IBM Cloud Docs
配置 Cloud Object Storage 目标

配置 Cloud Object Storage 目标

目标是 IBM Cloud 资源,您可以在其中收集审计事件。 使用本教程可了解如何在帐户中配置 Cloud Object Storage 目标。

场景

在以下任何情况下,都可以将 Cloud Object Storage 存储区定义为目标:

  • 您需要一个解决方案来监视帐户中必须是“已验证金融服务”的活动。
  • 您希望在 Cloud Object Storage 存储区中收集和存储审计事件。 您可以在生成事件的帐户中或者在与生成审计事件的帐户不同的帐户中使用存储区。

先决条件

  • 了解 Activity Tracker Event Routing。 有关更多信息,请参阅关于

  • 安装 IBM Cloud CLI。 有关更多信息,请参阅安装 IBM Cloud CLI

  • 在本地系统中安装最新的 Activity Tracker Event Routing CLI V2 插件。 请参阅安装 Activity Tracker Event Routing CLI

  • 您需要一个用户 ID,该 ID 必须是 IBM Cloud 账户的成员或所有者。 要获取 IBM Cloud 用户标识,请转至: 创建帐户

  • 必须为管理帐户中 Activity Tracker Event Routing 配置的每个用户分配一个访问策略。 策略决定了用户可以执行哪些操作。 允许的操作由 Activity Tracker Event Routing 进行定制,并定义为允许对服务执行的操作。 然后,这些操作将映射到 IAM 用户角色。 了解更多信息

    您的用户标识需要管理员平台许可权才能管理 IBM Cloud Activity Tracker Event Routing 服务。 请联系帐户所有者。 帐户所有者可以授予其他用户对帐户的访问权,以便管理用户访问权和管理帐户资源。 了解更多。

配置 COS 存储区

可以将帐户中收集的审计事件存储在 IBM Cloud Object Storage (COS) 存储区中。

配置 Activity Tracker Event Routing时,必须定义每个区域的目标。 目标定义在其中收集该区域中审计事件的 COS 存储区。

在创建存储区之前,请考虑以下信息:

  • 您可以在任何位置创建存储区。
  • 只能配置每个目标的 1 存储区。
  • 如果您有法规和合规性需求,请检查可以在其中创建存储区的位置。 然后,如果性能至关重要,请考虑在生成审计事件的同一区域中创建 COS 存储区。

有关更多信息,请参阅 管理 IBM Cloud Object Storage(COS)存储区

您可以在帐户中定义用于生成审计事件的存储区,也可以在其他帐户中定义存储区。

从以下选项中选择一个来创建邮筒:

创建水桶请求
操作 更多信息
通过 IBM Cloud UI 创建存储区 了解更多
通过 IBM Cloud CLI 创建存储区 了解更多
使用 cURL 创建存储区 了解更多
使用 REST API 创建水桶 了解更多
使用 REST API 创建具有不同存储类的存储区 了解更多
使用 REST API 使用 Key Protect 或 Hyper Protect Crypto Services 受管加密密钥 (SSE-KP) 创建存储区 了解更多
使用 Terraform 创建存储区 了解更多

配置服务到服务授权

配置对 COS 存储区的服务到服务授权,以便在将加密数据写入 COS 存储区时不需要传递 API 密钥。

以下步骤显示当 COS 存储区在生成审计事件的不同帐户中可用时,如何定义服务以进行服务授权:

您必须在 COS 存储区可用的帐户中完成这些步骤。

  1. 以将配置 IBM Cloud Activity Tracker Event Routing 目标的帐户所有者身份登录到 IBM Cloud 帐户

    使用用户标识和密码登录后,IBM Cloud“仪表板”即会打开。

  2. 单击管理 > 访问权 (IAM)。 这样会显示 管理访问权和用户

  3. 点击授权

  4. 单击创建

  5. 选择源账户。 选择 其他帐户。 然后,输入源服务的账户 ID。 帐户标识是 32 个字符的唯一帐户标识。

  6. 对于 源服务,请选择 Activity Tracker Event Routing,对于 要如何限定访问范围?,请选择 所有资源

  7. 对于 目标服务,请选择 Cloud Object Storage要如何限定访问范围? 选择 基于所选属性的资源

  8. 选择 服务实例字符串等于 COS 实例的名称。

  9. 对于 服务访问权,请选择 对象写程序

  10. 单击授权。 新的服务到服务授权将列示在“管理授权”视图中。

或者,您可以通过运行以下命令来创建服务到服务策略:

ibmcloud iam authorization-policy-create atracker cloud-object-storage "Object Writer"

您将只能使用 UI 向 IBM Cloud Object Storage 实例授权。 如果要将授权限制为特定 IBM Cloud Object Storage 存储区,那么需要使用 API 配置授权。

创建目标

创建存储区并配置授权方法后,可以配置目标。 目标定义将在其中路由审计事件的 COS 存储区。

该区域标识将从其中写入存储区的位置。 如果您希望来自所有区域的事件都流向这一个 COS 存储区,那么只需要定义单个目标。

创建目标,请运行以下命令:

ibmcloud atracker target create --name <TARGET_NAME> --type cloud-object-storage --endpoint <COS_ENDPOINT> --target-crn <COS_TARGET_CRN> --bucket <BUCKET> --region <REGION> --service-to-service-enabled true

位置

--region <REGION>
将处理事件的区域的名称,例如 us-southeu-gb。 如果未指定,那么将使用已登录或目标区域。
--name <TARGET_NAME>
要对目标指定的名称。
--endpoint <COS_ENDPOINT>
要与 IBM Cloud Object Storage 存储区关联的 IBM Cloud Object Storage 端点。
--bucket <BUCKET>
要与目标关联的 IBM Cloud Object Storage 存储区的名称。
--target-crn <COS_TARGET_CRN>
IBM Cloud Object Storage 实例的 CRN。
--service-to-service-enabled
指示是否已对存储区启用 服务到服务授权。 如果已启用服务到服务授权,请指定 TRUE ; 如果未启用服务到服务授权,请指定 FALSE

例如,要在美国南部区域中创建目标,可以运行以下命令:

ibmcloud atracker target create --name  "My target" --type cloud-object-storage --endpoint "s3.private.us-south.cloud-object-storage.appdomain.cloud" --target-crn "crn:v1:bluemix:public:cloud-object-storage:global:a/<AccountID>:<COSinstanceID>::" --bucket "activity-tracking-bucket-us-south" --region "us-south" --service-to-service-enabled true

要查看区域中的目标定义,请参阅 使用 CLI 获取有关目标的信息

创建目标时,将返回目标标识。 记下目标标识。 您将需要目标标识来配置将事件路由到帐户中的目标的规则。

下一步

在帐户中定义 1 或更多路径。 有关更多信息,请参阅 配置路径

配置路由时,将目标与路由相关联,并定义要收集的审计事件类型。 路由定义了决定在账户中何处收集审计事件的规则。 例如,您可以定义用于从 2 不同区域收集审计事件的路径,还可以收集全局事件。

您可以收集 全局事件基于位置的事件

  • 全球事件会报告账户中与数据和资源相关的活动,这些数据和资源通常在所有地区同步。
  • 基于位置的事件报告帐户中由 IBM 数据中心位置 (例如,美国南部或美国东部) 中托管的 IBM Cloud 服务生成的活动。