IBM Cloud のアクセス管理
アクセス管理によって、どのユーザーがアカウント内のリソースを表示、作成、使用、および管理できるのかを制御することができます。 アクセスを認可するために、役割を割り当てることができます。役割は、プラットフォーム管理タスクの実行およびアカウント・リソースへのアクセスを行うためのアクセス・レベルをユーザーに許可します。
IBM Cloud® でアクセス権限を管理する方法は、アクセス権限を割り当てるリソースのタイプによって異なります。IBM Cloud Identity and Access Management (IAM) は、IBM Cloud プラットフォーム全体のリソース・グループに編成されたリソースを一貫して管理するために使用されるアクセス管理システムです。 古典的なインフラ・リソース は、IAMを使って管理することはできない。 これらのリソース・タイプには独自のアクセス管理システムがあります。
複数のリソース・タイプを組み合わせて使用する場合は、各タイプを別々に管理します。
- IAMリソース については、 IBM Cloud コンソールで 「管理」> 「アクセス(IAM)」 に移動し 、「ユーザー 」、「アクセスグループ 」、「信頼されたプロファイル 」、または 「サービスID」 を選択して開始します。
- クラシック インフラストラクチャ リソースへのアクセスを割り当てるには、アクセスを割り当てるユーザーの「クラシック インフラストラクチャ」タブの 「管理 > アクセス (IAM)」 で権限を設定します。 アカウントがSoftlayerアカウントにリンクされている場合、Trustedプロファイルを使用してClassicインフラストラクチャへのアクセスを割り当てることもできます。
各タイプのアクセスは個別に管理されますが、すべてのアクセスポリシーは、アクセスを割り当てる対象、対象がアクセスできるものをスコープするポリシーの対象、そして最後に、対象が対象にアクセスできるレベルを決定するIAMロールまたは従来のインフラストラクチャの権限で構成されます。
IAM ポリシーの場合、サブジェクトはアクセス・グループ、ユーザー、サービス ID、またはトラステッド・プロファイルにすることができます。 また、ターゲットは、アカウント管理サービス、リソース・グループ、 アカウント内のサービス、特定のサービス・インスタンス、またはサービス内のリソース・タイプにすることができます。 プラットフォームの役割およびサービスの役割を選択して、サブジェクトのアクセス・レベルのスコープを設定することができます。 クラシック・インフラストラクチャーの場合、ユーザーを選択し、次に特定の許可を割り当てたアクセス権限のスコープをサービスまたはデバイスに設定できます。 アクセス管理にIAMポリシーの使用をサポートしていない古典的なインフラストラクチャについては、古典的なインフラストラクチャのアクセス許可 を参照してください。
IBM Cloud IAM の限度
以下の表に、IAM リソースの最大限度をリストしています。 これらの限度は、IAM リソースを作成できるすべてのユーザーに適用されます。 限度を超えると例外が出され、その限度を超えて新規リソースを作成することは許可されません。
拡張された制限を必要とする特定のユース・ケースがある場合は、増加を要求できます。 詳しくは、アカウント制限の増加を参照してください。
リソース | 最大 |
---|---|
アカウント当たりのアクセス・グループ | 500 |
ユーザー当たりのアクセス・グループ | 50 |
アカウント当たりのアクセス管理タグ | 250 |
ID 当たりの API キー | 20 |
アカウント当たりのカスタム役割 | 40 |
アクセス・グループ当たりの動的ルール | 5 |
信頼されたプロファイルごとの動的ルール | 20 |
ID プロバイダごとの動的ルール (IdP) | 2000 |
アカウントごとのIdPs | 5 |
アカウント当たりのポリシー [1] | 4020 |
アカウント内のサブジェクト当たりのポリシー | 1000 |
アカウント内のアクセス管理タグが付いたポリシー | 500 |
アカウント当たりのサービス ID | 2000 |
アカウントごとの信頼できるプロファイル | 2000 |
トライアル・アカウント当たりのユーザー数 | 100 |
有料アカウント当たりのユーザー数 | 7500 |
アカウント内で最適のパフォーマンスを確保するため、1 つのアカウント内のポリシーおよびサービス間許可は、最大 1,000 個が推奨されます。 アカウント内のポリシー数を制限する方法について詳しくは、『リソースを編成してアクセス権限を割り当てるためのベスト・プラクティス』を参照してください。
アカウント内のポリシー数を確認したい場合は、アカウントごとのポリシー総数を表示する を参照してください。 アカウント上限の引き上げを申請するには、ポリシーおよびルール共有上限の引き上げを申請する を参照してください。
-
IAMポリシーとコンテキストベースの制限ルールは、合計で4020の制限を共有しています。 ↩︎