Questa pagina elenca le quote e i limiti che si applicano a Identity and Access Management (IAM). Sia le quote che i limiti possono restringere il numero di richieste che puoi inviare o di risorse che puoi creare. I limiti possono ridurre anche gli attributi di una risorsa, ad esempio la lunghezza dell'identificatore della risorsa.
Se una quota è troppo bassa per soddisfare le tue esigenze, puoi utilizzare Google Cloud Console per richiedere un aumento della quota per il tuo progetto. Se la console Google Cloud non ti consente di richiedere la modifica di una quota specifica, contatta l'assistenza Google Cloud.
Non è possibile modificare i limiti.
Quote
Per impostazione predefinita, a ogni progetto Google Cloud vengono applicate le seguenti quote IAM, ad eccezione delle quote di Workforce Identity Federation e Privileged Access Manager. Le quote di Workforce Identity Federation si applicano alle organizzazioni.
Le quote di Privileged Access Manager sono applicabili sia ai progetti che alle organizzazioni e vengono addebitate come segue a seconda del target della chiamata:
- Per i progetti che non appartengono a un'organizzazione, viene addebitata una unità di quota del progetto per una chiamata.
- Per i progetti appartenenti a un'organizzazione, per una chiamata vengono addebitate una unità di quota del progetto e una di quota dell'organizzazione. Una chiamata viene rifiutata se una delle due quote è stata esaurita.
- Per le chiamate a cartelle o organizzazioni, viene addebitata una unità di quota dell'organizzazione.
Quote predefinite | |
---|---|
API IAM v1 | |
Richieste di lettura (ad esempio recuperare un criterio di autorizzazione) | 6000 al minuto per progetto |
Richieste di scrittura (ad esempio aggiornare un criterio di autorizzazione) | 600 al minuto per progetto |
API IAM v2 | |
Richieste di lettura (ad esempio recuperare un criterio di rifiuto) | 5 al minuto per progetto |
Richieste di scrittura (ad esempio aggiornare un criterio di rifiuto) | 5 al minuto per progetto |
API IAM v3 | |
Richieste di lettura (ad esempio recuperare un criterio di limite di accesso all'entità) | 5 al minuto per progetto |
Richieste di scrittura (ad esempio aggiornare un criterio di Principal Access Boundary) | 5 al minuto per progetto |
Federazione delle identità per i workload | |
Richieste di lettura (ad esempio recuperare un pool di identità del workload) | 600 al minuto per progetto 6000 al minuto per client |
Richieste di scrittura (ad esempio aggiornare un pool di identità del workload) | 60 per progetto al minuto 600 per cliente al minuto |
Federazione delle identità della forza lavoro | |
Richieste di creazione, eliminazione e annullamento dell'eliminazione | 60 per organizzazione al minuto |
Richieste di lettura (ad esempio recuperare un pool di identità della forza lavoro) | 120 per organizzazione al minuto |
Richieste di aggiornamento (ad esempio l'aggiornamento di un pool di identità della forza lavoro) | 120 per organizzazione al minuto |
Richieste di eliminazione/annullamento dell'eliminazione dell'oggetto (ad esempio, eliminazione di un oggetto del pool di identità della forza lavoro) | 60 per organizzazione al minuto |
Numero di pool di identità della forza lavoro | 100 per organizzazione |
Applicazioni OAuth per il personale | |
Richieste di creazione/lettura/aggiornamento/eliminazione/annullamento dell'eliminazione | 60 al minuto per progetto |
API Service Account Credentials | |
Richieste per generare credenziali | 60.000 al minuto per progetto |
Richieste per firmare un token JWT (JSON Web Token) o un blob | 60.000 al minuto per progetto |
API Security Token Service | |
Richieste di token di scambio (non federazione delle identità per la forza lavoro) | 6000 al minuto per progetto |
Richieste di scambio di token (federazione delle identità della forza lavoro) | 1000 per organizzazione al minuto |
Account di servizio | |
Numero di account di servizio | 100 per progetto |
API Privileged Access Manager | |
Richieste di scrittura dei diritti (ad esempio creazione, aggiornamento o eliminazione di un diritto) | 100 al minuto per progetto 100 al minuto per organizzazione |
Richieste CheckOnboardingStatus |
300 al minuto per progetto 900 al minuto per organizzazione |
