Halaman ini mencantumkan kuota dan batas yang berlaku untuk Identity and Access Management (IAM). Kuota dan batas dapat membatasi jumlah permintaan yang dapat Anda kirim atau jumlah resource yang dapat dibuat. Batas juga dapat membatasi atribut resource, seperti panjang ID resource.
Jika kuota terlalu rendah untuk memenuhi kebutuhan, Anda dapat menggunakan konsol Google Cloud untuk meminta penambahan kuota untuk project Anda. Jika konsol Google Cloud tidak mengizinkan Anda meminta perubahan untuk kuota tertentu, hubungi dukungan Google Cloud.
Batas tidak dapat diubah.
Kuota
Secara default, kuota IAM berikut berlaku untuk setiap project Google Cloud, kecuali kuota Workforce Identity Federation dan Privileged Access Manager. Kuota Workforce Identity Federation berlaku untuk organisasi.
Kuota Privileged Access Manager berlaku untuk project dan organisasi, dan ditagih sebagai berikut, bergantung pada target panggilan:
- Untuk project yang tidak termasuk dalam organisasi, satu unit kuota project akan dikenakan biaya untuk panggilan.
- Untuk project milik organisasi, satu unit kuota project dan organisasi akan ditagih untuk satu panggilan. Panggilan akan ditolak jika salah satu dari dua kuota tersebut telah habis.
- Untuk panggilan ke folder atau organisasi, satu unit kuota organisasi akan dikenai biaya.
| Kuota default | |
|---|---|
| IAM v1 API | |
| Permintaan baca (misalnya, mendapatkan kebijakan izin) | 6.000 per project per menit |
| Permintaan tulis (misalnya, memperbarui kebijakan izin) | 600 per project per menit |
| IAM v2 API | |
| Permintaan baca (misalnya, mendapatkan kebijakan penolakan) | 5 per project per menit |
| Permintaan tulis (misalnya, memperbarui kebijakan penolakan) | 5 per project per menit |
| IAM v3 API | |
| Permintaan baca (misalnya, mendapatkan kebijakan batas akses akun utama) | 5 per project per menit |
| Permintaan tulis (misalnya, memperbarui kebijakan batas akses akun utama) | 5 per project per menit |
| Workload Identity Federation | |
| Permintaan baca (misalnya, mendapatkan workload identity pool) | 600 per project per menit 6.000 per klien per menit |
| Permintaan tulis (misalnya, memperbarui workload identity pool) | 60 per project per menit 600 per klien per menit |
| Workforce Identity Federation | |
| Permintaan membuat/menghapus/membatalkan penghapusan | 60 per organisasi per menit |
| Permintaan baca (misalnya, mendapatkan workforce identity pool) | 120 per organisasi per menit |
| Permintaan pembaruan (misalnya, memperbarui workforce identity pool) | 120 per organisasi per menit |
| Permintaan penghapusan/pembatalan penghapusan subjek (misalnya, menghapus subjek workforce identity pool) | 60 per organisasi per menit |
| Jumlah kumpulan identitas tenaga kerja | 100 per organisasi |
| Aplikasi OAuth Workforce | |
| Membuat/membaca/memperbarui/menghapus/membatalkan penghapusan permintaan | 60 per project per menit |
| Service Account Credentials API | |
| Permintaan untuk membuat kredensial | 60.000 per project per menit |
| Permintaan untuk menandatangani JSON Web Token (JWT) atau blob | 60.000 per project per menit |
| Security Token Service API | |
| Permintaan penukaran token (workforce identity federation) | 6.000 per project per menit |
| Permintaan penukaran token (Workforce Identity Federation) | 1.000 per organisasi per menit |
| Akun layanan | |
| Jumlah akun layanan | 100 per project |
| Privileged Access Manager API | |
| Permintaan tulis hak (misalnya, membuat, memperbarui, atau menghapus hak) | 100 per project per menit 100 per organisasi per menit |
Permintaan CheckOnboardingStatus |
300 per project per menit 900 per organisasi per menit |
Permintaan ListEntitlements |
