Cloud Object Storage ターゲットの構成
ターゲットは、監査イベントを収集できる IBM Cloud リソースです。 このチュートリアルを使用して、アカウントで Cloud Object Storage ターゲットを構成する方法を学習します。
シナリオ
以下のいずれかの状況で、Cloud Object Storage バケットをターゲットとして定義できます。
- 金融サービスを検証する必要があるアカウント内のアクティビティーをモニターするには、ソリューションが必要です。
- 監査イベントを収集し、 Cloud Object Storage バケットに保管する。 イベントを生成するアカウントにバケットを含めることも、監査イベントを生成するアカウントとは異なるアカウントにバケットを含めることもできます。
前提条件
-
Activity Tracker Event Routing について学習する。 詳しくは、製品情報を参照してください。
-
IBM Cloud CLI をインストールします。 詳しくは、『IBM CloudCLI のインストール』を参照してください。
-
最新の Activity Tracker Event Routing CLI V2 プラグインをローカルシステムにインストールする。 Activity Tracker Event Routing CLI のインストールを参照してください。
-
IBM Cloud アカウントのメンバーまたは所有者であるユーザー ID が必要です。 IBM Cloud、ユーザーIDを取得してください: アカウントを作成する。
-
アカウントで Activity Tracker Event Routing の設定を管理するすべてのユーザーに、アクセスポリシーを割り当てる必要があります。 そのポリシーによって、ユーザーが実行できるアクションが決まります。 許可されるアクションは、サービス上で実行できる操作として、Activity Tracker Event Routing によってカスタマイズされて定義されます。 その後、操作は IAM ユーザー役割にマップされます。 詳細はこちらをご覧ください。
あなたのユーザーIDは、 IBM Cloud Activity Tracker Event Routing サービスを管理するための管理者プラットフォーム権限が必要です。 アカウント所有者にお問い合わせください。 アカウント所有者は、ユーザー・アクセスの管理とアカウント・リソースの管理を行う目的で、別のユーザーにアカウントへのアクセス権限を付与できます。 詳細はこちら。
COS バケットの構成
アカウントで収集されたイベントの監査は、IBM Cloud Object Storage (COS) バケットに保管できます。
Activity Tracker Event Routing を構成するときに、リージョンごとにターゲットを定義する必要があります。 ターゲットは、そのリージョンで監査イベントが収集される COS バケットを定義します。
バケットを作成する前に、以下の情報を考慮してください。
- バケットは任意のロケーションに作成できます。
- 構成できるバケットはターゲットごとに 1 つのみです。
- 規制やコンプライアンス要件がある場合は、バケットを作成できるロケーションを確認してください。 また、パフォーマンスが重要である場合は、監査イベントが生成されるのと同じリージョンに COS バケットを作成することを検討してください。
詳しくは、IBM Cloud Object Storage (COS) バケットの管理を参照してください。
監査イベントを生成するアカウントまたは別のアカウントでバケツを定義できます。
次のいずれかのオプションを選択して、バケットを作成します。
アクション | 詳細 |
---|---|
IBM Cloud UI によるバケットの作成 | 詳細はこちら |
IBM Cloud CLI によるバケットの作成 | 詳細はこちら |
cURL を使用したバケットの作成 | 詳細はこちら |
REST API を使用したバケットの作成 | 詳細はこちら |
REST API を使用した別のストレージ・クラスでのバケットの作成 | 詳細はこちら |
REST API を使用した Key Protect または Hyper Protect Crypto Services 管理の暗号鍵 (SSE-KP) でのバケットの作成 | 詳細はこちら |
Terraform を使用したバケットの作成 | 詳細はこちら |
サービス間の許可の構成
暗号化されたデータを COS バケットに書き込むときに API キーを渡す必要がないように、COS バケットに対するサービス間許可を構成します。
以下のステップは、監査イベントが生成されるアカウントとは異なるアカウントで COS バケットが使用可能な場合にサービス間許可を定義する方法を示しています。
COS バケットが使用可能なアカウントで、以下の手順を実行する必要があります。
-
IBM Cloud Activity Tracker Event Routing ターゲットを構成するアカウント所有者として IBM Cloud アカウントにログインします。
ユーザー ID とパスワードを使用してログインすると、IBM Cloud ダッシュボードが開きます。
-
「管理」 > **「アクセス (IAM)」**をクリックします。 アクセスとユーザーの管理 が表示されます。
-
「許可」 をクリックします。
-
「作成」 をクリックします。
-
ソース・アカウントを選択します。 その他のアカウントを選択します。 次に、ソース・サービスのアカウント ID を入力します。 アカウント ID は、32 文字で固有のアカウント ID です。
