IBM Cloud Docs
IAM の監査イベント

IAM の監査イベント

セキュリティー担当者、監査員、またはマネージャーは、IBM Cloud Activity Tracker サービスを使用して、ユーザーおよびアプリケーションが IBM Cloud® Identity and Access Management 内の IBM Cloud (IAM) サービスとどのように対話しているのかをトラッキングできます。

サポート終了:2025年3月30日をもって、 IBM Log Analysis と IBM Cloud Activity Tracker のサービスはサポート終了となりました。 IBM Cloud Logs がこの2つのサービスに取って代わります。 IBM Cloud Logs については、IBM Cloud Logs ドキュメント を参照してください。

IAM を使用すると、両方のプラットフォーム・サービスに関してユーザーをセキュアに認証でき、また IBM Cloud 全体で一貫してリソースへのアクセスを制御できます。 詳細はこちらをご覧ください

IBM Cloud Activity Tracker サービスは、IBM Cloud 内のサービスの状態を変更するユーザー開始アクティビティーを記録します。 ユーザーのアクションのモニターを開始するには、IBM Cloud Activity Trackerを参照してください。 イニシエーターは、ユーザー、サービス、またはアプリケーションのいずれかです。

アクセス・グループ・イベント

アカウント・イベント

次の表に、イベントを生成するアクションのリストを示します。

アクセスグループに対して発生するイベント
アクション 説明
iam-groups.account-settings.read イニシエーターがアクセス・グループ・サービスのアカウント設定を表示すると、イベントが生成されます。
iam-groups.account-settings.update イニシエーターがアクセス・グループ・サービスのアカウント設定を更新すると、イベントが生成されます。

アクセス・グループ・イベント

次の表に、イベントを生成するアクションのリストを示します。

アクセスグループに対して発生するイベント
アクション 説明
iam-groups.group.create イニシエーターがアクセス・グループを作成すると、イベントが生成されます。
iam-groups.group.read イニシエーターがアクセス・グループを表示すると、イベントが生成されます。
iam-groups.group.update イニシエーターがグループの名前または説明を更新すると、イベントが生成されます。
iam-groups.group.delete イニシエーターがアクセス・グループを削除すると、イベントが生成されます。
iam-groups.groups.list イニシエーターがアクセス・グループを表示すると、イベントが生成されます。

メンバー・イベント

次の表に、イベントを生成するアクションのリストを示します。

アクセスグループに対して発生するイベント
アクション 説明
iam-groups.federated-member.add イニシエーターがアカウントにログインし、アクセス・グループに対するフェデレーテッド・メンバーシップを取得すると、イベントが生成されます。
iam-groups.member.add イニシエーターがアクセス・グループにメンバーを追加すると、イベントが生成されます。
iam-groups.member.delete イニシエーターがアクセス・グループからメンバーを削除すると、イベントが生成されます。
iam-groups.member.read イニシエーターがメンバーのメンバーシップを表示すると、イベントが生成されます。
iam-groups.members.list イニシエーターがアクセス・グループのメンバーを表示すると、イベントが生成されます。

ルール・イベント

次の表に、イベントを生成するアクションのリストを示します。

アクセスグループに対して発生するイベント
アクション 説明
iam-groups.rule.read イニシエーターがアクセス・グループ内のルールを表示すると、イベントが生成されます。
iam-groups.rule.create イニシエーターがアクセス・グループにルールを追加すると、イベントが生成されます。
iam-groups.rule.update イニシエーターがルール名を変更すると、イベントが生成されます。
iam-groups.rule.delete イニシエーターがアクセス・グループからルールを削除すると、イベントが生成されます。
iam-groups.rules.list イニシエーターがアクセス・グループのルールを表示すると、イベントが生成されます。

トラステッド・プロファイル・イベント

次の表に、イベントを生成するアクションのリストを示します。

信頼されたプロファイルに対して生成されるイベント
アクション 説明
iam-identity.account-profile.create イニシエーターがトラステッド・プロファイルを作成すると、イベントが生成されます。
iam-identity.account-profile.update イニシエーターがトラステッド・プロファイルを更新すると、イベントが生成されます。
iam-identity.account-profile.delete イニシエーターがトラステッド・プロファイルを削除すると、イベントが生成されます。

