IBM Cloud Docs
增加帐户限制

增加帐户限制

将对帐户中的实体设置缺省最大限制,例如访问策略,服务标识,可信概要文件,身份提供者 (IdPs) 和 API 密钥。 但是,特定用例可能需要扩展限制,并且您必须请求增加所选实体的数量。 您必须是所有帐户管理服务的帐户所有者或管理员,才能检查帐户中存在的策略数。

如需查看您账户的默认限额,请查看 IBM Cloud IAM limits

增加 IAM 身份实体的限制

当您的账户接近某个实体的最大限额时,您会在创建实体的活动跟踪事件中收到警告。 这些事件向您显示当前限制。 请参阅以下示例:

Nov 26 16:46:01 iamid-6-11-12270-af4d601-cd77fd6bd-86gp7 at.log INFO IAM Identity Service: create account-serviceid 12345678-90ab-cdef-0123-456789abcdef -failure Warning: You have reached 100% of the maximum number of allowed Service IDs in account 11112222333344445555666677778888. Your current count is 3000, and the limit is 3000.

对于以下类型的实体,可以请求增加限制:

  • 每个身份的 API 密钥数
  • 服务标识
  • 身份提供者 (IdPs)
  • 可信概要文件
  • 动态规则

仅当满足以下条件时,才能请求增加所选实体的限制:

  • 您必须是所有帐户管理服务的帐户所有者或管理员。
  • 您已努力清理和减少帐户中的实体数。
  • 您必须具有特定合理的用例来请求增加。

请求增加不同实体的限制

如果满足先前列出的所有条件,那么可以通过在 控制台中提交支持案例来请求增加所选实体的限制。 在案件中,请提供以下所有信息。 处理和核准您的请求需要每条信息。

  • Request to increase account <entity> limit 的案例标题
  • 增加限制的用例
  • 有关为减少帐户上 <entities> 的数量而采取的所有努力的信息
  • 帐户标识
  • 请注意帐户中需要多少额外的 <entities>

核准请求时,将更改您帐户的限制。

将通过案例向您通知实体限制的更新。

管理策略限制

如果您不确定帐户中有多少策略,并且希望确保避免达到限制,那么可以检查帐户中有多少策略,并在接近限制时努力减少策略。 您必须是“所有帐户管理”服务和“所有身份和访问权”已启用服务的帐户所有者或管理员,才能检查帐户中存在的策略数。

使用 API 查看每个帐户的策略总数

要获取每个帐户的策略总数,可以使用 IAM 策略管理 API:

  1. 登录 IBM Cloud® CLI。 如果您有多个帐户,系统会提示您选择要使用的帐户。 如果未使用 -r 标志指定区域,那么还必须选择区域。

    ibmcloud login

    如果凭证被拒绝,说明您可能使用的是联合标识。 要使用联合标识登录,请使用 --sso 标志。 有关更多详细信息,请参阅使用联合标识进行登录

    如果是首次使用 IBM Cloud CLI,请查看 入门教程

  2. 生成 IAM 访问令牌:

    ibmcloud iam oauth-tokens

  3. 输入以下 curl 命令以获取一个帐户中的策略总数。 您可以通过运行 ibmcloud account list 命令来查找 account_id 查询参数的正确值。 帐户标识位于“帐户 GUID”列中。 您可能想要安装 jq 以格式化 JSON,在以下示例中使用:

    curl --location --request GET "https://iam.cloud.ibm.com/v1/policies?account_id=<account_id>" \
    --header "Content-Type: application/json" \
    --header "Authorization: <IAM TOKEN>" | jq -r .policies | jq '. | length'

在以下示例输出中,最后一行显示策略总数:

 % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                  Dload  Upload   Total   Spent    Left  Speed
100  2919  100  2919    0     0   3918      0 --:--:-- --:--:-- --:--:--  3912
351

安装 jq 以格式化 JSON。 过滤器 | jq -r .policies | jq '. | length' 计算帐户中的策略数。 如果没有此选项,那么将返回所有策略的列表。

使用 CLI 查看每个帐户的策略总数

要使用 CLI 获取每个帐户的策略总数,请使用以下命令:

ibmcloud iam account-policies --output json | jq '. | length'

