資源目錄的管理賬號可以將資源目錄中的成員設置為操作審計的委派管理員賬號。設置成功后,委派管理員賬號將獲得管理賬號的授權,代替管理賬號創建多賬號跟蹤,將資源目錄中所有賬號的事件投遞到資源目錄中任意成員下的SLS Logstore或OSS存儲空間,實現操作事件的統一收集。
前提條件
請確保您已經開通資源目錄。具體操作,請參見開通資源目錄。
請確保您已經在資源目錄中創建成員或邀請成員。具體操作,請參見創建成員和邀請阿里云賬號加入資源目錄。
應用場景
為操作審計添加委派管理員賬號,可以將企業內的組織管理職能和審計管理職能從IT架構上隔離開,這對于企業云上IT的安全管理至關重要。
管理賬號作為企業的中心管理者默認具有超級管理員權限,在企業IT管理的最佳實踐中應使管理賬號聚焦在對資源目錄的組織管理上,盡量減少對其他云上配置的管理職責,避免超大權限的誤操作。但是當企業在云上使用多個賬號時,始終要有一些管理是面向全組織的,此時需要管理賬號能夠通過委派管理員賬號來分擔職責。例如:管理賬號指定某個成員作為操作審計的委派管理員賬號,該賬號被企業內審計部門所擁有和使用,審計部門通過該賬號來統一收集事件并進行審計監督和分析。這也符合企業內實際的崗位分工。
總之,企業使用操作審計的委派管理員賬號可以實現以下需求,符合多賬號管理的最佳實踐。
企業內設置專職賬號負責審計事件的收集、管理和分析,與業務賬號隔離開。
委派管理員賬號代替管理賬號管理操作審計相關的配置操作,分擔管理賬號的部分職責,盡量規避管理賬號的頻繁使用。
關于委派管理員賬號的更多信息,請參見什么是委派管理員賬號。
添加委派管理員賬號
企業可以在資源目錄中指定一個成員作為專職的審計賬號,即操作審計的委派管理員賬號。該賬號僅用于管理云上的審計配置和留存審計事件,賬號下不保有其他資源。這也符合三權分立的安全管理要求,將權限管理、審計管理、資源管理進行賬號維度的職能隔離。委派管理員賬號用于在本賬號中創建面向資源目錄的多賬號跟蹤,并將事件統一投遞到指定的存儲空間。該存儲空間可以在本賬號內(推薦),也可以指定另一個專門用于存儲事件的賬號。您可以使用委派管理員賬號長期管理跟蹤的配置、存儲所有賬號的事件和持續的審計分析告警。
操作審計服務的委派管理員賬號將獲得以下權限:
獲得管理賬號的授權,可以在操作審計服務中訪問資源目錄組織和成員信息。
在操作審計中創建面向全資源目錄的多賬號跟蹤,統一收集資源目錄中所有成員的事件。
由于資源目錄中只能創建一個多賬號跟蹤,所以每個資源目錄的管理賬號最多支持為操作審計添加一個委派管理員賬號。
更換委派管理員賬號
當您為操作審計添加委派管理員賬號后,不建議變更該賬號。委派管理員賬號作為企業的固有資產承擔業務職能,不應該隨意更換,更換賬號也將導致一些配置暫時失效,影響企業完整持續的審計。如果一定要更換賬號,請先移除原有委派管理員賬號(賬號A),然后添加新的委派管理員賬號(賬號B)。
移除委派管理員賬號前,需要先刪除該賬號下的多賬號跟蹤。刪除多賬號跟蹤會中斷事件的收集工作,請在移除前慎重考慮。關于如何刪除多賬號跟蹤,請參見刪除多賬號跟蹤。
在資源管理控制臺,使用管理賬號在資源目錄中移除操作審計原有委派管理員賬號(賬號A)。
具體操作,請參見移除委派管理員賬號。
在資源管理控制臺,添加新的委派管理員賬號(賬號B)。
具體操作,請參見添加委派管理員賬號。
在操作審計控制臺,使用新的委派管理員賬號(賬號B)創建多賬號跟蹤,將事件投遞到該賬號(賬號B)中的存儲空間。
具體操作,請參見成員登錄阿里云控制臺和創建多賬號跟蹤。
在操作審計控制臺,使用新的委派管理員賬號(賬號B)創建數據回補投遞任務,將過去90天的事件以任務的方式一次性補投遞到指定的存儲空間。
具體操作,請參見創建數據回補投遞任務。
在SLS控制臺或OSS管理控制臺,將原有的委派管理員賬號(賬號A)中已有的事件合并到新的委派管理員賬號(賬號B)的存儲空間中。
具體操作,請參見SLS的數據在線遷移和OSS的數據在線遷移。
說明更換委派管理員賬號后,新的存儲空間中將出現約90天的重復事件,以便確保審計的完整性。