ポリシー・イベント

次の表に、イベントを生成するアクションのリストを示します。

ポリシー・アクションのために生成されるイベント
アクション 説明
iam-am.policy.create イニシエーターがユーザーまたはアクセス・グループにポリシーを追加すると、イベントが生成されます。
iam-am.policy.update イニシエーターがユーザーまたはアクセス・グループのポリシーへの許可を変更すると、イベントが生成されます。
iam-am.policy.delete イニシエーターがユーザーまたはアクセス・グループに割り当てられたポリシーを削除すると、イベントが生成されます。

サービス ID イベント

次の表に、イベントを生成するアクションのリストを示します。

サービスIDのアクションに対して発生するイベント
アクション 説明
iam-identity.account-serviceid.create イニシエーターがサービス ID を作成すると、イベントが生成されます。
iam-identity.account-serviceid.update イニシエーターがサービス ID の名前または説明を変更すると、イベントが生成されます。
iam-identity.account-serviceid.delete イニシエーターがサービス ID を削除すると、イベントが生成されます。

API キー・イベント

次の表に、イベントを生成するアクションのリストを示します。

APIキーのアクションに対して発生するイベント
アクション 説明
iam-identity.user-apikey.create イニシエーターが API キーを作成すると、イベントが生成されます。
iam-identity.user-apikey.update イニシエーターが API キーの名前または説明を変更すると、イベントが生成されます。
iam-identity.user-apikey.delete イニシエーターが API キーを削除すると、イベントが生成されます。
iam-identity.serviceid-apikey.create イニシエーターがサービス ID 用の API キーを作成すると、イベントが生成されます。
iam-identity.serviceid-apikey.delete イニシエーターがサービス ID 用の API キーを削除すると、イベントが生成されます。
iam-identity.serviceid-apikey.update イニシエーターがサービス ID の API キーの名前または説明を変更すると、イベントが生成されます。

ログイン・イベントとログアウト・イベント

次の表に、イベントを生成するアクションのリストを示します。

ユーザーのログインとログアウトのアクションに対して生成されるイベント
アクション 説明
iam-identity.user-apikey.login ユーザーが API キーを使用して IBM Cloud にログインすると、イベントが生成されます。
iam-identity.serviceid-apikey.login イニシエーターがサービス ID と関連付けられた API キーを使用して IBM Cloud にログインすると、イベントが生成されます。
iam-identity.user-identitycookie.login これは、イニシエーターがアクションを実行するために ID Cookie を要求すると生成されるイベントです。
iam-identity.user-refreshtoken.login これは、イニシエーターが IBM Cloud にログインする時、または既にログインしているイニシエーターがアクションを実行するために新しいリフレッシュ・トークンを要求する時に生成されるイベントです。
iam-identity.user-passcode.login iam-identity.trustedprofile-apikey.login これは、イニシエーターがトラステッド・プロファイルを適用することによって IBM Cloud にログインする時、またはトラステッド・プロファイルを適用することによって既にログインしているイニシエーターがアクションを実行するために新しいリフレッシュ・トークンを要求する時に生成されるイベントです。
iam-identity.user.logout これは、イニシエーターが IBM Cloudからログアウトしたときに生成されるイベントです。

