全部产品
Search

搜索本产品

    ActionTrail:Kirimkan acara dari beberapa anggota dalam direktori sumber daya ke satu akun

    文档中心

    ActionTrail:Kirimkan acara dari beberapa anggota dalam direktori sumber daya ke satu akun

    更新时间:Jul 06, 2025

    Jika Anda ingin mengelola beberapa anggota dalam satu akun, gunakan fitur jejak di ActionTrail untuk mengirimkan acara dari beberapa anggota dalam direktori sumber daya ke Simple Log Service, Object Storage Service (OSS), atau MaxCompute dari satu akun. Dengan cara ini, Anda dapat mengarsipkan dan memantau data audit secara terpusat. Topik ini menjelaskan cara mengirimkan acara dari beberapa anggota dalam direktori sumber daya ke satu akun.

    Informasi Latar Belakang

    Sebelum menggunakan fitur jejak ActionTrail untuk mengirimkan acara lintas akun, pahami konsep akun tujuan dan akun sumber. Tabel berikut menjelaskan konsep tersebut.

    Akun

    Deskripsi

    Operasi

    Akun tujuan

    Akun yang digunakan untuk menerima acara dari akun sumber.

    • Buat ruang penyimpanan untuk menyimpan acara, seperti Layanan Log Sederhana Logstore, Bucket OSS, atau tabel MaxCompute.

    • Buat Peran RAM dengan ActionTrail dipilih sebagai layanan tepercaya. ActionTrail dari akun sumber harus mengasumsikan Peran RAM untuk menulis acara ke akun tujuan.

    Akun sumber

    Akun yang acaranya ditulis ke akun tujuan.

    Gunakan akun manajemen anggota untuk membuat jejak guna mengirimkan acara ke ruang penyimpanan yang Anda buat di akun tujuan.

    Anggota dalam direktori sumber daya saling percaya. Jika akun tujuan dan akun sumber berada dalam direktori sumber daya yang sama, beberapa langkah konfigurasi diperlukan untuk pengiriman acara lintas akun. Prosedur konfigurasi bervariasi berdasarkan jenis akun tujuan.

    • Jika akun tujuan adalah akun manajemen, buat jejak multi-akun untuk mengirimkan peristiwa dari semua anggota dalam direktori sumber daya ke Simple Log Service Logstore, Bucket OSS, atau tabel MaxCompute yang dibuat di akun manajemen. Untuk informasi lebih lanjut, lihat Buat Jejak Multi-Akun.

    • Jika akun tujuan adalah anggota dalam direktori sumber daya, ikuti langkah-langkah dalam topik ini untuk mengonfigurasi pengiriman acara lintas akun.

    Prosedur

    1. Buat Peran RAM menggunakan akun tujuan dan berikan ActionTrail izin untuk mengirimkan acara ke akun tujuan.

      1. Masuk ke Konsol RAM menggunakan akun tujuan.

        1. Di panel navigasi sebelah kiri, pilih Identities > Roles.

        2. Di halaman Roles, klik Create Role.

        3. Atur parameter Principal Type ke Cloud Service dan parameter Principal Name ke ActionTrail. Lalu, klik OK.

        4. Di kotak dialog yang muncul, atur parameter Role Name ke ActionTrailDeliveryRole dan klik OK.

      2. Lampirkan kebijakan sistem AliyunActionTrailDeliveryPolicy ke peran RAM ActionTrailDeliveryRole.

        1. Klik nama ActionTrailDeliveryRole peran RAM.

        2. Di tab Permissions, klik Precise Permission.

        3. Atur parameter Policy Type ke System Policy dan parameter Policy Name ke AliyunActionTrailDeliveryPolicy.

        4. Klik OK.

        Catatan

        Untuk informasi lebih lanjut tentang kebijakan, lihat Kelola Kebijakan Izin untuk Pengiriman Acara.

      3. Ubah kebijakan kepercayaan peran RAM. Ubah nilai bidang Service menjadi Management Account@actiontrail.aliyuncs.com.

        Sebagai contoh, jika akun manajemen adalah 159498693826****, ubah actiontrail.aliyuncs.com di bidang Service menjadi 159498693826****@actiontrail.aliyuncs.com. Kemudian, ActionTrail dari akun manajemen 159498693826**** dapat mengasumsikan peran RAM.

