IBM Cloud Docs
IAMのアクティビティ追跡イベント

IAMのアクティビティ追跡イベント

IBM Cloud Identity and Access Management(IAM)はアクティビティ追跡イベントを生成する。

アクティビティ追跡イベントは、IBM Cloud内のサービスの状態を変更するアクティビティについてレポートします。 イベントを使用して、異常な活動や重要なアクションを調査し、規制監査要件を満たすことができます。

プラットフォームサービスであるIBM Cloud Activity Tracker Event Routingを使用して、アクティビティトラッキングイベントの送信先を定義するターゲットとルートを設定することで、アカウント内の監査イベントを任意の送信先にルーティングすることができます。 詳しくは、IBM Cloud Activity Tracker Event Routing の概要を参照してください。

IBM Cloud Logsを使用すると、アカウントで生成され、IBM Cloud Activity Tracker Event Routingによって IBM Cloud Logsインスタンスにルーティングされたイベントを視覚化し、警告することができます。

2024年3月28日をもって、IBM Cloud Activity Trackerサービスは廃止され、2025年3月30日をもってサポートされなくなります。 顧客は2025年3月30日までにIBM Cloud Logsに移行する必要がある。 移行期間中、顧客はIBM Cloud Activity Trackerと IBM Cloud Logsを使用することができます。 アクティビティ追跡イベントは、どちらのサービスでも同じです。 IBM Cloud Activity Trackerから IBM Cloud Logsへの移行とサービスの並列実行については、移行計画 を参照してください。

活動追跡イベントがIBM Cloud Activity Tracker主催のイベント検索に送信される場所

非推奨

IAMはIBM Cloud Activity Tracker主催イベント検索に、以下の表に示すリージョンでアクティビティ・トラッキング・イベントを送信する。

アクティビティ・トラッキング・イベントがアメリカ大陸で送信される地域
ダラス(us-south ワシントン (us-east) トロント (ca-tor) サンパウロ (br-sao)
いいえ いいえ いいえ いいえ
アジア太平洋地域でアクティビティ追跡イベントが送信される地域
東京(jp-tok シドニー(au-syd 大阪 (jp-osa) in-che
いいえ いいえ いいえ いいえ
アクティビティ追跡イベントが送信されるヨーロッパ地域
フランクフルト(eu-de ロンドン(eu-gb マドリード (eu-es)
はい いいえ いいえ

イベントは Frankfurt (eu-de) 地域でご利用いただけます。

これらのイベントを表示するには、 IBM Cloud Activity Tracker サービスのインスタンスをプロビジョニングする必要があります [。] 非推奨 {: tag-red}フランクフルト(ユーデ)地域にあります。 次に、IBM Cloud Activity TrackerUI を開く必要があります。

活動トラッキングイベントがIBM Cloud Activity Tracker Event Routingによって送信される場所

IAMは、IBM Cloud Activity Tracker Event Routingによるアクティビティ・トラッキング・イベントを、以下の表に示す地域で送信します。

アクティビティ・トラッキング・イベントがアメリカ大陸で送信される地域
ダラス(us-south ワシントン (us-east) トロント (ca-tor) サンパウロ (br-sao)
いいえ いいえ いいえ いいえ
アジア太平洋地域でアクティビティ追跡イベントが送信される地域
東京(jp-tok シドニー(au-syd 大阪 (jp-osa) in-che
いいえ いいえ いいえ いいえ
アクティビティ追跡イベントが送信されるヨーロッパ地域
フランクフルト(eu-de ロンドン(eu-gb マドリード (eu-es)
はい いいえ いいえ

ObservabilityページからIBM Cloud Logsを起動する

IBM Cloud LogsUIの起動については、「IBM Cloud LogsでUIを起動する。 参照。

IAMのアクティビティ追跡イベントの表示

IBM Cloud Logsを使用すると、アカウントで生成され、IBM Cloud Activity Tracker Event Routingによって IBM Cloud Logsインスタンスにルーティングされたイベントを視覚化し、警告することができます。

