IBM Cloud Docs
Ereignisse zur Aktivitätsverfolgung für IAM

Ereignisse zur Aktivitätsverfolgung für IAM

IBM Cloud Das Identity and Access Management (IAM) erzeugt Ereignisse zur Aktivitätsverfolgung.

Ereignisse zur Aktivitätsverfolgung berichten über Aktivitäten, die den Zustand eines Dienstes in IBM Cloud ändern. Sie können die Ereignisse nutzen, um abnormale Aktivitäten und kritische Aktionen zu untersuchen und um die gesetzlichen Prüfungsanforderungen zu erfüllen.

Sie können IBM Cloud Activity Tracker Event Routing, einen Plattformdienst, verwenden, um Überprüfungsereignisse in Ihrem Konto an Ziele Ihrer Wahl weiterzuleiten, indem Sie Ziele und Routen konfigurieren, die festlegen, wohin Ereignisse zur Aktivitätsverfolgung gesendet werden. Weitere Informationen hierzu finden Sie im Abschnitt mit den Informationen zu IBM Cloud Activity Tracker Event Routing.

Sie können IBM Cloud Logs verwenden, um Ereignisse, die in Ihrem Konto erzeugt und von IBM Cloud Activity Tracker Event Routing an eine IBM Cloud Logs Instanz weitergeleitet werden, zu visualisieren und zu melden.

Orte, an denen Ereignisse der Aktivitätsverfolgung von IBM Cloud Activity Tracker Event Routing gesendet werden

IAM sendet Ereignisse zur Aktivitätsverfolgung nach IBM Cloud Activity Tracker Event Routing in den Regionen, die in der folgenden Tabelle angegeben sind.

Regionen, in denen Aktivitätsverfolgungsereignisse an amerikanische Standorte gesendet werden
Dallas (us-south) Washington (us-east) Toronto (ca-tor) Sao Paulo (br-sao)
Nein Nein Nein Nein
Regionen, in denen Ereignisse zur Aktivitätsverfolgung im asiatisch-pazifischen Raum gesendet werden
Tokio (jp-tok) Sydney (au-syd) Osaka (jp-osa) in-che
Nein Nein Nein Nein
Regionen, in denen Ereignisse zur Aktivitätsverfolgung an europäische Standorte gesendet werden
Frankfurt (eu-de) London (eu-gb) Madrid (eu-es)
Ja Nein Nein

Starten von IBM Cloud Logs von der Observability-Seite

Für Informationen zum Starten der IBM Cloud Logs UI, siehe Starten der UI im IBM Cloud Logs.

Anzeigen von Ereignissen zur Aktivitätsverfolgung für IAM

Sie können IBM Cloud Logs verwenden, um Ereignisse, die in Ihrem Konto erzeugt und von IBM Cloud Activity Tracker Event Routing an eine IBM Cloud Logs Instanz weitergeleitet werden, zu visualisieren und zu melden.

Der IAM-Dienst generiert globale Aktivitätsverfolgungsereignisse für die in diesem Dokument aufgeführten Aktionen. Wählen Sie Platform events (global) als den Ort, von dem aus Prüfungsereignisse gesendet werden sollen, wenn Sie eine IBM Cloud Activity Tracker Event Routing Route konfigurieren.

Um IAM-Ereignisse im IBM Cloud Logs anzuzeigen, gehen Sie zum Filter Subsysteme und wählen Sie die Werte mit dem Präfix " iam- aus. Zum Beispiel " iam-am, " iam-identity oder " iam-groups.

Ereignisse für Zugriffsgruppen

Kontoereignisse

n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:

Ereignisse, die für Zutrittsgruppen generiert werden
Aktion Beschreibung
iam-groups.account-settings.read Ein Ereignis wird generiert, wenn ein Initiator die Kontoeinstellungen für den Service der Zugriffsgruppen anzeigt.
iam-groups.account-settings.update Ein Ereignis wird generiert, wenn ein Initiator seine Kontoeinstellungen für den Zugriffsgruppenservice aktualisiert.

