Gunakan jejak ActionTrail untuk mengirimkan event dari beberapa anggota direktori resource ke satu penyimpanan log SLS, bucket OSS, atau proyek MaxCompute guna pengarsipan dan pemantauan data audit terpusat.
Informasi latar belakang
Pengiriman event cross-account di ActionTrail melibatkan dua jenis akun: tujuan dan sumber.
|
Account |
Description |
Actions |
|
Destination account |
Akun yang menerima event dari akun lain. |
|
|
Source account |
Akun yang menulis event ke akun tujuan. |
Buat jejak dari akun manajemen untuk mengirimkan event ke penyimpanan akun tujuan. |
Jika kedua akun berada dalam direktori resource yang sama, hubungan kepercayaan direktori tersebut menyederhanakan pengiriman cross-account. Terdapat dua skenario berdasarkan jenis akun tujuan:
-
Jika akun tujuan adalah akun manajemen, buat jejak multi-akun untuk mengirimkan event dari semua anggota direktori ke Simple Log Service (SLS), Object Storage Service (OSS), atau MaxCompute di akun manajemen.
-
Jika akun tujuan adalah anggota, ikuti langkah-langkah dalam topik ini.
Prosedur
-
Di akun tujuan, buat peran RAM untuk mengizinkan ActionTrail mengirimkan event.
-
Masuk ke Konsol RAM dengan akun tujuan.
-
Di panel navigasi kiri, pilih .
-
Di halaman Roles, klik Create Role.
-
Atur Principal Type menjadi Cloud Service, atur Principal Name menjadi ActionTrail, lalu klik Confirm.
-
Atur Role Name menjadi ActionTrailDeliveryRole dan klik Confirm.
-
-
Lampirkan kebijakan sistem AliyunActionTrailDeliveryPolicy ke peran ActionTrailDeliveryRole.
-
Klik nama peran ActionTrailDeliveryRole.
-
Klik Input and Attach.
-
Pilih System Policy dan atur Policy Name menjadi AliyunActionTrailDeliveryPolicy.
-
Klik Confirm lalu klik Close.
CatatanKebijakan yang didukung tercantum dalam Kebijakan izin sistem untuk pengiriman event.
-
-
Ubah kebijakan kepercayaan peran RAM dengan mengganti bidang
Servicemenjadi formatmanagement account@actiontrail.aliyuncs.com.Sebagai contoh, jika ID akun manajemen adalah
159498693826****, ubahactiontrail.aliyuncs.comdalam elemenServicemenjadi159498693826****@actiontrail.aliyuncs.com. Hal ini memungkinkan peran RAM diasumsikan oleh layanan ActionTrail dari akun manajemen159498693826****.{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "159498693826****@actiontrail.aliyuncs.com" ] } } ], "Version": "1" }
-
-
Gunakan akun tujuan untuk membuat proyek SLS, bucket OSS, atau proyek MaxCompute.
Ikuti petunjuk dalam Buat proyek SLS, Buat bucket OSS, atau Buat proyek MaxCompute.
CatatanNama proyek MaxCompute harus diawali dengan
actiontrail_.Untuk keamanan data, aktifkan Enkripsi sisi server dan konfigurasikan kebijakan retensi saat membuat bucket OSS.
-
Gunakan akun manajemen untuk membuat jejak multi-akun dan atur destinasi pengiriman ke proyek SLS, bucket OSS, atau proyek MaxCompute yang telah Anda buat di Langkah 2.
-
Masuk ke Konsol ActionTrail dengan akun manajemen.
-
Di panel navigasi kiri, klik Trails.
-
Di bilah navigasi atas, pilih wilayah utama untuk jejak multi-akun.
CatatanWilayah yang dipilih akan menjadi wilayah utama jejak.
-
Di halaman Trails, klik Create Trail.
-
Di halaman Create Trail, konfigurasikan parameter jejak.
-
Di bagian Basic Information, konfigurasikan pengaturan dasar pengiriman event.
Catatan-
Atur Apply Trail to All Members menjadi Yes.
-
Secara default, jejak mengirimkan event dari semua wilayah. Atur Management Event menjadi All Events untuk melacak semua event di semua wilayah.
-
Untuk detail parameter, lihat Buat jejak multi-akun.
-
-
Di bagian Event Delivery, konfigurasikan pengiriman event ke SLS, OSS, atau MaxCompute. Anda dapat mengirimkan ke beberapa layanan sekaligus. Untuk memilih layanan penyimpanan, lihat Terus-menerus mengirimkan event ke layanan tertentu.
-
Pilih Delivery to Log Service dan Delivery to Another Account, lalu konfigurasikan parameter berikut.
Parameter
Description
Log Service Project ARN
Masukkan wilayah proyek SLS, ID akun Alibaba Cloud akun tujuan, dan nama proyek SLS.
Gunakan proyek yang dibuat di Langkah 2.
RAM Role ARN of Destination Account
Masukkan ID akun Alibaba Cloud akun tujuan dan nama peran.
Gunakan peran RAM yang dibuat di Langkah 1. Dalam contoh ini, perannya adalah ActionTrailDeliveryRole.
-
Pilih Delivery to OSS dan Delivery to Another Account, lalu konfigurasikan parameter berikut.
Parameter
Description
RAM Role ARN of OSS Bucket
Masukkan ID akun Alibaba Cloud akun tujuan dan nama peran.
Gunakan peran RAM yang dibuat di Langkah 1. Dalam contoh ini, perannya adalah ActionTrailDeliveryRole.
Bucket name
Masukkan nama bucket OSS dari Langkah 2.
Log File Prefix
Masukkan awalan untuk file log event.
-
Pilih Delivery to MaxCompute dan Delivery to Another Account, lalu konfigurasikan parameter berikut.
Parameter
Description
RAM Role ARN of MaxCompute
Masukkan ID akun Alibaba Cloud akun tujuan dan nama peran.
Gunakan peran RAM yang dibuat di Langkah 1. Dalam contoh ini, perannya adalah ActionTrailDeliveryRole.
Project ARN
Masukkan wilayah proyek MaxCompute, ID akun Alibaba Cloud akun tujuan, dan nama proyek MaxCompute. Gunakan proyek yang dibuat di Langkah 2.
-
-
-
Klik Confirm.
-
Hasil
Setelah jejak dibuat, gunakan akun tujuan untuk melihat event anggota di proyek SLS, bucket OSS, atau proyek MaxCompute. Untuk melakukan kueri event, lihat Panduan cepat untuk kueri dan analisis dan Kueri log waktu nyata.