IAMサービスは、このドキュメントに記載されているアクションについて、グローバル・アクティビティ追跡イベント を生成する。 Activity Trackerのルートを設定するときに、監査イベントを送信する場所として「Platform events (global) 選択します。

IBM Cloud Logsダッシュボードで IAM イベントを表示するには、**サブシステム・**フィルタに移動し、接頭辞 'iam- を持つ値を選択します。 例えば、'iam-am、'iam-identity、'iam-groups

アクセス・グループ・イベント

アカウント・イベント

次の表に、イベントを生成するアクションのリストを示します。

アクセスグループに対して発生するイベント
アクション 説明
iam-groups.account-settings.read イニシエーターがアクセス・グループ・サービスのアカウント設定を表示すると、イベントが生成されます。
iam-groups.account-settings.update イニシエーターがアクセス・グループ・サービスのアカウント設定を更新すると、イベントが生成されます。

アクセス・グループ・イベント

次の表に、イベントを生成するアクションのリストを示します。

アクセスグループに対して発生するイベント
アクション 説明
iam-groups.group.create イニシエーターがアクセス・グループを作成すると、イベントが生成されます。
iam-groups.group.read イニシエーターがアクセス・グループを表示すると、イベントが生成されます。
iam-groups.group.update イニシエーターがグループの名前または説明を更新すると、イベントが生成されます。
iam-groups.group.delete イニシエーターがアクセス・グループを削除すると、イベントが生成されます。
iam-groups.groups.list イニシエーターがアクセス・グループを表示すると、イベントが生成されます。

メンバー・イベント

次の表に、イベントを生成するアクションのリストを示します。

アクセスグループに対して発生するイベント
アクション 説明
iam-groups.federated-member.add イニシエーターがアカウントにログインし、アクセス・グループに対するフェデレーテッド・メンバーシップを取得すると、イベントが生成されます。
iam-groups.member.add イニシエーターがアクセス・グループにメンバーを追加すると、イベントが生成されます。
iam-groups.member.delete イニシエーターがアクセス・グループからメンバーを削除すると、イベントが生成されます。
iam-groups.member.read イニシエーターがメンバーのメンバーシップを表示すると、イベントが生成されます。
iam-groups.members.list イニシエーターがアクセス・グループのメンバーを表示すると、イベントが生成されます。

ルール・イベント

次の表に、イベントを生成するアクションのリストを示します。

アクセスグループに対して発生するイベント
アクション 説明
iam-groups.rule.read イニシエーターがアクセス・グループ内のルールを表示すると、イベントが生成されます。
iam-groups.rule.create イニシエーターがアクセス・グループにルールを追加すると、イベントが生成されます。
iam-groups.rule.update イニシエーターがルール名を変更すると、イベントが生成されます。
iam-groups.rule.delete イニシエーターがアクセス・グループからルールを削除すると、イベントが生成されます。
iam-groups.rules.list イニシエーターがアクセス・グループのルールを表示すると、イベントが生成されます。

トラステッド・プロファイル・イベント

次の表に、イベントを生成するアクションのリストを示します。

信頼されたプロファイルに対して生成されるイベント
アクション 説明
iam-identity.account-profile.create イニシエーターがトラステッド・プロファイルを作成すると、イベントが生成されます。
iam-identity.account-profile.update イニシエーターがトラステッド・プロファイルを更新すると、イベントが生成されます。
iam-identity.account-profile.delete イニシエーターがトラステッド・プロファイルを削除すると、イベントが生成されます。

ポリシー・イベント

次の表に、イベントを生成するアクションのリストを示します。

ポリシー・アクションのために生成されるイベント
アクション 説明
iam-am.policy.create イニシエーターがユーザーまたはアクセス・グループにポリシーを追加すると、イベントが生成されます。
iam-am.policy.update イニシエーターがユーザーまたはアクセス・グループのポリシーへの許可を変更すると、イベントが生成されます。
iam-am.policy.delete イニシエーターがユーザーまたはアクセス・グループに割り当てられたポリシーを削除すると、イベントが生成されます。