エンタープライズ IAM イベント

ポリシー・テンプレート・イベント

次の表に、イベントを生成するアクションのリストを示します。

エンタープライズ管理されたIAMポリシーテンプレートのアクションに対して生成されるイベント
アクション 説明
iam-access-management.policy-template.create ユーザーがエンタープライズ管理 IAM ポリシー・テンプレートを作成すると、イベントが生成されます。
iam-access-management.policy-template.update ユーザーがエンタープライズ管理 IAM ポリシー・テンプレートを更新すると、イベントが生成されます。
iam-access-management.policy-template.delete ユーザーがエンタープライズ管理 IAM ポリシー・テンプレートを削除すると、イベントが生成されます。
iam-access-management.policy-template.read ユーザーがエンタープライズ管理 IAM ポリシー・テンプレートを読み取ると、イベントが生成されます。
iam-access-management.policy-assignment.create ユーザーがエンタープライズ管理 IAM ポリシー・テンプレートを子アカウントに割り当てると、イベントが生成されます。
iam-access-management.policy-assignment.update ユーザーがエンタープライズ管理 IAM ポリシー・テンプレートの割り当てを更新すると、イベントが生成されます。
iam-access-management.policy-assignment.delete ユーザーがエンタープライズ管理 IAM ポリシー・テンプレート割り当てを削除すると、イベントが生成されます。
iam-access-management.policy-assignment.read ユーザーがエンタープライズ管理 IAM ポリシー・テンプレート割り当てを読み取ると、イベントが生成されます。

アクセス・グループの tempalte イベント

次の表に、イベントを生成するアクションのリストを示します。

ユーザー・エンタープライズが管理するIAMアクセス・グループ・テンプレートのアクションに対して生成されるイベント
アクション 説明
iam-groups.groups-template.create ユーザーがエンタープライズ管理 IAM アクセス・グループ・テンプレートを作成すると、イベントが生成されます。
iam-groups.groups-template.delete ユーザーがエンタープライズ管理 IAM アクセス・グループ・テンプレートを削除すると、イベントが生成されます。
iam-groups.groups-template.update ユーザーがエンタープライズ管理 IAM アクセス・グループ・テンプレートを更新すると、イベントが生成されます。
iam-groups.groups-template.read ユーザーがエンタープライズ管理 IAM アクセス・グループ・テンプレートを読み取ると、イベントが生成されます。
iam-groups.groups-template.assign ユーザーがエンタープライズ管理 IAM アクセス・グループ・テンプレートを子アカウントに割り当てると、イベントが生成されます。
iam-groups.groups-template.remove ユーザーがエンタープライズ管理 IAM アクセス・グループのテンプレート割り当てを削除すると、イベントが生成されます。
iam-groups.groups-template.assignment-read ユーザーがエンタープライズ管理 IAM アクセス・グループのテンプレート割り当てを読み取ると、イベントが生成されます。
iam-groups.groups-template.assignment-update ユーザーがエンタープライズ管理 IAM アクセス・グループ・テンプレートの割り当てを更新すると、イベントが生成されます。

トラステッド・プロファイルの tempalte イベント

次の表に、イベントを生成するアクションのリストを示します。

ユーザー企業管理のIAM信頼済みプロファイル・テンプレートのアクションに対して生成されるイベント
アクション 説明
iam-identity.profile-template.create ユーザーがエンタープライズ管理 IAM トラステッド・プロファイル・テンプレートを作成すると、イベントが生成されます。
iam-identity.profile-template.delete ユーザーがエンタープライズ管理 IAM トラステッド・プロファイル・テンプレートを削除すると、イベントが生成されます。
iam-identity.profile-template.update ユーザーがエンタープライズ管理 IAM トラステッド・プロファイル・テンプレートを更新すると、イベントが生成されます。
iam-identity.profile-template.read ユーザーがエンタープライズ管理 IAM トラステッド・プロファイル・テンプレートを読み取ると、イベントが生成されます。
iam-identity.profile-template.assign ユーザーがエンタープライズ管理 IAM トラステッド・プロファイル・テンプレートを子アカウントに割り当てると、イベントが生成されます。
iam-identity.profile-template.remove ユーザーがエンタープライズ管理 IAM トラステッド・プロファイル・テンプレート割り当てを削除すると、イベントが生成されます。
iam-identity.profile-template.assignment-read ユーザーがエンタープライズ管理 IAM トラステッド・プロファイル・テンプレート割り当てを読み取ると、イベントが生成されます。
iam-identity.profile-template.assignment-update ユーザーがエンタープライズ管理 IAM トラステッド・プロファイル・テンプレート割り当てを更新すると、イベントが生成されます。