Ereignisse für Zugriffsgruppen

n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:

Ereignisse, die für Zutrittsgruppen generiert werden
Aktion Beschreibung
iam-groups.group.create Ein Ereignis wird generiert, wenn ein Initiator eine Zugriffsgruppe erstellt.
iam-groups.group.read Ein Ereignis wird generiert, wenn ein Initiator eine Zugriffsgruppe anzeigt.
iam-groups.group.update Ein Ereignis wird generiert, wenn ein Initiator einen Gruppennamen oder eine Beschreibung aktualisiert.
iam-groups.group.delete Ein Ereignis wird generiert, wenn ein Initiator eine Zugriffsgruppe löscht.
iam-groups.groups.list Ein Ereignis wird generiert, wenn ein Initiator die Zugriffsgruppen anzeigt.

Mitgliederereignisse

n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:

Ereignisse, die für Zutrittsgruppen generiert werden
Aktion Beschreibung
iam-groups.federated-member.add Ein Ereignis wird generiert, wenn sich ein Initiator beim Konto anmeldet und eine föderierte Zugehörigkeit zu einer Zugriffsgruppe erhält.
iam-groups.member.add Ein Ereignis wird generiert, wenn ein Initiator ein Mitglied zu einer Zugriffsgruppe hinzufügt.
iam-groups.member.delete Ein Ereignis wird generiert, wenn ein Initiator ein Mitglied aus einer Zugriffsgruppe entfernt.
iam-groups.member.read Ein Ereignis wird generiert, wenn ein Initiator die Mitgliedschaft eines Mitglieds anzeigt.
iam-groups.members.list Ein Ereignis wird generiert, wenn ein Initiator die Mitglieder für eine Zugriffsgruppe anzeigt.

Regelereignisse

n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:

Ereignisse, die für Zutrittsgruppen generiert werden
Aktion Beschreibung
iam-groups.rule.read Ein Ereignis wird generiert, wenn ein Initiator eine Regel in einer Zugriffsgruppe anzeigt.
iam-groups.rule.create Ein Ereignis wird generiert, wenn ein Initiator eine Regel zu einer Zugriffsgruppe hinzufügt.
iam-groups.rule.update Ein Ereignis wird generiert, wenn ein Initiator den Regelnamen ändert.
iam-groups.rule.delete Ein Ereignis wird generiert, wenn ein Initiator eine Regel aus einer Zugriffsgruppe löscht.
iam-groups.rules.list Ein Ereignis wird generiert, wenn ein Initiator die Zugriffsgruppen anzeigt.

Ereignisse für vertrauenswürdige Profile

n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:

Ereignisse, die für vertrauenswürdige Profile generiert werden
Aktion Beschreibung
iam-identity.account-profile.create Ein Ereignis wird generiert, wenn ein Initiator ein vertrauenswürdiges Profil erstellt.
iam-identity.account-profile.update Ein Ereignis wird generiert, wenn ein Initiator ein vertrauenswürdiges Profil aktualisiert.
iam-identity.account-profile.delete Ein Ereignis wird generiert, wenn ein Initiator ein vertrauenswürdiges Profil löscht.

Richtlinienereignisse

n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:

Ereignisse, die für politische Aktionen erzeugt werden
Aktion Beschreibung
iam-am.policy.create Ein Ereignis wird generiert, wenn ein Initiator eine Richtlinie zu einer Benutzer- oder Zugriffsgruppe hinzufügt.
iam-am.policy.update Ein Ereignis wird generiert, wenn ein Initiator Berechtigungen für eine Richtlinie einer Benutzer- oder Zugriffsgruppe modifiziert.
iam-am.policy.delete Ein Ereignis wird generiert, wenn ein Initiator eine Richtlinie löscht, die einer Benutzer- oder Zugriffsgruppe zugewiesen ist.

Ereignisse für Service-IDs

n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:

Ereignisse, die für Aktionen mit Service-IDs erzeugt werden
Aktion Beschreibung
iam-identity.account-serviceid.create Ein Ereignis wird generiert, wenn ein Initiator eine Service-ID erstellt.
iam-identity.account-serviceid.update Ein Ereignis wird generiert, wenn ein Initiator eine Service-ID umbenennt oder dessen Beschreibung ändert.
iam-identity.account-serviceid.delete Ein Ereignis wird generiert, wenn ein Initiator eine Service-ID löscht.

