资源目录的管理账号可以将资源目录中的成员设置为操作审计的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,代替管理账号创建多账号跟踪,将资源目录中所有账号的事件投递到资源目录中任意成员下的SLS Logstore或OSS存储空间,实现操作事件的统一收集。
前提条件
请确保您已经开通资源目录。具体操作,请参见开通资源目录。
请确保您已经在资源目录中创建成员或邀请成员。具体操作,请参见创建成员和邀请阿里云账号加入资源目录。
应用场景
为操作审计添加委派管理员账号,可以将企业内的组织管理职能和审计管理职能从IT架构上隔离开,这对于企业云上IT的安全管理至关重要。
管理账号作为企业的中心管理者默认具有超级管理员权限,在企业IT管理的最佳实践中应使管理账号聚焦在对资源目录的组织管理上,尽量减少对其他云上配置的管理职责,避免超大权限的误操作。但是当企业在云上使用多个账号时,始终要有一些管理是面向全组织的,此时需要管理账号能够通过委派管理员账号来分担职责。例如:管理账号指定某个成员作为操作审计的委派管理员账号,该账号被企业内审计部门所拥有和使用,审计部门通过该账号来统一收集事件并进行审计监督和分析。这也符合企业内实际的岗位分工。
总之,企业使用操作审计的委派管理员账号可以实现以下需求,符合多账号管理的最佳实践。
企业内设置专职账号负责审计事件的收集、管理和分析,与业务账号隔离开。
委派管理员账号代替管理账号管理操作审计相关的配置操作,分担管理账号的部分职责,尽量规避管理账号的频繁使用。
关于委派管理员账号的更多信息,请参见什么是委派管理员账号。
添加委派管理员账号
企业可以在资源目录中指定一个成员作为专职的审计账号,即操作审计的委派管理员账号。该账号仅用于管理云上的审计配置和留存审计事件,账号下不保有其他资源。这也符合三权分立的安全管理要求,将权限管理、审计管理、资源管理进行账号维度的职能隔离。委派管理员账号用于在本账号中创建面向资源目录的多账号跟踪,并将事件统一投递到指定的存储空间。该存储空间可以在本账号内(推荐),也可以指定另一个专门用于存储事件的账号。您可以使用委派管理员账号长期管理跟踪的配置、存储所有账号的事件和持续的审计分析告警。
操作审计服务的委派管理员账号将获得以下权限:
获得管理账号的授权,可以在操作审计服务中访问资源目录组织和成员信息。
在操作审计中创建面向全资源目录的多账号跟踪,统一收集资源目录中所有成员的事件。
由于资源目录中只能创建一个多账号跟踪,所以每个资源目录的管理账号最多支持为操作审计添加一个委派管理员账号。
更换委派管理员账号
当您为操作审计添加委派管理员账号后,不建议变更该账号。委派管理员账号作为企业的固有资产承担业务职能,不应该随意更换,更换账号也将导致一些配置暂时失效,影响企业完整持续的审计。如果一定要更换账号,请先移除原有委派管理员账号(账号A),然后添加新的委派管理员账号(账号B)。
移除委派管理员账号前,需要先删除该账号下的多账号跟踪。删除多账号跟踪会中断事件的收集工作,请在移除前慎重考虑。关于如何删除多账号跟踪,请参见删除多账号跟踪。
在资源管理控制台,使用管理账号在资源目录中移除操作审计原有委派管理员账号(账号A)。
具体操作,请参见移除委派管理员账号。
在资源管理控制台,添加新的委派管理员账号(账号B)。
具体操作,请参见添加委派管理员账号。
在操作审计控制台,使用新的委派管理员账号(账号B)创建多账号跟踪,将事件投递到该账号(账号B)中的存储空间。
具体操作,请参见成员登录阿里云控制台和创建多账号跟踪。
在操作审计控制台,使用新的委派管理员账号(账号B)创建数据回补投递任务,将过去90天的事件以任务的方式一次性补投递到指定的存储空间。
具体操作,请参见创建数据回补投递任务。
在SLS控制台或OSS管理控制台,将原有的委派管理员账号(账号A)中已有的事件合并到新的委派管理员账号(账号B)的存储空间中。
具体操作,请参见SLS的数据在线迁移和OSS的数据在线迁移。
说明更换委派管理员账号后,新的存储空间中将出现约90天的重复事件,以便确保审计的完整性。