同組織或關聯組織下不同的阿里云賬號通常需要進行事件互通,事件總線EventBridge提供跨賬號路由事件的能力,您可以將多個賬號的事件路由到一個賬號中統一處理。本文介紹跨賬號路由事件的背景信息、使用限制、操作步驟和結果驗證。
背景信息
如下圖所示,在實際應用場景中,阿里云賬號A、B屬于同組織或者相關組織,您可以將發送賬號A的RAM用戶的審計事件路由到接收賬號B的云服務專用事件總線中集中處理。操作步驟如下所示:
- 接收賬號B創建RAM角色。可信實體為發送賬號A。
- 接收賬號B為RAM角色授予發布事件的權限。發送賬號A可以扮演RAM角色,擁有向接收賬號B發布事件的權限。
- 接收賬號B修改RAM角色的信任策略,為接收賬號B的阿里云服務添加發布事件的權限策略。接收賬號B的阿里云服務也可以扮演RAM角色,擁有向接收賬號B發布事件的權限。
- 發送賬號A創建事件規則,將審計事件路由到接收賬號B的云服務專用總線。
說明 接收賬號的同一個總線支持來自多個發送賬號的事件,這些事件的aliyunoriginalaccountid擴展字段將標識事件的歸屬信息,接收賬號可通過aliyunoriginalaccountid字段過濾事件。
使用限制
- 只支持在同一個地域內跨賬號路由事件。
- 云服務專用事件總線的事件只能路由到云服務專用事件總線,同時,自定義事件總線的事件也只能路由到自定義事件總線。
步驟一:創建RAM角色
- 使用接收賬號B登錄RAM控制臺。
在左側導航欄,選擇。
在角色頁面,單擊創建角色。
在創建角色頁面,選擇可信實體類型為阿里云賬號,然后單擊下一步。
- 設置角色信息。
- 輸入角色名稱。
- 可選:輸入備注。
- 選擇云賬號為其他云賬號,輸入發送賬號A的ID,然后單擊完成。
步驟二:為RAM角色授權
- 使用接收賬號B登錄RAM控制臺。
在左側導航欄,選擇。
在角色頁面,單擊目標RAM角色操作列的新增授權。
您也可以選中多個RAM角色,單擊角色列表下方的新增授權,為RAM角色批量授權。
- 在添加權限面板,為RAM角色添加權限。
- 選擇授權范圍。
- 整個云賬號:權限在當前阿里云賬號內生效。
- 指定資源組:權限在指定的資源組內生效。說明 指定資源組授權生效的前提是該云服務已支持資源組。更多信息,請參見支持資源組的云服務。
- 輸入被授權主體。被授權主體即需要授權的RAM角色,系統會自動填入當前的RAM角色,您也可以添加其他RAM角色。
- 選擇權限策略。在權限策略名稱列表下,找到并單擊AliyunEventBridgePutEventsPolicy,然后單擊確定。說明
- 每次最多綁定5條策略,如需綁定更多策略,請分次操作。
- 如果系統策略無法滿足您的需求,您可以通過創建自定義策略實現精細化權限管理,將部分總線的權限授予發送賬號。更多信息,請參見創建自定義權限策略。
- 選擇授權范圍。
步驟三:修改信任策略
- 使用接收賬號B登錄RAM控制臺。
在左側導航欄,選擇。
在角色頁面,單擊目標RAM角色名稱。
在信任策略頁簽,單擊編輯信任策略。
- 修改信任權限策略內容,然后單擊確定。
信任權限策略示例如下:
{ "Statement":[ { "Action":"sts:AssumeRole", "Effect":"Allow", "Principal":{ "Service":[ "${賬號A}@eventbridge.aliyuncs.com" ] } } ], "Version":"1" }配置完成后,發送賬號A的事件總線EventBridge可以扮演RAM角色。
步驟四:創建規則
- 使用發送賬號A登錄事件總線EventBridge控制臺。
- 在左側導航欄,單擊事件總線。
- 在頂部菜單欄,選擇地域。
- 在事件總線頁面,單擊云服務專用事件總線default。
- 在左側導航欄,單擊事件規則。
- 在事件規則頁面,單擊創建規則。
- 在創建規則頁面,完成以下操作。
- 在配置基本信息配置向導,在名稱文本框輸入規則名稱,在描述文本框輸入規則的描述,然后單擊下一步。
- 在配置事件模式配置向導,事件源類型選擇阿里云官方事件源,從事件源列表選擇阿里云官方事件源,從事件類型列表選擇事件類型,在事件模式內容文本框輸入事件模式,然后單擊下一步。
- 在配置事件目標配置向導,配置以下參數,然后單擊創建。
- 服務類型:單擊事件總線。
- 目標賬戶類型:默認選擇其他阿里云賬號。
- 賬號ID:輸入接收賬號的ID。
- 總線名稱:輸入default。
- 事件:默認選擇完整事件,不做轉換,直接投遞原生CloudEvents 1.0協議中的完整結構。
說明 1個事件規則最多可以添加5個目標。
結果驗證
您可以使用接收賬號B查詢事件。更多信息,請參見查詢事件。
文檔內容是否對您有幫助?