以下示例输出显示策略总数:

351

安装 jq 以格式化 JSON。 过滤器 | jq '. | length' 计算帐户中的策略数。 如果没有此选项,那么将返回所有策略的列表。

查看每个帐户的特定策略类型的总计

要获取特定主题的策略总数,可以使用 IBM Cloud CLI:

登录,然后选择您的帐户以运行相应的 CLI 命令。 您可能希望安装 jq 以在 CLI 输出中格式化 JSON。

要获取服务标识的策略计数,请执行以下操作:

ibmcloud iam service-policies <service-id> -f --output JSON | jq '. | length'

要获取用户名 (电子邮件) 的策略计数:

ibmcloud iam user-policies <username> --output JSON | jq '. | length'

要获取访问组标识的策略计数,请执行以下操作:

ibmcloud iam access-group-policies <access-group> -f --output JSON | jq '. | length'

安装 jq 以格式化 JSON。 过滤器 | jq '. | length' 计算帐户中的策略数。 如果没有此选项,那么将返回所有策略的列表。

管理规则限制

如果您不确定帐户中有多少基于上下文的限制规则,并且希望确保避免达到限制,那么可以检查帐户中有多少规则,并在接近限制时努力减少策略。

您必须是“所有帐户管理服务”和“所有启用身份和访问权的服务”的帐户所有者或管理员,才能检查帐户中存在的规则数。

使用 API 查看每个帐户的规则总数

要获取每个帐户的规则总数,请使用基于上下文的限制 API:

  1. 登录 IBM Cloud® CLI。 如果您有多个帐户,系统会提示您选择要使用的帐户。 如果未使用 -r 标志指定区域,那么还必须选择区域。

    ibmcloud login

    如果凭证被拒绝,说明您可能使用的是联合标识。 要使用联合标识登录,请使用 --sso 标志。 有关更多详细信息,请参阅使用联合标识进行登录

    如果是首次使用 IBM Cloud CLI,请查看 入门教程

  2. 生成 IAM 访问令牌:

    ibmcloud iam oauth-tokens

  3. 输入以下 curl 命令以获取一个帐户中的规则总数。 您可以通过运行 ibmcloud account list 命令来查找 account_id 查询参数的正确值。 帐户标识位于“帐户 GUID”列中。 您可能想要安装 jq 以格式化 JSON,在以下示例中使用:

    curl --location --request GET "https://cbr.cloud.ibm.com/v1/rules?account_id=<account_id>"     --header "Content-Type: application/json"     --header "Authorization: <IAM TOKEN>" | jq '.rules | length'

在以下示例输出中,最后一行显示规则总数:

% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  3422  100  3422    0     0   7830      0 --:--:-- --:--:-- --:--:--  7830
4

使用 CLI 查看每个帐户的规则总数

要获取每个帐户的规则总数,请使用基于上下文的限制 CLI:

ic cbr rules --output json | jq '.rules | length'

以下示例输出显示规则总数:

4

请求增加策略和规则共享限制

仅当满足以下条件时,您才能请求增加帐户中允许的策略和规则总数的限制:

  • 您必须是所有帐户管理服务的帐户所有者或管理员。
  • 访问组当前用于限制帐户中的策略总数。
  • 使用按资源组分组的资源的策略。
  • 您已努力清理和减少帐户中的策略数。
  • 您已努力清理和减少帐户中的规则数。

IAM 策略和基于上下文的限制规则共享一个组合限制。

如果满足所有列出的条件,那么可以通过在 控制台中提交支持案例来请求增加策略限制。 在案件中,请提供以下所有信息。 处理和核准您的请求需要每条信息。

  • Request to increase account policy limit 的案例标题
  • 额外策略的用例
  • 有关遵循 组织资源和分配访问权的最佳实践 以减少帐户策略数量的所有努力的信息
  • 帐户标识
  • 请注意帐户中需要的额外策略数
  • 如果您请求增加每个主题,请注意每个主题需要多少额外策略
  • 如果您请求增加具有访问权管理标记的策略,请注意需要多少具有访问权管理标记的额外策略
  • 您期望或计划创建额外策略的时间估算

将通过案例通知您策略限制的更新。