Questa pagina elenca le quote e i limiti che si applicano a Identity and Access Management (IAM). Sia le quote che i limiti possono restringere il numero di richieste che puoi inviare o di risorse che puoi creare. I limiti possono ridurre anche gli attributi di una risorsa, ad esempio la lunghezza dell'identificatore della risorsa.
Se una quota è troppo bassa per soddisfare le tue esigenze, puoi utilizzare Google Cloud Console per richiedere un aumento della quota per il tuo progetto. Se La console Google Cloud non consente di richiedere la modifica di una quota specifica, contatta l'assistenza Google Cloud.
Non è possibile modificare i limiti.
Quote
Per impostazione predefinita, a ogni progetto Google Cloud vengono applicate le seguenti quote IAM, ad eccezione delle quote di Workforce Identity Federation e Privileged Access Manager. Le quote della federazione delle identità per la forza lavoro si applicano organizzazioni.
Le quote di Privileged Access Manager sono applicabili sia ai progetti che alle organizzazioni e vengono addebitate come segue a seconda del target della chiamata:
- Per i progetti che non appartengono a un'organizzazione, viene addebitata una unità di quota del progetto per una chiamata.
- Per i progetti appartenenti a un'organizzazione, per una chiamata vengono addebitate una unità di quota del progetto e una di quota dell'organizzazione. La chiamata viene rifiutata se delle due quote è esaurito.
- Per le chiamate a cartelle o organizzazioni, è prevista un'unità di quota dell'organizzazione carico.
| Quote predefinite | |
|---|---|
| API IAM v1 | |
| Richieste di lettura (ad esempio, ottenere un criterio di autorizzazione) | 6000 per progetto al minuto |
| Richieste di scrittura (ad esempio aggiornare un criterio di autorizzazione) | 600 al minuto per progetto |
| API IAM v2 | |
| Richieste di lettura (ad esempio, ricezione di un criterio di negazione) | 5 al minuto per progetto |
| Richieste di scrittura (ad esempio aggiornare un criterio di rifiuto) | 5 al minuto per progetto |
| API IAM v3 | |
| Richieste di lettura (ad esempio recuperare un criterio di limite di accesso all'entità) | 5 al minuto per progetto |
| Richieste di scrittura (ad esempio aggiornare un criterio di Principal Access Boundary) | 5 per progetto al minuto |
| Federazione delle identità per i carichi di lavoro | |
| Richieste di lettura (ad esempio, acquisizione di un pool di identità per i carichi di lavoro) | 600 per progetto al minuto 6000 per client al minuto |
| Richieste di scrittura (ad esempio l'aggiornamento di un pool di identità di carico di lavoro) | 60 per progetto al minuto 600 per cliente al minuto |
| Federazione delle identità della forza lavoro | |
| Richieste di creazione, eliminazione e annullamento dell'eliminazione | 60 per organizzazione al minuto |
| Richieste di lettura (ad esempio, acquisizione di un pool di identità della forza lavoro) | 120 per organizzazione al minuto |
| Richieste di aggiornamento (ad esempio, aggiornamento di un pool di identità della forza lavoro) | 120 per organizzazione al minuto |
| Richieste di eliminazione/annullamento dell'eliminazione del soggetto (ad esempio, eliminazione del soggetto di un pool di identità della forza lavoro) | 60 per organizzazione al minuto |
| Numero di pool di identità della forza lavoro | 100 per organizzazione |
| Applicazioni OAuth per il personale | |
| Richieste di creazione/lettura/aggiornamento/eliminazione/annullamento dell'eliminazione | 60 per progetto al minuto |
| API Service Account Credentials | |
| Richieste per generare credenziali | 60.000 al minuto per progetto |
| Richieste per firmare un token JWT (JSON Web Token) o un blob | 60.000 per progetto al minuto |
| API Security Token Service | |
| Richieste di token di Exchange (federazione delle identità non per la forza lavoro) | 6000 al minuto per progetto |
| Richieste di scambio di token (federazione delle identità della forza lavoro) | 60.000 per organizzazione al minuto |
| Account di servizio | |
| Numero di account di servizio | 100 per progetto |
| API Privileged Access Manager | |
| Richieste di scrittura dei diritti (ad esempio creazione, aggiornamento o eliminazione di un diritto) | 100 per progetto al minuto 100 per organizzazione al minuto |
Richieste CheckOnboardingStatus |