Ereignisse für API-Schlüssel

n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:

Ereignisse, die für API-Schlüsselaktionen erzeugt werden
Aktion Beschreibung
iam-identity.user-apikey.create Ein Ereignis wird generiert, wenn ein Initiator einen API-Schlüssel erstellt.
iam-identity.user-apikey.update Ein Ereignis wird generiert, wenn ein Initiator einen API-Schlüssel umbenennt oder dessen Beschreibung ändert.
iam-identity.user-apikey.delete Ein Ereignis wird generiert, wenn ein Initiator einen API-Schlüssel löscht.
iam-identity.serviceid-apikey.create Ein Ereignis wird generiert, wenn ein Initiator einen API-Schlüssel für eine Service-ID erstellt.
iam-identity.serviceid-apikey.delete Ein Ereignis wird generiert, wenn ein Initiator einen API-Schlüssel für eine Service-ID löscht.
iam-identity.serviceid-apikey.update Ein Ereignis wird generiert, wenn ein Initiator einen API-Schlüssel für eine Service-ID umbenennt oder seine Beschreibung ändert.

Login- und Logout-Ereignisse

n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:

Ereignisse, die für Benutzeran- und -abmeldungen generiert werden
Aktion Beschreibung
iam-identity.user-apikey.login Ein Ereignis wird generiert, wenn sich ein Benutzer bei IBM Cloud mithilfe eines API-Schlüssels anmeldet.
iam-identity.serviceid-apikey.login Ein Ereignis wird generiert, wenn sich ein Initiator bei IBM Cloud mithilfe eines API-Schlüssels anmeldet, der einer Service-ID zugeordnet ist.
iam-identity.user-identitycookie.login Dies ist ein Ereignis, das generiert wird, wenn ein Initiator ein Identitätscookie anfordert, um eine Aktion auszuführen.
iam-identity.user-refreshtoken.login Dies ist ein Ereignis, das generiert wird, wenn sich der Initiator bei IBM Cloudanmeldet, oder wenn ein bereits angemeldeter Initiator ein neues Aktualisierungstoken anfordert, um eine Aktion auszuführen.
iam-identity.user-passcode.login iam-identity.trustedprofile-apikey.login Dies ist ein Ereignis, das generiert wird, wenn sich der Initiator bei IBM Cloud durch Anwendung eines vertrauenswürdigen Profils anmeldet, oder wenn ein bereits angemeldeter Initiator durch Anwendung eines anerkannten Profils ein neues Aktualisierungstoken anfordert, um eine Aktion auszuführen.
iam-identity.user.logout Dies ist ein Ereignis, das erzeugt wird, wenn sich der Initiator von der IBM Cloud abmeldet.

IAM-Ereignisse für Unternehmen

Politik tempalte Ereignisse

n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:

Ereignisse, die für vom Unternehmen verwaltete IAM-Richtlinienvorlagenaktionen generiert werden
Aktion Beschreibung
iam-access-management.policy-template.create Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlage erstellt.
iam-access-management.policy-template.update Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlage aktualisiert.
iam-access-management.policy-template.delete Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlage löscht.
iam-access-management.policy-template.read Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlage liest.
iam-access-management.policy-assignment.create Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlage untergeordneten Konten zuweist.
iam-access-management.policy-assignment.update Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlagenzuweisung aktualisiert.
iam-access-management.policy-assignment.delete Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlagenzuweisung löscht.
iam-access-management.policy-assignment.read Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlage liest.

Zugang zur Gruppe tempalte events

n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:

Ereignisse, die für vom Unternehmen verwaltete IAM-Zugriffsgruppen-Vorlagenaktionen generiert werden
Aktion Beschreibung
iam-groups.groups-template.create Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugangsgruppenvorlage erstellt.
iam-groups.groups-template.delete Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugangsgruppenvorlage löscht.
iam-groups.groups-template.update Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugangsgruppenvorlage aktualisiert.
iam-groups.groups-template.read Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugangsgruppenvorlage liest.
iam-groups.groups-template.assign Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugangsgruppenvorlage untergeordneten Konten zuweist.
iam-groups.groups-template.remove Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugriffsgruppenzuweisung aufhebt.
iam-groups.groups-template.assignment-read Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugriffsgruppenzuweisung liest.
iam-groups.groups-template.assignment-update Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugriffsgruppenzuweisung aktualisiert.

