IBM Cloud Docs
Augmentation des limites de compte

Augmentation des limites de compte

Les limites maximales par défaut sont définies sur les entités de votre compte, telles que les règles d'accès, les ID de service, les profils sécurisés, les fournisseurs d'identité (IdP) et les clés d'API. Toutefois, les cas d'utilisation spécifiques peuvent nécessiter une limite élargie et vous devez demander une augmentation pour votre entité choisie. Vous devez être propriétaire du compte ou être administrateur de tous les services de gestion des comptes afin de vérifier le nombre de règles se trouvant dans le compte.

Pour revoir les limites par défaut de votre compte, voir IBM Cloud IAM limits.

Augmentation des limites pour les entités d'identité IAM

Lorsque votre compte approche la limite maximale de l'une des entités, vous recevez un avertissement dans les événements de suivi de l'activité pour la création d'une entité. Ces évènements vous montrent les limites actuelles. Voir l'exemple suivant :

Nov 26 16:46:01 iamid-6-11-12270-af4d601-cd77fd6bd-86gp7 at.log INFO IAM Identity Service: create account-serviceid 12345678-90ab-cdef-0123-456789abcdef -failure Warning: You have reached 100% of the maximum number of allowed Service IDs in account 11112222333344445555666677778888. Your current count is 3000, and the limit is 3000.

Une augmentation de la limite peut être demandée pour les types d'entités suivants :

  • Clés d'API par identité
  • ID de service
  • Fournisseurs d'identité (IdPs)
  • Profils sécurisés
  • Règles dynamiques

Vous ne pouvez demander une augmentation limite pour les entités choisies que si les critères suivants sont remplis :

  • Vous devez être le propriétaire du compte ou disposer du rôle administrateur sur tous les services de gestion du compte.
  • Vous avez fait des efforts pour nettoyer et réduire le nombre d'entités dans le compte.
  • Vous devez avoir un cas d'utilisation spécifique et raisonnable pour demander une augmentation.

Demande d'augmentation de limite pour différentes entités

Si vous remplissez tous les critères énumérés précédemment, vous pouvez demander une augmentation de la limite pour les entités choisies en soumettant un cas d'assistance dans la console. Dans ce cas, fournissez toutes les informations ci-dessous. Chaque information est requise pour le traitement et l'approbation de votre demande.

  • Titre du dossier Request to increase account <entity> limit
  • Cas d'utilisation de l'augmentation de limite
  • Informations sur tous les efforts déployés pour réduire le nombre de <entities> sur le compte
  • ID de compte
  • Notez combien de <entities> supplémentaires sont requis dans le compte

Lorsque la demande est approuvée, les limites de votre compte sont modifiées.

Vous êtes informé de la mise à jour de vos limites d'entité à travers le dossier.

Gestion des limites de règle

Si vous ne connaissez pas exactement le nombre de règles se trouvant dans votre compte et que vous souhaitez vous assurer que vous n'atteignez pas la limite, vous pouvez vérifier le nombre de règles se trouvant dans votre compte et essayer de réduire le nombre de règles lorsque vous vous approchez de la limite. Vous devez être le propriétaire du compte ou l'administrateur de tous les services de gestion des comptes et de tous les services d'identité et d'accès activés pour vérifier le nombre de politiques existant dans le compte.

Affichage du nombre total de stratégies par compte à l'aide de l'API

Pour obtenir le nombre total de règles par compte, vous pouvez utiliser l'API IAM Policy Management IAM :

  1. Connectez-vous à l'interface de ligne de commande IBM Cloud®. Si vous possédez plusieurs comptes, vous êtes invité à sélectionner le compte à utiliser. Si vous n'indiquez pas de région avec l'option -r, vous devez également sélectionner une région.

    ibmcloud login

    Si vos données d'identification sont rejetées, vous pouvez utiliser un ID fédéré. Pour vous connecter avec un ID fédéré, utilisez l'indicateur --sso. Voir Connexion à l'aide d'un ID fédéré pour plus de détails.

    Si c'est la première fois que vous utilisez l'interface de ligne de commande IBM Cloud, consultez la rubrique Tutoriel d'initiation.

  2. Générez votre jeton d'accès IAM :

    ibmcloud iam oauth-tokens

  3. Entrez la commande curl suivante pour obtenir le nombre total de règles dans un compte. Vous pouvez trouver la valeur correcte pour le paramètre de requête account_id en exécutant la commande ibmcloud account list. L'ID de compte se trouve dans la colonne Identificateur global unique du compte. Vous pouvez installer jq pour formater l'élément JSON utilisé dans les exemples suivants :

    curl --location --request GET "https://iam.cloud.ibm.com/v1/policies?account_id=<account_id>" \
    --header "Content-Type: application/json" \
    --header "Authorization: <IAM TOKEN>" | jq -r .policies | jq '. | length'

Dans l'exemple de sortie suivant, la dernière ligne affiche le nombre total de règles :

 % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                  Dload  Upload   Total   Spent    Left  Speed
100  2919  100  2919    0     0   3918      0 --:--:-- --:--:-- --:--:--  3912
351

Installez jq pour formater le fichier JSON. Le filtre | jq -r .policies | jq '. | length' compte le nombre de règles dans le compte. Sans cela, une liste de toutes les règles est renvoyée.

Affichage du nombre total de règles par compte à l'aide de l'interface de ligne de commande

Pour obtenir le nombre total de règles par compte à l'aide de l'interface de ligne de commande, utilisez la commande suivante:

ibmcloud iam account-policies --output json | jq '. | length'

L'exemple de sortie suivant affiche le nombre total de stratégies:

351

Installez jq pour formater le fichier JSON. Le filtre | jq '. | length' compte le nombre de règles dans le compte. Sans cela, une liste de toutes les règles est renvoyée.