サービス ID イベント

次の表に、イベントを生成するアクションのリストを示します。

サービスIDのアクションに対して発生するイベント
アクション 説明
iam-identity.account-serviceid.create イニシエーターがサービス ID を作成すると、イベントが生成されます。
iam-identity.account-serviceid.update イニシエーターがサービス ID の名前または説明を変更すると、イベントが生成されます。
iam-identity.account-serviceid.delete イニシエーターがサービス ID を削除すると、イベントが生成されます。

API キー・イベント

次の表に、イベントを生成するアクションのリストを示します。

APIキーのアクションに対して発生するイベント
アクション 説明
iam-identity.user-apikey.create イニシエーターが API キーを作成すると、イベントが生成されます。
iam-identity.user-apikey.update イニシエーターが API キーの名前または説明を変更すると、イベントが生成されます。
iam-identity.user-apikey.delete イニシエーターが API キーを削除すると、イベントが生成されます。
iam-identity.serviceid-apikey.create イニシエーターがサービス ID 用の API キーを作成すると、イベントが生成されます。
iam-identity.serviceid-apikey.delete イニシエーターがサービス ID 用の API キーを削除すると、イベントが生成されます。
iam-identity.serviceid-apikey.update イニシエーターがサービス ID の API キーの名前または説明を変更すると、イベントが生成されます。

ログイン・ログアウト・イベント

次の表に、イベントを生成するアクションのリストを示します。

ユーザーのログインとログアウトのアクションに対して生成されるイベント
アクション 説明
iam-identity.user-apikey.login ユーザーが API キーを使用して IBM Cloud にログインすると、イベントが生成されます。
iam-identity.serviceid-apikey.login イニシエーターがサービス ID と関連付けられた API キーを使用して IBM Cloud にログインすると、イベントが生成されます。
iam-identity.user-identitycookie.login これは、イニシエーターがアクションを実行するために ID Cookie を要求すると生成されるイベントです。
iam-identity.user-refreshtoken.login これは、イニシエーターが IBM Cloud にログインする時、または既にログインしているイニシエーターがアクションを実行するために新しいリフレッシュ・トークンを要求する時に生成されるイベントです。
iam-identity.user-passcode.login iam-identity.trustedprofile-apikey.login これは、イニシエーターがトラステッド・プロファイルを適用することによって IBM Cloud にログインする時、またはトラステッド・プロファイルを適用することによって既にログインしているイニシエーターがアクションを実行するために新しいリフレッシュ・トークンを要求する時に生成されるイベントです。
iam-identity.user.logout これは、イニシエータがIBM Cloudからログアウトしたときに生成されるイベントです。

エンタープライズIAMイベント

ポリシー・テンパルテ・イベント

次の表に、イベントを生成するアクションのリストを示します。

エンタープライズ管理されたIAMポリシーテンプレートのアクションに対して生成されるイベント
アクション 説明
iam-access-management.policy-template.create ユーザーがエンタープライズ管理 IAM ポリシーテンプレートを作成すると、イベントが生成されます。
iam-access-management.policy-template.update ユーザーがエンタープライズ管理された IAM ポリシーテンプレートを更新すると、イベントが生成される。
iam-access-management.policy-template.delete ユーザーがエンタープライズ管理された IAM ポリシーテンプレートを削除すると、イベントが生成される。
iam-access-management.policy-template.read ユーザーがエンタープライズ管理された IAM ポリシーテンプレートを読み込むと、イベントが生成される。
iam-access-management.policy-assignment.create ユーザーがエンタープライズ管理 IAM ポリシーテンプレートを子アカウントに割り当てると、イベントが生成される。
iam-access-management.policy-assignment.update ユーザーがエンタープライズ管理された IAM ポリシーテンプレートの割り当てを更新すると、イベントが生成される。
iam-access-management.policy-assignment.delete ユーザーがエンタープライズ管理された IAM ポリシーテンプレートの割り当てを削除すると、イベントが生成されます。
iam-access-management.policy-assignment.read ユーザーがエンタープライズ管理された IAM ポリシーテンプレートの割り当てを読み取ると、イベントが生成される。

