Akun manajemen dari direktori sumber daya dapat menunjuk anggota mana pun dalam direktori tersebut sebagai akun administrator yang didelegasikan untuk ActionTrail. Setelah konfigurasi selesai, akun administrator yang didelegasikan menerima otorisasi dari akun manajemen, membuat jejak multi-akun atas nama akun manajemen, serta mengirimkan event dari semua akun dalam direktori sumber daya ke SLS Logstore atau Bucket OSS di bawah akun anggota mana pun. Hal ini memungkinkan pengumpulan terpusat atas event operasional.
Prasyarat
Anda harus mengaktifkan direktori sumber daya. Untuk informasi selengkapnya, lihat Enable a resource directory.
Anda harus membuat atau mengundang anggota ke direktori sumber daya Anda. Untuk informasi selengkapnya, lihat Create a member dan Invite an Alibaba Cloud account to join a resource directory.
Skenario
Menambahkan akun administrator yang didelegasikan untuk ActionTrail memisahkan manajemen organisasi dari manajemen audit pada tingkat arsitektur TI. Pemisahan ini sangat penting untuk manajemen TI cloud yang aman di perusahaan.
Secara default, akun manajemen bertindak sebagai administrator pusat dan memiliki izin super administrator. Dalam praktik terbaik manajemen TI perusahaan, akun manajemen sebaiknya hanya fokus pada pengorganisasian dan pengelolaan direktori sumber daya, serta meminimalkan keterlibatannya dalam konfigurasi cloud lainnya guna menghindari operasi tidak disengaja akibat izin yang berlebihan. Namun, ketika perusahaan menggunakan beberapa akun cloud, beberapa tugas manajemen harus diterapkan di seluruh organisasi. Dalam kasus seperti ini, akun manajemen mendelegasikan tanggung jawab kepada akun administrator yang didelegasikan. Misalnya, akun manajemen menunjuk anggota tertentu sebagai akun administrator yang didelegasikan untuk ActionTrail. Departemen audit internal memiliki dan menggunakan akun ini untuk mengumpulkan, memantau, dan menganalisis event secara terpusat. Konfigurasi ini sesuai dengan tanggung jawab pekerjaan di dunia nyata.
Secara ringkas, penggunaan akun administrator yang didelegasikan untuk ActionTrail membantu perusahaan memenuhi persyaratan berikut, yang sejalan dengan praktik terbaik untuk manajemen multi-akun:
Menetapkan akun khusus untuk mengumpulkan, mengelola, dan menganalisis event audit, serta memisahkan akun tersebut dari akun bisnis.
Membiarkan akun administrator yang didelegasikan menangani konfigurasi ActionTrail guna mengurangi beban kerja pada akun manajemen dan membatasi frekuensi penggunaan akun manajemen.
Untuk informasi selengkapnya tentang akun administrator yang didelegasikan, lihat What is a delegated administrator account?.
Menambahkan akun administrator yang didelegasikan
Perusahaan dapat menunjuk anggota dalam direktori sumber daya sebagai akun audit khusus—yaitu akun administrator yang didelegasikan untuk ActionTrail. Akun ini hanya mengelola konfigurasi audit dan menyimpan event audit, tanpa memiliki sumber daya lainnya. Pendekatan ini mendukung mode tiga peran untuk manajemen keamanan dengan mengisolasi pengelolaan izin, manajemen audit, dan manajemen sumber daya pada tingkat akun. Akun administrator yang didelegasikan membuat jejak multi-akun untuk seluruh direktori sumber daya dan mengirimkan event ke lokasi penyimpanan yang ditentukan, baik dalam akun yang sama (disarankan) maupun di akun lain yang didedikasikan khusus untuk menyimpan event. Anda dapat menggunakan akun administrator yang didelegasikan untuk mengelola konfigurasi jejak jangka panjang, menyimpan event dari semua akun, serta menjalankan analisis audit dan Peringatan secara berkelanjutan.
Akun administrator yang didelegasikan untuk ActionTrail memiliki izin berikut:
Mengakses informasi organisasi dan anggota dalam direktori sumber daya melalui otorisasi dari akun manajemen.
Membuat jejak multi-akun untuk seluruh direktori sumber daya di ActionTrail guna mengumpulkan event dari semua anggota dalam direktori tersebut.
Hanya satu jejak multi-akun yang dapat ada dalam satu direktori sumber daya. Oleh karena itu, setiap akun manajemen hanya mendukung penambahan satu akun administrator yang didelegasikan untuk ActionTrail.
Anda dapat menggunakan akun manajemen perusahaan Anda untuk menambahkan akun administrator yang didelegasikan di Resource Management console. Untuk informasi selengkapnya, lihat Add a delegated administrator account.
Mengganti akun administrator yang didelegasikan
Setelah menambahkan akun administrator yang didelegasikan untuk ActionTrail, hindari mengubahnya. Akun tersebut berfungsi sebagai aset perusahaan tetap untuk fungsi audit. Mengubahnya dapat menyebabkan kegagalan konfigurasi sementara dan mengganggu cakupan audit yang berkelanjutan dan lengkap. Jika Anda harus mengganti akun tersebut, pertama-tama hapus akun administrator yang didelegasikan yang ada (Akun A), lalu tambahkan akun baru (Akun B).
Sebelum menghapus akun administrator yang didelegasikan, hapus jejak multi-akun di bawah akun tersebut. Menghapus jejak akan menghentikan pengumpulan event. Pertimbangkan hal ini dengan cermat sebelum melanjutkan. Untuk petunjuknya, lihat Delete a multi-account trail.
Di Resource Management console, gunakan akun manajemen untuk menghapus akun administrator yang didelegasikan yang ada untuk ActionTrail (Akun A) dari direktori sumber daya.
Untuk informasi selengkapnya, lihat Remove a delegated administrator account.
Di Resource Management console, tambahkan akun administrator yang didelegasikan baru (Akun B).
Untuk informasi selengkapnya, lihat Add a delegated administrator account.
Di ActionTrail console, gunakan akun administrator yang didelegasikan baru (Akun B) untuk membuat jejak multi-akun dan mengirimkan event ke lokasi penyimpanan di Akun B.
Untuk informasi selengkapnya, lihat Log on to the Alibaba Cloud Management Console as a member dan Create a multi-account trail.
Di ActionTrail console, gunakan akun administrator yang didelegasikan baru (Akun B) untuk membuat task pengisian ulang data guna mengirimkan event dari 90 hari terakhir ke lokasi penyimpanan yang ditentukan dalam satu operasi.
Untuk informasi selengkapnya, lihat Create a data backfill delivery task.
Di SLS console atau OSS Management console, gabungkan event yang sudah ada dari akun administrator yang didelegasikan asli (Akun A) ke lokasi penyimpanan akun administrator yang didelegasikan baru (Akun B).
Untuk informasi selengkapnya, lihat Online migration of SLS data dan Online migration of OSS data.
CatatanSetelah mengganti akun administrator yang didelegasikan, lokasi penyimpanan baru berisi sekitar 90 hari event duplikat untuk memastikan kelengkapan audit.