Kuota dan batas

Halaman ini mencantumkan kuota dan batas yang berlaku untuk Identity and Access Management (IAM). Kuota dan batas dapat membatasi jumlah permintaan yang dapat Anda kirim atau jumlah resource yang dapat dibuat. Batas juga dapat membatasi atribut resource, seperti panjang ID resource.

Jika kuota terlalu rendah untuk memenuhi kebutuhan, Anda dapat menggunakan konsol Google Cloud untuk meminta penambahan kuota untuk project Anda. Jika konsol Google Cloud tidak mengizinkan Anda meminta perubahan untuk kuota tertentu, hubungi dukungan Google Cloud.

Batas tidak dapat diubah.

Kuota

Secara default, kuota IAM berikut berlaku untuk setiap project Google Cloud, kecuali kuota Workforce Identity Federation dan Privileged Access Manager. Kuota Workforce Identity Federation berlaku untuk organisasi.

Kuota Privileged Access Manager berlaku untuk project dan organisasi, dan dikenai biaya sebagai berikut, bergantung pada target panggilan:

  • Untuk project yang tidak termasuk dalam organisasi, satu unit kuota project akan dikenakan biaya untuk panggilan.
  • Untuk project milik organisasi, satu unit kuota project dan organisasi akan ditagih untuk satu panggilan. Panggilan akan ditolak jika salah satu dari dua kuota tersebut telah habis.
  • Untuk panggilan ke folder atau organisasi, satu unit kuota organisasi akan dikenai biaya.

Kuota default
IAM v1 API
Permintaan baca (misalnya, mendapatkan kebijakan izin) 6.000 per project per menit
Permintaan tulis (misalnya, memperbarui kebijakan izin) 600 per project per menit
IAM v2 API
Permintaan baca (misalnya, mendapatkan kebijakan penolakan) 5 per project per menit
Permintaan tulis (misalnya, memperbarui kebijakan penolakan) 5 per project per menit
IAM v3 API
Permintaan baca (misalnya, mendapatkan kebijakan batas akses akun utama) 5 per project per menit
Permintaan tulis (misalnya, memperbarui kebijakan batas akses akun utama) 5 per project per menit
Workload Identity Federation
Permintaan baca (misalnya, mendapatkan workload identity pool) 600 per project per menit
6.000 per klien per menit
Permintaan tulis (misalnya, memperbarui workload identity pool) 60 per project per menit
600 per klien per menit
Workforce Identity Federation
Permintaan membuat/menghapus/membatalkan penghapusan 60 per organisasi per menit
Permintaan baca (misalnya, mendapatkan workforce identity pool) 120 per organisasi per menit
Permintaan pembaruan (misalnya, memperbarui workforce identity pool) 120 per organisasi per menit
Permintaan penghapusan/pembatalan penghapusan subjek (misalnya, menghapus subjek workforce identity pool) 60 per organisasi per menit
Jumlah kumpulan identitas tenaga kerja 100 per organisasi
Aplikasi OAuth Workforce
Permintaan membuat/membaca/memperbarui/menghapus/membatalkan penghapusan 60 per project per menit
Service Account Credentials API
Permintaan untuk membuat kredensial 60.000 per project per menit
Permintaan untuk menandatangani JSON Web Token (JWT) atau blob 60.000 per project per menit
Security Token Service API
Permintaan penukaran token (workforce identity federation) 6.000 per project per menit
Permintaan penukaran token (Workforce Identity Federation) 1.000 per organisasi per menit
Akun layanan
Jumlah akun layanan 100 per project
Privileged Access Manager API
Permintaan tulis hak (misalnya, membuat, memperbarui, atau menghapus hak) 100 per project per menit
100 per organisasi per menit
Permintaan CheckOnboardingStatus 300 per project per menit
900 per organisasi per menit
Permintaan ListEntitlements 600 per project per menit
1.800 per organisasi per menit
Permintaan SearchEntitlements 600 per project per menit
1.800 per organisasi per menit
Permintaan GetEntitlement 3.000 per project per menit
9.000 per organisasi per menit
Permintaan ListGrants 600 per project per menit
1.800 per organisasi per menit
Permintaan SearchGrants 600 per project per menit
1.800 per organisasi per menit
Permintaan GetGrant 3.000 per project per menit
9.000 per organisasi per menit
Permintaan CreateGrant 200 per project per menit
600 per organisasi per menit
Permintaan ApproveGrant 200 per project per menit
600 per organisasi per menit
Permintaan DenyGrant 200 per project per menit
600 per organisasi per menit
Permintaan RevokeGrant 300 per project per menit
900 per organisasi per menit
Permintaan GetOperation 600 per project per menit
1.800 per organisasi per menit
Permintaan ListOperations 300 per project per menit
900 per organisasi per menit

Batas

IAM menerapkan batas berikut pada resource. Batas ini tidak dapat diubah.

