Ereignisse zur Aktivitätsverfolgung für IAM
IBM Cloud Das Identity and Access Management (IAM) erzeugt Ereignisse zur Aktivitätsverfolgung.
Ereignisse zur Aktivitätsverfolgung berichten über Aktivitäten, die den Zustand eines Dienstes in IBM Cloud ändern. Sie können die Ereignisse nutzen, um abnormale Aktivitäten und kritische Aktionen zu untersuchen und um die gesetzlichen Prüfungsanforderungen zu erfüllen.
Sie können IBM Cloud Activity Tracker Event Routing, einen Plattformdienst, verwenden, um Überprüfungsereignisse in Ihrem Konto an Ziele Ihrer Wahl weiterzuleiten, indem Sie Ziele und Routen konfigurieren, die festlegen, wohin Ereignisse zur Aktivitätsverfolgung gesendet werden. Weitere Informationen hierzu finden Sie im Abschnitt mit den Informationen zu IBM Cloud Activity Tracker Event Routing.
Sie können IBM Cloud Logs verwenden, um Ereignisse, die in Ihrem Konto erzeugt und von IBM Cloud Activity Tracker Event Routing an eine IBM Cloud Logs Instanz weitergeleitet werden, zu visualisieren und zu melden.
Orte, an denen Ereignisse der Aktivitätsverfolgung von IBM Cloud Activity Tracker Event Routing gesendet werden
IAM sendet Ereignisse zur Aktivitätsverfolgung nach IBM Cloud Activity Tracker Event Routing in den Regionen, die in der folgenden Tabelle angegeben sind.
Dallas (us-south ) |
Washington (us-east ) |
Toronto (ca-tor ) |
Sao Paulo (br-sao ) |
---|---|---|---|
Nein | Nein | Nein | Nein |
Tokio (jp-tok ) |
Sydney (au-syd ) |
Osaka (jp-osa ) |
in-che |
---|---|---|---|
Nein | Nein | Nein | Nein |
Frankfurt (eu-de ) |
London (eu-gb ) |
Madrid (eu-es ) |
---|---|---|
Ja | Nein | Nein |
Starten von IBM Cloud Logs von der Observability-Seite
Für Informationen zum Starten der IBM Cloud Logs UI, siehe Starten der UI im IBM Cloud Logs.
Anzeigen von Ereignissen zur Aktivitätsverfolgung für IAM
Sie können IBM Cloud Logs verwenden, um Ereignisse, die in Ihrem Konto erzeugt und von IBM Cloud Activity Tracker Event Routing an eine IBM Cloud Logs Instanz weitergeleitet werden, zu visualisieren und zu melden.
Der IAM-Dienst generiert globale Aktivitätsverfolgungsereignisse für die in diesem Dokument aufgeführten Aktionen. Wählen Sie Platform events (global)
als den Ort, von dem aus Prüfungsereignisse gesendet werden sollen, wenn Sie eine IBM Cloud Activity Tracker Event Routing Route konfigurieren.
Um IAM-Ereignisse im IBM Cloud Logs anzuzeigen, gehen Sie zum Filter Subsysteme und wählen Sie die Werte mit dem Präfix " iam-
aus. Zum Beispiel " iam-am
, " iam-identity
oder " iam-groups
.
