在说正事之前,我要推荐一个福利:(你还在原价购买阿里云、腾讯云、华为云服务器吗?那太亏啦!来这里,新购、升级、续费都打折,能够为您省60%的钱呢!2核4G企业级云服务器低至69元/年,点击进去看看吧>>>),好了下面开始说正事:
日志审计服务支持将多个主账号下的日志采集到一个主账号下的Project中。在多账号场景下,您可以使用资源目录管理账号。本文介绍如何使用资源目录进行跨账号日志采集与同步授权。
前提条件
- 已创建成员,即待采集日志的云产品涉及的所有主账号均已加入资源目录中。
您可通过创建或邀请成员的方式将阿里云主账号加入到资源目录中,详情请参见创建成员、邀请其他成员加入资源目录。
- 中心Project所在账号已开通日志服务。
- 待采集日志的云产品已开启相应的服务,详情请参见云产品覆盖及相关资源。
背景信息
日志审计服务在继承现有日志服务所有功能外,还支持多账户下实时自动化、中心化采集云产品日志并进行审计。在使用日志审计服务时,您可以使用账号密钥辅助授权方式和手动授权方式完成授权,授予日志服务采集相关云产品日志的权限以及授权多个主账号之间的同步汇集。在多账号场景下,您可以使用资源目录管理账号。
资源目录是阿里云面向企业客户提供的一套多级资源(账号)关系管理服务。资源目录服务的本质:建立一套与您的企业相关的,基于资源使用的关系结构。资源目录具有全局一致性的特点,方便您基于此关系结构,对企业内多个应用服务所对应的各种资源进行高效的规划、构建和管理。是阿里云面向企业客户提供的一套多级资源(账号)关系管理服务。
资源目录支持您基于企业的业务或生态环境,让您方便的构建出体现资源关系的目录结构,并将企业多个账号分布到这个目录结构中的相应位置,从而形成资源间的多层级关系。企业可依赖设定的组织关系进行资源的集中管理,满足企业资源在财资、安全、审计及合规方面的管控需要。下图展示了资源目录的基本结构:
- 企业管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员账号拥有完全控制权限。每个资源目录有且只有一个企业管理账号。为了确保企业管理账号的安全,建议您创建一个新的阿里云账号作为企业管理账号,避免将已有用途的云账号作为企业管理账号。
- 资源夹是资源目录内的组织单元,通常用于指代企业的分公司、业务线或产品项目。每个资源夹下可以放置成员账号,并允许嵌套子资源夹,最终形成树形的资源组织关系。
- 成员账号是阿里云账号在资源目录中的一种称呼。在资源目录内,成员账号作为资源容器,是一种资源分组单位。成员账号通常用于指代一个项目或应用,每个成员账号中的资源相对其他成员账号中的资源是物理隔离的。
操作步骤
- 在中心Project所在账号内进行日志审计采集的首次配置。如果该账号已完成首次配置,可跳过此步骤。
- 在中心Project所在账号内进行多账号采集配置。
- 查看配置结果。
配置完成后,需要2分钟左右完成初始同步。如果出现异常,请根据页面提示信息进行调整,详情请参见配置日志采集。
