日志审计服务支持跨账号采集云产品日志(除K8s相关日志外)到当前账号下的Logstore中。本文介绍配置多账号采集的操作步骤。

前提条件

背景信息

日志审计服务支持跨账号采集云产品日志,您可以通过资源目录管理模式和自定义鉴权模式完成多账号配置。其中资源目录管理模式是通过日志审计服务集成了阿里云资源目录实现的。您可以通过管理账号或者委派管理员账号将企业内其他阿里云账号添加为成员,从而实现跨阿里云账号采集云产品日志。关于资源目录的更多信息,请参见什么是资源管理

在配置多账号采集时,资源目录管理模式相关限制请参见资源目录使用限制

模式方式说明
资源目录管理模式全员日志审计服务自动将资源目录下的所有成员纳入到采集名单中,并采集这些成员中已开启日志采集功能的云产品的日志。
  • 新增资源目录成员后,该成员自动被纳入采集名单中。
  • 移除资源目录成员后,该成员自动被移出采集名单。
自定义您可以自定义选择目标成员到采集名单中,日志审计服务会采集这些成员中已开启日志采集功能的云产品的日志。
  • 新增资源目录成员后,该成员不会自动纳入采集名单中。
  • 移除资源目录成员后,如果该成员在您的采集名单中,会被自动移出采集名单。
自定义鉴权管理模式通过账号密钥辅助授权通过阿里云账号或RAM用户的访问密钥进行多账号配置。
手动授权需先完成手动授权,再进行多账号配置。
重要 手动授权易出错,导致日志审计服务不可用。不推荐通过该方式进行多账号采集配置。
重要
  • 您通过资源目录管理模式完成多账号配置后,无法切换到自定义鉴权管理模式。如需切换,需先清除已完成的配置。
  • 您通过自定义鉴权管理模式完成多账号配置后,又切换到资源目录管理模式进行多账号配置,则资源目录管理模式中的配置将覆盖自定义鉴权管理模式中的配置。
  • 如果您需要切换委派管理员账号,请先清除当前委派管理员对应的中心账号下的多账号配置关系(如果是全员,需要切换至自定义,并取消选中全部账号),然后再进行委派管理员账号的切换。

资源目录管理模式(推荐)

  1. 登录日志服务控制台
  2. 日志应用区域的审计与安全页签下,单击日志审计服务
  3. 在左侧导航栏中,选择多账号配置 > 全局配置
  4. 资源目录管理模式页签中,单击修改
  5. 添加账号面板中,选择目标账号,然后单击确认

    资源目录管理模式支持全员方式和自定义方式。

    • 全员:日志审计服务自动将资源目录下的所有成员纳入到采集名单中,并采集这些成员中已开启日志采集功能的云产品的日志。
    • 自定义:您可以自定义选择目标成员到采集名单中,日志审计服务会采集这些成员中已开启日志采集功能的云产品的日志。
    配置完成后,等待2分钟左右,可在云产品接入 > 接入状态页面中查看日志接入状态。如果出现异常,请根据页面提示信息进行调整。更多信息,请参见开启日志采集功能

自定义鉴权管理模式

  1. 在日志审计服务的左侧导航栏中,选择多账号配置 > 全局配置
  2. 自定义鉴权管理模式页签中,单击修改
  3. 配置账号,然后单击确定
    自定义鉴权管理模式支持手动授权和通过账号密钥服务授权。
    • 通过账号密钥辅助授权:在对应的本文框中分别输入其他阿里云账号的ID以及AccessKey信息。AccessKey信息不会被保存,仅临时使用。

      此处AccessKey对应的RAM用户需具备RAM读写权限(例如已被授权AliyunRAMFullAccess策略)。如果获取AccessKey信息,请参见访问密钥

    • 手动授权:输入其他阿里云账号的ID,支持配置多个,多个账号之间可以使用换行、英文逗号(,)、空格或竖线(|)分隔。对应的账号权限配置请参见自定义授权日志采集与同步
    配置完成后,等待2分钟左右,可在云产品接入 > 接入状态页面中查看日志接入状态。如果出现异常,请根据页面提示信息进行调整。更多信息,请参见开启日志采集功能