本页面列出了适用于身份和访问权限管理 (IAM) 的配额和限制。配额和限制都能限制您可以发送的请求数量或可以创建的资源数量。限制还可能会约束资源的特性,例如资源标识符的长度。
如果配额太低,无法满足您的需求,您可以使用 Google Cloud 控制台为您的项目申请增加配额。如果 Google Cloud 控制台不允许您申请更改特定配额,请联系 Google Cloud 支持团队。
限制不能更改。
配额
默认情况下,以下 IAM 配额适用于每个 Google Cloud 项目,员工身份联合和特权访问管理器配额除外。员工身份联合配额适用于组织。
Privileged Access Manager 配额适用于项目和组织,并根据调用的目标按以下方式收费:
- 对于不属于组织的项目,每项调用都会占用一个项目配额。
- 对于属于某个组织的项目,每次调用会分别计入项目配额和组织配额。如果这两项配额中的任一项用尽,系统会拒绝调用。
- 对于对文件夹或组织的调用,系统会收取一个单位的组织配额。
| 默认配额 | |
|---|---|
| IAM v1 API | |
| 读取请求数(例如获取允许政策) | 每个项目每分钟 6,000 次 |
| 写入请求数(例如更新允许政策) | 每个项目每分钟 600 次 |
| IAM v2 API | |
| 读取请求数(例如获取拒绝政策) | 每个项目每分钟 5 次 |
| 写入请求数(例如更新拒绝政策) | 每个项目每分钟 5 次 |
| IAM v3 API | |
| 读取请求数(例如获取主账号访问权限边界政策) | 每个项目每分钟 5 次 |
| 写入请求数(例如更新主账号访问权限边界政策) | 每个项目每分钟 5 次 |
| 工作负载身份联合 | |
| 读取请求数(例如获取工作负载身份池) | 每个项目每分钟 600 每个客户端每分钟 6000 |
| 写入请求数(例如更新工作负载身份池) | 每个项目每分钟 60 每个客户端每分钟 600 |
| 员工身份联合 | |
| 创建/删除/恢复删除请求数 | 每个组织每分钟 60 次 |
| 读取请求数(例如获取员工身份池) | 每个组织每分钟 120 次 |
| 更新请求数(例如更新员工身份池) | 每个组织每分钟 120 次 |
| 主题删除/恢复删除请求数(例如删除员工身份池主题) | 每个组织每分钟 60 次 |
| 员工身份池数量 | 每个组织 100 个 |
| 员工 OAuth 应用 | |
| 创建/读取/更新/删除/恢复删除请求数 | 每个项目每分钟 60 次 |
| Service Account Credentials API | |
| 要求生成凭据的请求数 | 每个项目每分钟 60,000 次 |
| 要求对 JSON Web 令牌 (JWT) 或 blob 签名的请求数 | 每个项目每分钟 60,000 次 |
| Security Token Service API | |
| 交换令牌请求数(非员工身份联合) | 每个项目每分钟 6,000 次 |
| 交换令牌请求数(员工身份联合) | 每个组织每分钟 6 万次 |
| 服务账号 | |
| 服务账号数 | 每个项目 100 次 |
| Privileged Access Manager API | |
| 使用权写入请求(例如,创建、更新或删除使用权) | 每个项目每分钟 100 次 每个组织每分钟 100 次 |
CheckOnboardingStatus 请求 |
每个项目每分钟 300 次 每个组织每分钟 900 次 |
ListEntitlements 请求 |
每个项目每分钟 600 次 每个组织每分钟 1800 次 |
SearchEntitlements 请求 |
每个项目每分钟 600 次 每个组织每分钟 1800 次 |
GetEntitlement 请求 |
每个项目每分钟 3000 次 每个组织每分钟 9000 次 |
ListGrants 请求 |
每个项目每分钟 600 次 每个组织每分钟 1800 次 |
SearchGrants 请求 |
每个项目每分钟 600 次 每个组织每分钟 1800 次 |
GetGrant 请求 |
每个项目每分钟 3000 次 每个组织每分钟 9000 次 |
CreateGrant 请求 |
每个项目每分钟 200 次 每个组织每分钟 600 次 |
ApproveGrant 请求 |
每个项目每分钟 200 次 每个组织每分钟 600 次 |
DenyGrant 请求 |
每个项目每分钟 200 次 每个组织每分钟 600 次 |
RevokeGrant 请求 |
每个项目每分钟 300 次 每个组织每分钟 900 次 |
GetOperation 请求 |
每个项目每分钟 600 次 每个组织每分钟 1800 次 |
ListOperations 请求 |
每个项目每分钟 300 次 每个组织每分钟 900 次 |
限制
IAM 对资源实施以下限制。这些限制无法更改。
| 限制 | |
|---|---|
| 自定义角色 | |
| 一个组织的自定义角色数1 | 300 |
| 一个项目的自定义角色数1 | 300 |
| 自定义角色的 ID | 64 字节 |
| 自定义角色的名称 | 100 个字节 |
