IBM Cloud 中的访问管理
通过访问权管理,您可以控制哪些用户可以查看、创建、使用和管理帐户中的资源。 要授予访问权,可以为用户分配角色,使其具有相应的访问级别,以便完成平台管理任务和访问帐户资源。
在IBM Cloud®中管理访问权限的方式取决于要分配访问权限的资源类型。IBM Cloud Identity and Access Management(IAM)是一种访问管理系统,用于在IBM Cloud平台上对资源组中的资源进行统一管理。 传统的基础架构资源 不使用 IAM 进行管理。 这些资源类型都有自己的访问权管理系统。
如果您拥有多种资源类型的组合,那么需要分别管理每种类型:
- 对于 IAM 资源,请转至 IBM Cloud 控制台中的 管理 > 访问权 (IAM),然后选择 用户,访问组,可信概要文件或 服务标识 以开始使用。
- 为了分配对经典基础设施资源的访问权限,您可以在“经典基础设施”选项卡上的 “管理” > “访问(IAM)” 中为要分配访问权限的用户设置权限。 如果您的账户与 Softlayer 账户相连,您还可以选择使用受信任的配置文件来分配经典基础架构访问权限。
虽然每种访问权限都是单独管理的,但所有访问权限策略都由以下部分组成:您希望为其分配访问权限的主体、用于确定主体访问权限范围的目标,以及用于确定主体对目标访问权限级别的IAM角色或传统基础设施权限。
对于IAM策略,主体可以是访问组、用户、服务ID或可信配置文件。 目标可以是帐户管理服务、资源组、帐户中的服务、特定服务实例或服务内的资源类型。 可以选择平台和服务角色来限定主体访问级别的作用域。 对于经典基础架构,选择用户,然后通过分配特定许可权,可以将访问权的作用域限定为某个服务或设备。 对于不支持使用 IAM 策略管理访问的传统基础架构,请参阅 传统基础架构权限。
IBM Cloud IAM 限制
下表列出了 IAM 资源的最大限制。 这些限制适用于任何能够创建IAM资源的用户。 如果超过限制,您将收到异常,并且无法创建超过该限制的任何新资源。
如果您有特定的使用情况,需要延长限制,您可以申请增加限制。 有关详细信息,请参阅 提高帐户限额。
| 资源 | 最大值 |
|---|---|
| 每个帐户的访问组数 | 500 |
| 每个用户的访问组数 | 50 |
| 每个账户的访问管理标签 | 250 |
| 每个身份的 API 密钥数 | 20 |
| 每个账户的自定义角色 | 40 |
| 每个访问组的动态规则数 | 5 |
| 每个可信配置文件的动态规则 | 20 |
| 每个身份供应商的动态规则 (IdP) | 2000 |
| IdPs 每个账户 | 5 |
| 每个账户的政策 [1] | 4020 |
| 账户内每个主题的政策 | 1000 |
| 账户内带有访问管理标签的政策 | 500 |
| 每个帐户的服务标识数 | 2000 |
| 每个账户的受信任配置文件 | 2000 |
| 每个试用账户的用户数 | 100 |
| 每个计费账户的用户数 | 7,500 美元 |
为了确保帐户内的最佳性能,建议一个帐户内最多包含 1,000 个策略和服务到服务授权。 有关限制账户中策略数量的更多信息,请参阅 组织资源和分配访问权限的最佳实践。
如果要查看账户中的保单数量,请参阅 查看每个账户的保单总数。 要申请提高帐户限额,请参阅 申请提高策略和规则共享限额。
-
IAM政策和基于环境的限制规则的总限制为4020。 ↩︎