이 페이지에는 ID 및 액세스 관리(IAM)에 적용되는 할당량과 한도가 나와 있습니다. 할당량과 한도는 전송할 수 있는 요청 수 또는 생성할 수 있는 리소스 수를 제한할 수 있습니다. 한도는 리소스 식별자의 길이 등 리소스의 속성도 제한할 수 있습니다.
할당량이 필요한 양보다 적다면 Google Cloud 콘솔을 사용하여 프로젝트의 할당량 상향을 요청할 수 있습니다. Google Cloud 콘솔에서 특정 할당량 변경을 요청할 수 없는 경우 Google Cloud 지원팀에 문의하세요.
한도는 변경할 수 없습니다.
할당량
기본적으로 다음 IAM 할당량은 직원 ID 제휴 및 Privileged Access Manager 할당량을 제외하고 모든 Google Cloud 프로젝트에 적용됩니다. 직원 ID 제휴 할당량은 조직에 적용됩니다.
Privileged Access Manager 할당량은 프로젝트와 조직 모두에 적용되며 호출 대상에 따라 다음과 같이 요금이 청구됩니다.
- 조직에 속하지 않는 프로젝트의 경우 프로젝트 할당량 단위 하나가 호출 비용으로 청구됩니다.
- 조직에 속하는 프로젝트의 경우 각 프로젝트 및 조직 할당량 단위 하나가 호출 비용으로 청구됩니다. 두 할당량 중 하나라도 소진되면 호출이 거부됩니다.
- 폴더 또는 조직 호출의 경우 조직 할당량 단위 하나 요금이 청구됩니다.
| 기본 할당량 | |
|---|---|
| IAM v1 API | |
| 읽기 요청(예: 허용 정책 가져오기) | 프로젝트별 분당 6,000개 |
| 쓰기 요청(예: 허용 정책 업데이트) | 프로젝트별 분당 600개 |
| IAM v2 API | |
| 읽기 요청(예: 거부 정책 가져오기) | 프로젝트별 분당 5개 |
| 쓰기 요청(예: 거부 정책 업데이트) | 프로젝트별 분당 5개 |
| IAM v3 API | |
| 읽기 요청(예: 주 구성원 액세스 경계 정책 가져오기) | 프로젝트별 분당 5개 |
| 쓰기 요청(예: 주 구성원 액세스 경계 정책 업데이트) | 프로젝트별 분당 5개 |
| 워크로드 아이덴티티 제휴 | |
| 읽기 요청(예: 워크로드 아이덴티티 풀 가져오기) | 프로젝트별 분당 600 클라이언트당 분당 6,000 |
| 쓰기 요청(예: 워크로드 아이덴티티 풀 업데이트) | 프로젝트별 분당 60 클라이언트당 분당 600 |
| 직원 ID 제휴 | |
| 만들기/삭제/삭제 취소 요청 | 조직별 분당 60개 |
| 읽기 요청(예: 직원 ID 풀 가져오기) | 조직별 분당 120개 |
| 업데이트 요청 (예: 직원 ID 풀 업데이트) | 조직별 분당 120개 |
| 주체 삭제/삭제 취소 요청 (예: 직원 ID 풀 주체 삭제) | 조직별 분당 60개 |
| 직원 ID 풀 수 | 조직별 100개 |
| Workforce OAuth 애플리케이션 | |
| 요청 만들기/읽기/업데이트/삭제/삭제 취소 | 프로젝트별 분당 60개 |
| Service Account Credentials API | |
| 사용자 인증 정보 생성 요청 | 프로젝트별 분당 60,000개 |
| JSON 웹 토큰(JWT) 또는 blob 서명 요청 | 프로젝트별 분당 60,000개 |
| 보안 토큰 서비스 API | |
| 교환 토큰 요청(비직원 ID 제휴) | 프로젝트별 분당 6,000개 |
| 교환 토큰 요청(직원 ID 제휴) | 조직별 분당 60,000개 |
| 서비스 계정 | |
| 서비스 계정 수 | 프로젝트당 100개 |
| Privileged Access Manager API | |
| 사용 권한 쓰기 요청(예: 사용 권한 만들기, 업데이트 또는 삭제) | 프로젝트별 분당 100개 조직별 분당 100개 |
CheckOnboardingStatus 요청 |
프로젝트별 분당 300개 조직별 분당 900개 |
ListEntitlements 요청 |
프로젝트별 분당 600개 조직별 분당 1,800개 |
SearchEntitlements 요청 |
프로젝트별 분당 600개 조직별 분당 1,800개 |