Vertrauenswürdiges Profil tempalte events

n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:

Ereignisse, die für vom Unternehmen verwaltete IAM-Vertrauensprofilvorlagenaktionen generiert werden
Aktion Beschreibung
iam-identity.profile-template.create Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete vertrauenswürdige IAM-Profilvorlage erstellt.
iam-identity.profile-template.delete Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Vertrauensprofilvorlage löscht.
iam-identity.profile-template.update Ein Ereignis wird generiert, wenn ein Benutzer ein vom Unternehmen verwaltetes IAM Trusted Profile Template aktualisiert.
iam-identity.profile-template.read Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Vertrauensprofilvorlage liest.
iam-identity.profile-template.assign Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete vertrauenswürdige IAM-Profilvorlage untergeordneten Konten zuweist.
iam-identity.profile-template.remove Ein Ereignis wird generiert, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Vertrauensprofilvorlagenzuweisung aufhebt.
iam-identity.profile-template.assignment-read Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Vertrauensprofilvorlagenzuweisung liest.
iam-identity.profile-template.assignment-update Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Vertrauensprofilvorlagenzuweisung aktualisiert.

Einstellungen tempalte Ereignisse

n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:

Ereignisse, die für vom Unternehmen verwaltete IAM-Einstellungsvorlagenaktionen generiert werden
Aktion Beschreibung
iam-identity.account-settings-template.create Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlage erstellt.
iam-identity.account-settings-template.delete Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlage löscht.
iam-identity.account-settings-template.update Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlage aktualisiert.
iam-identity.account-settings-template.read Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlage liest.
iam-identity.account-settings-template.assign Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlage untergeordneten Konten zuweist.
iam-identity.account-settings-template.remove Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlagenzuweisung entfernt.
iam-identity.account-settings-template.assignment-read Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlagenzuweisung liest.
iam-identity.account-settings-template.assignment-update Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlagenzuweisung aktualisiert.

Analyse von IAM-Aktivitätsverfolgungsereignissen

Anmeldeereignisse

In der IBM Cloud gibt es für einen Administrator bzw. einen Benutzer mit dem korrekten Zugriff in Ihrem Konto verschiedene Optionen zur Verwaltung der Anmeldeeinstellungen für einen Benutzer. Ein Administrator kann beispielsweise Optionen für die externe Authentifizierung bestellen, einen einmaligen Kenncode aktivieren, der während der Anmeldung verwendet werden soll, die Verwendung von Sicherheitsfragen bei der Anmeldung aktivieren oder einen Zeitraum für den Kennwort festlegen. Weitere Informationen finden Sie in Typen der Mehrfaktorauthentifizierung.

  • Ein Benutzer kann sich mit einer Benutzer-ID und einem Kennwort anmelden.
  • Ein föderierter Benutzer, der eine Firmen- oder Unternehmens-ID für das SSO verwendet, kann sich bei der IBM Cloud über die Befehlszeilenschnittstelle (CLI) mit einem einmaligen Kenncode oder einem API-Schlüssel anmelden. Weitere Informationen enthält der Abschnitt Mit föderierter ID anmelden.
  • Ein Benutzer kann sich mit einem API-Schlüssel anmelden.
  • Ein förderierter Benutzer, der eine Unternehmens-oder Enterprise Single Sign-on-ID verwendet, kann sich bei IBM Cloud anmelden, indem er ein vertrauenswürdiges Profil anwendet.

Die folgenden Felder enthalten zusätzliche Informationen:

  • Das Feld initiator.name enthält Informationen zu dem Benutzer, der sich beim Konto anmeldet.
  • Das Feld X-Global-Transaction-Id enthält eine ID, die Sie zum Öffnen eines Support-Tickets verwenden können, wenn Sie weitere Informationen erhalten wollen.

Über die IBM Cloud-Benutzerschnittstrelle anmelden

Wenn sich ein Benutzer über die IBM Cloud-Benutzerschnittstelle anmeldet, empfangen Sie im Konto ein Ereignis mit der Aktion iam-identity.user-refreshtoken.login.

Das folgende Feld enthält zusätzliche Informationen:

  • Im Abschnitt 'requestData' ist das Feld client_id auf den Wert HOP55v1CCT gesetzt. Dieser Wert gibt eine Anforderung über die Benutzerschnittstelle an.

Mit einer föderierten ID über die IBM Cloud-Befehlszeilenschnittstelle mithilfe eines einmaligen Kenncodes oder eines API-Schlüssels anmelden

Wenn sich ein Benutzer über die IBM Cloud-Befehlszeilenschnittstelle mithilfe eines einmaligen Kenncodes anmeldet, empfangen Sie im Konto ein Ereignis mit der Aktion iam-identity.user-refreshtoken.login.

