アカウント設定の構成
アカウントで Activity Tracker Event Routing アカウント設定を構成するには、 Activity Tracker Event Routing CLI、 Activity Tracker Event Routing REST API、および Terraform スクリプトを使用します。 アカウント内で監査イベントを収集、ルーティング、および管理する場所と方法を定義するには、これらの設定を設定します。
Activity Tracker Event Routingアカウント設定を構成または変更するときは、以下の情報を考慮してください:
-
Activity Tracker Event Routingアカウント設定を変更するたびに、新しいリクエストで渡されるデータは、既存の設定データを置き換えます。 アカウント設定の更新を実行するときに、既存のデータが新しい要求に含まれて削除されないようにする必要があります。
-
--private-api-endpoint-only TRUE
を設定してパブリック・エンドポイントを無効にする前に、アカウントにプライベート・エンドポイントへのアクセス権限があることを確認してください。 これを行うには、コマンドibmcloud account show
を実行します。VRF Enabled
がtrue
で、Service Endpoint Enabled
がtrue
の場合は、プライベート・エンドポイントへのアクセス権限があります。 プライベート・エンドポイントへのアクセス権限がない場合は、パブリック・エンドポイントを再度有効にすることができなくなります。パブリック・エンドポイントを再度有効にするには、プライベート・エンドポイントにアクセスする必要があるからです。
IBM Cloud® Activity Tracker Event Routingアカウント設定で設定できるデータは何ですか?
以下のいずれかの情報を定義できます。
-
IBM Cloudアカウント内のActivity Tracker Event Routingアカウント構成メタデータが格納されている場所。
メタデータでは、任意のリージョンのアカウント全体で使用可能なターゲット/ルーティング/設定データを参照します。
Activity Tracker Event Routingが利用可能な場所であれば、どの場所を選んでも構いません。 詳しくは、ロケーションを参照してください。
金融サービスの検証済みロケーションや EU 管理地域など、企業または業界のコンプライアンス要件を考慮します。
-
アカウントのActivity Tracker Event Routingアカウント構成を管理することを許可するエンドポイントのタイプ。
パブリック・エンドポイント、プライベート・エンドポイント、またはその両方を構成できます。
-
アカウント管理者が監査イベントを収集するターゲットを定義できる場所。
Activity Tracker Event Routingが利用可能な場所であれば、どの場所を選んでも構いません。 詳しくは、ロケーションを参照してください。
金融サービスの検証済みロケーションや EU 管理地域など、企業または業界のコンプライアンス要件を考慮します。
-
サポートされているActivity Tracker Event Routing場所から監査イベントを収集するアカウント内の1つ以上のターゲットで、監査データを収集する方法を設定していない場合。
複数のターゲットを定義すると、すべてのデフォルト・ターゲットは、アカウント内でそれらを収集する場所を示すルーティング・ルールを持たない監査イベントのコピーを取得します。 アカウントごとに最大 2 つのデフォルト・ターゲットを定義できます。
IAM 権限
アカウント設定を管理するには、ユーザーに IAM 権限を付与する必要があります。 詳しくは、 リソースへのアクセス権限の割り当て を参照してください。
ポリシーと権限を作成するIAM権限を持っている場合、対象サービスのユーザーとして持っているレベルのアクセスのみを付与することができます。 例えば、対象サービスのビューアアクセスを持っている場合、ビューアロールのみを権限に割り当てることができます。 Administratorなどの上位の権限を割り当てようとすると、権限が付与されているように見えるかもしれませんが、対象のサービスに対して持っている最上位の権限(ビューア)しか割り当てられません。
ポリシーを定義するときに、ポリシーのスコープをアカウントに設定する必要があります。 経路は、特定の領域にバインドされていないグローバル・リソースです。
IAM アクション | IAM ポリシー・スコープ | IAM 役割 | 説明 |
---|---|---|---|
atracker.setting.get |
アカウント | Administrator Editor Viewer Operator |
設定情報の取得 |
atracker.setting.update |
アカウント | Administrator |
設定の更新 |
CLI の前提条件
CLI を使用して Activity Tracker Event Routing アカウント設定値を管理する前に、 IBM Cloud Activity Tracker Event Routing CLI をインストールします。
Activity Tracker Event Routingアカウント設定を読み取りまたは更新するIAM権限を持っていることを確認してください。
CLI を使用したアカウント設定の取得
このコマンドを使用して、IBM Cloud Activity Tracker Event Routingアカウント構成の設定を取得します。
ibmcloud atracker setting get [--output FORMAT]
コマンド・オプション
--output FORMAT
JSON
を指定すると、出力が JSON 形式で返されます。JSON
を指定しない場合は、出力が表形式で返されます。help
|--help