Richieste ListEntitlements |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste SearchEntitlements |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste GetEntitlement |
3000 al minuto per progetto 9000 al minuto per organizzazione |
Richieste ListGrants |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste SearchGrants |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste GetGrant |
3000 al minuto per progetto 9000 al minuto per organizzazione |
Richieste CreateGrant |
200 al minuto per progetto 600 al minuto per organizzazione |
Richieste ApproveGrant |
200 al minuto per progetto 600 al minuto per organizzazione |
Richieste DenyGrant |
200 al minuto per progetto 600 al minuto per organizzazione |
Richieste RevokeGrant |
300 al minuto per progetto 900 al minuto per organizzazione |
Richieste GetOperation |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste ListOperations |
300 al minuto per progetto 900 al minuto per organizzazione |
Limiti
IAM applica i seguenti limiti alle risorse. Questi limiti non possono essere modificati.
Limiti | |
---|---|
Ruoli personalizzati | |
Ruoli personalizzati per un'organizzazione1 | 300 |
Ruoli personalizzati per un progetto1 | 300 |
ID di un ruolo personalizzato | 64 byte |
Titolo di un ruolo personalizzato | 100 byte |
Descrizione di un ruolo personalizzato | 300 byte |
Autorizzazioni in un ruolo personalizzato | 3000 |
Dimensione totale di titolo, descrizione e nomi autorizzazione per un ruolo personalizzato | 64 kB |
Consenti criteri e associazioni dei ruoli | |
Consenti criteri per risorsa | 1 |
Numero totale di principali (inclusi domini e gruppi Google) in tutte le associazioni di ruolo e le esenzioni per i log di controllo all'interno di un singolo criterio2 | 1500 |
Domini e gruppi Google in tutte le associazioni di ruoli all'interno di un singolo criterio di autorizzazione3 | 250 |
Operatori logici nell'espressione della condizione di un'associazione di ruoli | 12 |
Associazioni di ruoli in un criterio di autorizzazione che includono lo stesso ruolo e lo stesso account principale, ma espressioni di condizione diverse | 20 |
Criteri di negazione e regole di negazione | |
Criteri di negazione per risorsa | 500 |
Regole di negazione per risorsa | 500 |
Domini e gruppi Google in tutti i criteri di rifiuto di una risorsa 4 | 500 |
Numero totale di principali (inclusi domini e gruppi Google) in tutti i criteri di rifiuto di una risorsa 4 | 2500 |
Regole di rifiuto in un unico criterio di rifiuto | 500 |
Operatori logici nell'espressione della condizione di una regola di rifiuto | 12 |
Policy di Principal Access Boundary | |
Regole in un singolo criterio di confine dell'accesso dell'entità | 500 |
Risorse in tutte le regole di un singolo criterio di Principal Access Boundary | 500 |
Numero di criteri di Principal Access Boundary che possono essere associati a una risorsa | 10 |
Criteri di Principal Access Boundary per organizzazione | 1000 |
Operatori logici nell'espressione della condizione di un'associazione di criteri | 10 |
Account di servizio | |
ID account di servizio | 30 byte |
Nome visualizzato dell'account di servizio | 100 byte |
Chiavi per un account di servizio | 10 |
Federazione delle identità della forza lavoro | |
Provider di pool di identità per la forza lavoro per pool | 200 |
Soggetti del pool di identità della forza lavoro eliminati per pool | 100.000 |
Applicazioni OAuth per il personale | |
Client OAuth di Workforce per progetto | 100 |
Credenziali client OAuth di Workforce per client | 10 |
Mappatura degli attributi di Workload Identity Federation e Workforce Identity Federation | |
Soggetto mappato | 127 byte |
Nome visualizzato dell'utente del pool di identità della forza lavoro mappato | 100 byte |
Dimensioni totali degli attributi mappati | 8192 byte |
Numero di mappature degli attributi personalizzati | 50 |
Credenziali di breve durata | |
Regole relative ai limiti di accesso in un limite all'accesso con credenziali | 10 |
Durata massima di un token di accesso 5 |
3600 secondi (1 ora) |
1 Se crei ruoli personalizzati a livello di progetto, questi ruoli personalizzati non vengono conteggiati per il raggiungimento del limite a livello di organizzazione.