Wenn sich ein Benutzer über die IBM Cloud-Befehlszeilenschnittstelle mithilfe eines API-Schlüssels anmeldet, empfangen Sie im Konto ein Ereignis mit der Aktion iam-identity.user-apikey.login.

Das folgende Feld enthält zusätzliche Informationen:

  • Im Abschnitt 'requestData' ist das Feld client_id auf den Wert bx gesetzt. Dieser Wert gibt eine Anforderung über die Befehlszeilenschnittstelle an.

Melden Sie sich mit einer föderierten ID unter Verwendung von anerkannten Profilen an.

Wenn sich ein Benutzer mit einer föderierten ID mithilfe von vertrauenswürdigen Profilen anmeldet, erhalten Sie ein Ereignis im Account mit der Aktion iam-identity.trustedprofile-apikey.login.

Aktionen für fehlgeschlagene Anmeldungen

Wenn sich ein Benutzer bei der IBM Cloud anmeldet, werden zuerst die Benutzer-ID (IBMid) und die Berechtigungsnachweise validiert. Zu diesem Zeitpunkt hat der Benutzer noch kein Konto ausgewählt. Zu beachten ist, dass ein Benutzer zu mehreren Konten gehören kann.

Nachdem die Benutzer-ID in der IBM Cloud erfolgreich authentifiziert wurde, kann der Benutzer ein Konto auswählen. Dies ist der Zeitpunkt, zu dem der Anmeldeanforderung ein Konto zugeordnet und in Ihrem Konto ein Ereignis mit der Aktion iam-identity.user-refreshtoken.login oder iam-identity.user-apikey.login generiert wird.

Unter IBM Cloud Activity Tracker Event Routing können Sie Ereignisse sehen, die mit Ihrem Konto verbunden sind. Aktionen für fehlgeschlagene Anmeldungen generieren keine Ereignisse, die Sie in Ihrem Konto überwachen können.

Abmeldeereignisse

Wenn sich ein Benutzer von der IBM Cloud abmeldet, wird das Ereignis " iam-identity.user.logout erzeugt.

Kontoservice-ID aktualisieren

Eine Service-ID dient (ähnlich wie eine Benutzer-ID, die einen Benutzer identifiziert) zur Identifikation eines Service oder einer Anwendung. Weitere Informationen.

Wenn eine Aktion zum Aktualisieren einer Service-ID angefordert wird, empfangen Sie im Konto ein Ereignis mit der Aktion iam-identity.account-serviceid.update.

Die folgenden Felder enthalten zusätzliche Informationen:

  • Das Feld initiator.name enthält Informationen zu dem Benutzer, der die Aktualisierung der Service-ID angefordert hat.
  • Das Feld target.name enthält Informationen zu der Service-ID, die geändert wird.
  • Das Feld initiator.host.agent gibt an, ob die Anforderung von der Benutzerschnittstelle oder von der Befehlszeilenschnittstelle stammt. Wenn das Feld auf Not Set (nicht festgelegt), wird die Anforderung in der Benutzerschnittstelle (UI) erstellt. Wenn das Feld auf IBM Cloud CLIgesetzt ist, wird die Anforderung an die Befehlszeile gesendet.

Service-ID sperren und entsperren

Das folgende Feld enthält zusätzliche Informationen:

  • Im Abschnitt 'requestData' ist das Feld lock auf den Wert true gesetzt, wenn die Service-ID gesperrt ist, bzw. auf false, wenn sie nicht gesperrt ist.

Beschreibung hinzufügen oder ändern

Wenn eine Anforderung zum Ändern einer Beschreibung ein Ereignis generiert, enthalten die folgenden Felder Informationen, mit deren Hilfe Sie diese Aktion feststellen können:

  • Im Abschnitt 'requestData' ist das Feld lock auf den Wert false gesetzt.
  • Im Abschnitt 'requestData' sind die Felder prev_instance_name und instance_name auf denselben Wert gesetzt.

Namen einer Service-ID ändern

Die folgenden Felder enthalten zusätzliche Informationen:

  • Im Abschnitt 'requestData' ist das Feld lock auf den Wert false gesetzt.
  • Im Abschnitt 'requestData' enthält das Feld instance_name den neuen Namen des API-Schlüssels.
  • Im Abschnitt 'requestData' enthält das Feld prev_instance_name den Namen des API-Schlüssels vor seiner Änderung.

