日志审计服务支持将多个主账号下的日志采集到一个主账号下的Project中。在多账号场景下,您可以使用资源目录管理账号。本文介绍如何使用资源目录进行跨账号日志采集与同步授权。

前提条件

  • 已创建成员,即待采集日志的云产品涉及的所有主账号均已加入资源目录中。

    您可通过创建或邀请成员的方式将阿里云主账号加入到资源目录中,详情请参见创建成员邀请其他成员加入资源目录

  • 中心Project所在账号已开通日志服务。
  • 待采集日志的云产品已开启相应的服务,详情请参见云产品覆盖及相关资源

背景信息

日志审计服务在继承现有日志服务所有功能外,还支持多账户下实时自动化、中心化采集云产品日志并进行审计。在使用日志审计服务时,您可以使用账号密钥辅助授权方式和手动授权方式完成授权,授予日志服务采集相关云产品日志的权限以及授权多个主账号之间的同步汇集。在多账号场景下,您可以使用资源目录管理账号。

资源目录是阿里云面向企业客户提供的一套多级资源(账号)关系管理服务。资源目录服务的本质:建立一套与您的企业相关的,基于资源使用的关系结构。资源目录具有全局一致性的特点,方便您基于此关系结构,对企业内多个应用服务所对应的各种资源进行高效的规划、构建和管理。是阿里云面向企业客户提供的一套多级资源(账号)关系管理服务。

资源目录支持您基于企业的业务或生态环境,让您方便的构建出体现资源关系的目录结构,并将企业多个账号分布到这个目录结构中的相应位置,从而形成资源间的多层级关系。企业可依赖设定的组织关系进行资源的集中管理,满足企业资源在财资、安全、审计及合规方面的管控需要。下图展示了资源目录的基本结构:资源目录
  • 企业管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员账号拥有完全控制权限。每个资源目录有且只有一个企业管理账号。为了确保企业管理账号的安全,建议您创建一个新的阿里云账号作为企业管理账号,避免将已有用途的云账号作为企业管理账号。
  • 资源夹是资源目录内的组织单元,通常用于指代企业的分公司、业务线或产品项目。每个资源夹下可以放置成员账号,并允许嵌套子资源夹,最终形成树形的资源组织关系。
  • 成员账号是阿里云账号在资源目录中的一种称呼。在资源目录内,成员账号作为资源容器,是一种资源分组单位。成员账号通常用于指代一个项目或应用,每个成员账号中的资源相对其他成员账号中的资源是物理隔离的。

操作步骤

  1. 通过资源目录访问中心Project所在账号。
    在资源目录内创建或邀请成员后,您可以从资源目录的成员账号中选取一个账号作为日志审计服务中心Project所在主账号。然后通过RAM用户、RAM角色或根用户访问中心Project所在主账号。
  2. 登录日志服务控制台
  3. 日志应用区域,单击日志审计服务中的进入应用
  4. 在中心Project所在账号内进行日志审计采集的首次配置。
    如果该账号已完成首次配置,可跳过此步骤。首次配置
    1. 在左侧导航栏,单击云产品接入 > 全局配置
    2. 中心项目Project所在区域下拉列表中,选择日志中心化存储的目标地域。
      目前支持华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)、日本(东京)、新加坡。
    3. 在云产品列表中,选择需开启日志审计功能的云产品,并配置存储时间。
      如果是SLB 7层访问日志、OSS访问日志、DRDS审计日志,还可以选择同步到中心。开启同步到中心后,区域化Project将作为中转,不需要存储很长时间,控制台会自动调整成推荐的时间。
    4. 配置采集同步授权。
      日志审计服务支持手动授权和通过账号密钥辅助授权。
      • 通过账号密钥辅助授权:输入账号的AK信息,AK信息不会被保存,仅临时使用。

        此处AK对应的RAM用户需具备RAM读写权限(例如已被授权AliyunRAMFullAccess策略),授权步骤请参见授权RAM用户

      • 手动授权:详情请参见同一账号:手动授权
    5. 单击确定
  5. 在中心Project所在账号内进行多账号采集配置。
    多账号配置
    1. 在左侧导航栏中,单击多账号配置 > 全局配置
    2. 多账号配置页面,单击修改
    3. 配置采集同步授权。
      日志审计服务支持手动授权和通过账号密钥辅助授权。
      • 通过账号密钥辅助授权:在其他账号授权日志服务采集文本框中输入其他账号的AK信息及其主账号ID。AK信息不会被保存,仅临时使用。

        此处AK对应的RAM用户需具备RAM读写权限(例如已被授权AliyunRAMFullAccess策略)。

      • 手动授权:输入主账号ID,可配置多个。对应的账号权限配置请参见多账号配置:手动授权
  6. 通过资源目录依次访问其他需要被采集同步的主账号,并进行手动授权。
    步骤5中,如果使用的是手动授权方式完成授权,则需要配置此步骤;如果使用的是通过账号密钥辅助授权方式完成授权,请跳过此步骤。
    1. 通过资源目录访问待授权的账号,详情请参见步骤1
    2. 在该账号内进行跨账号采集配置手动授权,详情请参见多账号配置:手动授权中的步骤3
  7. 查看配置结果。

    配置完成后,需要2分钟左右完成初始同步。如果出现异常,请根据页面提示信息进行调整,详情请参见配置日志采集

    资源目录-结果