Ereignisse für Zugriffsgruppen
Kontoereignisse
n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:
Aktion | Beschreibung |
---|---|
iam-groups.account-settings.read |
Ein Ereignis wird generiert, wenn ein Initiator die Kontoeinstellungen für den Service der Zugriffsgruppen anzeigt. |
iam-groups.account-settings.update |
Ein Ereignis wird generiert, wenn ein Initiator seine Kontoeinstellungen für den Zugriffsgruppenservice aktualisiert. |
Ereignisse für Zugriffsgruppen
n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:
Aktion | Beschreibung |
---|---|
iam-groups.group.create |
Ein Ereignis wird generiert, wenn ein Initiator eine Zugriffsgruppe erstellt. |
iam-groups.group.read |
Ein Ereignis wird generiert, wenn ein Initiator eine Zugriffsgruppe anzeigt. |
iam-groups.group.update |
Ein Ereignis wird generiert, wenn ein Initiator einen Gruppennamen oder eine Beschreibung aktualisiert. |
iam-groups.group.delete |
Ein Ereignis wird generiert, wenn ein Initiator eine Zugriffsgruppe löscht. |
iam-groups.groups.list |
Ein Ereignis wird generiert, wenn ein Initiator die Zugriffsgruppen anzeigt. |
Mitgliederereignisse
n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:
Aktion | Beschreibung |
---|---|
iam-groups.federated-member.add |
Ein Ereignis wird generiert, wenn sich ein Initiator beim Konto anmeldet und eine föderierte Zugehörigkeit zu einer Zugriffsgruppe erhält. |
iam-groups.member.add |
Ein Ereignis wird generiert, wenn ein Initiator ein Mitglied zu einer Zugriffsgruppe hinzufügt. |
iam-groups.member.delete |
Ein Ereignis wird generiert, wenn ein Initiator ein Mitglied aus einer Zugriffsgruppe entfernt. |
iam-groups.member.read |
Ein Ereignis wird generiert, wenn ein Initiator die Mitgliedschaft eines Mitglieds anzeigt. |
iam-groups.members.list |
Ein Ereignis wird generiert, wenn ein Initiator die Mitglieder für eine Zugriffsgruppe anzeigt. |
Regelereignisse
n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:
Aktion | Beschreibung |
---|---|
iam-groups.rule.read |
Ein Ereignis wird generiert, wenn ein Initiator eine Regel in einer Zugriffsgruppe anzeigt. |
iam-groups.rule.create |
Ein Ereignis wird generiert, wenn ein Initiator eine Regel zu einer Zugriffsgruppe hinzufügt. |
iam-groups.rule.update |
Ein Ereignis wird generiert, wenn ein Initiator den Regelnamen ändert. |
iam-groups.rule.delete |
Ein Ereignis wird generiert, wenn ein Initiator eine Regel aus einer Zugriffsgruppe löscht. |
iam-groups.rules.list |
Ein Ereignis wird generiert, wenn ein Initiator die Zugriffsgruppen anzeigt. |
Ereignisse für vertrauenswürdige Profile
n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:
Aktion | Beschreibung |
---|---|
iam-identity.account-profile.create |
Ein Ereignis wird generiert, wenn ein Initiator ein vertrauenswürdiges Profil erstellt. |
iam-identity.account-profile.update |
Ein Ereignis wird generiert, wenn ein Initiator ein vertrauenswürdiges Profil aktualisiert. |
iam-identity.account-profile.delete |
Ein Ereignis wird generiert, wenn ein Initiator ein vertrauenswürdiges Profil löscht. |
Richtlinienereignisse
n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:
Aktion | Beschreibung |
---|---|
iam-am.policy.create |
Ein Ereignis wird generiert, wenn ein Initiator eine Richtlinie zu einer Benutzer- oder Zugriffsgruppe hinzufügt. |
iam-am.policy.update |
Ein Ereignis wird generiert, wenn ein Initiator Berechtigungen für eine Richtlinie einer Benutzer- oder Zugriffsgruppe modifiziert. |
iam-am.policy.delete |
Ein Ereignis wird generiert, wenn ein Initiator eine Richtlinie löscht, die einer Benutzer- oder Zugriffsgruppe zugewiesen ist. |
Ereignisse für Service-IDs
n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:
Aktion | Beschreibung |
---|---|
iam-identity.account-serviceid.create |
Ein Ereignis wird generiert, wenn ein Initiator eine Service-ID erstellt. |
iam-identity.account-serviceid.update |
Ein Ereignis wird generiert, wenn ein Initiator eine Service-ID umbenennt oder dessen Beschreibung ändert. |
iam-identity.account-serviceid.delete |
Ein Ereignis wird generiert, wenn ein Initiator eine Service-ID löscht. |
Ereignisse für API-Schlüssel
n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:
Aktion | Beschreibung |
---|---|
iam-identity.user-apikey.create |
Ein Ereignis wird generiert, wenn ein Initiator einen API-Schlüssel erstellt. |
iam-identity.user-apikey.update |
Ein Ereignis wird generiert, wenn ein Initiator einen API-Schlüssel umbenennt oder dessen Beschreibung ändert. |
iam-identity.user-apikey.delete |
Ein Ereignis wird generiert, wenn ein Initiator einen API-Schlüssel löscht. |
iam-identity.serviceid-apikey.create |
Ein Ereignis wird generiert, wenn ein Initiator einen API-Schlüssel für eine Service-ID erstellt. |