Grenzen der Ereignisse

Die Anzahl der in einem Konto zulässigen Dienst-IDs, API-Schlüssel, vertrauenswürdigen Profile und Richtlinien ist begrenzt. Ein Ereignis wird erzeugt, wenn Ihr Konto 90 % des Limits für Dienst-IDs, API-Schlüssel, vertrauenswürdige Profile und Richtlinien erreicht.

Es folgt eine Beispielmeldung, wenn sich ein Konto der maximalen Anzahl von Service-IDs nähert:

Warnung: Sie haben 90% der maximal zulässigen Anzahl von Service-IDs im Konto 10t2tyv8d1f88940dfc56af370b1f109 erreicht. Ihr aktueller Zählerstand ist 1800 und die Grenze liegt bei 2000. Reduzieren Sie die Anzahl der Service-IDs, bevor Sie das Limit erreichen, um sicherzustellen, dass Sie nicht an der Erstellung neuer Service-IDs gehindert werden.

Wenden Sie die folgende Suchabfrage an, um alle Grenzwert-Ereignisse anzuzeigen:

  • the maximum number of allowed

Beginnen Sie damit, inaktive Identitäten zu entfernen, wenn sie nicht mehr benötigt werden. Weitere Informationen finden Sie unter Inaktive Identitäten identifizieren.

API-Schlüssel für einen Benutzer oder eine Service-ID aktualisieren

Wenn eine Aktion zum Aktualisieren eines API-Schlüssels angefordert wird, empfangen Sie im Konto ein Ereignis mit den folgenden Aktionen:

  • Die Aktion für die Aktualisierung eines API-Schlüssels für einen Benutzer heißt iam-identity.user-apikey.update.
  • Die Aktion für die Aktualisierung eines API-Schlüssels für eine Service-ID heißt iam-identity.account-serviceid.update.

Die folgenden Felder enthalten zusätzliche Informationen:

  • Das Feld initiator.name enthält Informationen darüber, wer die Aktualisierung des API-Schlüssels angefordert hat.
  • Das Feld target.name enthält Informationen zum API-Schlüssel, der geändert wird.
  • Das Feld initiator.host.agent gibt an, ob die Anforderung von der Benutzerschnittstelle oder von der Befehlszeilenschnittstelle stammt. Wenn das Feld auf Not Set (nicht festgelegt), wird die Anforderung in der Benutzerschnittstelle (UI) erstellt. Wenn das Feld auf IBM Cloud CLIgesetzt ist, wird die Anforderung an die Befehlszeile gesendet.

Service-ID sperren und entsperren

Das folgende Feld enthält zusätzliche Informationen:

  • Im Abschnitt 'requestData' ist das Feld lock auf den Wert true gesetzt, wenn der API-Schlüssel gesperrt ist, bzw. auf false, wenn er nicht gesperrt ist.

Beschreibung hinzufügen oder ändern

Wenn eine Anforderung zum Ändern einer Beschreibung ein Ereignis generiert, enthalten die folgenden Felder Informationen, mit deren Hilfe Sie diese Aktion feststellen können:

  • Im Abschnitt 'requestData' ist das Feld lock auf den Wert false gesetzt.
  • Im Abschnitt 'requestData' sind die Felder prev_instance_name und instance_name auf denselben Wert gesetzt.

Namen einer Service-ID ändern

Die folgenden Felder enthalten zusätzliche Informationen:

  • Im Abschnitt 'requestData' ist das Feld lock auf den Wert false gesetzt.
  • Im Abschnitt 'requestData' enthält das Feld instance_name den neuen Namen des API-Schlüssels.
  • Im Abschnitt 'requestData' enthält das Feld prev_instance_name den Namen des API-Schlüssels vor seiner Änderung.