2 Ai fini di questo limite, IAM conteggia tutte le occorrenze di ogni entità nelle associazioni dei ruoli del criterio di autorizzazione, nonché le entità che il criterio di autorizzazione esenta dalla registrazione degli audit di accesso ai dati. Non deduplica le entità presenti in più di un'associazione di ruoli. Ad esempio, se un criterio di autorizzazione contiene solo associazioni di ruoli per l'entitàuser:my-user@example.com
e questa entità compare in 50 associazioni di ruoli, puoi aggiungere altre 1450 entità alle associazioni di ruoli nel criterio di autorizzazione.
Inoltre, ai fini di questo limite, ogni occorrenza di un dominio o di un gruppo Google viene conteggiata come un singolo entità, indipendentemente dal numero di singoli membri nel dominio o nel gruppo.
Se utilizzi le condizioni IAM o se concedi ruoli a molte entità con identificatori insolitamente lunghi, IAM potrebbe consentire meno entità nel criterio di autorizzazione.
3 Ai fini di questo limite, i domini Cloud Identity, gli account Google Workspace e i gruppi Google vengono conteggiati come segue:
- Per i gruppi Google, ogni gruppo univoco viene conteggiato una sola volta, indipendentemente dal numero di volte in cui il gruppo viene visualizzato nel criterio di autorizzazione. Questo è diverso dal modo in cui i gruppi vengono conteggiati per il limite al numero totale di entità in un criterio di autorizzazione: per questo limite, ogni apparizione di un gruppo viene conteggiata.
- Per i domini Cloud Identity o gli account Google Workspace, IAM conteggia tutte le occorrenze di ciascun dominio o account nelle associazioni dei ruoli del criterio di autorizzazione. Non deduplica i domini o gli account presenti in più di un'associazione di ruoli.
Ad esempio, se il criterio di autorizzazione contiene un solo gruppo,
group:my-group@example.com
, e il gruppo viene visualizzato nel criterio di autorizzazione
10 volte, puoi aggiungere altri 249
domini Cloud Identity, account Google Workspace o gruppi univoci prima di raggiungere il
limite.
In alternativa, se il criterio di autorizzazione contiene un solo dominio, domain:example.com
, e il dominio compare nel criterio di autorizzazione 10 volte, puoi aggiungere altri 240 domini Cloud Identity, account Google Workspace o gruppi unici prima di raggiungere il limite.
4
IAM conteggia tutte le occorrenze di ogni entità in tutti
i criteri di rifiuto associati a una risorsa. Non deduplica le entità presenti in più di una regola di rifiuto o in più di un criterio di rifiuto. Ad esempio, se i criteri di rifiuto associati a una risorsa contengono solo regole di rifiuto per l'entità user:my-user@example.com
e questa entità compare in 20 regole di rifiuto, puoi aggiungere altre 2480 entità ai criteri di rifiuto della risorsa.
5
Per i token di accesso OAuth 2.0, puoi estendere la durata massima a 12 ore (43.200 secondi). Per estendere la durata massima, identificate gli account di servizio che richiedono una durata estesa per i token, quindi aggiungeteli a un criterio dell'organizzazione che includa il vincolo dell'elenco constraints/iam.allowServiceAccountCredential
.