一時イベントの設定

次の表に、イベントを生成するアクションのリストを示します。

ユーザー企業管理のIAM設定テンプレートのアクションに対して生成されるイベント
アクション 説明
iam-identity.account-settings-template.create ユーザーがエンタープライズ管理 IAM 設定テンプレートを作成すると、イベントが生成されます。
iam-identity.account-settings-template.delete ユーザーがエンタープライズ管理 IAM 設定テンプレートを削除すると、イベントが生成されます。
iam-identity.account-settings-template.update ユーザーがエンタープライズ管理 IAM 設定テンプレートを更新すると、イベントが生成されます。
iam-identity.account-settings-template.read ユーザーがエンタープライズ管理の IAM 設定テンプレートを読み取ると、イベントが生成されます。
iam-identity.account-settings-template.assign ユーザーがエンタープライズ管理の IAM 設定テンプレートを子アカウントに割り当てると、イベントが生成されます。
iam-identity.account-settings-template.remove ユーザーがエンタープライズ管理 IAM 設定テンプレートの割り当てを削除すると、イベントが生成されます。
iam-identity.account-settings-template.assignment-read ユーザーがエンタープライズ管理の IAM 設定テンプレート割り当てを読み取ると、イベントが生成されます。
iam-identity.account-settings-template.assignment-update ユーザーがエンタープライズ管理 IAM 設定テンプレートの割り当てを更新すると、イベントが生成されます。

イベントの表示

イベントは、フランクフルト (eu-de) リージョン内で使用可能です。

これらのイベントを表示するには、フランクフルト (eu-de) リージョンに IBM Cloud Activity Tracker サービスのインスタンスをプロビジョンする必要があります。 その後、IBM Cloud Activity Tracker UI を開く必要があります。

イベントの分析

ログイン・イベント

IBM Cloud では、管理者や、アカウントで正しいアクセス権限を持っているユーザーは、さまざまな方法でユーザーのログイン設定を管理できます。 例えば、管理者は、外部認証オプションの注文、ログイン時に使用するワンタイム・パスコードの有効化、ログイン時のセキュリティー質問の有効化、パスワード有効期限の設定などを行うことができます。 詳しくは、『多要素認証のタイプ』を参照してください。

  • ユーザーは、ユーザー ID とパスワードを使用してログインできます。
  • 会社または企業のシングル・サインオン ID を使用するフェデレーテッド・ユーザーは、ワンタイム・パスコードまたは API キーを使用してコマンド・ライン・インターフェース (CLI) から IBM Cloud にログインすることができます。 詳しくは、フェデレーテッド ID を使用したログインを参照してください。
  • ユーザーは API キーを使用してログインできます。
  • 会社や企業のシングル・サインオン ID を使用するフェデレーテッド・ユーザーは、トラステッド・プロファイルを適用することによって IBM Cloud にログインすることができます。

以下のフィールドに追加情報が含まれています。

  • initiator.name には、アカウントにログインするユーザーに関する情報が含まれています。
  • X-Global-Transaction-Id には、さらに詳しい情報を得るためにサポート・チケットを開く場合に使用できる ID が含まれています。

IBM Cloud UI からログインする

ユーザーが IBM Cloud UI からログインすると、アクション iam-identity.user-refreshtoken.login のイベントがアカウントで生成されます。

以下のフィールドに追加情報が含まれています。

  • requestData の client_id フィールドが HOP55v1CCT に設定されています。 この値は UI 要求であることを示しています。

IBM Cloud CLI からワンタイム・パスコードまたは API キーを使用してフェデレーテッド ID でログインする

ユーザーがワンタイム・パスコードを使用して IBM Cloud CLI からログインすると、アクション iam-identity.user-refreshtoken.login のイベントがアカウントで生成されます。

ユーザーが API キーを使用して IBM Cloud CLI からログインすると、アクション iam-identity.user-apikey.login のイベントがアカウントで生成されます。

以下のフィールドに追加情報が含まれています。

  • requestData の client_id フィールドが bx に設定されています。 この値は CLI 要求であることを示しています。

トラステッド・プロファイルを使用したフェデレーテッド ID でのログイン

ユーザーが トラステッド・プロファイルを使用することによってフェデレーテッド ID でログインすると、アクション iam-identity.trustedprofile-apikey.login のイベントがアカウント内で生成されます。