| 自定义角色的描述 | 300 个字节 |
| 自定义角色中的权限 | 3000 |
| 自定义角色的名称、描述和权限名称的总大小 | 64 KB |
| 允许政策和角色绑定 | |
| 每项资源允许的政策数量 | 1 |
| 单项政策中的所有角色绑定和审核日志记录豁免的主账号(包括网域和 Google 群组)总数2 | 1500 |
| 单个允许政策中的所有角色绑定中的网域和 Google 群组3 | 250 |
| 角色绑定的条件表达式中的逻辑运算符数 | 12 |
| 允许政策中包括同一角色和同一主账号但条件表达式不同的角色绑定数 | 20 |
| 拒绝政策和拒绝规则 | |
| 每项资源的拒绝政策数 | 500 |
| 每项资源的拒绝规则数 | 500 |
| 资源的所有拒绝政策中的网域和 Google 群组4 | 500 |
| 资源的所有拒绝政策中的主账号(包括网域和 Google 群组)总数4 | 2500 |
| 单个拒绝政策中的拒绝规则数 | 500 |
| 拒绝规则的条件表达式中的逻辑运算符数 | 12 |
| Principal Access Boundary Policy | |
| 单个主账号访问权限边界政策中的规则 | 500 |
| 单个主账号访问边界政策中的所有规则中的资源 | 500 |
| 可绑定到资源的 Principal Access Boundary Policy 数量 | 10 |
| 每个组织的主体访问权限边界政策 | 1000 |
| 政策绑定的条件表达式中的逻辑运算符数 | 10 |
| 服务账号 | |
| 服务账号 ID | 30 个字节 |
| 服务账号显示名 | 100 个字节 |
| 服务账号的服务账号密钥数 | 10 |
| 员工身份联合 | |
| 每个池的员工身份池提供方数量 | 200 |
| 每个池的已删除员工身份池主题数 | 100000 |
| 员工 OAuth 应用 | |
| 每个项目的员工 OAuth 客户端 | 100 |
| 每个客户端的员工 OAuth 客户端凭据 | 10 |
| 工作负载身份联合和员工身份联合属性映射 | |
| 映射的主题 | 127 个字节 |
| 映射的员工身份池用户显示名 | 100 个字节 |
| 映射属性的总大小 | 8192 个字节 |
| 自定义属性映射的数量 | 50 |
| 短期凭据 | |
| 凭据访问边界中的访问边界规则数 | 10 |
| 访问令牌的最长有效期5 |
3600 秒(1 小时) |
1 如果您在项目级别创建自定义角色,这些自定义角色不会计入组织级别的限额。
2 对于此限制而言,IAM 会统计允许政策的角色绑定中每个主账号的所有出现次数,以及允许政策从数据访问审核日志中排除的主账号,而不会去除重复出现在多个绑定中的主账号。例如,如果允许政策仅包含主账号user:sample-user@example.com 的角色绑定,并且此主账号出现在 50 个角色绑定中,则您可以向允许政策中的角色绑定添加另外 1,450 个主账号。
此外,对于此限制而言,无论网域或 Google 群组中的单个成员数量是多少,只要网域或群组出现一次,就算作一个主账号。
如果您使用 IAM Conditions,或者为具有异常长的标识符的多个主账号授予角色,则 IAM 可能允许的允许政策中的主账号较少。
3 对于此限制而言,Cloud Identity 网域、Google Workspace 账号和 Google 群组的计算方式如下:
- 对于 Google 群组,无论每个唯一群组在允许政策中出现多少次,该群组都只统计一次。这与群组在允许政策中的主账号总数上限中被计数的方式不同 - 在该上限中,群组每次出现都会计入上限。
- 对于 Cloud Identity 网域或 Google Workspace 账号,IAM 会统计允许政策的角色绑定中每个网域或账号的所有出现次数。它不会去除重复出现在多个角色绑定中的网域或账号。
例如,如果允许政策仅包含一个群组 (group:my-group@example.com),并且该群组在允许政策中出现 10 次,则您可以在达到限制之前再添加 249 个 Cloud Identity 网域、Google Workspace 账号或唯一群组。
或者,如果允许政策仅包含一个网域 (domain:example.com),并且该网域在允许政策中出现 10 次,则您可以在达到限制之前再添加 240 个 Cloud Identity 网域、Google Workspace 账号或唯一群组。
4
IAM 会统计每个主账号在附加到某个资源的所有拒绝政策中的所有出现次数。但不会去除重复出现在多个拒绝规则或拒绝政策中的主账号。例如,如果附加到某个资源的拒绝政策仅包含主账号 user:alice@example.com 的拒绝规则,并且此主账号出现在 20 个拒绝规则中,则您可以再将 2,480 个主账号添加到该资源的拒绝政策中。
5 对于 OAuth 2.0 访问令牌,您可以将最长有效期延长至 12 小时(43200 秒)。如需延长最长有效期,请确定需要延长令牌有效期的服务账号,然后将这些服务账号添加到包含 constraints/iam.allowServiceAccountCredential 列表限制条件的组织政策。