管理目标
您可以使用 Activity Tracker Event Routing CLI,Activity Tracker Event Routing REST API 和 Terraform 脚本来管理帐户中的 IBM Cloud® Activity Tracker Event Routing 目标。 目标是可以收集审计事件的资源。
了解目标在帐户中的工作方式
请注意有关目标的以下信息:
-
您可以在每个帐户中最多定义 16 个目标。 每个帐户最多可以有 2 个缺省目标。
-
目标定义了收集审计事件的资源。 路由 定义如何将帐户中生成的审计事件路由到您配置的目标。
-
您可以在 Activity Tracker Event Routing 可用的任何受支持位置中定义目标。 有关更多信息,请参阅 位置。
-
目标在区域内创建,但跨区域可见。 即,所有目标都可以由任何 IBM Cloud® Activity Tracker Event Routing API 端点访问。
-
您可以使用专用和公共端点来管理目标。 有关可用的
ENDPOINTS列表的更多信息,请参阅 端点。-
您可以使用以下格式的 API 端点来管理专用网络中的目标:
https://private.REGION.atracker.cloud.ibm.com -
您可以使用以下格式的 API 端点来管理公用网络中的目标:
https://REGION.atracker.cloud.ibm.com -
您可以通过更新帐户设置来禁用公共端点。 有关更多信息,请参阅 强制使用专用端点。
-
目标类型
您可以配置以下任何一种目标类型:
| 目标 | 类型 | 了解更多 |
|---|---|---|
| IBM Cloud Object Storage (COS) | cloud_object_storage |
管理 IBM Cloud Object Storage(COS)目标 |
| IBM® Event Streams for IBM Cloud® (Event Streams) | event_streams |
管理 IBM® Event Streams for IBM Cloud®(Event Streams)目标 |
| IBM Cloud Logs | cloud_logs |
管理 IBM Cloud Logs 目标 |
IAM 访问权
您必须授予用户 IAM 许可权以管理目标。 有关更多信息,请参阅 分配对资源的访问权。
定义策略时,可以指示许可权的作用域。 您可以选择授予特定区域或整个帐户的许可权。
如果拥有创建策略和授权的 IAM 权限,则只能授予作为目标服务用户的访问权限级别。 例如,如果您拥有目标服务的查看器访问权限,则只能为授权分配查看器角色。 如果尝试分配更高级别的权限(如管理员),可能会出现权限已授予的情况,但只会分配目标服务的最高级别权限(即查看器)。
具有区域作用域的用户将限于其授权区域中的访问目标。
| IAM 操作 | IAM 策略作用域 | IAM 角色 | 描述 |
|---|---|---|---|
atracker.target.read |
区域 | AdministratorEditorViewerOperator |
读取 (查看) 有关目标的信息 |
atracker.target.create |
区域 | AdministratorEditor |
创建目标 |
atracker.target.update |
区域 | AdministratorEditor |
更新目标 |
atracker.target.delete |
区域 | AdministratorEditor |
删除目标 |
atracker.target.list |
帐户 | AdministratorEditorViewerOperator |
列出所有目标 |
验证选项
要将事件路由到目标,请检查可用于认证该目标类型的选项。
| 目标 | 服务到服务 (S2S) 认证 | API 密钥 |
|---|---|---|
cloud_object_storage |
 |
|
event_streams |
|
|
cloud_logs |
|
验证目标
验证目标时,请检查为目标配置的凭证是否有效。 Activity Tracker Event Routing 使用这些凭证向目标进行认证。
您可以使用 IBM Cloud Metrics Routing CLI,IBM Cloud Metrics Routing REST API 和 Terraform 脚本来验证目标。
| 目标类型 | CLI | API |
|---|---|---|
cloud-object-storage |
通过 CLI 验证 | 通过 API 验证 |
event_streams |
通过 CLI 验证 | 通过 API 验证 |
cloud_logs |
通过 CLI 验证 | 通过 API 验证 |
CLI 先决条件
在使用 CLI 管理目标之前,请完成以下步骤:
CLI 命令
下表列出了可以运行的管理目标的操作:
| 操作 | 命令 |
|---|---|
| 创建目标 | ibmcloud atracker target create |
| 更新目标 | ibmcloud atracker target update |
| 删除目标 | ibmcloud atracker target delete |
| 读取目标 | ibmcloud atracker target get |
| 列出所有目标 | ibmcloud atracker target ls |
| 验证目标 | ibmcloud atracker target validate |
有关更多信息,请参阅 IBM Cloud Activity Tracker Event Routing V2 CLI。
API 目标和操作
要进行 API 调用以管理目标,请完成以下步骤:
- 获取 IAM 访问令牌。 有关更多信息,请参阅 检索 IAM 访问令牌。
- 在计划配置或管理目标的区域中标识 API 端点。 有关更多信息,请参阅 端点。
下表列出了可以运行的管理目标的操作:
| 操作 | REST API 方法 | API_URL |
|---|---|---|
| 创建目标 | POST |
<ENDPOINT>/api/v2/targets |
| 更新目标 | PUT |
<ENDPOINT>/api/v2/targets/<TARGET_ID> |
| 删除目标 | DELETE |
<ENDPOINT>/api/v2/targets/<TARGET_ID> |
| 读取目标 | GET |
<ENDPOINT>/api/v2/targets/<TARGET_ID> |
| 列出所有目标 | GET |
<ENDPOINT>/api/v2/targets |
| 验证目标 | POST |
<ENDPOINT>/api/v2/targets/{id}/validate |
有关更多信息,请参阅 IBM Cloud Activity Tracker Event Routing V2 API。
HTTP 响应代码
在使用 IBM Cloud Activity Tracker Event Routing REST API 时,您可以获取标准的 HTTP 响应代码,以指示方法是否成功完成。
- 200 响应始终指示成功。
- 4xx 响应指示失败。
- 5xx 响应通常指示内部系统错误。
有关 HTTP 的一些响应代码,请参见下表:
| 状态码 | 状态 | 描述 |
|---|---|---|
200 |
OK | 请求已成功。 |
201 |
OK | 请求已成功。 将创建资源。 |
400 |
错误请求 | 请求失败。 您可能缺少必需的参数。 |
401 |
未授权 | API 请求中使用的 IAM 令牌无效或已到期。 |
403 |
禁止 | 由于许可权不足,因此禁止执行此操作。 |
404 |
找不到 | 请求的资源不存在或已被删除。 |
429 |
请求次数太多 | 过多请求过快地命中 API。 |
500 |
内部服务器错误 | 在 IBM Cloud Activity Tracker Event Routing 处理中发生错误。 |
下一步
选择以下选项中的 1 以在帐户中配置目标:
使用 UI 管理目标
您可以使用 IBM Console 来管理 IBM Cloud Activity Tracker Event Routing 目标,路径和设置。
- 登录到 IBM Cloud 帐户。
- 单击 菜单 图标
> 可观察性。 - 选择 Activity Tracker。
- 选择 路由。
有关更多信息,请参阅 管理 IBM Cloud Logs 目标。