IBM Cloud Docs
Problèmes connus et limitations

Problèmes connus et limitations

Les problèmes connus et les limitations incluent le fait de ne pas pouvoir restreindre l'accès à certains produits dans le catalogue IBM Cloud® et les limites maximales pour la création de ressources IBM Cloud Identity and Access Management (IAM).

Pour revoir les limites par défaut de votre compte, voir IBM Cloud IAM limits.

Podman Les jetons d'authentification du bureau ne sont pas actualisés

Il existe un problème connu dans les anciennes versions de Podman Desktop où les jetons d'authentification expirés ne sont pas actualisés automatiquement. Les jetons expirés entraînent l'échec répété des tentatives d'authentification avec IAM. Si vous avez installé Podman Desktop, mettez-le à jour avec la version 1.19.1 ou une version ultérieure.

Podman est un produit tiers, qui n'est ni fourni ni pris en charge par IBM. IBM n'assume aucune responsabilité et ne garantit aucune performance particulière en ce qui concerne l'utilisation de Podman avec IBM Cloud.

Google la connexion ne prend pas en charge les identifiants fédérés

Google La connexion par ID n'est pas disponible pour les utilisateurs disposant d'ID fédérés en raison d'un accès supplémentaire qui peut être requis par leur fournisseur d'identité externe d'entreprise (IdP ).

Les paramètres de gestion des catalogues ne s'appliquent pas à certains produits IBM

Certains produits ne sont pas affectés par les paramètres de visibilité du catalogue suivants:

  • Désactivation de la visibilité du catalogue IBM Cloud
  • Exclusion de tous les produits IBM Cloud du catalogue
  • Exclusion de tous les produits IBM Cloud de vos catalogues privés

Vous pouvez afficher et gérer les paramètres de visibilité du catalogue en accédant à Gérer > Catalogues > Paramètres dans la console IBM Cloud.

Les utilisateurs peuvent toujours créer des instances des produits suivants à l'aide d'une API ou de l'interface de ligne de commande, quel que soit le paramètre de visibilité du catalogue dans le compte ou le catalogue privé:

  • Block Storage for VPC
  • Citrix Netscaler VPX
  • Fortigate Security Appliance
  • Hardware Firewall
  • Hardware Firewall Dedicated
  • IBM Cloud Backup for Classic
  • IBM Cloud Bare Metal Servers
  • IBM Cloud Block Storage for Classic
  • IBM Cloud Container Registry
  • IBM Cloud Content Delivery Network
  • IBM Cloud Direct Link
  • IBM Cloud Direct Link on Classic
  • IBM Cloud Functions
  • IBM Cloud Gateway Appliance
  • Modules HSM IBM Cloud
  • IBM Cloud Kubernetes Service
  • IBM Cloud Object Storage
  • IBM Cloud Schematics
  • Equilibreur de charge IBM Cloud
  • IBM Cloud Virtual Servers
  • Sous-réseaux et adresses IP
  • Virtual Private Cloud
  • Virtual Server for VPC
  • Réseaux locaux virtuels (VLAN)
  • VPN
  • VPN for VPC

Limitations des règles en fonction d'attributs

Les balises de gestion d'accès ne sont disponibles que lorsque vous créez une politique d'accès qui s'applique à tous les services compatibles IAM. Dans ce cas, lorsque vous activez l'accès en fonction d'étiquettes, aucun autre attribut ne peut être ajouté. De plus, lorsque vous basez votre règle sur un emplacement ou un groupe de ressources spécifique, aucune étiquette ne peut être ajoutée à la règle d'accès.

Limitations des rôles IAM

La création de deux rôles portant des noms différents mais comportant exactement le même ensemble d'actions échoue. IAM traite les rôles ayant des autorisations identiques comme des doublons, même si leurs noms sont uniques.

Limitations de la version de la règle d'accès

Depuis le 25 janvier 2023, IAM prend en charge deux versions de l'API de gestion des règles IAM: /v2/policies et /v1/policies. v1/polices permet des comparaisons de chaînes par rapport aux attributs dans le sujet et les ressources d'une règle. v2/polices introduit un nouveau schéma qui fournit une compatibilité fonctionnelle en amont tout en permettant des comparaisons et des opérateurs plus complexes et des conditions basées sur le temps.

Comparaisons des chaînes

Le tableau suivant répertorie les opérateurs de comparaison de chaînes de caractères que vous pouvez utiliser pour élaborer des politiques d'accès à l'aide de la syntaxe /v2/policies. Pour plus d'informations sur chaque version, voir Comparaison des syntaxes /v1/policies et /v2/policies. Pour des exemples d'utilisation des opérateurs, voir les conditions basées sur les attributs des ressources.

