IBM Cloud Docs
アカウント設定の構成

アカウント設定の構成

アカウントで Activity Tracker Event Routing アカウント設定を構成するには、 Activity Tracker Event Routing CLI、 Activity Tracker Event Routing REST API、および Terraform スクリプトを使用します。 アカウント内で監査イベントを収集、ルーティング、および管理する場所と方法を定義するには、これらの設定を設定します。

Activity Tracker Event Routingアカウント設定を構成または変更するときは、以下の情報を考慮してください:

  • Activity Tracker Event Routingアカウント設定を変更するたびに、新しいリクエストで渡されるデータは、既存の設定データを置き換えます。 アカウント設定の更新を実行するときに、既存のデータが新しい要求に含まれて削除されないようにする必要があります。

  • --private-api-endpoint-only TRUEを設定してパブリック・エンドポイントを無効にする前に、アカウントにプライベート・エンドポイントへのアクセス権限があることを確認してください。 これを行うには、コマンドibmcloud account showを実行します。 VRF Enabledtrue で、Service Endpoint Enabledtrue の場合は、プライベート・エンドポイントへのアクセス権限があります。 プライベート・エンドポイントへのアクセス権限がない場合は、パブリック・エンドポイントを再度有効にすることができなくなります。パブリック・エンドポイントを再度有効にするには、プライベート・エンドポイントにアクセスする必要があるからです。

IBM Cloud® Activity Tracker Event Routingアカウント設定で設定できるデータは何ですか?

以下のいずれかの情報を定義できます。

  1. IBM Cloudアカウント内のActivity Tracker Event Routingアカウント構成メタデータが格納されている場所。

    メタデータでは、任意のリージョンのアカウント全体で使用可能なターゲット/ルーティング/設定データを参照します。

    Activity Tracker Event Routingが利用可能な場所であれば、どの場所を選んでも構いません。 詳しくは、ロケーションを参照してください。

    金融サービスの検証済みロケーションや EU 管理地域など、企業または業界のコンプライアンス要件を考慮します。

  2. アカウントのActivity Tracker Event Routingアカウント構成を管理することを許可するエンドポイントのタイプ。

    パブリック・エンドポイント、プライベート・エンドポイント、またはその両方を構成できます。

  3. アカウント管理者が監査イベントを収集するターゲットを定義できる場所。

    Activity Tracker Event Routingが利用可能な場所であれば、どの場所を選んでも構いません。 詳しくは、ロケーションを参照してください。

    金融サービスの検証済みロケーションや EU 管理地域など、企業または業界のコンプライアンス要件を考慮します。

  4. サポートされているActivity Tracker Event Routing場所から監査イベントを収集するアカウント内の1つ以上のターゲットで、監査データを収集する方法を設定していない場合。

    複数のターゲットを定義すると、すべてのデフォルト・ターゲットは、アカウント内でそれらを収集する場所を示すルーティング・ルールを持たない監査イベントのコピーを取得します。 アカウントごとに最大 2 つのデフォルト・ターゲットを定義できます。

IAM 権限

アカウント設定を管理するには、ユーザーに IAM 権限を付与する必要があります。 詳しくは、 リソースへのアクセス権限の割り当て を参照してください。

ポリシーと権限を作成するIAM権限を持っている場合、対象サービスのユーザーとして持っているレベルのアクセスのみを付与することができます。 例えば、対象サービスのビューアアクセスを持っている場合、ビューアロールのみを権限に割り当てることができます。 Administratorなどの上位の権限を割り当てようとすると、権限が付与されているように見えるかもしれませんが、対象のサービスに対して持っている最上位の権限(ビューア)しか割り当てられません。

ポリシーを定義するときに、ポリシーのスコープをアカウントに設定する必要があります。 経路は、特定の領域にバインドされていないグローバル・リソースです。

Required IAM roles
IAM アクション IAM ポリシー・スコープ IAM 役割 説明
atracker.setting.get アカウント Administrator
Editor
Viewer
Operator		 設定情報の取得
atracker.setting.update アカウント Administrator 設定の更新

CLI の前提条件

CLI を使用して Activity Tracker Event Routing アカウント設定値を管理する前に、 IBM Cloud Activity Tracker Event Routing CLI をインストールします

Activity Tracker Event Routingアカウント設定を読み取りまたは更新するIAM権限を持っていることを確認してください。

CLI を使用したアカウント設定の取得

このコマンドを使用して、IBM Cloud Activity Tracker Event Routingアカウント構成の設定を取得します。

ibmcloud atracker setting get [--output FORMAT]

