期望效果

解決辦法

詳細說明

參考文檔

等保2.0要求企業將事件存儲180天及以上，平臺僅有的90天歷史事件不滿足要求，需獲取并存儲更長時間的事件。

創建跟蹤。

操作審計支持在云平臺記錄您最近90天的事件，如果您不進行轉存保留，每過去一天就會清除最早一天的記錄。當您需要存儲超過90天的事件時，必須創建跟蹤。

您可以創建跟蹤，將事件持續投遞到對象存儲OSS中進行長時間存儲。

跟蹤也支持將事件持續投遞到日志服務SLS中進行監控和分析，但如果是單純的歸檔存儲訴求，更推薦您存儲到對象存儲OSS。

• 創建單賬號跟蹤

• 創建多賬號跟蹤

• 將事件持續投遞到指定服務

國家法規和行業標準要求記錄全量事件。

設置跟蹤的地域為全部地域，跟蹤的事件類型為所有事件。

為了獲取阿里云賬號中所有事件的記錄，建議您將跟蹤的地域設置為全部地域，確保對所有地域的事件進行記錄。當阿里云支持新的地域時，也將包含其中，無須進行其他設置。

由于合規要求，讀操作和寫操作都需要保留事件，建議您將跟蹤的事件類型設置為所有事件。

• 創建單賬號跟蹤

• 更新單賬號跟蹤

• 創建多賬號跟蹤

• 更新多賬號跟蹤

• 長時間存儲事件（公司IT部門或安全合規部門要求，記錄超過90天的云上事件）。

• 對事件進行歸檔或下載（向合規部門提供近幾年的事件）。

• 對敏感操作進行分析和告警。

將事件投遞到對象存儲OSS或日志服務SLS。

您可以創建跟蹤，將事件投遞到對象存儲OSS或日志服務SLS。

• 對象存儲OSS：幫助您低成本、長時間存儲事件，根據需要進行下載和使用。

• 日志服務SLS：幫助您分析操作記錄，創建統計儀表盤或針對特定事件發送短信、Email和釘釘等告警通知。

• 將事件持續投遞到指定服務

• 在日志服務SLS中分析操作事件

期望效果

解決辦法

詳細說明

參考文檔

將事件投遞到對象存儲OSS時，加密事件，確保云上事件的安全性。

采用KMS托管密鑰加密。

當您創建跟蹤并將事件投遞到對象存儲OSS時，默認使用OSS完全托管密鑰進行加解密（SSE-OSS）。

如果您需要使用可以直接管理的加密密鑰，可以使用KMS托管密鑰進行加解密（SSE-KMS）。您可以進行以下操作：

• 在OSS控制臺創建開啟服務端加密的存儲空間，然后在操作審計控制臺創建跟蹤并將事件投遞到該存儲空間。

• 在操作審計控制臺創建跟蹤時，選擇創建新的存儲空間，并開啟服務端加密。

服務器端加密

將事件投遞到日志服務SLS時，加密事件，確保云上事件的安全性。

采用KMS托管密鑰或日志服務的服務密鑰加密。

當您創建跟蹤并將事件投遞到日志服務SLS時，操作審計會自動創建一個名為actiontrail_<跟蹤名稱>的日志庫（Logstore）。您可以使用KMS托管密鑰或日志服務的服務密鑰為Logstore進行加密設置，從而加密事件。

數據加密

事件存儲在OSS或SLS的期間禁止事件被修改或刪除，以確保事件可靠性。

配置OSS的合規保留策略。

當您創建跟蹤并將事件投遞到對象存儲OSS時，需要設置OSS文件的合規保留策略。例如：添加一條基于時間的合規保留策略，設置用戶在保護周期內不可以修改或刪除事件。

保留策略

嚴格控制事件的訪問權限。

OSS或SLS的最小化訪問授權。

當您創建跟蹤并將事件投遞到對象存儲OSS或日志服務SLS時，需要授予阿里云賬號（或RAM用戶）訪問OSS或SLS的權限，以便成功完成事件投遞。而日常使用事件時也要將事件讀權限授予相關工作人員。

建議權限配置符合最小化原則，避免不當的授權導致服務實例被刪除或篡改，避免非必要人員對事件的訪問。

• OSS訪問控制

• SLS訪問控制

嚴格控制審計管理員的管控權限。

合理管控操作審計管理員權限。

擁有AliyunActionTrailFullAccess權限（操作審計管理員權限）的用戶，可以修改和刪除跟蹤。跟蹤變更后將影響事件的投遞，從而影響您對事件的跟蹤和審計。

建議將此權限授予盡可能少的用戶。

• 為RAM用戶授權

• 為RAM用戶移除權限