Vous pouvez avoir jusqu'à 10 conditions et imbriquer jusqu'à 2 niveaux.

Les opérateurs de comparaison de chaînes de caractères disponibles pour les conditions dans les politiques d'accès.
Opérateur Description
stringEquals Comparaison de chaînes sensibles à la casse. Les valeurs booléennes ou les valeurs de nombre sont converties en chaîne avant la comparaison.
stringMatch La correspondance entre le motif et la chaîne cible est effectuée en utilisant soit un astérisque ( * ), soit un point d'interrogation ( ? ), soit les deux, soit aucun (comme pour la valeur littérale). Un astérisque (*) représente une suite de zéro caractère ou plus dans la chaîne, tandis qu'un point d'interrogation (?) représente un seul caractère. Vous pouvez également exprimer un astérisque * et un point d'interrogation ? sous forme de valeur littérale en les plaçant entre deux séries de parenthèses courbes {{}}.
stringExists Booléen où true indique que la chaîne doit être présente et peut être vide. false indique que la chaîne ne doit pas être présente.
stringEqualsAnyOf Chaîne exacte sensible à la casse correspondant à n'importe quelle chaîne d'un tableau de chaînes. Limite de 10 valeurs.
stringMatchAnyOf Chaîne sensible à la casse correspondant à n'importe quelle chaîne d'un tableau de chaînes. Les valeurs de la chaîne peuvent inclure soit un astérisque ( * ), soit un point d'interrogation ( ? ), soit les deux, soit aucun (comme la valeur littérale). Un astérisque (*) représente une suite de zéro caractère ou plus dans la chaîne, tandis qu'un point d'interrogation (?) représente un seul caractère. Vous pouvez également exprimer un astérisque * et un point d'interrogation ? sous forme de valeur littérale en les plaçant entre deux séries de parenthèses courbes {{}}. Limite de 10 valeurs.

Par exemple, l'instruction suivante contient un élément operator qui utilise stringEquals pour indiquer que l'ID de compte et le nom de service doivent correspondre exactement à l'élément value. L'instruction contient également un élément operator qui utilise stringMatch pour spécifier un modèle de dénomination pour les rubriques Event Streams que vous pouvez utiliser pour organiser l'accès à ces ressources spécifiques. Ainsi, vous pouvez affecter une règle à toutes les rubriques de votre compte qui commencent par messagehub-topic-dev.

"resource": {
		"attributes": [
			{
				"operator": "stringEquals",
				"value": "0aeab68aabd14d89bd72e4330150710a0",
				"key": "accountId"
			},
			{
				"value": "messagehub",
				"operator": "stringEquals",
				"key": "serviceName"
			},
			{
				"value": "messagehub-topic-dev*",
				"operator": "stringMatch",
				"key": "resource"
			}
		]
	},

Les règles d'autorisation ne sont actuellement prises en charge que dans /v1/policies.

Vérification d'une version de règle dans la console

Les conditions basées sur le temps et les attributs de ressource pour les règles d'accès IAM utilisent la syntaxe /v2/policies. Les règles qui utilisent la syntaxe /v1/policies ne sont pas éligibles pour ajouter des conditions basées sur le temps et sur les attributs de ressource. Pour mettre à jour /v1/policies vers /v2/policies à l'aide de l'API, voir Mise à jour de /v1/policies vers /v2/policies avec des conditions à l'aide de l'API. Pour vérifier si vous pouvez ajouter ces conditions à une règle existante dans la console, procédez comme suit.

  1. Accédez à Gérer > Accès (IAM).

  2. Sélectionnez Utilisateurs, Profils sécurisés, ID de service ou Groupes d'accès, en fonction de la règle à vérifier.

  3. Sélectionnez un utilisateur, un profil sécurisé, un ID de service ou un groupe d'accès spécifique.

  4. Accédez à Accès > Règles d'accès.

  5. Cliquez sur une règle. Les /v1/policies sont indiquées par la notification suivante:

    Conditions non disponibles pour les règles v1

  6. (Facultatif) Pour ajouter des conditions à une règle qui utilise la syntaxe /v1/policies, supprimez la règle d'origine et créez-en une nouvelle. Dans la console, les nouvelles règles utilisent la syntaxe /v2/policies.

Mise à jour de /v1/policies vers /v2/policies avec des conditions à l'aide de l'API

Les règles qui utilisent la syntaxe /v1/policies ne sont pas éligibles pour ajouter des conditions basées sur le temps et sur les attributs de ressource. Pour mettre à jour la version, vous pouvez utiliser la méthode PUT /v2/policies/{id} avec l'ID V1 et les conditions que vous souhaitez inclure. Pour plus d'informations, voir /v2/policies.