-
ソース・サービスの場合は、Activity Tracker イベント・ルーティングを選択します。**どのようにアクセス権限のスコープを設定しますか?**の場合は、すべてのリソースを選択します。
-
ターゲット・サービスの場合は、Cloud Object Storage を選択します。**どのようにアクセス権限のスコープを設定しますか?**の場合は、選択した属性に基づくリソースを選択します。
-
サービス・インスタンス および ストリングが等しい COS インスタンスの名前を選択します。
-
サービス・アクセス の場合は、オブジェクト・ライターを選択します。
-
「許可」 をクリックします。 新しいサービス間許可が「許可の管理」ビューにリストされます。
あるいは、以下のコマンドを実行して、サービス間ポリシーを作成することもできます。
ibmcloud iam authorization-policy-create atracker cloud-object-storage "Object Writer"
UI を使用して許可できるのは、IBM Cloud Object Storage インスタンスに対してのみです。 許可を特定の IBM Cloud Object Storage バケットに制限する場合は、API を使用して許可を構成する必要があります。
ターゲットの作成
バケットを作成し、許可方式を構成した後に、ターゲットを構成できます。 ターゲットは、監査イベントがルーティングされる COS バケットを定義します。
リージョンは、バケットへの書き込みが行われるロケーションを識別します。 すべての領域からのイベントをこの 1 つの COS バケットに送信する場合は、単一のターゲットのみを定義する必要があります。
ターゲットの作成に対して、以下のコマンドを実行します。
ibmcloud atracker target create --name <TARGET_NAME> --type cloud-object-storage --endpoint <COS_ENDPOINT> --target-crn <COS_TARGET_CRN> --bucket <BUCKET> --region <REGION> --service-to-service-enabled true
説明
--region <REGION>
- イベントを処理する領域の名前 (例:
us-south
またはeu-gb
)。 指定しないと、ログインしたリージョン、またはターゲットのリージョンが使用されます。 --name <TARGET_NAME>
- ターゲットに付ける名前。
--endpoint <COS_ENDPOINT>
- IBM Cloud Object Storage バケットに関連付ける IBM Cloud Object Storage エンドポイント。
--bucket <BUCKET>
- ターゲットに関連付ける IBM Cloud Object Storage バケットの名前。
--target-crn <COS_TARGET_CRN>
- IBM Cloud Object Storage インスタンスの CRN。
--service-to-service-enabled
- バケットに対してサービス間許可 (service-to-service authorization) が有効になっているかどうかを示します。 サービス間許可が有効になっている場合は
TRUE
を指定し、サービス間許可が有効になっていない場合はFALSE
を指定します。
例えば、米国南部地域にターゲットを作成するには、以下のコマンドを実行します。
ibmcloud atracker target create --name "My target" --type cloud-object-storage --endpoint "s3.private.us-south.cloud-object-storage.appdomain.cloud" --target-crn "crn:v1:bluemix:public:cloud-object-storage:global:a/<AccountID>:<COSinstanceID>::" --bucket "activity-tracking-bucket-us-south" --region "us-south" --service-to-service-enabled true
領域内のターゲット定義を確認するには、CLI を使用したターゲットに関する情報の取得を参照してください。
ターゲットが作成されると、ターゲット ID が返されます。 ターゲット ID をメモします。 アカウント内のターゲットにイベントをルーティングするルールを構成するには、ターゲット ID が必要です。
次へ
アカウントに 1 つ以上の経路を定義します。 詳しくは、経路の構成を参照してください。
経路を構成するときに、ターゲットを経路に関連付け、収集する監査イベントのタイプを定義します。 この経路は、アカウント内のどこで監査イベントを収集するかを決定するルールを定義します。 例えば、2 つの異なる領域から監査イベントを収集し、グローバル・イベントも収集する経路を定義できます。
グローバル・イベントおよびロケーション・ベースのイベントを収集できます。
- グローバル・イベントは、すべてのリージョンでデータとリソースが広く同期されるようなアクティビティーがアカウント内で行われたことを報告するものです。
- ロケーションベースのイベントは、US-SouthやUS-Eastなどの IBM データセンターのロケーション内でホストされている IBM Cloud サービスによって生成されたお客様のアカウント内のアクティビティについて報告します。