当企业开通了资源目录以后,企业管理账号可以在操作审计中创建多账号跟踪。多账号跟踪将把资源目录内的所有成员账号的操作日志投递到对象存储服务OSS(Object Storage Service)或日志服务SLS(Log Service)中。

说明 多账号跟踪目前处于邀测阶段,您需要通过提交工单或向服务经理申请白名单,才能使用该功能。

多账号跟踪与资源目录的协作原理如下图所示。

多账号跟踪

基本概念

名词 说明
企业管理账号

企业管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员账号拥有完全控制权限。只有通过企业实名认证的阿里云账号才能开通资源目录,每个资源目录有且只有一个企业管理账号。

成员账号

成员账号是阿里云账号在资源目录中的一种称呼。在资源目录内,成员账号作为资源容器,是一种资源分组单位。成员账号通常用于指代一个项目或应用,每个成员账号中的资源相对其他成员账号中的资源是物理隔离的。

成员账号被企业管理账号邀请进入资源目录,或由企业管理账号在资源目录内直接创建。

多账号跟踪 通过企业管理账号在操作审计控制台创建的跟踪,并且将跟踪应用到所有成员账号选择为。多账号跟踪会把所有成员账号的操作日志投递到多账号跟踪设置的OSS Bucket或SLS Logstore中。
单账号跟踪 通过阿里云账号在操作审计控制台创建的跟踪,可用于追踪和记录当前账号的操作日志。

多账号跟踪和单账号跟踪的区别

跟踪类型 创建账号 投递日志范围 日志查询方式 创建的最大跟踪数目
单账号跟踪 阿里云账号 当前账号的操作日志
  • 操作审计控制台
  • LookupEvents接口
  • 对象存储控制台
  • 日志服务控制台
每个地域5个
多账号跟踪 企业管理账号 所有成员账号的操作日志
  • 企业管理账号:
    • 操作审计控制台
    • LookupEvents接口
  • 成员账号:
    • 对象存储控制台
    • 日志服务控制台
每个地域1个

资源目录中成员账号的变化

当资源目录中成员账号变更时,操作审计将做如下处理:

  • 当新成员账号被邀请进入资源目录,或企业管理账号在指定资源目录中创建新的成员账号时,新成员账号能够在跟踪列表查看多账号跟踪,其操作日志将被自动投递到指定的OSS Bucket或SLS Logstore。
  • 当成员账号被从资源目录移除时,该成员账号将无法查看多账号跟踪,并停止将操作日志投递到指定的OSS Bucket或SLS Logstore,但已经投递的日志不会自动删除。
  • 当成员账号归属的资源目录发生变更时,不会影响操作日志的投递。