600 per project per menit 1.800 per organisasi per menit |
Permintaan SearchEntitlements |
600 per project per menit 1.800 per organisasi per menit |
Permintaan GetEntitlement |
3.000 per project per menit 9.000 per organisasi per menit |
Permintaan ListGrants |
600 per project per menit 1.800 per organisasi per menit |
Permintaan SearchGrants |
600 per project per menit 1.800 per organisasi per menit |
Permintaan GetGrant |
3.000 per project per menit 9.000 per organisasi per menit |
Permintaan CreateGrant |
200 per project per menit 600 per organisasi per menit |
Permintaan ApproveGrant |
200 per project per menit 600 per organisasi per menit |
Permintaan DenyGrant |
200 per project per menit 600 per organisasi per menit |
Permintaan RevokeGrant |
300 per project per menit 900 per organisasi per menit |
Permintaan GetOperation |
600 per project per menit 1.800 per organisasi per menit |
Permintaan ListOperations |
300 per project per menit 900 per organisasi per menit |
Batas
IAM menerapkan batas berikut pada resource. Batas ini tidak dapat diubah.
| Batas | |
|---|---|
| Peran khusus | |
| Peran khusus untuk organisasi1 | 300 |
| Peran khusus untuk sebuah project1 | 300 |
| ID peran khusus | 64 byte |
| Judul peran khusus | 100 byte |
| Deskripsi peran khusus | 300 byte |
| Izin dalam peran khusus | 3.000 |
| Ukuran total judul, deskripsi, dan nama izin untuk peran khusus | 64 KB |
| Kebijakan izin dan binding peran | |
| Kebijakan izin per resource | 1 |
| Jumlah total akun utama (termasuk domain dan grup Google) di semua binding peran dan pengecualian logging audit dalam satu kebijakan2 | 1.500 |
| Domain dan grup Google di semua binding peran dalam satu kebijakan izin3 | 250 |
| Operator logika dalam ekspresi kondisi binding peran | 12 |
| Binding peran dalam kebijakan izin yang mencakup peran yang sama dan akun utama yang sama, tetapi ekspresi kondisinya berbeda | 20 |
| Kebijakan penolakan dan aturan penolakan | |
| Kebijakan penolakan per resource | 500 |
| Aturan tolak per resource | 500 |
| Domain dan grup Google di semua kebijakan penolakan resource4 | 500 |
| Jumlah total akun utama (termasuk domain dan grup Google) di semua kebijakan penolakan resource4 | 2500 |
| Aturan tolak dalam kebijakan penolakan tunggal | 500 |
| Operator logika dalam ekspresi kondisi aturan tolak | 12 |
| Kebijakan batas akses akun utama | |
| Aturan dalam satu kebijakan batas akses akun utama | 500 |
| Resource dalam semua aturan dalam satu kebijakan batas akses akun utama | 500 |
| Jumlah kebijakan batas akses akun utama yang dapat terikat ke resource | 10 |
| Kebijakan batas akses akun utama per organisasi | 1000 |
| Operator logika dalam ekspresi kondisi binding kebijakan | 10 |
| Akun layanan | |
| ID akun layanan | 30 byte |
| Nama tampilan akun layanan | 100 byte |
| Kunci akun layanan untuk akun layanan | 10 |
| Workforce Identity Federation | |
| Penyedia workforce identity pool per kumpulan | 200 |
| Subjek workforce identity pool yang dihapus per kumpulan | 100.000 |
| Aplikasi OAuth Workforce | |
| Klien OAuth Workforce per project | 100 |
| Kredensial klien OAuth Workforce per klien | 10 |
| Pemetaan atribut Workload Identity Federation dan Workforce Identity Federation | |
| Subjek yang dipetakan | 127 byte |
| Nama tampilan pengguna workforce identity pool yang dipetakan | 100 byte |
| Ukuran total atribut yang dipetakan | 8.192 byte |
| Jumlah pemetaan atribut khusus | 50 |
| Kredensial jangka pendek | |
| Aturan batas akses dalam Batas Akses Kredensial | 10 |
| Masa pakai maksimum token akses5 |
3.600 detik (1 jam) |
1 Jika Anda membuat peran khusus di level project, peran khusus tersebut tidak diperhitungkan terhadap batas di level organisasi.
