IBM Cloud Docs
配置帐户设置

配置帐户设置

您可以使用 Activity Tracker Event Routing CLI,Activity Tracker Event Routing REST API 和 Terraform 脚本在帐户中配置 Activity Tracker Event Routing 帐户设置。 设置这些设置以定义在帐户中收集,路由和管理审计事件的位置和方式。

配置或修改 Activity Tracker Event Routing 帐户设置时,请考虑以下信息:

  • 每次修改 Activity Tracker Event Routing 帐户设置时,新请求中传递的数据都会替换任何现有配置数据。 通过将帐户设置更新包含在新请求中,您必须确保在运行帐户设置更新时不会删除任何现有数据。

  • 在通过设置 --private-api-endpoint-only TRUE 来禁用公共端点之前,请确保您的帐户具有对专用端点的访问权。 您可以通过运行命令 ibmcloud account show 来执行此操作。 如果 VRF EnabledtrueService Endpoint Enabledtrue,那么您有权访问专用端点。 如果您无权访问专用端点,那么将无法重新启用公共端点,因为需要专用端点访问才能重新启用公共端点。

您可以通过 IBM Cloud® Activity Tracker Event Routing 帐户设置配置哪些数据?

您可以定义以下任何信息:

  1. IBM Cloud 帐户中存储 Activity Tracker Event Routing 帐户配置元数据的位置。

    通过元数据,我们将引用在任何区域的帐户中可用的目标/路由/设置数据。

    您可以选择 Activity Tracker Event Routing 可用的任何受支持位置。 有关更多信息,请参阅 位置

    考虑任何企业或行业合规性需求,例如“已验证的金融服务”位置或欧盟管理的区域。

  2. 允许在帐户中管理 Activity Tracker Event Routing 帐户配置的端点类型。

    您可以配置公共端点和/或专用端点。

  3. 帐户管理员可以在其中定义目标以收集审计事件的位置。

    您可以选择 Activity Tracker Event Routing 可用的任何受支持位置。 有关更多信息,请参阅 位置

    考虑任何企业或行业合规性需求,例如“已验证的金融服务”位置或欧盟管理的区域。

  4. 帐户中的 1 或更多目标,这些目标将从未配置要如何收集审计数据的受支持 Activity Tracker Event Routing 位置收集审计事件。

    如果定义了多个 1 目标,那么所有缺省目标都将获取没有路由规则的审计事件的副本,以指示在帐户中收集这些事件的位置。 每个帐户最多可以定义 2 个缺省目标。

IAM 许可权

您必须授予用户 IAM 许可权以管理帐户设置。 有关更多信息,请参阅 分配对资源的访问权

如果拥有创建策略和授权的 IAM 权限,则只能授予作为目标服务用户所拥有的访问权限级别。 例如,如果您拥有目标服务的查看器访问权限,则只能为授权分配查看器角色。 如果尝试分配更高级别的权限(如管理员),可能会出现权限已授予的情况,但只会分配目标服务的最高级别权限(即查看器)。

定义策略时,必须将策略的作用域设置为帐户。 路由是未绑定到特定区域的全局资源。

Required IAM roles
IAM 操作 IAM 策略作用域 IAM 角色 描述
atracker.setting.get 帐户 Administrator
Editor
Viewer
Operator
获取设置信息
atracker.setting.update 帐户 Administrator 更新设置

CLI 先决条件

在使用 CLI 来管理 Activity Tracker Event Routing 帐户设置之前,请 安装 IBM Cloud Activity Tracker Event Routing CLI

检查您是否具有 IAM 许可权来读取或更新 Activity Tracker Event Routing 帐户设置。

使用 CLI 获取帐户设置

使用此命令可获取 IBM Cloud Activity Tracker Event Routing 帐户配置的设置。

ibmcloud atracker setting get [--output FORMAT]

命令选项

--output FORMAT
如果指定了 JSON,那么将以 JSON 格式返回输出。 如果未指定 "JSON,输出将以表格格式返回。
help | --help | -h
列出可用于该命令的选项。

示例

以下是未设置缺省或允许的目标且 API 版本为 V2的示例。

Atracker settings
Metadata region primary:     us-south
Metadata region backup:      us-east
Default targets:             []
Permitted target regions:    []
Private api endpoint only:   false
API version:                 2

使用 CLI 更新设置

使用此命令可修改当前帐户设置,例如缺省目标,允许的目标区域和主元数据区域。

ibmcloud atracker setting update [--metadata-region-primary REGION] [--metadata-region-backup REGION] [--default-targets TARGET] [--permitted-target-regions REGIONS] [--private-api-endpoint-only ( TRUE | FALSE )] [--output FORMAT] [--force]

命令选项

default-targets
是目标标识的列表。 如果没有路由规则导致将事件发送到其他目标,那么这些目标将接收到事件。 TARGETS 是以逗号分隔的目标标识列表。
permitted-target-regions
可用于定义目标的区域的列表。 REG才是以逗号分隔的区域列表。 最多可以指定两个允许的目标区域。
metadata-region-primary
指定存储与路由和目标定义关联的元数据的 REGION。
metadata_region_backup
与路由和目标定义关联的元数据作为备份位置存储的区域。
private-api-endpoint-only
指定是否可以使用专用端点。 如果 true,那么只能使用专用端点。
--output FORMAT
如果指定了 JSON,那么将以 JSON 格式返回输出。 如果未指定 "JSON,输出将以表格格式返回。
help | --help | -h
列出可用于该命令的选项。

如果更新成功,那么将显示当前设置。

API 设置和操作

下表列出了您可以执行的管理设置操作:

使用IBM Cloud Activity Tracker Event Routing进行设置操作REST API
操作 REST API 方法 API_URL
获取设置信息 GET <ENDPOINT>/api/v2/settings
更新设置 PUT <ENDPOINT>/api/v2/settings

您可以使用专用端点和公共端点来管理设置。 有关可用的 ENDPOINTS 列表的更多信息,请参阅 端点

  • 缺省情况下,您可以管理专用网络中的设置。 必须使用以下格式的 API 端点: https://private.<region>.atracker.cloud.ibm.com

  • 您还可以在区域中启用公共端点以管理设置。 有关更多信息,请参阅 管理端点

有关 REST API 的更多信息,请参阅 设置 API

API 先决条件

要进行 API 调用以管理设置,请完成以下步骤:

  1. 获取 IAM 访问令牌。 有关更多信息,请参阅 检索 IAM 访问令牌
  2. 在计划配置或管理设置的区域中标识 API 端点。 有关更多信息,请参阅 端点

使用 API 获取设置

可以使用以下 cURL 命令来获取现有设置信息:

curl -X GET  ENDPOINT/api/v2/settings   -H "Authorization:  $ACCESS_TOKEN"

其中:

ENDPOINT
是计划在其中配置或管理目标的区域中的 API 端点。 有关更多信息,请参阅 端点

例如,您可以将以下 cURL 请求设置信息用于美国南部区域:

curl -X GET   https://private.us-south.atracker.cloud.ibm.com/api/v2/settings   -H "Authorization:  $ACCESS_TOKEN"

将返回与下面类似的回复:

{
 "default_targets": ["50375218-0000-4234-bbb4-171bebab8408", "c7519d8a-5f97-498b-0000-8542f60955cd"],
 "permitted_target_regions": ["us-south", "us-east"],
 "metadata_region_primary": "us-south",
 "metadata_region_backup": "eu-de",
 "private_api_endpoint_only": false
}

其中:

default_targets
是目标标识的列表。 如果没有路由规则导致将事件发送到其他目标,那么这些目标将接收到事件。
permitted_target_regions
可用于定义目标的区域的列表。 最多允许两个允许的目标区域。
metadata_region_primary
存储与路由和目标定义关联的元数据的区域。
metadata_region_backup
与路由和目标定义关联的元数据作为备份位置存储的区域。
private_api_endpoint_only
指定是否可以使用专用端点。 如果 true,那么只能使用专用端点。

使用 API 更新设置

更新设置时,必须在请求的数据部分中包含设置信息。

  • 必须传递所有字段。
  • 更新需要更改的字段。

您可以使用以下 cURL 命令来更新设置:

curl -X PUT  <ENDPOINT>/api/v2/settings
-H "Authorization:  $ACCESS_TOKEN"
-H "content-type: application/json"
-d '{
   "default_targets": ["IDs"],
   "permitted_target_regions": ["REGIONS"],
   "metadata_region_primary": "REGION",
   "metadata_region_backup": "REGION",
   "private_api_endpoint_only": false
}'

其中:

ENDPOINT
是计划在其中配置或管理目标的区域中的 API 端点。 有关更多信息,请参阅 端点
default_targets
是目标标识的列表。 如果没有路由规则导致将事件发送到其他目标,那么这些目标将接收到事件。
permitted_target_regions
可用于定义目标的区域的列表。 最多可以指定两个允许的目标区域。
metadata_region_primary
存储与路由和目标定义关联的元数据的区域。
metadata_region_backup
与路由和目标定义关联的元数据作为备份位置存储的区域。
private_api_endpoint_only
指定是否可以使用专用端点。 如果 true,那么只能使用专用端点。

HTTP 响应代码

使用“IBM Cloud Activity Tracker Event RoutingREST API 时,您可以获得标准的”HTTP响应代码,以指示方法是否成功完成。

  • 200 响应始终指示成功。
  • 4xx 响应指示失败。
  • 5xx 响应通常指示内部系统错误。

请参阅下表了解一些HTTP响应代码:

HTTP响应代码列表
状态码 状态 描述
200 OK 请求已成功。
201 OK 请求已成功。 将创建资源。
400 错误请求 请求失败。 您可能缺少必需的参数。
401 未授权 API 请求中使用的 IAM 令牌无效或已到期。
403 禁止 由于许可权不足,因此禁止执行此操作。
404 找不到 请求的资源不存在或已被删除。
429 请求次数太多 过多请求过快地命中 API。
500 内部服务器错误 在 IBM Cloud Activity Tracker Event Routing 处理中发生错误。

使用 UI 获取帐户设置

  1. 登录到 IBM Cloud 帐户
  2. 单击 菜单 图标 "菜单" 图标 > 可观察性
  3. 选择 Activity Tracker
  4. 选择 路由
  5. 选择设置

在此页面上,您可以查看以下设置:

  • 元数据位置: 显示主元数据区域和备份元数据区域。
  • 允许的目标区域。 显示可发送事件的目标区域。
  • 缺省目标: 显示已配置的缺省目标。
  • 公共端点: 显示是否启用了公共端点。 禁用时,无法访问 Activity Tracker Event Routing UI。
  • 报告: 以 JSON 格式显示配置。

使用 UI 更新设置

  1. 登录到 IBM Cloud 帐户
  2. 单击 菜单 图标 "菜单" 图标 > 可观察性
  3. 选择 Activity Tracker
  4. 选择 路由
  5. 选择设置

单击要更改的设置旁边的 编辑。 您可以修改以下设置:

  • 元数据位置: 选择所需的主元数据区域和备份元数据区域。
  • 允许的目标区域: 选择可以在其中创建目标的区域。 如果未选择任何区域,那么所有区域都可以接收事件。
  • 缺省目标: 选择在路由规则不存在或不匹配时缺省使用的目标。