1 つのアカウント内で複数のメンバーを管理する場合、ActionTrail のトレイル機能を使用して、リソースディレクトリ内の複数のメンバーのイベントを 1 つのアカウントの Simple Log Service、Object Storage Service (OSS)、または MaxCompute に配信できます。このようにして、監査データを一元的にアーカイブおよび監視できます。このトピックでは、リソースディレクトリ内の複数のメンバーのイベントを 1 つのアカウントに配信する方法について説明します。
背景情報
ActionTrail のトレイル機能を使用してアカウント間でイベントを配信する前に、宛先アカウントとソースアカウントの概念を理解しておく必要があります。次の表に、これらの概念を示します。
アカウント | 説明 | 操作 |
宛先アカウント | ソースアカウントからイベントを受信するために使用されるアカウント。 |
|
ソースアカウント | イベントが宛先アカウントに書き込まれるアカウント。 | メンバーの管理アカウントを使用して、宛先アカウントに作成したストレージスペースにイベントを配信するトレイルを作成します。 |
リソースディレクトリ内のメンバーは相互に信頼されています。宛先アカウントとソースアカウントが同じリソースディレクトリにある場合、クロスアカウントイベント配信にはいくつかの構成手順が必要です。この場合、クロスアカウントイベント配信を構成する手順は、宛先アカウントのタイプによって異なります。
宛先アカウントが管理アカウントである場合は、マルチアカウントトレイルを作成して、リソースディレクトリ内のすべてのメンバーのイベントを、管理アカウントに作成した Simple Log Service Logstore、OSS バケット、または MaxCompute テーブルに配信します。詳細については、「マルチアカウントトレイルを作成する」をご参照ください。
宛先アカウントがリソースディレクトリ内のメンバーである場合は、このトピックで説明する手順を実行して、クロスアカウントイベント配信を構成します。
手順
宛先アカウントを使用して RAM ロールを作成し、ActionTrail に宛先アカウントにイベントを配信する権限を付与します。
宛先アカウントを使用して RAM コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ロール] ページで、[ロールの作成] をクリックします。
[プリンシパルタイプ] パラメーターを [クラウドサービス] に設定し、 パラメーターを に設定します。プリンシパル名ActionTrail次に、[OK] をクリックします。
表示されるダイアログボックスで、[ロール名] パラメーターを [actiontraildeliveryrole] に設定し、[OK] をクリックします。
AliyunActionTrailDeliveryPolicy システムポリシーを [actiontraildeliveryrole] RAM ロールにアタッチします。
[actiontraildeliveryrole] RAM ロールの名前をクリックします。
[権限] タブで、[詳細な権限] をクリックします。
[ポリシータイプ] パラメーターを [システムポリシー] に設定し、[ポリシー名] パラメーターを [aliyunactiontraildeliverypolicy] に設定します。
[OK] をクリックします。
説明ポリシーの詳細については、「イベント配信の権限ポリシーを管理する」をご参照ください。
RAM ロールの信頼ポリシーを変更します。
Serviceフィールドの値をManagement Account@actiontrail.aliyuncs.comに変更します。たとえば、管理アカウントが
159498693826****の場合、Serviceフィールドのactiontrail.aliyuncs.comを159498693826****@actiontrail.aliyuncs.comに変更する必要があります。その後、159498693826****管理アカウントの ActionTrail は RAM ロールをアサインできます。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "159498693826****@actiontrail.aliyuncs.com" // 管理アカウントのIDを指定 ] } } ], "Version": "1" }
宛先アカウントを使用して、Simple Log Service プロジェクト、OSS バケット、または MaxCompute プロジェクトを作成します。
詳細については、「プロジェクトの管理」、「バケットの作成」、および「MaxCompute プロジェクトを作成する」をご参照ください。
説明MaxCompute プロジェクトの名前は、
actiontrail_で始まる必要があります。データセキュリティを確保するために、OSS バケットを作成するときにサーバー側暗号化とライフサイクルルールを構成することをお勧めします。詳細については、「サーバー側暗号化」および「ライフサイクルルールの構成」をご参照ください。
管理アカウントを使用してマルチアカウントトレイルを作成し、配信先を 手順 2 で作成したストレージスペースに設定します。
管理アカウントを使用して ActionTrail コンソール にログインします。
左側のナビゲーションウィンドウで、[トレイル] をクリックします。
上部のナビゲーションバーで、マルチアカウントトレイルを作成するリージョンを選択します。
説明選択したリージョンは、作成するトレイルのホームリージョンになります。
[トレイル] ページで、[トレイルの作成] をクリックします。
[トレイルの作成] ページで、パラメーターを構成します。
[基本情報] セクションで、トレイルの基本情報を構成します。
説明[すべてのメンバーに適用] パラメーターを はい に設定します。
デフォルトでは、トレイルはすべてのリージョンでイベントを配信します。[管理イベント] パラメーターを [すべて] に設定することをお勧めします。このようにして、トレイルはすべてのリージョンで生成されるすべてのタイプのイベントを配信します。
詳細については、「マルチアカウントトレイルを作成する」をご参照ください。
[イベント配信] セクションで、Simple Log Service、OSS、MaxCompute、またはすべてにイベントを配信するためのパラメーターを構成します。ストレージサービスの選択方法の詳細については、「指定された Alibaba Cloud サービスにイベントを配信する」をご参照ください。
Log Service に配信 を選択し、[宛先アカウント] パラメーターを [別のアカウントに配信] に設定し、その他のパラメーターを構成します。
パラメーター
説明
[プロジェクト ARN]
プロジェクトが存在するリージョン、宛先アカウントの ID、およびプロジェクトの名前を入力します。
手順 2 で作成したプロジェクトの名前を使用します。
[宛先アカウントの RAM ロール ARN]
宛先アカウントの ID と RAM ロールの名前を入力します。
この例では、手順 1 で作成した RAM ロールの名前を使用します。RAM ロールの名前は ActionTrailDeliveryRole です。
OSS に配信 を選択し、[宛先アカウント] パラメーターを [別のアカウントに配信] に設定し、その他のパラメーターを構成します。
パラメーター
説明
[OSS バケットの RAM ロール ARN]
宛先アカウントの ID と RAM ロールの名前を入力します。
この例では、手順 1 で作成した RAM ロールの名前を使用します。RAM ロールの名前は ActionTrailDeliveryRole です。
[バケット名]
手順 2 で作成した OSS バケットの名前を入力します。
[ログファイルのプレフィックス]
イベントを格納するログファイルの名前のプレフィックスを入力します。
[MaxCompute への配信] を選択し、[宛先アカウント] パラメーターを [別のアカウントに配信] に設定し、その他のパラメーターを構成します。
パラメーター
説明
[maxcompute の RAM ロール ARN]
宛先アカウントの ID と RAM ロールの名前を入力します。
この例では、手順 1 で作成した RAM ロールの名前を使用します。RAM ロールの名前は ActionTrailDeliveryRole です。
[プロジェクト ARN]
MaxCompute プロジェクトが存在するリージョン、宛先アカウントの ID、および MaxCompute プロジェクトの名前を入力します。この例では、手順 2 で作成した MaxCompute プロジェクトの名前を使用します。
[確認] をクリックします。
次のステップ
トレイルを作成した後、宛先アカウントを使用して、Simple Log Service プロジェクト、OSS バケット、または MaxCompute テーブル内の複数のメンバーからのイベントを表示できます。詳細については、「ログクエリと分析のガイド」および「リアルタイムログクエリ」をご参照ください。