コマンド・オプション

--output FORMAT
JSON を指定すると、出力が JSON 形式で返されます。 JSON を指定しない場合は、出力が表形式で返されます。
help | --help | -h
コマンドで使用できるオプションがリストされます。

以下は、デフォルトまたは許可されたターゲットが設定されておらず、API バージョンが V2 である場合の例です。

Atracker settings
Metadata region primary:     us-south
Metadata region backup:      us-east
Default targets:             []
Permitted target regions:    []
Private api endpoint only:   false
API version:                 2

CLI を使用した設定の更新

このコマンドを使用して、デフォルト・ターゲット、許可されたターゲット領域、および 1 次メタデータ領域などの現行アカウント設定を変更します。

ibmcloud atracker setting update [--metadata-region-primary REGION] [--metadata-region-backup REGION] [--default-targets TARGET] [--permitted-target-regions REGIONS] [--private-api-endpoint-only ( TRUE | FALSE )] [--output FORMAT] [--force]

コマンド・オプション

default-targets
ターゲット ID のリストです。 ルーティング・ルールによってイベントが他のターゲットに送信されない場合、これらのターゲットはイベントを受信します。 TARGETS は、ターゲット ID のコンマ区切りリストです。
permitted-target-regions
ターゲットを定義するために使用できる領域のリストです。 REGIONS は、領域のコンマ区切りリストです。 最大 2 つの許可されたターゲット領域を指定できます。
metadata-region-primary
経路定義およびターゲット定義に関連付けられたメタデータが保管される REGION を指定します。
metadata_region_backup
ルートとターゲット定義に関連するメタデータがバックアップ場所として保存される領域。
private-api-endpoint-only
プライベート・エンドポイントを使用できるかどうかを指定します。 trueの場合は、プライベート・エンドポイントのみを使用できます。
--output FORMAT
JSONが指定されている場合、出力は JSON 形式で返されます。 JSON を指定しない場合は、出力が表形式で返されます。
help | --help | -h
コマンドで使用できるオプションがリストされます。

更新が成功すると、現在の設定が表示されます。

API の設定とアクション

以下の表に、設定を管理するために実行できるアクションをリストします。

IBM Cloud Activity Tracker Event Routingを使用した設定アクション。REST API
アクション REST API メソッド API_URL
設定情報の取得 GET <ENDPOINT>/api/v2/settings
設定の更新 PUT <ENDPOINT>/api/v2/settings

プライベート・エンドポイントとパブリック・エンドポイントを使用して、設定を管理できます。 使用可能な ENDPOINTS のリストについて詳しくは、エンドポイントを参照してください。

  • デフォルトでは、プライベート・ネットワークから設定を管理できます。 次の形式の API エンドポイントを使用する必要があります。https://private.<region>.atracker.cloud.ibm.com

  • また、地域内のパブリック・エンドポイントを有効にして、設定を管理することもできます。 詳しくは、エンドポイントの管理を参照してください。

REST APIの詳細については、設定APIを参照してください。

API 前提条件

設定を管理するために API 呼び出しを行うには、以下のステップを実行します。

  1. IAM アクセス・トークンを取得します。 詳しくは、IAM アクセス・トークンの取得を参照してください。
  2. 設定を構成または管理する予定の地域の API エンドポイントを識別します。 詳しくは、エンドポイントを参照してください。

API を使用した設定の取得

以下の cURL コマンドを使用して、既存の設定情報を取得できます。

curl -X GET  ENDPOINT/api/v2/settings   -H "Authorization:  $ACCESS_TOKEN"

ここで、

ENDPOINT
ターゲットを構成または管理する予定のリージョン内の API エンドポイントです。 詳しくは、エンドポイントを参照してください。

例えば、以下の cURL 要求設定情報を米国南部地域で使用できます。

curl -X GET   https://private.us-south.atracker.cloud.ibm.com/api/v2/settings   -H "Authorization:  $ACCESS_TOKEN"

以下のような応答が返されます。

{
 "default_targets": ["50375218-0000-4234-bbb4-171bebab8408", "c7519d8a-5f97-498b-0000-8542f60955cd"],
 "permitted_target_regions": ["us-south", "us-east"],
 "metadata_region_primary": "us-south",
 "metadata_region_backup": "eu-de",
 "private_api_endpoint_only": false
}

ここで、

default_targets
ターゲット ID のリストです。 ルーティング・ルールによってイベントが他のターゲットに送信されない場合、これらのターゲットはイベントを受信します。
permitted_target_regions
ターゲットを定義するために使用できる領域のリストです。 許可されるターゲット領域は最大 2 つまでです。
metadata_region_primary
経路定義およびターゲット定義に関連付けられたメタデータが保管される領域です。
metadata_region_backup
ルートとターゲット定義に関連するメタデータがバックアップ場所として保存される領域。
private_api_endpoint_only
プライベート・エンドポイントを使用できるかどうかを指定します。 trueの場合は、プライベート・エンドポイントのみを使用できます。

