增加帐户限制
将对帐户中的实体设置缺省最大限制,例如访问策略,服务标识,可信概要文件,身份提供者 (IdPs) 和 API 密钥。 但是,特定用例可能需要扩展限制,并且您必须请求增加所选实体的数量。 您必须是所有帐户管理服务的帐户所有者或管理员,才能检查帐户中存在的策略数。
如需查看您账户的默认限额,请查看 IBM Cloud IAM limits。
增加 IAM 身份实体的限制
当您的账户接近某个实体的最大限额时,您会在创建实体的活动跟踪事件中收到警告。 这些事件向您显示当前限制。 请参阅以下示例:
Nov 26 16:46:01 iamid-6-11-12270-af4d601-cd77fd6bd-86gp7 at.log INFO IAM Identity Service: create account-serviceid 12345678-90ab-cdef-0123-456789abcdef -failure Warning: You have reached 100% of the maximum number of allowed Service IDs in account 11112222333344445555666677778888. Your current count is 3000, and the limit is 3000.
对于以下类型的实体,可以请求增加限制:
- 每个身份的 API 密钥数
- 服务标识
- 身份提供者 (IdPs)
- 可信概要文件
- 动态规则
仅当满足以下条件时,才能请求增加所选实体的限制:
- 您必须是所有帐户管理服务的帐户所有者或管理员。
- 您已努力清理和减少帐户中的实体数。
- 您必须具有特定合理的用例来请求增加。
请求增加不同实体的限制
如果满足先前列出的所有条件,那么可以通过在 控制台中提交支持案例来请求增加所选实体的限制。 在案件中,请提供以下所有信息。 处理和核准您的请求需要每条信息。
Request to increase account <entity> limit
的案例标题- 增加限制的用例
- 有关为减少帐户上
<entities>
的数量而采取的所有努力的信息 - 帐户标识
- 请注意帐户中需要多少额外的
<entities>
核准请求时,将更改您帐户的限制。
将通过案例向您通知实体限制的更新。
管理策略限制
如果您不确定帐户中有多少策略,并且希望确保避免达到限制,那么可以检查帐户中有多少策略,并在接近限制时努力减少策略。 您必须是“所有帐户管理”服务和“所有身份和访问权”已启用服务的帐户所有者或管理员,才能检查帐户中存在的策略数。
使用 API 查看每个帐户的策略总数
要获取每个帐户的策略总数,可以使用 IAM 策略管理 API:
-
登录 IBM Cloud® CLI。 如果您有多个帐户,系统会提示您选择要使用的帐户。 如果未使用
-r
标志指定区域,那么还必须选择区域。ibmcloud login
如果凭证被拒绝,说明您可能使用的是联合标识。 要使用联合标识登录,请使用
--sso
标志。 有关更多详细信息,请参阅使用联合标识进行登录。如果是首次使用 IBM Cloud CLI,请查看 入门教程。
-
生成 IAM 访问令牌:
ibmcloud iam oauth-tokens
-
输入以下
curl
命令以获取一个帐户中的策略总数。 您可以通过运行ibmcloud account list
命令来查找account_id
查询参数的正确值。 帐户标识位于“帐户 GUID”列中。 您可能想要安装jq
以格式化 JSON,在以下示例中使用:curl --location --request GET "https://iam.cloud.ibm.com/v1/policies?account_id=<account_id>" \ --header "Content-Type: application/json" \ --header "Authorization: <IAM TOKEN>" | jq -r .policies | jq '. | length'
在以下示例输出中,最后一行显示策略总数:
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 2919 100 2919 0 0 3918 0 --:--:-- --:--:-- --:--:-- 3912
351
安装 jq
以格式化 JSON。 过滤器 | jq -r .policies | jq '. | length'
计算帐户中的策略数。 如果没有此选项,那么将返回所有策略的列表。
使用 CLI 查看每个帐户的策略总数
要使用 CLI 获取每个帐户的策略总数,请使用以下命令:
ibmcloud iam account-policies --output json | jq '. | length'
