全部产品
Search

搜索本产品

    ActionTrail:Mengirimkan acara dari beberapa akun Alibaba Cloud ke satu akun

    文档中心

    ActionTrail:Mengirimkan acara dari beberapa akun Alibaba Cloud ke satu akun

    更新时间:Jul 06, 2025

    Jika Anda ingin mengelola dan memelihara beberapa akun Alibaba Cloud, Anda dapat membuat jejak di ActionTrail untuk mengirimkan acara dari beberapa akun Alibaba Cloud ke Simple Log Service, Object Storage Service (OSS), atau MaxCompute dari satu akun. Dengan cara ini, Anda dapat mengarsipkan dan memantau data audit secara terpusat. Topik ini menjelaskan cara mengirimkan acara dari beberapa akun Alibaba Cloud ke satu akun.

    Informasi Latar Belakang

    Sebelum membuat jejak di ActionTrail untuk mengirimkan acara lintas akun, Anda harus memahami konsep akun tujuan dan akun sumber. Tabel berikut menjelaskan konsep tersebut.

    Akun

    Deskripsi

    Operasi

    Akun tujuan

    Akun yang digunakan untuk menerima acara dari akun sumber.

    • Buat ruang penyimpanan untuk menyimpan acara, seperti Layanan Log Sederhana Logstore, Bucket OSS, atau tabel MaxCompute.

    • Buat Peran RAM dengan ActionTrail dipilih sebagai layanan tepercaya. ActionTrail dari akun sumber harus mengasumsikan Peran RAM untuk menulis acara ke akun tujuan.

    Akun sumber

    Akun yang acaranya ditulis ke akun tujuan.

    Gunakan akun Alibaba Cloud untuk membuat jejak guna mengirimkan acara ke ruang penyimpanan yang Anda buat di akun tujuan.

    Jika akun tujuan dan akun sumber adalah akun Alibaba Cloud independen yang tidak berada dalam struktur organisasi yang sama, Anda harus membuat jejak akun tunggal untuk setiap akun sumber. Contoh berikut menjelaskan cara mengirimkan acara dari Akun Alibaba Cloud A dan Akun Alibaba Cloud B ke Akun Alibaba Cloud C.

    Prosedur

    1. Gunakan Akun Alibaba Cloud C untuk membuat Peran RAM dan memberikan izin kepada ActionTrail untuk mengirimkan acara ke Akun Alibaba Cloud C.

      1. Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud C.

      2. Lampirkan kebijakan sistem AliyunActionTrailDeliveryPolicy ke Peran RAM ActionTrailDeliveryRole.

        1. Klik nama ActionTrailDeliveryRole Peran RAM.

        2. Pada tab Permissions, klik Precise Permission.

        3. Atur parameter Policy Type ke System Policy dan parameter Policy Name ke AliyunActionTrailDeliveryPolicy.

        4. Klik OK.

        Catatan

        Untuk informasi lebih lanjut tentang kebijakan, lihat Kelola Kebijakan Izin untuk Pengiriman Acara.

      4. Ubah kebijakan kepercayaan Peran RAM. Ubah nilai bidang Service menjadi nilai dalam format Akun Alibaba Cloud@actiontrail.aliyuncs.com.

        Sebagai contoh, jika Akun Alibaba Cloud A adalah 159498693825**** dan Akun Alibaba Cloud B adalah 123435555956****, Anda harus mengubah actiontrail.aliyuncs.com di bidang Service menjadi "159498693825****@actiontrail.aliyuncs.com","123435555956****@actiontrail.aliyuncs.com". Kemudian, ActionTrail dari Akun Alibaba Cloud A 159498693825**** dan Akun Alibaba Cloud B 123435555956**** dapat mengasumsikan Peran RAM.

        {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "159498693825****@actiontrail.aliyuncs.com",
                    "123435555956****@actiontrail.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

        Untuk informasi lebih lanjut, lihat Edit Kebijakan Kepercayaan Peran RAM.

    2. Gunakan Akun Alibaba Cloud C untuk membuat Proyek Layanan Log Sederhana, Bucket OSS, atau Proyek MaxCompute.

      Untuk informasi lebih lanjut, lihat Kelola Proyek, Buat Bucket, dan Buat Proyek MaxCompute.

      Catatan

      Nama proyek MaxCompute harus dimulai dengan actiontrail_.