API を使用した設定の更新

設定を更新する場合は、要求のデータ・セクションに設定情報を含める必要があります。

  • すべてのフィールドを渡す必要があります。
  • 変更が必要なフィールドを更新します。

以下の cURL コマンドを使用して、設定を更新できます。

curl -X PUT  <ENDPOINT>/api/v2/settings
-H "Authorization:  $ACCESS_TOKEN"
-H "content-type: application/json"
-d '{
   "default_targets": ["IDs"],
   "permitted_target_regions": ["REGIONS"],
   "metadata_region_primary": "REGION",
   "metadata_region_backup": "REGION",
   "private_api_endpoint_only": false
}'

ここで、

ENDPOINT
ターゲットを構成または管理する予定のリージョン内の API エンドポイントです。 詳しくは、エンドポイントを参照してください。
default_targets
ターゲット ID のリストです。 ルーティング・ルールによってイベントが他のターゲットに送信されない場合、これらのターゲットはイベントを受信します。
permitted_target_regions
ターゲットを定義するために使用できる領域のリストです。 最大 2 つの許可されたターゲット領域を指定できます。
metadata_region_primary
経路定義およびターゲット定義に関連付けられたメタデータが保管される領域です。
metadata_region_backup
ルートとターゲット定義に関連するメタデータがバックアップ場所として保存される領域。
private_api_endpoint_only
プライベート・エンドポイントを使用できるかどうかを指定します。 trueの場合は、プライベート・エンドポイントのみを使用できます。

HTTP 応答コード

IBM Cloud Activity Tracker Event Routing REST API を使用すると、メソッドが正常に完了したかどうかを示す標準 HTTP 応答コードを取得できます。

  • 200 応答は、どのような場合でも成功を示しています。
  • 4xx 応答は、失敗を示しています。
  • 5xx 応答は通常、内部システム・エラーを示しています。

いくつかの HTTP 応答コードについては、以下の表を参照してください。

HTTPレスポンスコード一覧
状況コード ステータス 説明
200 OK 要求は正常に終了しました。
201 OK 要求は正常に終了しました。 リソースが作成されます。
400 誤った要求 要求は失敗しました。 必要なパラメーターが欠落している可能性があります。
401 無許可 API 要求で使用されている IAM トークンは無効であるか、有効期限が切れています。
403 禁止 権限が不十分なため、操作は禁止されました。
404 見つかりません 要求されたリソースは存在しないか、既に削除されています。
429 要求が多すぎる API に到達する要求の数が多すぎるうえに各要求の間隔が短すぎます。
500 内部サーバー・エラー IBM Cloud Activity Tracker Event Routing の処理で何らかの問題が発生しました。

UIを使用してアカウント設定を取得する

  1. IBM Cloud アカウントにログインします
  2. 「メニュー」 アイコン 「メニュー」アイコン > **「可観測性」**をクリックします。
  3. **「Activity Tracker」**を選択します。
  4. 「ルーティング」 を選択します。
  5. 設定」 を選択する。

このページでは、以下の設定を表示できます。

  • メタデータ・ロケーション: 1 次メタデータ・リージョンとバックアップ・メタデータ・リージョンを表示します。
  • 許可された対象地域。 イベントを送信できるターゲット領域を表示します。
  • デフォルト・ターゲット: 構成済みのデフォルト・ターゲットを表示します。
  • パブリック・エンドポイント: パブリック・エンドポイントが有効かどうかを表示します。 無効にすると、 Activity Tracker Event Routing UI にアクセスできません。
  • レポート: 構成を JSON 形式で表示します。

UIを使った設定の更新

  1. IBM Cloud アカウントにログインします
  2. 「メニュー」 アイコン 「メニュー」アイコン > **「可観測性」**をクリックします。
  3. **「Activity Tracker」**を選択します。
  4. 「ルーティング」 を選択します。
  5. 設定」 を選択する。

変更する設定の横にある 「編集」 をクリックします。 以下の設定を変更できます:

  • メタデータ・ロケーション: 目的の 1 次メタデータ・リージョンとバックアップ・メタデータ・リージョンを選択します。
  • 許可されたターゲット領域: ターゲットを作成できる領域を選択します。 地域が選択されていない場合、すべての地域がイベントを受信できます。
  • デフォルト・ターゲット: ルーティング・ルールが存在しないか一致しない場合にデフォルトで使用されるターゲットを選択します。