失敗したログイン・アクション

ユーザーが IBM Cloud にログインするときには、まず、ユーザー ID (IBMid) と資格情報が検証されます。 この時点では、ユーザーはアカウントをまだ選択していません。 ユーザーは複数のアカウントに属することができます。

IBM Cloud でのユーザー ID の認証に成功したら、ユーザーはアカウントを選択できます。 このプロセスのこの時点で、ログイン要求にアカウントが関連付けられ、アクション iam-identity.user-refreshtoken.login または iam-identity.user-apikey.login のイベントがアカウントで生成されます。

Activity Tracker では、自分のアカウントに関連付けられているイベントを表示できます。 ログイン・アクションが失敗した場合は、アカウントでモニターできるイベントは生成されません。

ログアウト・イベント

ユーザーが IBM Cloudからログアウトすると、 iam-identity.user.logout イベントが生成されます。

アカウント・サービス ID の更新

ユーザー ID がユーザーを識別するのと同様の方法で、サービス ID はサービスまたはアプリケーションを識別します。 詳細はこちらをご覧ください

サービス ID を更新するアクションが要求されると、アクション iam-identity.account-serviceid.update のイベントがアカウントで生成されます。

以下のフィールドに追加情報が含まれています。

  • initiator.name フィールドには、サービス ID の更新を要求したユーザーに関する情報が含まれています。
  • target.name フィールドには、変更されたサービス ID に関する情報が含まれています。
  • initiator.host.agent フィールドは、要求元が UI と CLI のどちらであるかを示しています。 このフィールドが Not Set に設定されている場合は、UI からの要求です。 このフィールドが IBM Cloud CLI に設定されている場合は、コマンド・ラインからの要求です。

サービス ID のロックおよびアンロック

以下のフィールドに追加情報が含まれています。

  • requestData の lock フィールドが、サービス ID がロックされた場合には true に、アンロックされた場合には false に設定されています。

説明の追加または変更

説明を変更する要求によってイベントが生成された場合は、そのアクションを調べる際に役立つ情報が以下のフィールドに入っています。

  • requestData の lock フィールドが false に設定されています。
  • requestData の prev_instance_name フィールドと instance_name フィールドが同じ値に設定されています。

サービス ID の名前の変更

以下のフィールドに追加情報が含まれています。

  • requestData の lock フィールドが false に設定されています。
  • requestData の instance_name フィールドに API キーの新しい名前が含まれています。
  • requestData の prev_instance_name フィールドに変更前の API キーの名前が含まれています。

イベントの制限

アカウントで許可されるサービス ID、API キー、トラステッド・プロファイル、およびポリシーの数には、 制限 があります。 アカウントがサービス ID、API キー、トラステッド・プロファイル、およびポリシーの制限の 90% に達すると、イベントが生成されます。

アカウントがサービス ID の最大数に近づいている場合のメッセージ例を以下に示します。

警告: アカウント 10t2tyv8d1f88940dfc56af370b1f109で許可されているサービス ID の最大数の 90% に達しました。 現在のカウントは 1800 で、制限は 2000 です。 制限に達する前にサービス ID の数を減らして、新規サービス ID の作成がブロックされないようにしてください。

すべての制限イベントを表示するには、以下の検索照会を適用します。

  • the maximum number of allowed

不要になった非アクティブ ID を削除することから始めます。 詳しくは、非アクティブ ID の識別を参照してください。

ユーザーの API キーまたはサービス ID の API キーの更新

API キーを更新するアクションが要求されると、以下のいずれかのアクションのイベントがアカウントで生成されます。

  • ユーザーの API キーを更新する場合、アクションは iam-identity.user-apikey.update です。
  • サービス ID の API キーを更新する場合、アクションは iam-identity.account-serviceid.update です。

以下のフィールドに追加情報が含まれています。

  • initiator.name フィールドには、 API キーの更新を要求したユーザーに関する情報が含まれています。
  • target.name フィールドには、変更された API キーに関する情報が含まれています。
  • initiator.host.agent フィールドは、要求元が UI と CLI のどちらであるかを示しています。 このフィールドが Not Set に設定されている場合は、UI からの要求です。 このフィールドが IBM Cloud CLI に設定されている場合は、コマンド・ラインからの要求です。