GetEntitlement 요청 |
프로젝트별 분당 3,000개 조직별 분당 9,000개 |
ListGrants 요청 |
프로젝트별 분당 600개 조직별 분당 1,800개 |
SearchGrants 요청 |
프로젝트별 분당 600개 조직별 분당 1,800개 |
GetGrant 요청 |
프로젝트별 분당 3,000개 조직별 분당 9,000개 |
CreateGrant 요청 |
프로젝트별 분당 200개 조직별 분당 600개 |
ApproveGrant 요청 |
프로젝트별 분당 200개 조직별 분당 600개 |
DenyGrant 요청 |
프로젝트별 분당 200개 조직별 분당 600개 |
RevokeGrant 요청 |
프로젝트별 분당 300개 조직별 분당 900개 |
GetOperation 요청 |
프로젝트별 분당 600개 조직별 분당 1,800개 |
ListOperations 요청 |
프로젝트별 분당 300개 조직별 분당 900개 |
한도
IAM은 리소스에 다음 한도를 적용합니다. 이러한 한도를 변경할 수 없습니다.
| 한도 | |
|---|---|
| 커스텀 역할 | |
| 조직의 커스텀 역할1 | 300 |
| 프로젝트의 커스텀 역할1 | 300 |
| 커스텀 역할 ID | 64바이트 |
| 커스텀 역할 제목 | 100바이트 |
| 커스텀 역할 설명 | 300바이트 |
| 커스텀 역할의 권한 | 3,000 |
| 커스텀 역할 제목, 설명, 권한 이름의 총 크기 | 64KB |
| 정책 및 역할 바인딩 허용 | |
| 리소스별 허용 정책 | 1 |
| 단일 정책 내 모든 역할 바인딩과 감사 로깅 예외의 주 구성원 총개수(도메인 및 Google 그룹스 포함)2 | 1,500 |
| 단일 허용 정책 내 모든 역할 바인딩의 도메인과 Google 그룹스3 | 250 |
| 역할 바인딩 조건 표현식의 논리 연산자 | 12 |
| 동일한 역할과 주 구성원이 있지만 조건 표현식이 다른 허용 정책의 역할 바인딩 | 20 |
| 거부 정책 및 거부 규칙 | |
| 리소스별 거부 정책 | 500 |
| 리소스별 거부 규칙 | 500 |
| 모든 리소스의 거부 정책에 있는 도메인 및 Google 그룹4 | 500 |
| 모든 리소스의 거부 정책에 있는 주 구성원의 총 개수(도메인 및 Google 그룹 포함)4 | 2500 |
| 단일 거부 정책의 거부 규칙 | 500 |
| 거부 규칙 조건 표현식의 논리 연산자 | 12 |
| 주 구성원 액세스 경계 정책 | |
| 단일 주 구성원 액세스 경계 정책의 규칙 | 500 |
| 단일 주 구성원 액세스 경계 정책의 모든 규칙에 있는 리소스 | 500 |
| 리소스에 바인딩할 수 있는 주 구성원 액세스 경계 정책 수 | 10 |
| 조직당 주 구성원 액세스 경계 정책 수 | 1000 |
| 정책 바인딩 조건 표현식의 논리 연산자 | 10 |
| 서비스 계정 | |
| 서비스 계정 ID | 30바이트 |
| 서비스 계정 표시 이름 | 100바이트 |
| 서비스 계정의 서비스 계정 키 | 10 |
| 직원 ID 제휴 | |
| 풀당 직원 ID 풀 제공업체 수 | 200 |
| 풀당 직원 ID 풀 주체 삭제 | 100,000 |
| Workforce OAuth 애플리케이션 | |
| 프로젝트당 Workforce OAuth 클라이언트 수 | 100 |
| 클라이언트당 Workforce OAuth 클라이언트 사용자 인증 정보 수 | 10 |
| 워크로드 아이덴티티 제휴 및 직원 ID 제휴 속성 매핑 | |
| 매핑된 주체 | 127바이트 |
| 매핑된 직원 ID 풀 사용자 표시 이름 | 100바이트 |
| 매핑된 속성 총 크기 | 8,192바이트 |
| 커스텀 속성 매핑 수 | 50 |
| 단기 사용자 인증 정보 | |
| 사용자 인증 정보 액세스 경계의 액세스 경계 규칙입니다. | 10 |
| 액세스 토큰의 최대 수명5 |
3,600초(1시간) |
1 프로젝트 수준에서 만든 커스텀 역할은 조직 수준의 한도 계산에 포함되지 않습니다.
