All Products
Search
Document Center

ActionTrail:Mengirimkan event dari direktori resource ke satu akun

Last Updated:Jun 11, 2026

Gunakan jejak ActionTrail untuk mengirimkan event dari beberapa anggota direktori resource ke satu penyimpanan log SLS, bucket OSS, atau proyek MaxCompute guna pengarsipan dan pemantauan data audit terpusat.

Informasi latar belakang

Pengiriman event cross-account di ActionTrail melibatkan dua jenis akun: tujuan dan sumber.

Account

Description

Actions

Destination account

Akun yang menerima event dari akun lain.

  • Buat destinasi penyimpanan: penyimpanan log SLS, bucket OSS, atau tabel MaxCompute.

  • Buat peran RAM yang memberikan kepercayaan kepada ActionTrail. Akun sumber mengasumsikan peran ini untuk menulis event.

Source account

Akun yang menulis event ke akun tujuan.

Buat jejak dari akun manajemen untuk mengirimkan event ke penyimpanan akun tujuan.

Jika kedua akun berada dalam direktori resource yang sama, hubungan kepercayaan direktori tersebut menyederhanakan pengiriman cross-account. Terdapat dua skenario berdasarkan jenis akun tujuan:

  • Jika akun tujuan adalah akun manajemen, buat jejak multi-akun untuk mengirimkan event dari semua anggota direktori ke Simple Log Service (SLS), Object Storage Service (OSS), atau MaxCompute di akun manajemen.

  • Jika akun tujuan adalah anggota, ikuti langkah-langkah dalam topik ini.

Prosedur

  1. Di akun tujuan, buat peran RAM untuk mengizinkan ActionTrail mengirimkan event.

    1. Masuk ke Konsol RAM dengan akun tujuan.

      1. Di panel navigasi kiri, pilih Identities > Roles.

      2. Di halaman Roles, klik Create Role.

      3. Atur Principal Type menjadi Cloud Service, atur Principal Name menjadi ActionTrail, lalu klik Confirm.

      4. Atur Role Name menjadi ActionTrailDeliveryRole dan klik Confirm.

    2. Lampirkan kebijakan sistem AliyunActionTrailDeliveryPolicy ke peran ActionTrailDeliveryRole.

      1. Klik nama peran ActionTrailDeliveryRole.

      2. Klik Input and Attach.

      3. Pilih System Policy dan atur Policy Name menjadi AliyunActionTrailDeliveryPolicy.

      4. Klik Confirm lalu klik Close.

      Catatan

      Kebijakan yang didukung tercantum dalam Kebijakan izin sistem untuk pengiriman event.

    3. Ubah kebijakan kepercayaan peran RAM dengan mengganti bidang Service menjadi format management account@actiontrail.aliyuncs.com.

      Sebagai contoh, jika ID akun manajemen adalah 159498693826****, ubah actiontrail.aliyuncs.com dalam elemen Service menjadi 159498693826****@actiontrail.aliyuncs.com. Hal ini memungkinkan peran RAM diasumsikan oleh layanan ActionTrail dari akun manajemen 159498693826****.

      {
          "Statement": [
              {
                  "Action": "sts:AssumeRole",
                  "Effect": "Allow",
                  "Principal": {
                      "Service": [
                          "159498693826****@actiontrail.aliyuncs.com"
                      ]
                  }
              }
          ],
          "Version": "1"
      }
  2. Gunakan akun tujuan untuk membuat proyek SLS, bucket OSS, atau proyek MaxCompute.

    Ikuti petunjuk dalam Buat proyek SLS, Buat bucket OSS, atau Buat proyek MaxCompute.

    Catatan

    Nama proyek MaxCompute harus diawali dengan actiontrail_.

    Untuk keamanan data, aktifkan Enkripsi sisi server dan konfigurasikan kebijakan retensi saat membuat bucket OSS.

  3. Gunakan akun manajemen untuk membuat jejak multi-akun dan atur destinasi pengiriman ke proyek SLS, bucket OSS, atau proyek MaxCompute yang telah Anda buat di Langkah 2.

    1. Masuk ke Konsol ActionTrail dengan akun manajemen.

    2. Di panel navigasi kiri, klik Trails.

    3. Di bilah navigasi atas, pilih wilayah utama untuk jejak multi-akun.

      Catatan

      Wilayah yang dipilih akan menjadi wilayah utama jejak.

    4. Di halaman Trails, klik Create Trail.

    5. Di halaman Create Trail, konfigurasikan parameter jejak.

      • Di bagian Basic Information, konfigurasikan pengaturan dasar pengiriman event.

        Catatan
        • Atur Apply Trail to All Members menjadi Yes.

        • Secara default, jejak mengirimkan event dari semua wilayah. Atur Management Event menjadi All Events untuk melacak semua event di semua wilayah.

        • Untuk detail parameter, lihat Buat jejak multi-akun.

      • Di bagian Event Delivery, konfigurasikan pengiriman event ke SLS, OSS, atau MaxCompute. Anda dapat mengirimkan ke beberapa layanan sekaligus. Untuk memilih layanan penyimpanan, lihat Terus-menerus mengirimkan event ke layanan tertentu.

        • Pilih Delivery to Log Service dan Delivery to Another Account, lalu konfigurasikan parameter berikut.

          Parameter

          Description

          Log Service Project ARN

          Masukkan wilayah proyek SLS, ID akun Alibaba Cloud akun tujuan, dan nama proyek SLS.

          Gunakan proyek yang dibuat di Langkah 2.

          RAM Role ARN of Destination Account

          Masukkan ID akun Alibaba Cloud akun tujuan dan nama peran.

          Gunakan peran RAM yang dibuat di Langkah 1. Dalam contoh ini, perannya adalah ActionTrailDeliveryRole.

        • Pilih Delivery to OSS dan Delivery to Another Account, lalu konfigurasikan parameter berikut.

          Parameter

          Description

          RAM Role ARN of OSS Bucket

          Masukkan ID akun Alibaba Cloud akun tujuan dan nama peran.

          Gunakan peran RAM yang dibuat di Langkah 1. Dalam contoh ini, perannya adalah ActionTrailDeliveryRole.

          Bucket name

          Masukkan nama bucket OSS dari Langkah 2.

          Log File Prefix

          Masukkan awalan untuk file log event.

        • Pilih Delivery to MaxCompute dan Delivery to Another Account, lalu konfigurasikan parameter berikut.

          Parameter

          Description

          RAM Role ARN of MaxCompute

          Masukkan ID akun Alibaba Cloud akun tujuan dan nama peran.

          Gunakan peran RAM yang dibuat di Langkah 1. Dalam contoh ini, perannya adalah ActionTrailDeliveryRole.

          Project ARN

          Masukkan wilayah proyek MaxCompute, ID akun Alibaba Cloud akun tujuan, dan nama proyek MaxCompute. Gunakan proyek yang dibuat di Langkah 2.

    6. Klik Confirm.

Hasil

Setelah jejak dibuat, gunakan akun tujuan untuk melihat event anggota di proyek SLS, bucket OSS, atau proyek MaxCompute. Untuk melakukan kueri event, lihat Panduan cepat untuk kueri dan analisis dan Kueri log waktu nyata.