iam-identity.serviceid-apikey.delete |
Ein Ereignis wird generiert, wenn ein Initiator einen API-Schlüssel für eine Service-ID löscht. |
iam-identity.serviceid-apikey.update |
Ein Ereignis wird generiert, wenn ein Initiator einen API-Schlüssel für eine Service-ID umbenennt oder seine Beschreibung ändert. |
Login- und Logout-Ereignisse
n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:
Aktion | Beschreibung |
---|---|
iam-identity.user-apikey.login |
Ein Ereignis wird generiert, wenn sich ein Benutzer bei IBM Cloud mithilfe eines API-Schlüssels anmeldet. |
iam-identity.serviceid-apikey.login |
Ein Ereignis wird generiert, wenn sich ein Initiator bei IBM Cloud mithilfe eines API-Schlüssels anmeldet, der einer Service-ID zugeordnet ist. |
iam-identity.user-identitycookie.login |
Dies ist ein Ereignis, das generiert wird, wenn ein Initiator ein Identitätscookie anfordert, um eine Aktion auszuführen. |
iam-identity.user-refreshtoken.login |
Dies ist ein Ereignis, das generiert wird, wenn sich der Initiator bei IBM Cloudanmeldet, oder wenn ein bereits angemeldeter Initiator ein neues Aktualisierungstoken anfordert, um eine Aktion auszuführen. |
iam-identity.user-passcode.login iam-identity.trustedprofile-apikey.login |
Dies ist ein Ereignis, das generiert wird, wenn sich der Initiator bei IBM Cloud durch Anwendung eines vertrauenswürdigen Profils anmeldet, oder wenn ein bereits angemeldeter Initiator durch Anwendung eines anerkannten Profils ein neues Aktualisierungstoken anfordert, um eine Aktion auszuführen. |
iam-identity.user.logout |
Dies ist ein Ereignis, das erzeugt wird, wenn sich der Initiator von der IBM Cloud abmeldet. |
IAM-Ereignisse für Unternehmen
Politik tempalte Ereignisse
n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:
Aktion | Beschreibung |
---|---|
iam-access-management.policy-template.create |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlage erstellt. |
iam-access-management.policy-template.update |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlage aktualisiert. |
iam-access-management.policy-template.delete |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlage löscht. |
iam-access-management.policy-template.read |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlage liest. |
iam-access-management.policy-assignment.create |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlage untergeordneten Konten zuweist. |
iam-access-management.policy-assignment.update |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlagenzuweisung aktualisiert. |
iam-access-management.policy-assignment.delete |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlagenzuweisung löscht. |
iam-access-management.policy-assignment.read |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Richtlinienvorlage liest. |
Zugang zur Gruppe tempalte events
n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:
Aktion | Beschreibung |
---|---|
iam-groups.groups-template.create |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugangsgruppenvorlage erstellt. |
iam-groups.groups-template.delete |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugangsgruppenvorlage löscht. |
iam-groups.groups-template.update |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugangsgruppenvorlage aktualisiert. |
iam-groups.groups-template.read |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugangsgruppenvorlage liest. |
iam-groups.groups-template.assign |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugangsgruppenvorlage untergeordneten Konten zuweist. |
iam-groups.groups-template.remove |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugriffsgruppenzuweisung aufhebt. |
iam-groups.groups-template.assignment-read |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugriffsgruppenzuweisung liest. |
iam-groups.groups-template.assignment-update |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Zugriffsgruppenzuweisung aktualisiert. |
Vertrauenswürdiges Profil tempalte events
n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:
Aktion | Beschreibung |
---|---|
iam-identity.profile-template.create |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete vertrauenswürdige IAM-Profilvorlage erstellt. |
iam-identity.profile-template.delete |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Vertrauensprofilvorlage löscht. |
iam-identity.profile-template.update |
Ein Ereignis wird generiert, wenn ein Benutzer ein vom Unternehmen verwaltetes IAM Trusted Profile Template aktualisiert. |
iam-identity.profile-template.read |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Vertrauensprofilvorlage liest. |
iam-identity.profile-template.assign |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete vertrauenswürdige IAM-Profilvorlage untergeordneten Konten zuweist. |
