IBM Cloud Docs
IBM Cloud 中的访问管理

IBM Cloud 中的访问管理

通过访问权管理,您可以控制哪些用户可以查看、创建、使用和管理帐户中的资源。 要授予访问权,可以为用户分配角色,使其具有相应的访问级别,以便完成平台管理任务和访问帐户资源。

在IBM Cloud®中管理访问权限的方式取决于要分配访问权限的资源类型。IBM Cloud Identity and Access Management(IAM)是一种访问管理系统,用于在IBM Cloud平台上对资源组中的资源进行统一管理。 传统的基础架构资源 不使用 IAM 进行管理。 这些资源类型都有自己的访问权管理系统。

如果您拥有多种资源类型的组合,那么需要分别管理每种类型:

  • 对于 IAM 资源,请转至 IBM Cloud 控制台中的 管理 > 访问权 (IAM),然后选择 用户访问组可信概要文件服务标识 以开始使用。
  • 为了分配对经典基础设施资源的访问权限,您可以在“经典基础设施”选项卡上的 “管理” > “访问(IAM)” 中为要分配访问权限的用户设置权限。 如果您的账户与 Softlayer 账户相连,您还可以选择使用受信任的配置文件来分配经典基础架构访问权限。

虽然每种访问权限都是单独管理的,但所有访问权限策略都由以下部分组成:您希望为其分配访问权限的主体、用于确定主体访问权限范围的目标,以及用于确定主体对目标访问权限级别的IAM角色或传统基础设施权限。

使用 IAM 或经典基础架构许可权的访问管理策略。
使用 IAM 或传统基础架构权限访问管理策略
如何分配策略

对于IAM策略,主体可以是访问组、用户、服务ID或可信配置文件。 目标可以是帐户管理服务、资源组、帐户中的服务、特定服务实例或服务内的资源类型。 可以选择平台和服务角色来限定主体访问级别的作用域。 对于经典基础架构,选择用户,然后通过分配特定许可权,可以将访问权的作用域限定为某个服务或设备。 对于不支持使用 IAM 策略管理访问的传统基础架构,请参阅 传统基础架构权限

IBM Cloud IAM 限制

下表列出了 IAM 资源的最大限制。 这些限制适用于任何能够创建IAM资源的用户。 如果超过限制,您将收到异常,并且无法创建超过该限制的任何新资源。

如果您有特定的使用情况,需要延长限制,您可以申请增加限制。 有关详细信息,请参阅 提高帐户限额

IAM 帐户限制
资源 最大值
每个帐户的访问组数 500
每个用户的访问组数 50
每个账户的访问管理标签 250
每个身份的 API 密钥数 20
每个账户的自定义角色 40
每个访问组的动态规则数 5
每个可信配置文件的动态规则 20
每个身份供应商的动态规则 (IdP) 2000
IdPs 每个账户 5
每个账户的政策 [1] 4020
账户内每个主题的政策 1000
账户内带有访问管理标签的政策 500
每个帐户的服务标识数 2000
每个账户的受信任配置文件 2000
每个试用账户的用户数 100
每个计费账户的用户数 7,500 美元

为了确保帐户内的最佳性能,建议一个帐户内最多包含 1,000 个策略和服务到服务授权。 有关限制账户中策略数量的更多信息,请参阅 组织资源和分配访问权限的最佳实践

如果要查看账户中的保单数量,请参阅 查看每个账户的保单总数。 要申请提高帐户限额,请参阅 申请提高策略和规则共享限额


  1. IAM政策和基于环境的限制规则的总限制为4020。 ↩︎