2 Untuk tujuan batas ini, IAM menghitung semua tampilan dari setiap akun utama dalam binding peran kebijakan izin, serta akun utama yang dikecualikan dari logging audit Akses Data oleh kebijakan izin. Tindakan ini tidak menghapus duplikat akun utama yang muncul di lebih dari satu binding peran. Misalnya, jika kebijakan izin hanya berisi binding peran untuk akun utamauser:sample-user@example.com, dan akun utama ini muncul dalam
50 binding peran, Anda dapat menambahkan
1.450 akun utama lain ke binding peran di kebijakan izin.
Selain itu, untuk tujuan batasan ini, setiap kemunculan domain atau grup Google dihitung sebagai satu akun utama, terlepas dari jumlah anggota individual dalam domain atau grup.
Jika Anda menggunakan IAM Conditions, atau jika Anda memberikan peran ke banyak akun utama dengan ID yang sangat panjang, IAM mungkin mengizinkan lebih sedikit akun utama dalam kebijakan izin.
3 Untuk tujuan batas ini, domain Cloud Identity, akun Google Workspace, dan grup Google dihitung sebagai berikut:
- Untuk grup Google, setiap grup unik hanya dihitung sekali, terlepas dari berapa kali grup muncul dalam kebijakan izin. Hal ini berbeda dengan cara grup dihitung untuk batas jumlah total akun utama dalam kebijakan izin—untuk batas tersebut, setiap kemunculan grup akan dihitung dalam batas.
- Untuk domain Cloud Identity atau akun Google Workspace, IAM menghitung semua tampilan dari setiap domain atau akun di binding peran kebijakan izin. Tindakan ini tidak menghapus duplikat domain atau akun yang muncul di lebih dari satu binding peran.
Misalnya, jika kebijakan izin Anda hanya berisi satu grup,
group:my-group@example.com, dan grup tersebut muncul dalam kebijakan izin
10 kali, Anda dapat menambahkan 249 domain Cloud Identity, akun Google Workspace, atau grup unik lainnya sebelum mencapai batasnya.
Atau, jika kebijakan izin Anda hanya berisi satu domain, domain:example.com, dan
domain tersebut muncul dalam kebijakan izin
10 kali, Anda dapat menambahkan
240 domain Cloud Identity, akun Google Workspace, atau grup
unik lainnya sebelum mencapai batasnya.
4
IAM menghitung semua tampilan setiap akun utama di semua
kebijakan penolakan yang dilampirkan ke resource. Tindakan ini tidak menghapus duplikat akun utama yang muncul di lebih dari satu aturan penolakan atau kebijakan penolakan. Misalnya,
jika kebijakan penolakan yang dilampirkan ke resource hanya berisi aturan penolakan untuk
user:alice@example.com akun utama, dan akun utama ini muncul dalam
20 aturan penolakan, Anda dapat menambahkan
2.480 akun utama lain ke kebijakan penolakan
resource.
5 Untuk token akses OAuth 2.0, Anda dapat memperpanjang masa pakai maksimum hingga
12 jam
(43.200 detik). Untuk memperpanjang masa pakai maksimum,
identifikasi akun layanan yang memerlukan perpanjangan masa aktif untuk token, lalu
tambahkan akun layanan ini ke kebijakan organisasi yang
menyertakan
batasan daftar
constraints/iam.allowServiceAccountCredential.