iam-identity.profile-template.remove |
Ein Ereignis wird generiert, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Vertrauensprofilvorlagenzuweisung aufhebt. |
iam-identity.profile-template.assignment-read |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Vertrauensprofilvorlagenzuweisung liest. |
iam-identity.profile-template.assignment-update |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Vertrauensprofilvorlagenzuweisung aktualisiert. |
Einstellungen tempalte Ereignisse
n der folgenden Tabelle sind die Aktionen aufgelistet, die ein Ereignis generieren:
Aktion | Beschreibung |
---|---|
iam-identity.account-settings-template.create |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlage erstellt. |
iam-identity.account-settings-template.delete |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlage löscht. |
iam-identity.account-settings-template.update |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlage aktualisiert. |
iam-identity.account-settings-template.read |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlage liest. |
iam-identity.account-settings-template.assign |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlage untergeordneten Konten zuweist. |
iam-identity.account-settings-template.remove |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlagenzuweisung entfernt. |
iam-identity.account-settings-template.assignment-read |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlagenzuweisung liest. |
iam-identity.account-settings-template.assignment-update |
Ein Ereignis wird erzeugt, wenn ein Benutzer eine vom Unternehmen verwaltete IAM-Einstellungsvorlagenzuweisung aktualisiert. |
Analyse von IAM-Aktivitätsverfolgungsereignissen
Anmeldeereignisse
In der IBM Cloud gibt es für einen Administrator bzw. einen Benutzer mit dem korrekten Zugriff in Ihrem Konto verschiedene Optionen zur Verwaltung der Anmeldeeinstellungen für einen Benutzer. Ein Administrator kann beispielsweise Optionen für die externe Authentifizierung bestellen, einen einmaligen Kenncode aktivieren, der während der Anmeldung verwendet werden soll, die Verwendung von Sicherheitsfragen bei der Anmeldung aktivieren oder einen Zeitraum für den Kennwort festlegen. Weitere Informationen finden Sie in Typen der Mehrfaktorauthentifizierung.
- Ein Benutzer kann sich mit einer Benutzer-ID und einem Kennwort anmelden.
- Ein föderierter Benutzer, der eine Firmen- oder Unternehmens-ID für das SSO verwendet, kann sich bei der IBM Cloud über die Befehlszeilenschnittstelle (CLI) mit einem einmaligen Kenncode oder einem API-Schlüssel anmelden. Weitere Informationen enthält der Abschnitt Mit föderierter ID anmelden.
- Ein Benutzer kann sich mit einem API-Schlüssel anmelden.
- Ein förderierter Benutzer, der eine Unternehmens-oder Enterprise Single Sign-on-ID verwendet, kann sich bei IBM Cloud anmelden, indem er ein vertrauenswürdiges Profil anwendet.
Die folgenden Felder enthalten zusätzliche Informationen:
- Das Feld
initiator.name
enthält Informationen zu dem Benutzer, der sich beim Konto anmeldet. - Das Feld
X-Global-Transaction-Id
enthält eine ID, die Sie zum Öffnen eines Support-Tickets verwenden können, wenn Sie weitere Informationen erhalten wollen.
Über die IBM Cloud-Benutzerschnittstrelle anmelden
Wenn sich ein Benutzer über die IBM Cloud-Benutzerschnittstelle anmeldet, empfangen Sie im Konto ein Ereignis mit der Aktion iam-identity.user-refreshtoken.login
.
Das folgende Feld enthält zusätzliche Informationen:
- Im Abschnitt 'requestData' ist das Feld
client_id
auf den Wert HOP55v1CCT gesetzt. Dieser Wert gibt eine Anforderung über die Benutzerschnittstelle an.
Mit einer föderierten ID über die IBM Cloud-Befehlszeilenschnittstelle mithilfe eines einmaligen Kenncodes oder eines API-Schlüssels anmelden
Wenn sich ein Benutzer über die IBM Cloud-Befehlszeilenschnittstelle mithilfe eines einmaligen Kenncodes anmeldet, empfangen Sie im Konto ein Ereignis mit der Aktion
iam-identity.user-refreshtoken.login
.
Wenn sich ein Benutzer über die IBM Cloud-Befehlszeilenschnittstelle mithilfe eines API-Schlüssels anmeldet, empfangen Sie im Konto ein Ereignis mit der Aktion iam-identity.user-apikey.login
.
Das folgende Feld enthält zusätzliche Informationen:
- Im Abschnitt 'requestData' ist das Feld
client_id
auf den Wert bx gesetzt. Dieser Wert gibt eine Anforderung über die Befehlszeilenschnittstelle an.
Melden Sie sich mit einer föderierten ID unter Verwendung von anerkannten Profilen an.
Wenn sich ein Benutzer mit einer föderierten ID mithilfe von vertrauenswürdigen Profilen anmeldet, erhalten Sie ein Ereignis im Account mit der Aktion iam-identity.trustedprofile-apikey.login
.