300 al minuto per progetto 900 al minuto per organizzazione |
Richieste ListEntitlements |
600 per progetto al minuto 1800 al minuto per organizzazione |
Richieste SearchEntitlements |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste GetEntitlement |
3000 al minuto per progetto 9000 al minuto per organizzazione |
Richieste ListGrants |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste SearchGrants |
600 per progetto al minuto 1800 al minuto per organizzazione |
Richieste GetGrant |
3000 al minuto per progetto 9000 al minuto per organizzazione |
Richieste CreateGrant |
200 per progetto al minuto 600 al minuto per organizzazione |
Richieste ApproveGrant |
200 al minuto per progetto 600 al minuto per organizzazione |
Richieste DenyGrant |
200 per progetto al minuto 600 al minuto per organizzazione |
Richieste RevokeGrant |
300 per progetto al minuto 900 al minuto per organizzazione |
Richieste GetOperation |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste ListOperations |
300 per progetto al minuto 900 al minuto per organizzazione |
Limiti
IAM applica i seguenti limiti alle risorse. Questi limiti non possono essere modificate.
| Limiti | |
|---|---|
| Ruoli personalizzati | |
| Ruoli personalizzati per un'organizzazione1 | 300 |
| Ruoli personalizzati per un progetto1 | 300 |
| ID di un ruolo personalizzato | 64 byte |
| Titolo di un ruolo personalizzato | 100 byte |
| Descrizione di un ruolo personalizzato | 300 byte |
| Autorizzazioni in un ruolo personalizzato | 3000 |
| Dimensione totale di titolo, descrizione e nomi autorizzazione per un ruolo personalizzato | 64 kB |
| Consenti associazioni di ruoli e criteri | |
| Consenti criteri per risorsa | 1 |
| Numero totale di entità (inclusi domini e gruppi Google) in tutto le associazioni di ruoli audit logging esenzioni all'interno di un'unica norma2 | 1500 |
| Domini e gruppi Google in tutte le associazioni di ruoli all'interno di un'unica autorizzazione norme3 | 250 |
| Operatori logici nell'espressione della condizione di un'associazione di ruoli | 12 |
| Associazioni di ruoli in un criterio di autorizzazione che includono lo stesso ruolo e lo stesso dell'entità, ma con espressioni di condizione diverse | 20 |
| Criteri di negazione e regole di negazione | |
| Criteri di rifiuto per risorsa | 500 |
| Regole di negazione per risorsa | 500 |
| Domini e gruppi Google in tutti i criteri di rifiuto di una risorsa4 | 500 |
| Numero totale di entità (inclusi domini e gruppi Google) in tutto dei criteri di negazione di una risorsa4 | 2500 |
| Regole di rifiuto in un singolo criterio di rifiuto | 500 |
| Operatori logici nell'espressione della condizione di una regola di negazione | 12 |
| Criteri di Principal Access Boundary | |
| Regole in un singolo criterio di confine dell'accesso dell'entità | 500 |
| Risorse in tutte le regole di un singolo criterio di Principal Access Boundary | 500 |
| Numero di criteri di Principal Access Boundary che possono essere associati a una risorsa | 10 |
| Criteri di Principal Access Boundary per organizzazione | 1000 |
| Operatori logici nell'espressione della condizione di un'associazione di criteri | 10 |
| Account di servizio | |
| ID account di servizio | 30 byte |
| Nome visualizzato dell'account di servizio | 100 byte |
| Chiavi per un account di servizio | 10 |
| Federazione delle identità della forza lavoro | |
| Provider di pool di identità per la forza lavoro per pool | 200 |
| Soggetti del pool di identità della forza lavoro eliminati per pool | 100.000 |
| Applicazioni OAuth per il personale | |
| Client OAuth per la forza lavoro per progetto | 100 |
| Credenziali client OAuth di Workforce per client | 10 |
| Mappatura degli attributi di Workload Identity Federation e Workforce Identity Federation | |
| Soggetto mappato | 127 byte |
| Nome visualizzato dell'utente del pool di identità della forza lavoro mappato | 100 byte |
| Dimensione totale degli attributi mappati | 8192 byte |
| Numero di mappature degli attributi personalizzati | 50 |
| Credenziali di breve durata | |
| Regole relative ai limiti di accesso in un limite all'accesso con credenziali | 10 |
| Durata massima di un token di accesso5 |
3600 secondi (1 ora) |
1 Se crei ruoli personalizzati a livello di progetto, non vengono conteggiate ai fini del limite a livello di organizzazione.