アクセス・グループ・テンパルテ・イベント

次の表に、イベントを生成するアクションのリストを示します。

ユーザー・エンタープライズが管理するIAMアクセス・グループ・テンプレートのアクションに対して生成されるイベント
アクション 説明
iam-groups.groups-template.create ユーザーがエンタープライズ管理 IAM アクセスグループテンプレートを作成すると、イベントが生成されます。
iam-groups.groups-template.delete ユーザーがエンタープライズで管理されているIAMアクセスグループテンプレートを削除すると、イベントが生成されます。
iam-groups.groups-template.update ユーザーがエンタープライズで管理されているIAMアクセスグループテンプレートを更新すると、イベントが生成されます。
iam-groups.groups-template.read ユーザーがエンタープライズで管理されているIAMアクセスグループテンプレートを読み込むと、イベントが生成されます。
iam-groups.groups-template.assign ユーザーがエンタープライズ管理IAMアクセスグループテンプレートを子アカウントに割り当てると、イベントが生成されます。
iam-groups.groups-template.remove ユーザーがエンタープライズ管理されたIAMアクセスグループテンプレートの割り当てを削除すると、イベントが生成されます。
iam-groups.groups-template.assignment-read ユーザーがエンタープライズ管理されたIAMアクセスグループテンプレート割り当てを読み込むと、イベントが生成されます。
iam-groups.groups-template.assignment-update イベントが生成されるのは、ユーザーがエンタープライズ管理のIAMアクセス・グループ・テンプレートの割り当てを更新したときです。

信頼できるプロフィール

次の表に、イベントを生成するアクションのリストを示します。

ユーザー企業管理のIAM信頼済みプロファイル・テンプレートのアクションに対して生成されるイベント
アクション 説明
iam-identity.profile-template.create ユーザーがエンタープライズ管理 IAM 信頼済みプロファイル・テンプレートを作成すると、イベントが生成されます。
iam-identity.profile-template.delete ユーザーがエンタープライズ管理された IAM 信頼済みプロファイル・テンプレートを削除すると、イベントが生成されます。
iam-identity.profile-template.update イベントが生成されるのは、ユーザーがエンタープライズで管理されている IAM 信頼済みプロファイル・テンプレートを更新したときです。
iam-identity.profile-template.read ユーザーがエンタープライズで管理されている IAM 信頼済みプロファイル・テンプレートを読み込むと、イベントが生成されます。
iam-identity.profile-template.assign ユーザーがエンタープライズ管理 IAM 信頼済みプロファイル・テンプレートを子アカウントに割り当てると、イベントが生成されます。
iam-identity.profile-template.remove ユーザーがエンタープライズ管理された IAM 信頼済みプロファイルテンプレートの割り当てを削除すると、イベントが生成されます。
iam-identity.profile-template.assignment-read ユーザーがエンタープライズ管理された IAM 信頼済みプロファイル・テンプレートの割り当てを読み取ると、イベントが生成されます。
iam-identity.profile-template.assignment-update ユーザーがエンタープライズ管理された IAM 信頼済みプロファイル・テンプレートの割り当てを更新すると、イベントが生成されます。