Aktionen für fehlgeschlagene Anmeldungen
Wenn sich ein Benutzer bei der IBM Cloud anmeldet, werden zuerst die Benutzer-ID (IBMid) und die Berechtigungsnachweise validiert. Zu diesem Zeitpunkt hat der Benutzer noch kein Konto ausgewählt. Zu beachten ist, dass ein Benutzer zu mehreren Konten gehören kann.
Nachdem die Benutzer-ID in der IBM Cloud erfolgreich authentifiziert wurde, kann der Benutzer ein Konto auswählen. Dies ist der Zeitpunkt, zu dem der Anmeldeanforderung ein Konto zugeordnet und in Ihrem Konto ein Ereignis mit der Aktion
iam-identity.user-refreshtoken.login
oder iam-identity.user-apikey.login
generiert wird.
Unter IBM Cloud Activity Tracker Event Routing können Sie Ereignisse sehen, die mit Ihrem Konto verbunden sind. Aktionen für fehlgeschlagene Anmeldungen generieren keine Ereignisse, die Sie in Ihrem Konto überwachen können.
Abmeldeereignisse
Wenn sich ein Benutzer von der IBM Cloud abmeldet, wird das Ereignis " iam-identity.user.logout
erzeugt.
Kontoservice-ID aktualisieren
Eine Service-ID dient (ähnlich wie eine Benutzer-ID, die einen Benutzer identifiziert) zur Identifikation eines Service oder einer Anwendung. Weitere Informationen.
Wenn eine Aktion zum Aktualisieren einer Service-ID angefordert wird, empfangen Sie im Konto ein Ereignis mit der Aktion iam-identity.account-serviceid.update
.
Die folgenden Felder enthalten zusätzliche Informationen:
- Das Feld
initiator.name
enthält Informationen zu dem Benutzer, der die Aktualisierung der Service-ID angefordert hat. - Das Feld
target.name
enthält Informationen zu der Service-ID, die geändert wird. - Das Feld
initiator.host.agent
gibt an, ob die Anforderung von der Benutzerschnittstelle oder von der Befehlszeilenschnittstelle stammt. Wenn das Feld auf Not Set (nicht festgelegt), wird die Anforderung in der Benutzerschnittstelle (UI) erstellt. Wenn das Feld auf IBM Cloud CLIgesetzt ist, wird die Anforderung an die Befehlszeile gesendet.
Service-ID sperren und entsperren
Das folgende Feld enthält zusätzliche Informationen:
- Im Abschnitt 'requestData' ist das Feld
lock
auf den Wert true gesetzt, wenn die Service-ID gesperrt ist, bzw. auf false, wenn sie nicht gesperrt ist.
Beschreibung hinzufügen oder ändern
Wenn eine Anforderung zum Ändern einer Beschreibung ein Ereignis generiert, enthalten die folgenden Felder Informationen, mit deren Hilfe Sie diese Aktion feststellen können:
- Im Abschnitt 'requestData' ist das Feld
lock
auf den Wert false gesetzt. - Im Abschnitt 'requestData' sind die Felder
prev_instance_name
undinstance_name
auf denselben Wert gesetzt.
Namen einer Service-ID ändern
Die folgenden Felder enthalten zusätzliche Informationen:
- Im Abschnitt 'requestData' ist das Feld
lock
auf den Wert false gesetzt. - Im Abschnitt 'requestData' enthält das Feld
instance_name
den neuen Namen des API-Schlüssels. - Im Abschnitt 'requestData' enthält das Feld
prev_instance_name
den Namen des API-Schlüssels vor seiner Änderung.
Grenzen der Ereignisse
Die Anzahl der in einem Konto zulässigen Dienst-IDs, API-Schlüssel, vertrauenswürdigen Profile und Richtlinien ist begrenzt. Ein Ereignis wird erzeugt, wenn Ihr Konto 90 % des Limits für Dienst-IDs, API-Schlüssel, vertrauenswürdige Profile und Richtlinien erreicht.
Es folgt eine Beispielmeldung, wenn sich ein Konto der maximalen Anzahl von Service-IDs nähert:
Warnung: Sie haben 90% der maximal zulässigen Anzahl von Service-IDs im Konto 10t2tyv8d1f88940dfc56af370b1f109 erreicht. Ihr aktueller Zählerstand ist 1800 und die Grenze liegt bei 2000. Reduzieren Sie die Anzahl der Service-IDs, bevor Sie das Limit erreichen, um sicherzustellen, dass Sie nicht an der Erstellung neuer Service-IDs gehindert werden.