2 Ai fini di questo limite, IAM conteggia tutte le occorrenze di ogni entità nelle associazioni dei ruoli del criterio di autorizzazione, nonché le entità che il criterio di autorizzazione esenta dalla registrazione degli audit di accesso ai dati. Non deduplica le entità che appaiono in più di un ruolo associazione. Ad esempio, se un criterio di autorizzazione contiene solo associazioni di ruoli per l'entitàuser:sample-user@example.com e questa entità compare in 50 associazioni di ruoli, puoi aggiungere altre 1450 entità alle associazioni di ruoli nel criterio di autorizzazione.
Inoltre, ai fini di questo limite, ogni occorrenza di un dominio o di un gruppo Google viene conteggiata come un singolo entità, indipendentemente dal numero di singoli membri nel dominio o nel gruppo.
Se utilizzi le condizioni IAM o se concedi ruoli a molte entità con insolitamente identificatori lunghi, IAM potrebbe consentire meno entità nel criterio di autorizzazione.
3 Ai fini di questo limite, i domini Cloud Identity, gli account Google Workspace e i servizi vengono conteggiati come segue:
- Per i gruppi Google, ogni gruppo univoco viene conteggiato una sola volta, indipendentemente dal numero di volte in cui il gruppo viene visualizzato nel criterio di autorizzazione. Questo è diverso dal modo in cui i gruppi vengono conteggiati per il limite sul numero totale di entità in un criterio di autorizzazione; per quel limite, ogni aspetto per il calcolo del limite.
- Per i domini Cloud Identity o gli account Google Workspace, IAM conteggia tutte le occorrenze di ciascun dominio o account nelle associazioni dei ruoli del criterio di autorizzazione. Non non deduplicare i domini o gli account visualizzati in più di un'associazione dei ruoli.
Ad esempio, se il criterio di autorizzazione contiene un solo gruppo, group:my-group@example.com, e il gruppo viene visualizzato nel criterio di autorizzazione 10 volte, puoi aggiungere altri 249 domini Cloud Identity, account Google Workspace o gruppi univoci prima di raggiungere il limite.
In alternativa, se il criterio di autorizzazione contiene un solo dominio, domain:example.com e
il dominio compare nel criterio di autorizzazione
10 volte, poi puoi aggiungerne un'altra
240 domini Cloud Identity, account Google Workspace o account
prima di raggiungere il limite.
4
IAM conteggia tutte le apparizioni di ogni entità in tutti
dei criteri di negazione
collegati a una risorsa. Non deduplica i principali presenti in più di una regola di rifiuto o in più di un criterio di rifiuto. Ad esempio:
se i criteri di negazione associati a una risorsa contengono solo regole di negazione per
user:alice@example.com, che compare in
20 regole di negazione, puoi aggiungerne un'altra
2480 entità negate alla risorsa
criteri.
5 Per i token di accesso OAuth 2.0, puoi estendere la durata massima a 12 ore (43.200 secondi). Per estendere la durata massima,
identificare gli account di servizio che necessitano di una durata estesa per i token,
aggiungi questi account di servizio a un criterio dell'organizzazione che
include
constraints/iam.allowServiceAccountCredential
dell'elenco.