      Untuk memastikan keamanan data, kami sarankan Anda mengonfigurasi enkripsi sisi server dan kebijakan retensi saat membuat bucket OSS. Untuk informasi lebih lanjut, lihat Enkripsi Sisi Server dan Konfigurasikan Kebijakan Retensi.

    3. Gunakan Akun Alibaba Cloud A untuk membuat jejak akun tunggal dan atur tujuan pengiriman ke Proyek Layanan Log Sederhana, Bucket OSS, atau Proyek MaxCompute yang dibuat di Langkah 2.

      1. Gunakan Akun Alibaba Cloud A untuk masuk ke Konsol ActionTrail.

      2. Di panel navigasi kiri, klik Trails.

      3. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat jejak akun tunggal.

        Catatan

        Wilayah yang Anda pilih menjadi wilayah utama jejak yang ingin Anda buat.

      4. Pada halaman Trails, klik Create Trail.

      5. Pada halaman Create Trail, konfigurasikan parameter.

        • Di bagian Basic Information, konfigurasikan informasi dasar tentang jejak.

          Catatan

          Secara default, jejak mengirimkan acara di semua wilayah. Kami sarankan Anda mengatur Management Event ke All. Dengan cara ini, jejak mengirimkan semua jenis acara yang terjadi di semua wilayah. Untuk informasi lebih lanjut, lihat Buat Jejak Akun Tunggal.

        • Di bagian Event Delivery, konfigurasikan parameter untuk mengirimkan acara ke Layanan Log Sederhana, OSS, MaxCompute, atau semuanya. Untuk informasi lebih lanjut tentang cara memilih layanan penyimpanan, lihat Kirimkan Acara ke Layanan Alibaba Cloud Tertentu.

          • Pilih Delivery to Log Service, atur parameter Akun Tujuan ke Delivery to Another Account, lalu konfigurasikan parameter lainnya.

            Parameter

            Deskripsi

            Project ARN

            Masukkan wilayah tempat proyek berada, ID Akun Alibaba Cloud C, dan nama proyek.

            Dalam contoh ini, nama proyek yang dibuat di Langkah 2 digunakan.

            RAM Role ARN of Destination Account

            Masukkan ID Akun Alibaba Cloud C dan nama Peran RAM.

            Nama Peran RAM yang dibuat di Langkah 1 digunakan. Dalam contoh ini, namanya adalah ActionTrailDeliveryRole.

          • Pilih Delivery to OSS, atur parameter Akun Tujuan ke Delivery to Another Account, lalu konfigurasikan parameter lainnya.

            Parameter

            Deskripsi

            RAM Role ARN of OSS Bucket

            Masukkan ID Akun Alibaba Cloud C dan nama Peran RAM.

            Nama Peran RAM yang dibuat di Langkah 1 digunakan. Dalam contoh ini, namanya adalah ActionTrailDeliveryRole.

            Bucket Name

            Masukkan nama Bucket OSS yang dibuat di Langkah 2.

            Log File Prefix

            Masukkan awalan nama file log tempat Anda ingin menyimpan acara.

          • Pilih Pengiriman ke MaxCompute, atur parameter Akun Tujuan ke Delivery to Another Account, lalu konfigurasikan parameter lainnya.

            Parameter

            Deskripsi

            RAM Role ARN of MaxCompute

            Masukkan ID Akun Alibaba Cloud D dan nama Peran RAM.

            Nama Peran RAM yang dibuat di Langkah 1 digunakan. Dalam contoh ini, namanya adalah ActionTrailDeliveryRole.

            Project ARN

            Masukkan wilayah tempat proyek MaxCompute berada, ID Akun Alibaba Cloud D, dan nama proyek MaxCompute. Dalam contoh ini, nama proyek MaxCompute yang dibuat di Langkah 2 digunakan.

      6. Klik Confirm.

    4. Ikuti langkah-langkah sebelumnya dan gunakan Akun Alibaba Cloud B untuk membuat jejak akun tunggal dan atur tujuan pengiriman ke Proyek Layanan Log Sederhana, Bucket OSS, atau Proyek MaxCompute yang dibuat di Langkah 2.

    Apa yang harus dilakukan selanjutnya

    Setelah Anda membuat jejak, Anda dapat menggunakan Akun Alibaba Cloud C untuk melihat acara dari Akun Alibaba Cloud A dan Akun Alibaba Cloud B di Proyek Layanan Log Sederhana, Bucket OSS, atau Proyek MaxCompute. Untuk informasi lebih lanjut, lihat Kueri dan Analisis Log dan Kueri Log Waktu Nyata.

    Operasi terkait