2 이 한도의 목적에 따라 IAM은 허용 정책 역할 바인딩의 각 주 구성원뿐만 아니라 허용 정책이 데이터 액세스 감사 로깅에서 제외하는 주 구성원의 모든 노출을 계산합니다. 역할 바인딩 2개 이상에 나타난 주 구성원을 중복 삭제하지 않습니다. 예를 들어 허용 정책에user:sample-user@example.com 주 구성원에 대한 역할 바인딩만 포함되어 있고 이 주 구성원이 역할 바인딩 50개에 나타나면 허용 정책의 역할 바인딩에 다른 주 구성원 1,450명을 추가할 수 있습니다.
또한 이 한도의 목적에 따라 표시되는 각각의 도메인이나 Google 그룹은 도메인이나 그룹에 있는 개별 구성원 수에 관계없이 단일 주 구성원으로 계산됩니다.
IAM 조건을 사용하거나 일반적으로 긴 식별자가 있는 여러 주 구성원에게 역할을 부여하면 IAM에서 허용 정책의 주 구성원을 더 적게 허용할 수 있습니다.
3 이 한도의 목적에 따라 Cloud ID 도메인, Google Workspace 계정, Google 그룹은 다음과 같이 계산됩니다.
- Google 그룹의 경우 각 고유 그룹은 허용 정책에 그룹이 표시된 횟수와 관계없이 한 번만 계산됩니다. 이 계산은 허용 정책의 주 구성원 총개수 한도에 따라 그룹이 계산되는 방식과 다릅니다. 이 한도에서 표시되는 각 그룹은 한도에 포함됩니다.
- Cloud ID 도메인이나 Google Workspace 계정의 경우 IAM은 허용 정책 역할 바인딩에 나타나는 각 도메인이나 계정 모두 계산합니다. 역할 바인딩 2개 이상에 나타나는 도메인이나 계정을 중복 삭제하지 않습니다.
예를 들어 허용 정책에 그룹 group:my-group@example.com 하나만 포함되어 있고 그룹이 허용 정책에 10번 표시되면 한도에 도달하기 전까지 Cloud ID 도메인, Google Workspace 계정 또는 고유 그룹 249개를 추가할 수 있습니다.
또는 허용 정책에 도메인 domain:example.com 하나만 포함되어 있고 도메인이 허용 정책에 10번 표시되면 한도에 도달하기 전까지 Cloud ID 도메인, Google Workspace 계정 또는 고유 그룹 240개를 추가할 수 있습니다.
4
IAM은 리소스에 연결된 모든 거부 정책의 각 주 구성원 노출을 모두 계산합니다. 2개 이상의 거부 규칙 또는 거부 정책에 표시되는 주 구성원은 중복 삭제하지 않습니다. 예를 들어 리소스에 연결된 거부 정책에 user:alice@example.com 주 구성원에 대한 거부 규칙만 포함되었고 이 주 구성원이 20개의 거부 규칙에 표시된 경우에는 리소스의 거부 정책에 다시 2,480개의 주 구성원을 추가할 수 있습니다.
5OAuth 2.0 액세스 토큰의 경우 최대 수명을 12시간(43,200초)까지 연장할 수 있습니다. 최대 수명을 확장하려면 토큰의 수명을 연장해야 하는 서비스 계정을 식별한 다음 constraints/iam.allowServiceAccountCredential 목록 제약조건을 포함하는 조직 정책에 이러한 서비스 계정을 추가합니다.