年3月12日13:45:54
创注封间
AlyunActionlraiDeliveryRole
RAM角色名称
rolePAByunactiontralldeliveryrole口复制
ARN
备油
acs:ram:12918
3600秒编轴
最大会话对响
信任巅略管理
权限管理
浙加权赛
精潇逻权
备注
权限应用范国
权限菱路类型
搜权时间
权限策略名称
没有致话
设置信任策略管理,修改信任策略,格式为 master账号UID@actiontrail.aliyuncs.com,此策略表明角色可由master账号的操作审计服务扮演。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "159498693826****@actiontrail.aliyuncs.com" ] } } ], "Version": "1"}
步骤二:目标账号创建资源
使用目标账号创建想要收集操作记录的对象存储(OSS)或日志服务(SLS)。我们建议您同时投递到日志服务(SLS)和对象存储(OSS)中,日志服务帮助您实时查询和监控操作事件,可配置较短的数据生命周期以节省成本(如30天);对象存储(OSS)帮助您低成本、长时间存储操作事件,可根据需要进行下载和使用,基于数据安全考虑,建议您开启OSS服务端加密和数据合规保留。
可以参考文档:
步骤三:master账号创建跟踪
使用master账号创建组织跟踪,设置投递目标为刚刚创建的对象存储(OSS)或日志服务(SLS)。
通过操作审计控制台创建跟踪:
操f电计/取医列表
音方技术支持群
跟踪列表
羽海以此康天对作管空
订宠韩间婴作
日志绍务
OSSBuC权代名称
鲜地理
玩状态
超省地润
没布蚁号
其也抢处
朵作市汁
专博智统
官方绩木支特糕
创建跟踪
灿们创定盟瑞?
种带指主本减日刘所
步廉1
盟山名称
怨途基本上性
步骤2
长度为6一32个字持,必震以小污某父子号开头,可但舍小与英父子号,好子,焊划峰日)霸下绎战口.
审计事件投递
洞院的地
炒理3
须览井创连
全那拍证O,年分物撼
深作田计会赛售的萨户在购有锁菌话对事住授冲到[指定存林空间.
事件类量
有事件写事件口你事件
作需计区会*您已法的有辛供投遗到指走镇空间,您仍可在转看近90天的士维事件.
单独配置多个账号
步骤一:目标账号创建投递角色
使用目标成员账号创建投递角色, ActionTrailDeliveryRole
为角色增加授权,点击精确授权按钮,选择系统策略,填入AliyunActionTrailDeliveryPolicy
RAM访问控割/RAM色管理/AiyunActontralDeliveryRole
AliyunActionTrailDeliveryRole
基本信息
2021年3月12日13:45:54
创注封间
AlyunActionlraiDeliveryRole
RAM角色名称
rolePAByunactiontralldeliveryrole口复制
ARN
备油
acs:ram:12918
3600秒编轴
最大会话对响
信任巅略管理
权限管理
浙加权赛
精潇逻权
备注
权限应用范国
权限菱路类型
搜权时间
权限策略名称
没有致话
设置信任策略管理,修改信任策略,格式为 成员账号UID@actiontrail.aliyuncs.com,此策略表明角色可由成员账号的操作审计服务扮演。如果有多个账号,将多个账号都填入到信任策略中。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "159498693826****@actiontrail.aliyuncs.com", "159494****@actiontrail.aliyuncs.com", "123435555****@actiontrail.aliyuncs.com" ] } } ], "Version": "1"}
步骤二:目标账号创建资源
使用目标账号创建想要收集操作记录的对象存储(OSS)或日志服务(SLS)。我们建议您同时投递到日志服务(SLS)和对象存储(OSS)中,日志服务帮助您实时查询和监控操作事件,可配置较短的数据生命周期以节省成本(如30天);对象存储(OSS)帮助您低成本、长时间存储操作事件,可根据需要进行下载和使用,基于数据安全考虑,建议您开启OSS服务端加密和数据合规保留。
可以参考文档:
步骤三:其他账号创建跟踪
所有需要收集操作日志的账号,都需要创建跟踪,并设置投递目标为刚刚创建的对象存储(OSS)或日志服务(SLS)。
通过操作审计控制台创建跟踪:
操f电计/取医列表
音方技术支持群
跟踪列表
羽海以此康天对作管空
订宠韩间婴作
日志绍务
OSSBuC权代名称
鲜地理
玩状态
超省地润
没布蚁号
其也抢处
创健飘球
关作事计
曾方接术支持鞋
创建跟踪
如何创庄烧袜?
村村心村指本车恒的事中!
步霍1
跟标名称
银综基本属性
mult-account-tre
步畔:2
长隆刀6-32个字,深小与梁女字开头,可创小与英文字,我字,圳性)下齿
审计事件抢递
智达的地城
步骤3
预览并创选
宝出地域O元分地域
操作筑计会将变的户在斯有地基的活毕住投还到定存镇空间,
事件类展
巧亦仕万半存O经半件
荣作事计仅会释案已选的晰可来作校适分后正齐镇空间,您份才在铁豆看近90天韵全程辛饼.
将跟踪应用到所有成员号
足O否
村付务楼院量无中泰个家为全村日队
已经投递的数据迁移
如果您想将原有已经投递到当前账号的数据迁移到另一个账号时,可以采用如下的迁移方案进行数据迁移:
