Halaman ini mencantumkan kuota dan batas yang berlaku untuk Identity and Access Management (IAM). Kuota dan batas dapat membatasi jumlah permintaan yang dapat Anda kirim atau jumlah resource yang dapat dibuat. Batas juga dapat membatasi atribut resource, seperti panjang ID resource.
Jika kuota terlalu rendah untuk memenuhi kebutuhan, Anda dapat menggunakan konsol Google Cloud untuk meminta penambahan kuota untuk project Anda. Jika konsol Google Cloud tidak mengizinkan Anda meminta perubahan untuk kuota tertentu, hubungi dukungan Google Cloud.
Batas tidak dapat diubah.
Kuota
Secara default, kuota IAM berikut berlaku untuk setiap project Google Cloud, kecuali kuota workforce identity federation. Kuota workforce identity federation berlaku untuk organizations.
| Kuota default | |
|---|---|
| IAM API | |
| Permintaan baca (misalnya, mendapatkan kebijakan) | 6.000 per menit |
| Permintaan tulis (misalnya, memperbarui kebijakan) | 600 per menit |
| Workload identity federation | |
| Permintaan baca (misalnya, mendapatkan workload identity pool) | 600 per project per menit 6.000 per klien per menit |
| Permintaan tulis (misalnya, memperbarui workload identity pool) | 60 per project per menit 600 per klien per menit |
| Workforce identity federation (Pratinjau) | |
| Permintaan membuat/menghapus/membatalkan penghapusan | 60 per organisasi per menit |
| Permintaan baca (misalnya, mendapatkan workforce identity pool) | 120 per organisasi per menit |
| Permintaan pembaruan (misalnya, memperbarui workforce identity pool) | 120 per organisasi per menit |
| Permintaan penghapusan/pembatalan penghapusan subjek (misalnya, menghapus subjek workforce identity pool) | 60 per organisasi per menit |
| Workload identity pool per organisasi | 100 |
| Service Account Credentials API | |
| Permintaan untuk membuat kredensial | 6.000 per menit |
| Permintaan untuk menandatangani JSON Web Token (JWT) atau blob | 6.000 per menit |
| Security Token Service API | |
| Permintaan penukaran token (workforce identity federation) | 6.000 per menit |
| Permintaan penukaran token (workforce identity federation) (Pratinjau) | 60.000 per organisasi per menit |
| Akun layanan | |
| Jumlah akun layanan | 100 |
Batas
IAM menerapkan batas berikut pada resource. Batas ini tidak dapat diubah.
| Batas | |
|---|---|
| Peran khusus | |
| Peran khusus untuk organisasi1 | 300 |
| Peran khusus untuk sebuah project1 | 300 |
| ID peran khusus | 64 byte |
| Judul peran khusus | 100 byte |
| Deskripsi peran khusus | 300 byte |
| Izin dalam peran khusus | 3.000 |
| Ukuran total judul, deskripsi, dan nama izin untuk peran khusus | 64 KB |
| Kebijakan izin dan binding peran | |
| Kebijakan izin per resource | 1 |
| Domain dan grup Google di semua binding peran dalam satu kebijakan izin2 | 250 |
| Jumlah total akun utama (termasuk domain dan grup Google) di semua binding peran dan pengecualian logging audit dalam satu kebijakan3 | 1.500 |
| Operator logika dalam ekspresi kondisi binding peran | 12 |
| Binding peran dalam kebijakan izin yang mencakup peran yang sama dan akun utama yang sama, tetapi ekspresi kondisinya berbeda | 20 |
| Kebijakan penolakan dan aturan penolakan | |
| Kebijakan penolakan per resource | 500 |
| Aturan penolakan per resource | 500 |
| Domain dan grup Google di semua kebijakan penolakan resource4 | 500 |
| Jumlah total akun utama (termasuk domain dan grup Google) di semua kebijakan penolakan resource4 | 2500 |
| Aturan tolak dalam kebijakan penolakan tunggal | 500 |
| Operator logika dalam ekspresi kondisi aturan tolak | 12 |
| Akun layanan | |
| ID akun layanan | 30 byte |
| Nama tampilan akun layanan | 100 byte |
| Kunci akun layanan untuk akun layanan | 10 |
| Workforce identity federation (Pratinjau) | |
| Penyedia workforce identity pool per kumpulan | 200 |
| Subjek workforce identity pool yang dihapus per kumpulan | 100.000 |
| Pemetaan atribut Workload Identity federation dan workforce identity federation (Pratinjau) | |
| Subjek yang dipetakan | 127 byte |
| Nama tampilan pengguna workforce identity pool yang dipetakan | 100 byte |
| Ukuran total atribut yang dipetakan | 8.192 byte |
| Jumlah pemetaan atribut khusus | 50 |
| Kredensial jangka pendek | |
| Aturan batas akses dalam Batas Akses Kredensial | 10 |
| Masa pakai maksimum token akses5 |
3.600 detik (1 jam) |
1 Jika Anda membuat peran khusus di level project, peran khusus tersebut tidak diperhitungkan dalam batas di level organisasi.