Visualisation du total des polices d'un type spécifique par compte

Pour obtenir le nombre total de règles pour un sujet spécifique, vous pouvez utiliser l'interface de ligne de commande IBM Cloud:

Connectez-vous et sélectionnez votre compte pour exécuter la commande CLI appropriée. Vous pouvez installer jq pour formater l'élément JSON dans la sortie de l'interface de ligne de commande.

Pour obtenir le nombre de règles pour un ID de service, entrez :

ibmcloud iam service-policies <service-id> -f --output JSON | jq '. | length'

Pour obtenir le nombre de règles pour un nom d'utilisateur (adresse électronique), entrez :

ibmcloud iam user-policies <username> --output JSON | jq '. | length'

Pour obtenir le nombre de règles pour un ID de groupe d'accès, entrez :

ibmcloud iam access-group-policies <access-group> -f --output JSON | jq '. | length'

Installez jq pour formater le fichier JSON. Le filtre | jq '. | length' compte le nombre de règles dans le compte. Sans cela, une liste de toutes les règles est renvoyée.

Gestion des limites de règle

Si vous n'êtes pas sûr du nombre de règles de restriction contextuelle dans votre compte et que vous voulez éviter d'atteindre la limite, vous pouvez vérifier le nombre de règles dans votre compte et réduire les politiques à mesure que vous approchez de la limite.

Vous devez être le propriétaire du compte ou l'administrateur de tous les services de gestion des comptes et de tous les services activés pour les identités et les accès pour vérifier le nombre de règles existant dans le compte.

Affichage du nombre total de règles par compte à l'aide de l'API

Pour obtenir le nombre total de règles par compte, utilisez l'API de restrictions basées sur le contexte:

  1. Connectez-vous à l'interface de ligne de commande IBM Cloud®. Si vous possédez plusieurs comptes, vous êtes invité à sélectionner le compte à utiliser. Si vous n'indiquez pas de région avec l'option -r, vous devez également sélectionner une région.

    ibmcloud login

    Si vos données d'identification sont rejetées, vous pouvez utiliser un ID fédéré. Pour vous connecter avec un ID fédéré, utilisez l'indicateur --sso. Voir Connexion à l'aide d'un ID fédéré pour plus de détails.

    Si c'est la première fois que vous utilisez l'interface de ligne de commande IBM Cloud, consultez la rubrique Tutoriel d'initiation.

  2. Générez votre jeton d'accès IAM :

    ibmcloud iam oauth-tokens

  3. Entrez la commande suivante curl pour obtenir le nombre total de règles dans un compte. Vous pouvez trouver la valeur correcte pour le paramètre de requête account_id en exécutant la commande ibmcloud account list. L'ID de compte se trouve dans la colonne Identificateur global unique du compte. Vous pouvez installer jq pour formater l'élément JSON utilisé dans les exemples suivants :

    curl --location --request GET "https://cbr.cloud.ibm.com/v1/rules?account_id=<account_id>"     --header "Content-Type: application/json"     --header "Authorization: <IAM TOKEN>" | jq '.rules | length'

Dans l'exemple suivant, la dernière ligne affiche le nombre total de règles :

% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  3422  100  3422    0     0   7830      0 --:--:-- --:--:-- --:--:--  7830
4

Affichage du nombre total de règles par compte à l'aide de l'interface de ligne de commande

Pour obtenir le nombre total de règles par compte, utilisez l'interface de ligne de commande des restrictions basées sur le contexte:

ic cbr rules --output json | jq '.rules | length'

L'exemple de sortie suivant affiche le nombre total de règles:

4

Demande d'augmentation de la limite de partage d'une règle et d'une règle

Vous pouvez demander une augmentation de la limite du nombre total de polices et de règles autorisées sur le compte uniquement si les critères suivants sont remplis :

  • Vous devez être le propriétaire du compte ou disposer du rôle administrateur sur tous les services de gestion du compte.
  • Les groupes d'accès sont actuellement utilisés pour limiter le nombre total de règles dans le compte.
  • Vous devez utiliser les règles pour les ressources contenues dans le groupe de ressources.
  • Vous avez déployé des efforts pour nettoyer et réduire le nombre de règles actuellement présentes dans le compte.
  • Vous avez fait des efforts pour nettoyer et réduire le nombre de règles dans le compte.

Les stratégies IAM et les règles des restrictions basées sur le contexte partagent une limite combinée.

Si vous répondez à tous les critères énumérés, vous pouvez demander une augmentation de la limite de la police en soumettant un cas d'assistance dans la console. Dans ce cas, fournissez toutes les informations ci-dessous. Chaque information est requise pour pouvoir traiter et approuver votre demande.

  • Titre du dossier Request to increase account policy limit
  • L'utilisation prévue pour les règles supplémentaires
  • Les mesures effectivement prises pour réduire le nombre de règles existantes sur le compte conformément aux instructions décrites dans la rubrique Pratiques recommandées pour l'organisation des ressources et l'affectation d'accès
  • ID de compte
  • Le nombre de règles supplémentaires souhaité sur le compte
  • Si vous demandez une augmentation par sujet, le nombre de règles supplémentaires par sujet requises
  • Si vous demandez une augmentation du nombre de règles avec des étiquettes de gestion des accès, le nombre de règles supplémentaires par sujet requises
  • Un échéancier approximatif de la date de création des règles supplémentaires

Vous serez averti de la mise à jour des limites relatives aux règles via le ticket du support.