Comparaison de la syntaxe /v1/policies et /v2/policies

La règle de chaque exemple accorde à un utilisateur l'accès au service de facturation avec le rôle Editeur. L'exemple /v2/policies inclut des conditions temporelles temporaires, indiquées par le paramètre "conditions".

Lors de l'édition, de la création et de la suppression de stratégies, utilisez la version d'API correspondante.

/v1/policies

{
	"type": "access",
	"roles": [
		{
			"role_id": "crn:v1:bluemix:public:iam::::role:Editor"
		}
	],
	"resources": [
		{
			"attributes": [
				{
					"name": "accountId",
					"value": "000c49bc2724a07000010b1da94c4d0"
				},
				{
					"name": "serviceName",
					"value": "billing"
				}
			]
		}
	],
	"subjects": [
		{
			"attributes": [
				{
					"name": "iam_id",
					"value": "IBMid-00000AV0S0"
				}
			]
		}
	]
}

Lorsque vous répertoriez des stratégies avec /v1/policies, l'API renvoie /v1/ et une stratégie de marque de réservation pour chaque stratégie /v2/ qui se trouve dans le compte. Pour plus d'informations, voir /v1/policies Renvoie une marque de réservation pour les règles /v2/ du compte

/v2/policies

{
	"type": "access",
	"control": {
		"grant": {
			"roles": [
				{
					"role_id": "crn:v1:bluemix:public:iam::::role:Editor"
				}
			]
		}
	},
	"resource": {
		"attributes": [
			{
				"operator": "stringEquals",
				"value": "000c49bc2724a07000010b1da94c4d0",
				"key": "accountId"
			},
			{
				"value": "billing",
				"operator": "stringEquals",
				"key": "serviceName"
			}
		]
	},
	"rule": {
		"operator": "and",
		"conditions": [
			{
				"key": "{{environment.attributes.current_date_time}}",
				"operator": "dateTimeGreaterThanOrEquals",
				"value": "2023-01-01T09:00:00+00:00"
			},
			{
				"key": "{{environment.attributes.current_date_time}}",
				"operator": "dateTimeLessThanOrEquals",
				"value": "2023-01-06T17:59:59+00:00"
			}
		]
	},
	"pattern": "time-based-conditions:once",
	"subject": {
		"attributes": [
			{
				"key": "iam_id",
				"operator": "stringEquals",
				"value": "IBMid-00000AV0S0"
			}
		]
	}
}

/v1/policies renvoie une marque de réservation pour les règles /v2/

Lorsque vous répertoriez des stratégies avec /v1/policies, l'API renvoie /v1/ et une stratégie de marque de réservation pour chaque stratégie /v2/ qui se trouve dans le compte. Les marques de réservation indiquent l'existence de règles supplémentaires dans le compte tout en respectant le schéma /v1/. Pour afficher le contenu complet d'une règle /v2/, répertoriez les règles à l'aide de /v2/policies ou extrayez la règle individuelle à l'aide de GET: v2/policies/<ID>. Par exemple, consultez la règle de marque de réservation suivante:

{
    "id": "33b901fa-8ec5-4432-a2e6-24b6a212c20a",
	"type": "access",
	"description": "**This is a unsupported policy version placeholder, to view the full content, please call GET with provided href**",
	"subjects": [{
		"attributes": [{
			"name": "iam_id",
			"value": "unsupported version"
		}]
	}],
	"roles": [{
		"role_id": "crn:v1:bluemix:public:iam::::role:UnsupportedVersion",
		"display_name": "Unsupported Version",
		"description": "**This is a unsupported policy version placeholder, to view the full content, please call GET with provided href**"
	}],
	"resources": [{
		"attributes": [{
			"name": "accountId",
			"value": "000c49bc2724a07000010b1da94c4d0"
		}]
	}],
    "href": "https://iam.cloud.ibm.com/v2/policies/88b901fa-6ec5-888-a2e6-24b6a212c20a"
}

Services concernés par la limitation des interactions entre les identités externes

La limitation des interactions entre les identités externes exige que les utilisateurs disposant d'une politique d'accès IAM aux ressources de votre compte n'accèdent à ces ressources que s'ils sont authentifiés dans votre compte ou dans un compte figurant dans la liste d'autorisation. Les services suivants, ou certaines de leurs fonctionnalités, peuvent ne pas fonctionner comme prévu si le paramètre Interactions avec l'identité externe est défini en mode limité:

  • IBM Cloud Satellite
  • IBM Cloud Object Storage- les seaux d'accès public ne seront pas accessibles
  • IBM Cloud Code Engine
  • IBM Cloud® DevOps Insights
  • Rapport d'accès (Génération d'un rapport d'accès aux ressources CSV ou JSON)

Pour plus d'informations sur ce paramètre, voir Gestion des interactions avec les identités externes.