|-h
- コマンドで使用できるオプションがリストされます。
例
以下は、デフォルトまたは許可されたターゲットが設定されておらず、API バージョンが V2 である場合の例です。
Atracker settings
Metadata region primary: us-south
Metadata region backup: us-east
Default targets: []
Permitted target regions: []
Private api endpoint only: false
API version: 2
CLI を使用した設定の更新
このコマンドを使用して、デフォルト・ターゲット、許可されたターゲット領域、および 1 次メタデータ領域などの現行アカウント設定を変更します。
ibmcloud atracker setting update [--metadata-region-primary REGION] [--metadata-region-backup REGION] [--default-targets TARGET] [--permitted-target-regions REGIONS] [--private-api-endpoint-only ( TRUE | FALSE )] [--output FORMAT] [--force]
コマンド・オプション
default-targets
- ターゲット ID のリストです。 ルーティング・ルールによってイベントが他のターゲットに送信されない場合、これらのターゲットはイベントを受信します。 TARGETS は、ターゲット ID のコンマ区切りリストです。
permitted-target-regions
- ターゲットを定義するために使用できる領域のリストです。 REGIONS は、領域のコンマ区切りリストです。 最大 2 つの許可されたターゲット領域を指定できます。
metadata-region-primary
- 経路定義およびターゲット定義に関連付けられたメタデータが保管される REGION を指定します。
metadata_region_backup
- ルートとターゲット定義に関連するメタデータがバックアップ場所として保存される領域。
private-api-endpoint-only
- プライベート・エンドポイントを使用できるかどうかを指定します。
true
の場合は、プライベート・エンドポイントのみを使用できます。 --output FORMAT
JSON
が指定されている場合、出力は JSON 形式で返されます。JSON
を指定しない場合は、出力が表形式で返されます。help
|--help
|-h
- コマンドで使用できるオプションがリストされます。
更新が成功すると、現在の設定が表示されます。
API の設定とアクション
以下の表に、設定を管理するために実行できるアクションをリストします。
アクション | REST API メソッド | API_URL |
---|---|---|
設定情報の取得 | GET |
<ENDPOINT>/api/v2/settings |
設定の更新 | PUT |
<ENDPOINT>/api/v2/settings |
プライベート・エンドポイントとパブリック・エンドポイントを使用して、設定を管理できます。 使用可能な ENDPOINTS
のリストについて詳しくは、エンドポイントを参照してください。
-
デフォルトでは、プライベート・ネットワークから設定を管理できます。 次の形式の API エンドポイントを使用する必要があります。
https://private.<region>.atracker.cloud.ibm.com
-
また、地域内のパブリック・エンドポイントを有効にして、設定を管理することもできます。 詳しくは、エンドポイントの管理を参照してください。
REST APIの詳細については、設定APIを参照してください。
API 前提条件
設定を管理するために API 呼び出しを行うには、以下のステップを実行します。
- IAM アクセス・トークンを取得します。 詳しくは、IAM アクセス・トークンの取得を参照してください。
- 設定を構成または管理する予定の地域の API エンドポイントを識別します。 詳しくは、エンドポイントを参照してください。
API を使用した設定の取得
以下の cURL コマンドを使用して、既存の設定情報を取得できます。
curl -X GET ENDPOINT/api/v2/settings -H "Authorization: $ACCESS_TOKEN"
ここで、
ENDPOINT
- ターゲットを構成または管理する予定のリージョン内の API エンドポイントです。 詳しくは、エンドポイントを参照してください。
例えば、以下の cURL 要求設定情報を米国南部地域で使用できます。
curl -X GET https://private.us-south.atracker.cloud.ibm.com/api/v2/settings -H "Authorization: $ACCESS_TOKEN"
以下のような応答が返されます。
{
"default_targets": ["50375218-0000-4234-bbb4-171bebab8408", "c7519d8a-5f97-498b-0000-8542f60955cd"],
"permitted_target_regions": ["us-south", "us-east"],
"metadata_region_primary": "us-south",
"metadata_region_backup": "eu-de",
"private_api_endpoint_only": false
}
ここで、
default_targets
- ターゲット ID のリストです。 ルーティング・ルールによってイベントが他のターゲットに送信されない場合、これらのターゲットはイベントを受信します。
permitted_target_regions