Batas
Peran khusus
Peran khusus untuk organisasi1 300
Peran khusus untuk sebuah project1 300
ID peran khusus 64 byte
Judul peran khusus 100 byte
Deskripsi peran khusus 300 byte
Izin dalam peran khusus 3.000
Ukuran total judul, deskripsi, dan nama izin untuk peran khusus 64 KB
Kebijakan izin dan binding peran
Kebijakan izin per resource 1
Jumlah total akun utama (termasuk domain dan grup Google) di semua binding peran dan pengecualian logging audit dalam satu kebijakan2 1.500
Domain dan grup Google di semua binding peran dalam satu kebijakan izin3 250
Operator logika dalam ekspresi kondisi binding peran 12
Binding peran dalam kebijakan izin yang mencakup peran yang sama dan akun utama yang sama, tetapi ekspresi kondisinya berbeda 20
Kebijakan penolakan dan aturan penolakan
Kebijakan penolakan per resource 500
Aturan tolak per resource 500
Domain dan grup Google di semua kebijakan penolakan resource 4 500
Jumlah total akun utama (termasuk domain dan grup Google) di semua kebijakan penolakan resource 4 2500
Aturan tolak dalam kebijakan penolakan tunggal 500
Operator logika dalam ekspresi kondisi aturan tolak 12
Kebijakan batas akses akun utama
Aturan dalam satu kebijakan batas akses akun utama 500
Resource dalam semua aturan dalam satu kebijakan batas akses akun utama 500
Jumlah kebijakan batas akses akun utama yang dapat terikat ke resource 10
Kebijakan batas akses akun utama per organisasi 1000
Operator logika dalam ekspresi kondisi binding kebijakan 10
Akun layanan
ID akun layanan 30 byte
Nama tampilan akun layanan 100 byte
Kunci akun layanan untuk akun layanan 10
Workforce Identity Federation
Penyedia workforce identity pool per kumpulan 200
Subjek workforce identity pool yang dihapus per kumpulan 100.000
Aplikasi OAuth Workforce
Klien OAuth Workforce per project 100
Kredensial klien OAuth Workforce per klien 10
Pemetaan atribut Workload Identity Federation dan Workforce Identity Federation
Subjek yang dipetakan 127 byte
Nama tampilan pengguna workforce identity pool yang dipetakan 100 byte
Ukuran total atribut yang dipetakan 8.192 byte
Jumlah pemetaan atribut khusus 50
Kredensial jangka pendek
Aturan batas akses dalam Batas Akses Kredensial 10
Masa pakai maksimum token akses 5

3.600 detik (1 jam)

1 Jika Anda membuat peran khusus di level project, peran khusus tersebut tidak diperhitungkan terhadap batas di level organisasi.

2 Untuk tujuan batas ini, IAM menghitung semua tampilan dari setiap akun utama dalam binding peran kebijakan izin, serta akun utama yang dikecualikan dari logging audit Akses Data oleh kebijakan izin. Tindakan ini tidak menghapus duplikat akun utama yang muncul di lebih dari satu binding peran. Misalnya, jika kebijakan izin hanya berisi binding peran untuk akun utama user:my-user@example.com, dan akun utama ini muncul dalam 50 binding peran, Anda dapat menambahkan 1.450 akun utama lain ke binding peran di kebijakan izin.

Selain itu, untuk tujuan batasan ini, setiap kemunculan domain atau grup Google dihitung sebagai satu akun utama, terlepas dari jumlah anggota individual dalam domain atau grup.

Jika Anda menggunakan IAM Conditions, atau jika Anda memberikan peran ke banyak akun utama dengan ID yang sangat panjang, IAM mungkin mengizinkan lebih sedikit akun utama dalam kebijakan izin.

3 Untuk tujuan batas ini, domain Cloud Identity, akun Google Workspace, dan grup Google dihitung sebagai berikut:

  • Untuk grup Google, setiap grup unik hanya dihitung sekali, terlepas dari berapa kali grup muncul dalam kebijakan izin. Hal ini berbeda dengan cara grup dihitung untuk batas jumlah total akun utama dalam kebijakan izin—untuk batas tersebut, setiap kemunculan grup akan dihitung dalam batas.
  • Untuk domain Cloud Identity atau akun Google Workspace, IAM menghitung semua tampilan dari setiap domain atau akun di binding peran kebijakan izin. Tindakan ini tidak menghapus duplikat domain atau akun yang muncul di lebih dari satu binding peran.

Misalnya, jika kebijakan izin Anda hanya berisi satu grup, group:my-group@example.com, dan grup tersebut muncul dalam kebijakan izin 10 kali, Anda dapat menambahkan 249 domain Cloud Identity, akun Google Workspace, atau grup unik lainnya sebelum mencapai batasnya.

Atau, jika kebijakan izin Anda hanya berisi satu domain, domain:example.com, dan domain tersebut muncul dalam kebijakan izin 10 kali, Anda dapat menambahkan 240 domain Cloud Identity, akun Google Workspace, atau grup unik lainnya sebelum mencapai batasnya.

4 IAM menghitung semua tampilan setiap akun utama di semua kebijakan penolakan yang dilampirkan ke resource. Tindakan ini tidak menghapus duplikat akun utama yang muncul di lebih dari satu aturan penolakan atau kebijakan penolakan. Misalnya, jika kebijakan penolakan yang dilampirkan ke resource hanya berisi aturan penolakan untuk akun utama user:my-user@example.com, dan akun utama ini muncul dalam 20 aturan penolakan, Anda dapat menambahkan 2.480 akun utama lain ke kebijakan penolakan resource.

5 Untuk token akses OAuth 2.0, Anda dapat memperpanjang masa pakai maksimum hingga 12 jam (43.200 detik). Untuk memperpanjang masa pakai maksimum, identifikasi akun layanan yang memerlukan perpanjangan masa aktif untuk token, lalu tambahkan akun layanan ini ke kebijakan organisasi yang menyertakan batasan daftar constraints/iam.allowServiceAccountCredentialLifetimeExtension.