跨租户转储授权-j9九游会登录
操作场景
如果用户想要对管理类事件进行统一管理,可以设置管理类追踪器将多个账号记录的事件统一转储到一个obs桶。本节介绍如何配置跨租户转储。
使用限制
使用组织(organizations)云服务的服务控制策略(service control policy,scp)管理成员账号时,该场景需要配置action:getbucketacl、action:headbucket和action:listbucket。其他场景仅需配置action:headbucket和action:listbucket。配置服务控制策略的详细操作,请参考
授权跨租户转储
- 租户b登录管理控制台。
- 租户a为需要配置跨租户转储的账号,租户b为obs桶所在的账号。
- obs不支持跨region转储,目前obs桶所处区域只能是不同租户的同一个region。
- 在管理控制台左上角单击
图标,选择区域和项目。 - 单击左上角
,选择“存储 > 对象存储服务obs”,进入对象存储服务详情页面。 - 左侧导航栏选择“桶列表”。在桶列表单击云审计服务需要配置转储的桶名称,进入“对象”页面。
- 在左侧导航栏,单击“桶策略”。
- 在界面右上方选择“json视图”,单击“编辑”,按照如下格式给租户a授权,其中以下字段需要根据实际值填写。
- 租户a的domainid
- examplebucketname
- provider-name
- agency_name
桶策略由json描述,详细格式定义请参考。
根据租户a登录方式的不同,桶策略有不同的授权对象,包含以下场景:以普通用户登录租户a账号、以联邦租户登录租户a账号、以委托身份切换到租户a账号、以iam身份中心用户登录租户a账号。
其中,使用组织(organizations)云服务的服务控制策略 (service control policy,scp)管理成员账号进行配置时,必选action:getbucketacl,其他场景无需配置。
- 以普通用户登录租户a配置cts追踪器:
{ "statement": [{ "sid": "xxxx", "effect": "allow", "principal": { "id": [ "domain/租户a的domainid:agency/cts_admin_trust" ] }, "action": [ "putobject" ], "resource": [ "examplebucketname/*" ] }, { "sid": "xxxx1", "effect": "allow", "principal": { "id": [ "domain/租户a的domainid:user/*" ] }, "action": [ "headbucket", "listbucket", "getbucketacl" ], "resource": [ "examplebucketname" ] } ] } - 以联邦租户登录租户a配置cts追踪器:
{ "statement": [{ "sid": "xxxx", "effect": "allow", "principal": { "id": [ "domain/租户a的domainid:agency/cts_admin_trust" ] }, "action": [ "putobject" ], "resource": [ "examplebucketname/*" ] }, { "sid": "xxxx1", "effect": "allow", "principal": { "federated": [ "domain/租户a的domainid:identity-provider/provider-name" ] }, "action": [ "headbucket", "listbucket", "getbucketacl" ], "resource": [ "examplebucketname" ] } ] } - 以委托身份切换到租户a账号配置cts追踪器:
{ "statement": [{ "sid": "xxxx", "effect": "allow", "principal": { "id": [ "domain/租户a的domainid:agency/cts_admin_trust" ] }, "action": [ "putobject" ], "resource": [ "examplebucketname/*" ] }, { "sid": "xxxx1", "effect": "allow", "principal": { "id": [ "domain/租户a的domainid:agency/agency_name" ] }, "action": [ "headbucket", "listbucket", "getbucketacl" ], "resource": [ "examplebucketname" ] } ] } - 以iam身份中心用户登录租户a账号配置cts追踪器:
此处的agency_name是iam身份中心在租户a账号下面创建的委托,委托对象是iam身份中心,委托名称格式如下图所示。
{ "statement": [{ "sid": "xxxx", "effect": "allow", "principal": { "id": [ "domain/租户a的domainid:agency/cts_admin_trust" ] }, "action": [ "putobject" ], "resource": [ "examplebucketname/*" ] }, { "sid": "xxxx1", "effect": "allow", "principal": { "id": [ "domain/租户a的domainid:agency/agency_name" ] }, "action": [ "headbucket", "listbucket", "getbucketacl" ], "resource": [ "examplebucketname" ] } ] }
表1 桶策略参数说明 参数
描述
sid
statement id,描述statement的字符串。
action
指定本条statement作用的操作,action字段为obs支持的所有操作集合,以字符串形式表示,不区分大小写。cts只需要“getbucketacl”、“headbucket”和“listbucket”三个action。
effect
指定本条statement的权限是允许还是拒绝,effect的值必须为allow或者deny。
principal
桶策略被授权租户a,domainid可以通过控制台在“我的凭证”页面获取。principal格式:
- “domain/账号id:agency/cts_admin_trust”(表示授权给租户a下的cts_admin_trust委托,即cts服务可通过该委托来转储日志到obs桶)。参考。
- “domain/账号id:user/*”(表示授权给租户a下的所有子用户)。
- “domain/账号id:identity-provider/provider-name”(表示授权给租户a下的指定身份提供商名称)。
resource
指定statement起作用的一组资源,支持通配符“*”,表示所有资源。cts配置跨账号转储时需要examplebucketname/*和examplebucketname。
- 单击“保存”,完成桶策略配置。
- 如果租户b下的obs桶配置了桶加密功能,且加密密钥类型选择了“自定义密钥”,则需要在密码安全中心(dew)对租户a进行授权,详细操作请参考创建授权。
跨租户桶配置加密时,建议使用自定义密钥。默认密钥有可能使用租户a的obs默认密钥进行加密,会存在租户b无法下载转储文件的风险。
- 租户a登录管理控制台。
- 在管理控制台左上角单击
图标,选择区域和项目。 - 单击左上角
,选择“管理与监管 >云审计服务 cts”,进入云审计服务详情页面。 - 单击左侧导航树的“追踪器”,进入追踪器信息页面。
- 在管理事件追踪器信息右侧,单击操作下的“配置”,单击“下一步”。
- 开启“转储到obs”的开关
,obs桶所属用户设置为“其他用户”,需要手动输入待转储的租户b已授权obs桶的桶名。 - 单击“配置”,完成配置追踪器。
相关文档
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
