全部產品
Search

搜尋本產品

    ActionTrail:將資來源目錄中多個成員的事件投遞到同一帳號

    文件中心

    ActionTrail:將資來源目錄中多個成員的事件投遞到同一帳號

    更新時間:Mar 25, 2025

    當您需要管理一個帳號中的多個成員時,您可以使用Action Trail的跟蹤功能跨帳號投遞事件,將資來源目錄中多個成員的事件投遞到同一帳號的Log ServiceSLS、Object Storage Service或MaxCompute中,從而實現統一的審計資料歸檔和監控。本文為您介紹如何將資來源目錄中多個成員的事件投遞到同一帳號。

    背景資訊

    在Action Trail的跨帳號投遞功能中,您需要理解目標帳號和源帳號,具體如下。

    帳號

    說明

    操作

    目標帳號

    用於接收其他帳號事件的帳號。

    • 建立用於接收事件的儲存空間,例如:SLS Logstore、OSS儲存空間或MaxCompute資料表。

    • 建立可信實體為Action Trail服務的RAM角色,其他帳號需通過扮演該角色向目標帳號寫入事件。

    源帳號

    需要向目標帳號寫入事件的帳號。

    使用成員對應的管理帳號建立跟蹤,將事件投遞到目標帳號的儲存空間。

    當目標帳號和源帳號處於同一資來源目錄時,基於資來源目錄的結構互信,跨帳號投遞可以省略很多配置步驟。根據目標帳號的不同分為以下兩種情況:

    • 當目標帳號是管理帳號時,您可以建立多帳號跟蹤,將資來源目錄下所有帳號的事件投遞到管理帳號中的Log ServiceSLS、Object Storage Service或MaxCompute。具體操作,請參見建立多帳號跟蹤

    • 當目標帳號是成員時,請按照本文所述的操作步驟進行配置。

    操作步驟

    1. 在目標帳號中建立RAM角色,並授權Action Trail服務向目標帳號投遞事件的許可權。

      1. 使用目標帳號登入RAM控制台

        1. 在左側導覽列,選擇身份管理 > 角色

        2. 角色頁面,單擊建立角色

        3. 選擇信任主體類型雲端服務信任主體名稱選擇Action Trail然後單擊確定

        4. 設定角色名稱為ActionTrailDeliveryRole,單擊確定

      2. ActionTrailDeliveryRole角色進行精確授權,授予系統策略AliyunActionTrailDeliveryPolicy。

        1. 單擊ActionTrailDeliveryRole名稱。

        2. 單擊精確授權

        3. 選擇系統策略,並設定策略名稱稱為AliyunActionTrailDeliveryPolicy

        4. 單擊確定,然後單擊關閉

        說明

        關於權限原則的更多資訊,請參見事件投遞的系統權限原則

      3. 修改RAM角色的信任策略,將Service欄位修改為管理帳號@actiontrail.aliyuncs.com的格式。

        例如:管理帳號是159498693826****,則需要將Service中的actiontrail.aliyuncs.com修改為159498693826****@actiontrail.aliyuncs.com,表示該RAM角色可以被管理帳號159498693826****下的Action Trail服務扮演。

        {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "159498693826****@actiontrail.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

    2. 使用目標帳號建立Log ServiceSLS的Project、Object Storage Service的儲存空間或MaxCompute的Project。

      具體操作,請參見SLS建立專案ProjectOSS建立儲存空間建立MaxCompute專案

      說明

      MaxCompute專案名稱必須以actiontrail_開頭。

      基於資料安全考慮,建議您在建立OSS儲存空間時,設定伺服器加密和合規保留原則。具體操作,請參見伺服器端加密設定合規保留原則

    3. 使用管理帳號建立多帳號跟蹤,設定投遞目標為步驟2建立的SLS Project、OSS儲存空間或MaxCompute Project。

      1. 使用管理帳號登入Action Trail控制台

      2. 在左側導覽列,單擊跟蹤

      3. 在頂部導覽列選擇您想建立多帳號跟蹤的地區。

        說明

        該地區將成為多帳號跟蹤的Home地區。

      4. 跟蹤頁面,單擊建立跟蹤

      5. 建立跟蹤頁面,設定跟蹤的相關參數。

        • 基本資料地區,設定跟蹤投遞的基本資料。

          說明

          • 應用到所有成員請設定為

          • 系統預設將跟蹤投遞的地區設定為全部地區。推薦您將管控事件設定為所有事件,以便跟蹤全部地區的全部事件。

          • 關於參數的更多資訊,請參見建立多帳號跟蹤

        • 審計事件投遞地區,設定將跟蹤分別投遞到Log ServiceSLS、Object Storage Service或MaxCompute,或者同時進行投遞。關於如何選擇儲存服務,請參見將事件持續投遞到指定服務

          • 選擇将事件投递到日志服务SLS,然後選擇投遞到其他帳號,並設定以下參數。

            參數

            描述

            記錄項目ARN

            輸入記錄項目所在地區、目標帳號ID和記錄項目名稱。

            其中,記錄項目名稱為步驟2中建立的Project名稱。

            日誌寫入角色ARN

            輸入目標帳號ID和角色名稱。

            其中,角色名稱為步驟1中建立的RAM角色名稱(本文樣本為ActionTrailDeliveryRole)。

          • 選擇将事件投递到对象存储OSS時,然後選擇投遞到其他帳號,並設定以下參數。

            參數

            描述

            儲存空間角色ARN

            輸入目標帳號ID和角色名稱。

            其中,角色名稱為步驟1中建立的RAM角色名稱(本文樣本為ActionTrailDeliveryRole)。

            儲存空間名稱

            輸入步驟2中建立的儲存空間名稱。

            記錄檔首碼

            輸入事件存放的記錄檔首碼。

          • 選擇將事件投遞到MaxCompute時,然後選擇投遞到其他帳號,並設定以下參數。

            參數

            描述

            MaxCompute寫入角色ARN

            輸入阿里雲帳號ID(目標帳號)和角色名稱。

            其中,角色名稱為步驟1中建立的RAM角色名稱(本文樣本為ActionTrailDeliveryRole)。

            MaxComputeARN

            輸入MaxCompute專案所在地區、阿里雲帳號ID(目標帳號)和MaxCompute專案名稱。其中,MaxCompute專案名稱為步驟2中建立的Project名稱。

      6. 單擊確認

    執行結果

    跟蹤建立成功後,您可以使用目標帳號在SLS Project、OSS儲存空間或MaxCompute專案中查看來自多個成員的事件。具體操作,請參見查詢與分析快速指引即時日誌查詢