- ターゲットを定義するために使用できる領域のリストです。 許可されるターゲット領域は最大 2 つまでです。
metadata_region_primary
- 経路定義およびターゲット定義に関連付けられたメタデータが保管される領域です。
metadata_region_backup
- ルートとターゲット定義に関連するメタデータがバックアップ場所として保存される領域。
private_api_endpoint_only
- プライベート・エンドポイントを使用できるかどうかを指定します。
true
の場合は、プライベート・エンドポイントのみを使用できます。
API を使用した設定の更新
設定を更新する場合は、要求のデータ・セクションに設定情報を含める必要があります。
- すべてのフィールドを渡す必要があります。
- 変更が必要なフィールドを更新します。
以下の cURL コマンドを使用して、設定を更新できます。
curl -X PUT <ENDPOINT>/api/v2/settings
-H "Authorization: $ACCESS_TOKEN"
-H "content-type: application/json"
-d '{
"default_targets": ["IDs"],
"permitted_target_regions": ["REGIONS"],
"metadata_region_primary": "REGION",
"metadata_region_backup": "REGION",
"private_api_endpoint_only": false
}'
ここで、
ENDPOINT
- ターゲットを構成または管理する予定のリージョン内の API エンドポイントです。 詳しくは、エンドポイントを参照してください。
default_targets
- ターゲット ID のリストです。 ルーティング・ルールによってイベントが他のターゲットに送信されない場合、これらのターゲットはイベントを受信します。
permitted_target_regions
- ターゲットを定義するために使用できる領域のリストです。 最大 2 つの許可されたターゲット領域を指定できます。
metadata_region_primary
- 経路定義およびターゲット定義に関連付けられたメタデータが保管される領域です。
metadata_region_backup
- ルートとターゲット定義に関連するメタデータがバックアップ場所として保存される領域。
private_api_endpoint_only
- プライベート・エンドポイントを使用できるかどうかを指定します。
true
の場合は、プライベート・エンドポイントのみを使用できます。
HTTP 応答コード
IBM Cloud Activity Tracker Event Routing REST API を使用すると、メソッドが正常に完了したかどうかを示す標準 HTTP 応答コードを取得できます。
- 200 応答は、どのような場合でも成功を示しています。
- 4xx 応答は、失敗を示しています。
- 5xx 応答は通常、内部システム・エラーを示しています。
いくつかの HTTP 応答コードについては、以下の表を参照してください。
状況コード | ステータス | 説明 |
---|---|---|
200 |
OK | 要求は正常に終了しました。 |
201 |
OK | 要求は正常に終了しました。 リソースが作成されます。 |
400 |
誤った要求 | 要求は失敗しました。 必要なパラメーターが欠落している可能性があります。 |
401 |
無許可 | API 要求で使用されている IAM トークンは無効であるか、有効期限が切れています。 |
403 |
禁止 | 権限が不十分なため、操作は禁止されました。 |
404 |
見つかりません | 要求されたリソースは存在しないか、既に削除されています。 |
429 |
要求が多すぎる | API に到達する要求の数が多すぎるうえに各要求の間隔が短すぎます。 |
500 |
内部サーバー・エラー | IBM Cloud Activity Tracker Event Routing の処理で何らかの問題が発生しました。 |
UIを使用してアカウント設定を取得する
- IBM Cloud アカウントにログインします。
- 「メニュー」 アイコン
> **「可観測性」**をクリックします。
- **「Activity Tracker」**を選択します。
- 「ルーティング」 を選択します。
- 設定」 を選択する。
このページでは、以下の設定を表示できます。
- メタデータ・ロケーション: 1 次メタデータ・リージョンとバックアップ・メタデータ・リージョンを表示します。
- 許可された対象地域。 イベントを送信できるターゲット領域を表示します。
- デフォルト・ターゲット: 構成済みのデフォルト・ターゲットを表示します。
- パブリック・エンドポイント: パブリック・エンドポイントが有効かどうかを表示します。 無効にすると、 Activity Tracker Event Routing UI にアクセスできません。
- レポート: 構成を JSON 形式で表示します。
UIを使った設定の更新
- IBM Cloud アカウントにログインします。
- 「メニュー」 アイコン
> **「可観測性」**をクリックします。
- **「Activity Tracker」**を選択します。
- 「ルーティング」 を選択します。
- 設定」 を選択する。
変更する設定の横にある 「編集」 をクリックします。 以下の設定を変更できます:
- メタデータ・ロケーション: 目的の 1 次メタデータ・リージョンとバックアップ・メタデータ・リージョンを選択します。
- 許可されたターゲット領域: ターゲットを作成できる領域を選択します。 地域が選択されていない場合、すべての地域がイベントを受信できます。
- デフォルト・ターゲット: ルーティング・ルールが存在しないか一致しない場合にデフォルトで使用されるターゲットを選択します。