        {    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "159498693826****@actiontrail.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

    2. Gunakan akun tujuan untuk membuat Proyek Layanan Log Sederhana, Bucket OSS, atau Proyek MaxCompute.

      Untuk informasi lebih lanjut, lihat Kelola Proyek, Buat Bucket, dan Buat Proyek MaxCompute.

      Catatan

      Nama proyek MaxCompute harus dimulai dengan actiontrail_.

      Untuk memastikan keamanan data, kami sarankan Anda mengonfigurasi enkripsi sisi server dan kebijakan retensi saat membuat Bucket OSS. Untuk informasi lebih lanjut, lihat Enkripsi Sisi Server dan Konfigurasi Kebijakan Retensi.

    3. Gunakan akun manajemen untuk membuat jejak multi-akun dan atur tujuan pengiriman ke ruang penyimpanan yang dibuat di Langkah 2.

      1. Gunakan akun manajemen untuk masuk ke Konsol ActionTrail.

      2. Di panel navigasi sebelah kiri, klik Trails.

      3. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat jejak multi-akun.

        Catatan

        Wilayah yang Anda pilih menjadi wilayah utama jejak yang ingin Anda buat.

      4. Di halaman Trails, klik Create Trail.

      5. Di halaman Create Trail, konfigurasikan parameter.

        • Di bagian Basic Information, konfigurasikan informasi dasar tentang jejak.

          Catatan

          • Atur parameter Apply to All Members ke Yes.

          • Secara default, jejak mengirimkan acara di semua wilayah. Kami sarankan Anda mengatur parameter Management Event ke All. Dengan cara ini, jejak mengirimkan semua jenis acara yang dihasilkan di semua wilayah.

          • Untuk informasi lebih lanjut, lihat Buat Jejak Multi-Akun.

        • Di bagian Event Delivery, konfigurasikan parameter untuk mengirimkan acara ke Layanan Log Sederhana, OSS, MaxCompute, atau semuanya. Untuk informasi lebih lanjut tentang cara memilih layanan penyimpanan, lihat Kirimkan Acara ke Layanan Alibaba Cloud Tertentu.

          • Pilih Delivery to Log Service, atur parameter Akun Tujuan ke Delivery to Another Account, lalu konfigurasikan parameter lainnya.

            Parameter

            Deskripsi

            Project ARN

            Masukkan wilayah tempat proyek berada, ID akun tujuan, dan nama proyek.

            Nama proyek yang dibuat di Langkah 2 digunakan.

            RAM Role ARN of Destination Account

            Masukkan ID akun tujuan dan nama peran RAM.

            Dalam contoh ini, nama peran RAM yang dibuat di Langkah 1 digunakan. Nama peran RAM adalah ActionTrailDeliveryRole.

          • Pilih Delivery to OSS, atur parameter Akun Tujuan ke Delivery to Another Account, lalu konfigurasikan parameter lainnya.

            Parameter

            Deskripsi

            RAM Role ARN of OSS Bucket

            Masukkan ID akun tujuan dan nama peran RAM.

            Dalam contoh ini, nama peran RAM yang dibuat di Langkah 1 digunakan. Nama peran RAM adalah ActionTrailDeliveryRole.

            Bucket Name

            Masukkan nama Bucket OSS yang dibuat di Langkah 2.

            Log File Prefix

            Masukkan awalan nama file log tempat Anda ingin menyimpan acara.

          • Pilih Pengiriman ke MaxCompute, atur parameter Akun Tujuan ke Delivery to Another Account, lalu konfigurasikan parameter lainnya.

            Parameter

            Deskripsi

            RAM Role ARN of MaxCompute

            Masukkan ID akun tujuan dan nama peran RAM.

            Dalam contoh ini, nama peran RAM yang dibuat di Langkah 1 digunakan. Nama peran RAM adalah ActionTrailDeliveryRole.

            Project ARN

            Masukkan wilayah tempat proyek MaxCompute berada, ID akun tujuan, dan nama proyek MaxCompute. Dalam contoh ini, nama proyek MaxCompute yang dibuat di Langkah 2 digunakan.

      6. Klik Confirm.

    Apa yang Harus Dilakukan Selanjutnya

    Setelah membuat jejak, gunakan akun tujuan untuk melihat acara dari beberapa anggota di proyek Layanan Log Sederhana, Bucket OSS, atau tabel MaxCompute. Untuk informasi lebih lanjut, lihat Panduan Kueri dan Analisis Log dan Kueri Log Waktu Nyata.