本页面列出了适用于身份和访问权限管理 (IAM) 的配额和限制。配额和限制都能限制您可以发送的请求数量或可以创建的资源数量。限制还可能会约束资源的特性,例如资源标识符的长度。
如果配额太低,无法满足您的需求,您可以使用 Google Cloud 控制台为您的项目申请增加配额。如果 Google Cloud 控制台不允许您申请更改特定配额,请联系 Google Cloud 支持团队。
限制不能更改。
配额
默认情况下,以下 IAM 配额适用于每个 Google Cloud 项目,员工身份联合配额除外。员工身份联合配额适用于组织。
| 默认配额 | |
|---|---|
| IAM API | |
| 读取请求数(例如获取政策) | 每分钟 6000 |
| 写入请求数(例如更新政策) | 每分钟 600 |
| 工作负载身份联合 | |
| 读取请求数(例如获取工作负载身份池) | 每个项目每分钟 600 每个客户端每分钟 6000 |
| 写入请求数(例如更新工作负载身份池) | 每个项目每分钟 60 每个客户端每分钟 600 |
| 员工身份联合(预览版) | |
| 创建/删除/恢复删除请求数 | 每个组织每分钟 60 次 |
| 读取请求数(例如获取员工身份池) | 每个组织每分钟 120 次 |
| 更新请求数(例如更新员工身份池) | 每个组织每分钟 120 次 |
| 主题删除/恢复删除请求数(例如删除员工身份池主题) | 每个组织每分钟 60 次 |
| 每个组织的员工身份池数 | 100 |
| Service Account Credentials API | |
| 要求生成凭据的请求数 | 每分钟 60000 |
| 要求对 JSON Web 令牌 (JWT) 或 blob 签名的请求数 | 每分钟 60000 |
| Security Token Service API | |
| 交换令牌请求数(非员工身份联合) | 每分钟 6000 |
| 交换令牌请求数(员工身份联合)(预览版) | 每个组织每分钟 6 万次 |
| 服务账号 | |
| 服务账号数 | 100 |
限制
IAM 对资源实施以下限制。这些限制无法更改。
| 限制 | |
|---|---|
| 自定义角色 | |
| 一个组织的自定义角色数1 | 300 |
| 一个项目的自定义角色数1 | 300 |
| 自定义角色的 ID | 64 字节 |
| 自定义角色的名称 | 100 个字节 |
| 自定义角色的描述 | 300 个字节 |
| 自定义角色中的权限 | 3000 |
| 自定义角色的名称、描述和权限名称的总大小 | 64 KB |
| 允许政策和角色绑定 | |
| 每项资源允许的政策数量 | 1 |
| 单个允许政策中的所有角色绑定中的网域和 Google 群组2 | 250 |
| 单项政策中的所有角色绑定和审核日志记录豁免的主账号(包括网域和 Google 群组)总数3 | 1500 |
| 角色绑定的条件表达式中的逻辑运算符数 | 12 |
| 允许政策中包括同一角色和同一主账号但条件表达式不同的角色绑定数 | 20 |
| 拒绝政策和拒绝规则 | |
| 每项资源的拒绝政策数 | 500 |
| 每项资源的拒绝规则数 | 500 |
| 资源的所有拒绝政策中的网域和 Google 群组4 | 500 |
| 资源的所有拒绝政策中的主账号(包括网域和 Google 群组)总数4 | 2500 |
| 单个拒绝政策中的拒绝规则数 | 500 |
| 拒绝规则的条件表达式中的逻辑运算符数 | 12 |
| 服务账号 | |
| 服务账号 ID | 30 个字节 |
| 服务账号显示名 | 100 个字节 |
| 服务账号的服务账号密钥数 | 10 |
| 员工身份联合(预览版) | |
| 每个池的员工身份池提供方数量 | 200 |
| 每个池的已删除员工身份池主题数 | 100,000 |
| 工作负载身份联合和员工身份联合(预览版)特性映射 | |
| 映射的主题 | 127 个字节 |
| 映射的员工身份池用户显示名 | 100 个字节 |
| 映射属性的总大小 | 8192 个字节 |
| 自定义属性映射的数量 | 50 |
| 短期凭据 | |
| 凭据访问边界中的访问边界规则数 | 10 |
| 访问令牌的最长有效期5 |
3600 秒(1 小时) |
1 如果您在项目级别创建自定义角色,这些自定义角色不会计入组织级别的限额。
2 对于此限制而言,网域和 Google 群组的计算方式如下:
-
对于网域,IAM 会统计允许政策的角色绑定中每个网域的所有出现次数。它不会删除重复出现在多个角色绑定中的网域。例如,如果允许政策仅包含一个网域 (
domain:example.com),并且该网域在允许政策中出现 10 次,则您可以在达到限制之前再添加 240 个网域。 -
对于 Google 群组,无论每个唯一群组在允许政策中出现多少次,该群组都只统计一次。例如,如果允许政策仅包含一个群组 (
group:my-group@example.com),并且该群组在允许政策中出现 10 次,则您可以在达到限制之前再添加 249 个唯一群组。
3 对于此限制而言,IAM 会统计允许政策的角色绑定中每个主账号的所有出现次数,以及允许政策从数据访问审核日志中排除的主账号,而不会去除重复出现在多个绑定中的主账号。例如,如果允许政策仅包含主账号 group:my-group@example.com 的角色绑定,并且此主账号出现在 50 个角色绑定中,则您可以向允许政策中的角色绑定添加另外 1,450 个主账号。
如果您使用 IAM Conditions,或者为多个具有异常长的标识符的主账号授予角色,则 IAM 可能在政策中允许较少的主账号。
4
IAM 会统计每个主账号在附加到某个资源的所有拒绝政策中的所有出现次数。但不会去除重复出现在多个拒绝规则或拒绝政策中的主账号。例如,如果附加到某个资源的拒绝政策仅包含主账号 user:alice@example.com 的拒绝规则,并且此主账号出现在 20 个拒绝规则中,则您可以再将 2,480 个主账号添加到该资源的拒绝政策中。
5 对于 OAuth 2.0 访问令牌,您可以将最长有效期延长至 12 小时(43200 秒)。如需延长最长有效期,请确定需要延长令牌有效期的服务账号,然后将这些服务账号添加到包含 constraints/iam.allowServiceAccountCredential 列表限制条件的组织政策。