Fehlgeschlagene Ereignisse analysieren

Initiator ohne Berechtigung - Anforderung zum Aktualisieren eines API-Schlüssels oder einer Service-ID schlägt fehl

Wenn sich ein Benutzer beispielsweise mit einem API-Schlüssel bei Ihrem Konto anmeldet, wird der Benutzer für den Zugriff auf Ihr Konto authentifiziert. Dieser API-Schlüssel ist möglicherweise jedoch nicht zur Ausführung von Aktionen für das Ändern von API-Schlüsseln oder Service-IDs im Konto berechtigt. In einem solchen Fall empfangen Sie eine der folgenden Nachrichten:

  • IAM Identity Service: Aktualisieren des API-Schlüssels für Benutzer 'name_des_api-schlüssels' fehlgeschlagen.
  • ** IAM Identity Service: Aktualisieren der Kontoservice-ID 'name_der_service-id' fehlgeschlagen.**

Informationen zu dem Benutzer, der eine Änderung an einem API-Schlüssel oder einer Service-ID angefordert hat, können Sie den Feldern für den Initiator im Ereignis entnehmen.

Wenn ein Benutzer nicht zur Ausführung dieser Aktion in Ihrem Konto berechtigt ist, empfangen Sie ein Fehlerereignis:

  • Das Feld initiator.name ist leer. Diese Informationen sind zum Zeitpunkt der Generierung des Ereignisses nicht verfügbar.
  • Die Benutzer-ID wurde in Ihrem IBM Cloud-Konto authentifiziert.
  • Ziel der Aktion ist Ihr Konto.
  • Die Benutzer-ID ist nicht berechtigt, diese Aktion in Ihrem Konto auszuführen.

Führen Sie die folgenden Schritte aus, um zu ermitteln, welcher Benutzer versucht hat, einen API-Schlüssel oder eine Service-ID zu ändern:

  1. Kopieren Sie den Wert des Feldes initiator.id. Dieses Feld enthält die ID des Benutzers, der versucht hat, diese Aktion in Ihrem Konto auszuführen.

  2. Rufen Sie die E-Mail-Adresse ab, die dem Benutzer zugeordnet ist. Für diesen Schritt müssen Sie im Konto eine Administratorberechtigung besitzen. Führen Sie den folgenden Befehl aus:

    ibmcloud iam users --output json | grep -A 1 InitiatorID

    Hierbei steht 'initiator-id' für den Wert des Feldes initiator.id mit dem Format 'IBMid-XXXXXXXXXX'.

    Die Ausgabe dieses Befehls gibt 2 Felder zurück. Das Feld ibmUniqueId gibt die ID des Benutzers an, der mit dem Feld initiator.name des Ereignisses übereinstimmt. Das Feld email zeigt die E-Mail-Adresse, die dieser ID zugeordnet ist.

Den API-Schlüssel, für den die Aktion angefordert wurde und fehlgeschlagen ist, finden Sie im Feld prev_instance_name unter 'requestData'.

Gesperrte Ressource - Anforderung zum Aktualisieren einer Service-ID oder eines API-Schlüssels schlägt fehl

Wenn eine Service-ID oder ein API-Schlüssel gesperrt ist, können Sie keines der zugehörigen Attribute ändern. Das generierte Ereignis enthält im Feld outcome den Wert failure.

Je nach Ressourcentyp empfangen Sie unter Umständen eine oder mehrere der folgenden Nachrichten:

  • Service-ID: Die empfangene Nachricht lautet IAM Identity Service: Aktualisieren von Kontoservice-ID 'name_der_service-id' fehlgeschlagen; hierbei steht name_der_service-id für den Namen der Service-ID.
  • API-Schlüssel für Benutzer: Die empfangene Nachricht lautet IAM Identity Service: Aktualisieren von API-Schlüssel für Benutzer 'name_des_api-schlüssels' fehlgeschlagen; hierbei steht name_des_api-schlüssels für den Namen des API-Schlüssels.
  • API-Schlüssel für Konto: Die empfangene Nachricht lautet IAM Identity Service: Aktualisieren von API-Schlüssel für Konto 'name_des_api-schlüssels' fehlgeschlagen; hierbei steht name_des_api-schlüssels für den Namen des API-Schlüssels.

Im Ereignis ist das Feld lock unter 'requestData' auf true gesetzt. Aus diesem Grund ist die Aktion fehlgeschlagen. Damit ein Attribut einer Service-ID erfolgreich geändert werden kann, muss das Feld lock auf false gesetzt sein.

Zu beachten ist, dass das Feld severity auf critical (= kritisch) gesetzt ist. Jemand versucht, eine Service-ID zu ändern, die im Konto gesperrt ist.