イベント設定

次の表に、イベントを生成するアクションのリストを示します。

ユーザー企業管理型IAM設定テンプレートのアクションに対して生成されるイベント
アクション 説明
iam-identity.account-settings-template.create ユーザーがエンタープライズ管理された IAM 設定テンプレートを作成すると、イベントが生成されます。
iam-identity.account-settings-template.delete ユーザーがエンタープライズ管理された IAM 設定テンプレートを削除すると、イベントが生成されます。
iam-identity.account-settings-template.update ユーザーがエンタープライズ管理されたIAM設定テンプレートを更新すると、イベントが生成される。
iam-identity.account-settings-template.read ユーザーがエンタープライズ管理された IAM 設定テンプレートを読み込むと、イベントが生成されます。
iam-identity.account-settings-template.assign ユーザーがエンタープライズ管理されたIAM設定テンプレートを子アカウントに割り当てると、イベントが生成されます。
iam-identity.account-settings-template.remove ユーザーがエンタープライズ管理された IAM 設定テンプレートの割り当てを削除すると、イベントが生成されます。
iam-identity.account-settings-template.assignment-read ユーザーがエンタープライズ管理された IAM 設定テンプレートの割り当てを読み取ると、イベントが生成されます。
iam-identity.account-settings-template.assignment-update ユーザーがエンタープライズ管理された IAM 設定テンプレートの割り当てを更新すると、イベントが生成されます。

IAMアクティビティ追跡イベントの分析

ログイン・イベント

IBM Cloud では、管理者や、アカウントで正しいアクセス権限を持っているユーザーは、さまざまな方法でユーザーのログイン設定を管理できます。 例えば、管理者は、外部認証オプションの注文、ログイン時に使用するワンタイム・パスコードの有効化、ログイン時のセキュリティー質問の有効化、パスワード有効期限の設定などを行うことができます。 詳しくは、『多要素認証のタイプ』を参照してください。

  • ユーザーは、ユーザー ID とパスワードを使用してログインできます。
  • 会社または企業のシングル・サインオン ID を使用するフェデレーテッド・ユーザーは、ワンタイム・パスコードまたは API キーを使用してコマンド・ライン・インターフェース (CLI) から IBM Cloud にログインすることができます。 詳しくは、フェデレーテッド ID を使用したログインを参照してください。
  • ユーザーは API キーを使用してログインできます。
  • 会社や企業のシングル・サインオン ID を使用するフェデレーテッド・ユーザーは、トラステッド・プロファイルを適用することによって IBM Cloud にログインすることができます。

以下のフィールドに追加情報が含まれています。

  • initiator.name には、アカウントにログインするユーザーに関する情報が含まれています。
  • X-Global-Transaction-Id には、さらに詳しい情報を得るためにサポート・チケットを開く場合に使用できる ID が含まれています。

IBM Cloud UI からログインする

ユーザーが IBM Cloud UI からログインすると、アクション iam-identity.user-refreshtoken.login のイベントがアカウントで生成されます。

以下のフィールドに追加情報が含まれています。

  • requestData の client_id フィールドが HOP55v1CCT に設定されています。 この値は UI 要求であることを示しています。

IBM Cloud CLI からワンタイム・パスコードまたは API キーを使用してフェデレーテッド ID でログインする

ユーザーがワンタイム・パスコードを使用して IBM Cloud CLI からログインすると、アクション iam-identity.user-refreshtoken.login のイベントがアカウントで生成されます。

ユーザーが API キーを使用して IBM Cloud CLI からログインすると、アクション iam-identity.user-apikey.login のイベントがアカウントで生成されます。

以下のフィールドに追加情報が含まれています。

  • requestData の client_id フィールドが bx に設定されています。 この値は CLI 要求であることを示しています。

トラステッド・プロファイルを使用したフェデレーテッド ID でのログイン

ユーザーが トラステッド・プロファイルを使用することによってフェデレーテッド ID でログインすると、アクション iam-identity.trustedprofile-apikey.login のイベントがアカウント内で生成されます。

失敗したログイン・アクション

ユーザーが IBM Cloud にログインするときには、まず、ユーザー ID (IBMid) と資格情報が検証されます。 この時点では、ユーザーはアカウントをまだ選択していません。 ユーザーは複数のアカウントに属することができます。