Wenden Sie die folgende Suchabfrage an, um alle Grenzwert-Ereignisse anzuzeigen:
the maximum number of allowed
Beginnen Sie damit, inaktive Identitäten zu entfernen, wenn sie nicht mehr benötigt werden. Weitere Informationen finden Sie unter Inaktive Identitäten identifizieren.
API-Schlüssel für einen Benutzer oder eine Service-ID aktualisieren
Wenn eine Aktion zum Aktualisieren eines API-Schlüssels angefordert wird, empfangen Sie im Konto ein Ereignis mit den folgenden Aktionen:
- Die Aktion für die Aktualisierung eines API-Schlüssels für einen Benutzer heißt
iam-identity.user-apikey.update
. - Die Aktion für die Aktualisierung eines API-Schlüssels für eine Service-ID heißt
iam-identity.account-serviceid.update
.
Die folgenden Felder enthalten zusätzliche Informationen:
- Das Feld
initiator.name
enthält Informationen darüber, wer die Aktualisierung des API-Schlüssels angefordert hat. - Das Feld
target.name
enthält Informationen zum API-Schlüssel, der geändert wird. - Das Feld
initiator.host.agent
gibt an, ob die Anforderung von der Benutzerschnittstelle oder von der Befehlszeilenschnittstelle stammt. Wenn das Feld auf Not Set (nicht festgelegt), wird die Anforderung in der Benutzerschnittstelle (UI) erstellt. Wenn das Feld auf IBM Cloud CLIgesetzt ist, wird die Anforderung an die Befehlszeile gesendet.
Service-ID sperren und entsperren
Das folgende Feld enthält zusätzliche Informationen:
- Im Abschnitt 'requestData' ist das Feld
lock
auf den Wert true gesetzt, wenn der API-Schlüssel gesperrt ist, bzw. auf false, wenn er nicht gesperrt ist.
Beschreibung hinzufügen oder ändern
Wenn eine Anforderung zum Ändern einer Beschreibung ein Ereignis generiert, enthalten die folgenden Felder Informationen, mit deren Hilfe Sie diese Aktion feststellen können:
- Im Abschnitt 'requestData' ist das Feld
lock
auf den Wert false gesetzt. - Im Abschnitt 'requestData' sind die Felder
prev_instance_name
undinstance_name
auf denselben Wert gesetzt.
Namen einer Service-ID ändern
Die folgenden Felder enthalten zusätzliche Informationen:
- Im Abschnitt 'requestData' ist das Feld
lock
auf den Wert false gesetzt. - Im Abschnitt 'requestData' enthält das Feld
instance_name
den neuen Namen des API-Schlüssels. - Im Abschnitt 'requestData' enthält das Feld
prev_instance_name
den Namen des API-Schlüssels vor seiner Änderung.
Fehlgeschlagene Ereignisse analysieren
Gesperrte Ressource - Anforderung zum Aktualisieren einer Service-ID oder eines API-Schlüssels schlägt fehl
Wenn eine Service-ID oder ein API-Schlüssel gesperrt ist, können Sie keines der zugehörigen Attribute ändern. Das generierte Ereignis enthält im Feld outcome
den Wert failure.
Je nach Ressourcentyp empfangen Sie unter Umständen eine oder mehrere der folgenden Nachrichten:
- Service-ID: Die empfangene Nachricht lautet IAM Identity Service: Aktualisieren von Kontoservice-ID 'name_der_service-id' fehlgeschlagen; hierbei steht name_der_service-id für den Namen der Service-ID.
- API-Schlüssel für Benutzer: Die empfangene Nachricht lautet IAM Identity Service: Aktualisieren von API-Schlüssel für Benutzer 'name_des_api-schlüssels' fehlgeschlagen; hierbei steht name_des_api-schlüssels für den Namen des API-Schlüssels.
- API-Schlüssel für Konto: Die empfangene Nachricht lautet IAM Identity Service: Aktualisieren von API-Schlüssel für Konto 'name_des_api-schlüssels' fehlgeschlagen; hierbei steht name_des_api-schlüssels für den Namen des API-Schlüssels.
Im Ereignis ist das Feld lock
unter 'requestData' auf true gesetzt. Aus diesem Grund ist die Aktion fehlgeschlagen. Damit ein Attribut einer Service-ID erfolgreich geändert werden kann, muss das Feld lock
auf false gesetzt sein.
Zu beachten ist, dass das Feld severity
auf critical (= kritisch) gesetzt ist. Jemand versucht, eine Service-ID zu ändern, die im Konto gesperrt ist.