サービス ID のロックおよびアンロック

以下のフィールドに追加情報が含まれています。

  • requestData の lock フィールドが、API キーがロックされた場合には true に、アンロックされた場合には false に設定されています。

説明の追加または変更

説明を変更する要求によってイベントが生成された場合は、そのアクションを調べる際に役立つ情報が以下のフィールドに入っています。

  • requestData の lock フィールドが false に設定されています。
  • requestData の prev_instance_name フィールドと instance_name フィールドが同じ値に設定されています。

サービス ID の名前の変更

以下のフィールドに追加情報が含まれています。

  • requestData の lock フィールドが false に設定されています。
  • requestData の instance_name フィールドに API キーの新しい名前が含まれています。
  • requestData の prev_instance_name フィールドに変更前の API キーの名前が含まれています。

失敗したイベントの分析

イニシエーターが許可されていない。 API キーまたはサービス ID の更新要求が失敗する

例えば、API キーを使用してアカウントにログインしたユーザーは、アカウントへのアクセスを認証されます。 ただし、その API キーに、アカウントの API キーまたはサービス ID を変更するアクションを実行する権限がない場合があります。 その場合は、以下のいずれかのメッセージを受け取ります。

  • IAM Identity Service: update user-apikey APIKeyName -failure
  • IAM Identity Service: update account-serviceid ServiceIDName -failure

API キーまたはサービス ID の変更を要求したユーザーに関する情報を調べるには、イベントのイニシエーター・フィールドを参照してください。

アカウントでこのアクションを実行する権限がユーザーにない場合は、以下のような失敗イベントが生成されます。

  • initiator.name フィールドは空です。 この情報は、イベントの生成時点では取得できません。
  • ユーザー ID は IBM Cloud アカウントで認証されています。
  • アクションはアカウントをターゲットとしています。
  • ユーザー ID には、アカウントでこのアクションを実行する権限がありません。

API キーまたはサービス ID を変更しようとしたユーザーを調べるには、以下の手順を実行します。

  1. initiator.id の値をコピーします。 このフィールドには、アカウントでこのアクションを実行しようとしたユーザーの ID が入っています。

  2. そのユーザーに関連付けられている E メール・アドレスを調べます。 この手順を実行するには、アカウントの管理者権限が必要です。 以下のコマンドを実行します。

    ibmcloud iam users --output json | grep -A 1 InitiatorID

    InitiatorID はフィールド initiator.id の値で、形式は IBMid-XXXXXXXXXX です。

    このコマンドの出力は 2 つのフィールドを返します。 ibmUniqueId フィールドには、イベントの initiator.name フィールドに対応したユーザーの ID が示されます。 email フィールドには、その ID に関連付けられた E メール・アドレスが示されます。

要求されて失敗したアクションの API キーを調べるには、requestData 内の prev_instance_name フィールドを参照してください。

リソースがロックされている。 サービス ID または API キーの更新要求が失敗する

サービス ID または API キーがロックされている場合、その属性を変更することはできません。 生成されるイベントの outcomefailure になります。

リソース・タイプに応じて、以下のいずれかのメッセージを受け取ります。

  • サービス ID: **「IAM Identity Service: update account-serviceid ServiceIDName -failure」**というメッセージを受け取ります。ServiceIDName はサービス ID の名前です。
  • ユーザー API キー: **「IAM Identity Service: update user-apikey APIkeyName -failure」**というメッセージを受け取ります。APIkeyName は API キーの名前です。
  • アカウント API キー: **「IAM Identity Service: update account-apikey APIkeyName -failure」**というメッセージを受け取ります。APIkeyName は API キーの名前です。

このイベントでは、requestData の lock フィールドが true に設定されます。 これが、このアクションが失敗した理由です。 サービス ID の属性の変更が成功するためには、lock フィールドが false に設定されている必要があります。

フィールド severitycritical に設定されていることに注意してください。 アカウントでロックされているサービス ID を誰かが変更しようとしています。