IBM Cloud でのユーザー ID の認証に成功したら、ユーザーはアカウントを選択できます。 このプロセスのこの時点で、ログイン要求にアカウントが関連付けられ、アクション iam-identity.user-refreshtoken.login または iam-identity.user-apikey.login のイベントがアカウントで生成されます。

Activity Tracker では、自分のアカウントに関連付けられているイベントを表示できます。 ログイン・アクションが失敗した場合は、アカウントでモニターできるイベントは生成されません。

ログアウトイベント

ユーザがIBM Cloudからログアウトすると、「iam-identity.user.logout イベントが生成される。

アカウント・サービス ID の更新

ユーザー ID がユーザーを識別するのと同様の方法で、サービス ID はサービスまたはアプリケーションを識別します。 詳細はこちらをご覧ください

サービス ID を更新するアクションが要求されると、アクション iam-identity.account-serviceid.update のイベントがアカウントで生成されます。

以下のフィールドに追加情報が含まれています。

  • initiator.name フィールドには、サービス ID の更新を要求したユーザーに関する情報が含まれています。
  • target.name フィールドには、変更されたサービス ID に関する情報が含まれています。
  • initiator.host.agent フィールドは、要求元が UI と CLI のどちらであるかを示しています。 このフィールドが Not Set に設定されている場合は、UI からの要求です。 このフィールドが IBM Cloud CLI に設定されている場合は、コマンド・ラインからの要求です。

サービス ID のロックおよびアンロック

以下のフィールドに追加情報が含まれています。

  • requestData の lock フィールドが、サービス ID がロックされた場合には true に、アンロックされた場合には false に設定されています。

説明の追加または変更

説明を変更する要求によってイベントが生成された場合は、そのアクションを調べる際に役立つ情報が以下のフィールドに入っています。

  • requestData の lock フィールドが false に設定されています。
  • requestData の prev_instance_name フィールドと instance_name フィールドが同じ値に設定されています。

サービス ID の名前の変更

以下のフィールドに追加情報が含まれています。

  • requestData の lock フィールドが false に設定されています。
  • requestData の instance_name フィールドに API キーの新しい名前が含まれています。
  • requestData の prev_instance_name フィールドに変更前の API キーの名前が含まれています。

制限事項

アカウントで許可されるサービスID、APIキー、信頼されたプロファイル、およびポリシーの数には 制限 があります。 アカウントがサービスID、APIキー、信頼済みプロファイル、およびポリシーの制限の90%に達すると、イベントが生成されます。

以下は、アカウントがサービスIDの最大数に近づいたときのメッセージの例である:

警告アカウント10t2tyv8d1f88940dfc56af370b1f109で許可されるサービスIDの最大数の90%に達しました。 あなたの現在のカウントは1800で、リミットは2000です。 新しいサービスIDの作成がブロックされないように、上限に達する前にサービスIDの数を減らしてください。

以下の検索クエリを適用すると、すべての制限イベントが表示されます:

  • the maximum number of allowed

不要になったIDを削除することから始める。 詳しくは、非アクティブ ID の識別を参照してください。

ユーザーの API キーまたはサービス ID の API キーの更新

API キーを更新するアクションが要求されると、以下のいずれかのアクションのイベントがアカウントで生成されます。

  • ユーザーの API キーを更新する場合、アクションは iam-identity.user-apikey.update です。
  • サービス ID の API キーを更新する場合、アクションは iam-identity.account-serviceid.update です。

以下のフィールドに追加情報が含まれています。

  • initiator.name フィールドには、 API キーの更新を要求したユーザーに関する情報が含まれています。
  • target.name フィールドには、変更された API キーに関する情報が含まれています。
  • initiator.host.agent フィールドは、要求元が UI と CLI のどちらであるかを示しています。 このフィールドが Not Set に設定されている場合は、UI からの要求です。 このフィールドが IBM Cloud CLI に設定されている場合は、コマンド・ラインからの要求です。