以下示例输出显示策略总数:
351
安装 jq
以格式化 JSON。 过滤器 | jq '. | length'
计算帐户中的策略数。 如果没有此选项,那么将返回所有策略的列表。
查看每个帐户的特定策略类型的总计
要获取特定主题的策略总数,可以使用 IBM Cloud CLI:
登录,然后选择您的帐户以运行相应的 CLI 命令。 您可能希望安装 jq
以在 CLI 输出中格式化 JSON。
要获取服务标识的策略计数,请执行以下操作:
ibmcloud iam service-policies <service-id> -f --output JSON | jq '. | length'
要获取用户名 (电子邮件) 的策略计数:
ibmcloud iam user-policies <username> --output JSON | jq '. | length'
要获取访问组标识的策略计数,请执行以下操作:
ibmcloud iam access-group-policies <access-group> -f --output JSON | jq '. | length'
安装 jq
以格式化 JSON。 过滤器 | jq '. | length'
计算帐户中的策略数。 如果没有此选项,那么将返回所有策略的列表。
管理规则限制
如果您不确定帐户中有多少基于上下文的限制规则,并且希望确保避免达到限制,那么可以检查帐户中有多少规则,并在接近限制时努力减少策略。
您必须是“所有帐户管理服务”和“所有启用身份和访问权的服务”的帐户所有者或管理员,才能检查帐户中存在的规则数。
使用 API 查看每个帐户的规则总数
要获取每个帐户的规则总数,请使用基于上下文的限制 API:
-
登录 IBM Cloud® CLI。 如果您有多个帐户,系统会提示您选择要使用的帐户。 如果未使用
-r
标志指定区域,那么还必须选择区域。ibmcloud login
如果凭证被拒绝,说明您可能使用的是联合标识。 要使用联合标识登录,请使用
--sso
标志。 有关更多详细信息,请参阅使用联合标识进行登录。如果是首次使用 IBM Cloud CLI,请查看 入门教程。
-
生成 IAM 访问令牌:
ibmcloud iam oauth-tokens
-
输入以下
curl
命令以获取一个帐户中的规则总数。 您可以通过运行ibmcloud account list
命令来查找account_id
查询参数的正确值。 帐户标识位于“帐户 GUID”列中。 您可能想要安装jq
以格式化 JSON,在以下示例中使用:curl --location --request GET "https://cbr.cloud.ibm.com/v1/rules?account_id=<account_id>" --header "Content-Type: application/json" --header "Authorization: <IAM TOKEN>" | jq '.rules | length'
在以下示例输出中,最后一行显示规则总数:
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 3422 100 3422 0 0 7830 0 --:--:-- --:--:-- --:--:-- 7830
4
使用 CLI 查看每个帐户的规则总数
要获取每个帐户的规则总数,请使用基于上下文的限制 CLI:
ic cbr rules --output json | jq '.rules | length'
以下示例输出显示规则总数:
4
请求增加策略和规则共享限制
仅当满足以下条件时,您才能请求增加帐户中允许的策略和规则总数的限制:
- 您必须是所有帐户管理服务的帐户所有者或管理员。
- 访问组当前用于限制帐户中的策略总数。
- 使用按资源组分组的资源的策略。
- 您已努力清理和减少帐户中的策略数。
- 您已努力清理和减少帐户中的规则数。
IAM 策略和基于上下文的限制规则共享一个组合限制。
如果满足所有列出的条件,那么可以通过在 控制台中提交支持案例来请求增加策略限制。 在案件中,请提供以下所有信息。 处理和核准您的请求需要每条信息。
Request to increase account policy limit
的案例标题- 额外策略的用例
- 有关遵循 组织资源和分配访问权的最佳实践 以减少帐户策略数量的所有努力的信息
- 帐户标识
- 请注意帐户中需要的额外策略数
- 如果您请求增加每个主题,请注意每个主题需要多少额外策略
- 如果您请求增加具有访问权管理标记的策略,请注意需要多少具有访问权管理标记的额外策略
- 您期望或计划创建额外策略的时间估算
将通过案例通知您策略限制的更新。