全部產品
Search

搜尋本產品

    ActionTrail:將多個阿里雲帳號的事件投遞到同一帳號

    文件中心

    ActionTrail:將多個阿里雲帳號的事件投遞到同一帳號

    更新時間:Mar 25, 2025

    當您需要管理和維護多個阿里雲帳號時,您可以使用Action Trail的跟蹤功能跨帳號投遞事件,將多個阿里雲帳號的事件投遞到同一帳號的Log ServiceSLS、Object Storage Service或MaxCompute中,從而實現統一的審計資料歸檔和監控。本文為您介紹如何將多個阿里雲帳號的事件投遞到同一帳號。

    背景資訊

    在Action Trail的跨帳號投遞功能中,您需要理解目標帳號和源帳號,具體如下。

    帳號

    說明

    操作

    目標帳號

    用於接收其他帳號事件的帳號。

    • 建立用於接收事件的儲存空間,例如:SLS Logstore、OSS儲存空間或MaxCompute資料表。

    • 建立可信實體為Action Trail服務的RAM角色,其他帳號需通過扮演該角色向目標帳號寫入事件。

    源帳號

    需要向目標帳號寫入事件的帳號。

    使用阿里雲帳號建立跟蹤,將事件投遞到目標帳號的儲存空間。

    當目標帳號和源帳號是無組織關係的獨立阿里雲帳號時,跨帳號投遞需要為每個阿里雲帳號分別建立單帳號跟蹤。以下同時將阿里雲帳號A(源帳號)和阿里雲帳號B(源帳號)的事件投遞到阿里雲帳號C(目標帳號)為例,為您進行介紹。

    操作步驟

    1. 在阿里雲帳號C中建立RAM角色,並授權Action Trail服務向阿里雲帳號C投遞事件的許可權。

      1. 使用阿里雲帳號C登入RAM控制台

      2. ActionTrailDeliveryRole角色進行精確授權,授予系統策略AliyunActionTrailDeliveryPolicy。

        1. 單擊ActionTrailDeliveryRole名稱。

        2. 單擊精確授權

        3. 選擇系統策略,並設定策略名稱稱為AliyunActionTrailDeliveryPolicy

        4. 單擊確定,然後單擊關閉

        說明

        關於權限原則的更多資訊,請參見事件投遞的系統權限原則

      3. 修改RAM角色的信任策略,將Service欄位修改為阿里雲帳號@actiontrail.aliyuncs.com的格式。

        例如:阿里雲帳號A是159498693825****、阿里雲帳號B是123435555956****,則需要將Service中的actiontrail.aliyuncs.com修改為["159498693825****@actiontrail.aliyuncs.com","123435555956****@actiontrail.aliyuncs.com"],表示該RAM角色可以被阿里雲帳號A159498693825****和阿里雲帳號B123435555956****下的Action Trail服務扮演。

        {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "159498693825****@actiontrail.aliyuncs.com",
                    "123435555956****@actiontrail.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

        具體操作,請參見修改RAM角色的信任策略

    2. 使用阿里雲帳號C建立Log ServiceSLS的Project、Object Storage Service的儲存空間或MaxCompute的Project。

      具體操作,請參見SLS建立專案ProjectOSS建立儲存空間建立MaxCompute專案

      說明

      MaxCompute專案名稱必須以actiontrail_開頭。

      基於資料安全考慮,建議您在建立OSS儲存空間時,設定伺服器加密和合規保留原則。具體操作,請參見伺服器端加密設定合規保留原則

    3. 使用阿里雲帳號A建立單帳號跟蹤,設定投遞目標為步驟2建立的SLS Project、OSS儲存空間或MaxCompute Project。

      1. 使用阿里雲帳號A登入Action Trail控制台

      2. 在左側導覽列,單擊跟蹤

      3. 在頂部導覽列選擇您想建立單帳號跟蹤的地區。

        說明

        該地區將成為單帳號跟蹤的Home地區。

      4. 跟蹤頁面,單擊建立跟蹤

      5. 建立跟蹤頁面,設定跟蹤的相關參數。

        • 基本資料地區,設定跟蹤名稱和管控事件類型。

          說明

          系統預設將跟蹤投遞的地區設定為全部地區。推薦您將管控事件設定為所有事件,以便跟蹤全部地區的全部事件。關於參數的更多資訊,請參見建立單帳號跟蹤

        • 審計事件投遞地區,設定將跟蹤分別投遞到Log ServiceSLS、Object Storage Service或MaxCompute,或者同時進行投遞。關於如何選擇儲存服務,請參見將事件持續投遞到指定服務

          • 選擇将事件投递到日志服务SLS,然後選擇投遞到其他帳號,並設定以下參數。

            參數

            描述

            記錄項目ARN

            輸入記錄項目所在地區、阿里雲帳號C(目標帳號)ID和記錄項目名稱。

            其中,記錄項目名稱為步驟2中建立的Project名稱。

            日誌寫入角色ARN

            輸入阿里雲帳號C(目標帳號)ID和角色名稱。

            其中,角色名稱為步驟1中建立的RAM角色名稱(本文樣本為ActionTrailDeliveryRole)。

          • 選擇将事件投递到对象存储OSS時,然後選擇投遞到其他帳號,並設定以下參數。

            參數

            描述

            儲存空間角色ARN

            輸入阿里雲帳號C(目標帳號)ID和角色名稱。

            其中,角色名稱為步驟1中建立的RAM角色名稱(本文樣本為ActionTrailDeliveryRole)。

            儲存空間名稱

            輸入步驟2中建立的儲存空間名稱。

            記錄檔首碼

            輸入事件存放的記錄檔首碼。

          • 選擇將事件投遞到MaxCompute時,然後選擇投遞到其他帳號,並設定以下參數。

            參數

            描述

            MaxCompute寫入角色ARN

            輸入阿里雲帳號ID(目標帳號)和角色名稱。

            其中,角色名稱為步驟1中建立的RAM角色名稱(本文樣本為ActionTrailDeliveryRole)。

            MaxComputeARN

            輸入MaxCompute專案所在地區、阿里雲帳號ID(目標帳號)和MaxCompute專案名稱。其中,MaxCompute專案名稱為步驟2中建立的Project名稱。

      6. 單擊確認

    4. 以相同的方法,使用阿里雲帳號B建立單帳號跟蹤,設定投遞目標為步驟2建立的SLS Project、OSS儲存空間或MaxCompute Project。

    執行結果

    跟蹤建立成功後,您可以使用阿里雲帳號C在SLS Project、OSS儲存空間或MaxCompute Project中查看來自阿里雲帳號A和阿里雲帳號B的事件。具體操作,請參見查詢與分析快速指引即時日誌查詢

    相關操作