2 Untuk tujuan batas ini, domain dan grup Google dihitung sebagai berikut:
-
Untuk domain, IAM menghitung semua tampilan dari setiap domain di binding
peran kebijakan izin. Tindakan ini tidak menghapus duplikat domain yang muncul di lebih dari satu
binding peran. Misalnya, jika kebijakan izin hanya berisi satu domain,
domain:example.com, dan domain tersebut muncul dalam kebijakan izin sebanyak 10 kali, Anda dapat menambahkan 240 domain lain sebelum mencapai batasnya. -
Untuk grup Google, setiap grup unik hanya dihitung sekali, terlepas dari berapa kali
grup muncul dalam kebijakan izin. Misalnya, jika kebijakan izin hanya berisi satu grup,
group:my-group@example.com, dan grup tersebut muncul dalam kebijakan izin sebanyak 10 kali, Anda dapat menambahkan 249 grup unik lainnya sebelum mencapai batasnya.
3
Untuk tujuan batas ini, IAM menghitung semua tampilan dari setiap
akun utama di binding peran kebijakan izin, serta akun utama yang
dikecualikan dari logging audit Akses Data oleh kebijakan izin. Fitur ini tidak menghapus duplikat akun utama yang muncul di lebih dari satu binding
peran. Misalnya, jika kebijakan izin hanya berisi binding peran untuk
group:my-group@example.com akun utama, dan akun utama ini muncul dalam 50
binding peran, Anda dapat menambahkan 1.450 akun utama lain ke binding
peran di izinkan.
Jika Anda menggunakan IAM Conditions, atau jika Anda memberikan peran ke banyak akun utama dengan ID yang sangat panjang, IAM mungkin mengizinkan lebih sedikit akun utama dalam kebijakan.
4
IAM menghitung semua tampilan setiap akun utama di semua
kebijakan penolakan yang terpasang pada resource. Kebijakan ini tidak menghapus duplikat
akun utama yang muncul di lebih dari satu aturan penolakan atau kebijakan penolakan. Misalnya,
jika kebijakan penolakan yang dilampirkan pada resource hanya berisi aturan penolakan untuk
user:alice@example.com utama, dan akun utama ini muncul dalam
20 aturan penolakan, Anda dapat menambahkan
2.480 akun utama lain ke kebijakan penolakan resource.
5 Untuk token akses OAuth 2.0, Anda dapat memperpanjang masa pakai maksimum hingga
12 jam
(43.200 detik). Untuk memperpanjang masa pakai maksimum,
identifikasi akun layanan yang memerlukan perpanjangan masa aktif untuk token, lalu
tambahkan akun layanan ini ke kebijakan organisasi yang
menyertakan
batasan daftar
constraints/iam.allowServiceAccountCredential.