サービス ID のロックおよびアンロック

以下のフィールドに追加情報が含まれています。

  • requestData の lock フィールドが、API キーがロックされた場合には true に、アンロックされた場合には false に設定されています。

説明の追加または変更

説明を変更する要求によってイベントが生成された場合は、そのアクションを調べる際に役立つ情報が以下のフィールドに入っています。

  • requestData の lock フィールドが false に設定されています。
  • requestData の prev_instance_name フィールドと instance_name フィールドが同じ値に設定されています。

サービス ID の名前の変更

以下のフィールドに追加情報が含まれています。

  • requestData の lock フィールドが false に設定されています。
  • requestData の instance_name フィールドに API キーの新しい名前が含まれています。
  • requestData の prev_instance_name フィールドに変更前の API キーの名前が含まれています。

失敗したイベントの分析

イニシエーターが許可されていない。 API キーまたはサービス ID の更新要求が失敗する

例えば、API キーを使用してアカウントにログインしたユーザーは、アカウントへのアクセスを認証されます。 ただし、その API キーに、アカウントの API キーまたはサービス ID を変更するアクションを実行する権限がない場合があります。 その場合は、以下のいずれかのメッセージを受け取ります。

  • IAM Identity Service: update user-apikey APIKeyName -failure
  • IAM Identity Service: update account-serviceid ServiceIDName -failure

API キーまたはサービス ID の変更を要求したユーザーに関する情報を調べるには、イベントのイニシエーター・フィールドを参照してください。

アカウントでこのアクションを実行する権限がユーザーにない場合は、以下のような失敗イベントが生成されます。

  • initiator.name フィールドは空です。 この情報は、イベントの生成時点では取得できません。
  • ユーザー ID は IBM Cloud アカウントで認証されています。
  • アクションはアカウントをターゲットとしています。
  • ユーザー ID には、アカウントでこのアクションを実行する権限がありません。

API キーまたはサービス ID を変更しようとしたユーザーを調べるには、以下の手順を実行します。

  1. initiator.id の値をコピーします。 このフィールドには、アカウントでこのアクションを実行しようとしたユーザーの ID が入っています。

  2. そのユーザーに関連付けられている E メール・アドレスを調べます。 この手順を実行するには、アカウントの管理者権限が必要です。 以下のコマンドを実行します。

    ibmcloud iam users --output json | grep -A 1 InitiatorID

    InitiatorID はフィールド initiator.id の値で、形式は IBMid-XXXXXXXXXX です。

    このコマンドの出力は 2 つのフィールドを返します。 ibmUniqueId フィールドには、イベントの initiator.name フィールドに対応したユーザーの ID が示されます。 email フィールドには、その ID に関連付けられた E メール・アドレスが示されます。

要求されて失敗したアクションの API キーを調べるには、requestData 内の prev_instance_name フィールドを参照してください。

リソースがロックされている。 サービス ID または API キーの更新要求が失敗する

サービス ID または API キーがロックされている場合、その属性を変更することはできません。 生成されるイベントの outcomefailure になります。

リソース・タイプに応じて、以下のいずれかのメッセージを受け取ります。

  • サービス ID: **「IAM Identity Service: update account-serviceid ServiceIDName -failure」**というメッセージを受け取ります。ServiceIDName はサービス ID の名前です。
  • ユーザー API キー: **「IAM Identity Service: update user-apikey APIkeyName -failure」**というメッセージを受け取ります。APIkeyName は API キーの名前です。
  • アカウント API キー: **「IAM Identity Service: update account-apikey APIkeyName -failure」**というメッセージを受け取ります。APIkeyName は API キーの名前です。

このイベントでは、requestData の lock フィールドが true に設定されます。 これが、このアクションが失敗した理由です。 サービス ID の属性の変更が成功するためには、lock フィールドが false に設定されている必要があります。

フィールド severitycritical に設定されていることに注意してください。 アカウントでロックされているサービス ID を誰かが変更しようとしています。