配额和限制

本页面列出了适用于身份和访问权限管理 (IAM) 的配额和限制。配额和限制都能限制您可以发送的请求数量或可以创建的资源数量。限制还可能会约束资源的特性,例如资源标识符的长度。

如果配额太低,无法满足您的需求,您可以使用 Google Cloud 控制台为您的项目申请增加配额。如果 Google Cloud 控制台不允许您申请更改特定配额,请联系 Google Cloud 支持团队

限制不能更改。

配额

默认情况下,以下 IAM 配额适用于每个 Google Cloud 项目,员工身份联合和特权访问管理器配额除外。员工身份联合配额适用于组织

Privileged Access Manager 配额适用于项目和组织,并且费用如下所示,具体取决于调用的目标:

  • 对于不属于组织的项目,系统会按调用收取一个单位的项目配额。
  • 对于属于某个组织的项目,系统会针对每一次调用分别扣减一个项目配额和一个组织配额。如果这两项配额中的任一项用尽,系统会拒绝调用。
  • 对于对文件夹或组织的调用,系统会收取一个单位的组织配额。

默认配额
IAM v1 API
读取请求数(例如获取允许政策) 每个项目每分钟 6,000 次
写入请求数(例如更新允许政策) 每个项目每分钟 600 次
IAM v2 API
读取请求数(例如获取拒绝政策) 每个项目每分钟 5 次
写入请求数(例如更新拒绝政策) 每个项目每分钟 5 次
IAM v3 API
读取请求数(例如获取主账号访问边界政策) 每个项目每分钟 5 次
写入请求数(例如更新主账号访问边界政策) 每个项目每分钟 5 次
工作负载身份联合
读取请求数(例如获取工作负载身份池) 每个项目每分钟 600
每个客户端每分钟 6000
写入请求数(例如更新工作负载身份池) 每个项目每分钟 60
每个客户端每分钟 600
员工身份联合
创建/删除/恢复删除请求数 每个组织每分钟 60 次
读取请求数(例如获取员工身份池) 每个组织每分钟 120 次
更新请求数(例如更新员工身份池) 每个组织每分钟 120 次
主题删除/恢复删除请求数(例如删除员工身份池主题) 每个组织每分钟 60 次
员工身份池数量 每个组织 100 个
员工 OAuth 应用
创建/读取/更新/删除/恢复删除请求数 每个项目每分钟 60 次
Service Account Credentials API
要求生成凭据的请求数 每个项目每分钟 6 万次
要求对 JSON Web 令牌 (JWT) 或 blob 签名的请求数 每个项目每分钟 6 万次
Security Token Service API
交换令牌请求数(非员工身份联合) 每个项目每分钟 6,000 次
交换令牌请求数(员工身份联合) 每个组织每分钟 1,000 次
服务账号
服务账号数 每个项目 100 次
Privileged Access Manager API
使用权写入请求(例如创建、更新或删除使用权) 每个项目每分钟 100 次
每个组织每分钟 100 次
CheckOnboardingStatus 请求 每个项目每分钟 300 次
每个组织每分钟 900 次
ListEntitlements 请求 每个项目每分钟 600 次
每个组织每分钟 1800 次
SearchEntitlements 请求 每个项目每分钟 600 次
每个组织每分钟 1800 次
GetEntitlement 请求 每个项目每分钟 3,000 次
每个组织每分钟 9,000 次
ListGrants 请求 每个项目每分钟 600 次
每个组织每分钟 1800 次
SearchGrants 请求 每个项目每分钟 600 次
每个组织每分钟 1800 次
GetGrant 请求 每个项目每分钟 3,000 次
每个组织每分钟 9,000 次
CreateGrant 请求 每个项目每分钟 200 次
每个组织每分钟 600 次
ApproveGrant 请求 每个项目每分钟 200 次
每个组织每分钟 600 次
DenyGrant 请求 每个项目每分钟 200 次
每个组织每分钟 600 次
RevokeGrant 请求 每个项目每分钟 300 次
每个组织每分钟 900 次
GetOperation 请求 每个项目每分钟 600 次
每个组织每分钟 1800 次
ListOperations 请求 每个项目每分钟 300 次
每个组织每分钟 900 次

限制

IAM 对资源实施以下限制。这些限制无法更改。

限制
自定义角色
一个组织的自定义角色数1 300
一个项目的自定义角色数1 300
自定义角色的 ID 64 字节
自定义角色的名称 100 个字节
自定义角色的描述 300 个字节
自定义角色中的权限 3000
自定义角色的名称、描述和权限名称的总大小 64 KB
允许政策和角色绑定
每项资源允许的政策数量 1
单项政策中的所有角色绑定和审核日志记录豁免的主账号 (包括网域和 Google 群组) 总数2 1500
单个允许政策中的所有角色绑定中的网域和 Google 群组3 250
角色绑定的条件表达式中的逻辑运算符数 12
允许政策中包括同一角色和同一主账号但条件表达式不同的角色绑定数 20
拒绝政策和拒绝规则
每项资源的拒绝政策数 500
每项资源的拒绝规则数 500
资源的所有拒绝政策中的网域和 Google 群组 4 500
资源的所有拒绝政策中的主账号 (包括网域和 Google 群组) 总数 4 2500
单个拒绝政策中的拒绝规则数 500
拒绝规则的条件表达式中的逻辑运算符数 12
Principal Access Boundary Policy
单个主账号访问边界政策中的规则 500
单个主账号访问边界政策中所有规则中的资源 500
可与资源绑定的主账号访问边界政策数量 10
每个组织的主账号访问边界政策数量 1000
政策绑定的条件表达式中的逻辑运算符数 10
服务账号
服务账号 ID 30 个字节
服务账号显示名 100 个字节
服务账号的服务账号密钥数 10
员工身份联合
每个池的员工身份池提供方数量 200
每个池的已删除员工身份池主题数 100000
员工 OAuth 应用
每个项目的员工 OAuth 客户端 100
每个客户端的员工 OAuth 客户端凭据 10
工作负载身份联合和员工身份联合属性映射
映射的主题 127 个字节
映射的员工身份池用户显示名 100 个字节
映射属性的总大小 8192 个字节
自定义属性映射的数量 50
短期凭据
凭据访问边界中的访问边界规则数 10
访问令牌的最长有效期 5

3600 秒(1 小时)

1 如果您在项目级别创建自定义角色,这些自定义角色不会计入组织级别的限额。

2 对于此限制而言,IAM 会统计允许政策的角色绑定中每个主账号的所有出现次数,以及允许政策从数据访问审核日志中排除的主账号,而不会去除重复出现在多个绑定中的主账号。例如,如果允许政策仅包含主账号 user:my-user@example.com 的角色绑定,并且此主账号出现在 50 个角色绑定中,则您可以向允许政策中的角色绑定添加另外 1,450 个主账号。

此外,对于此限制而言,无论网域或 Google 群组中的单个成员数量是多少,只要网域或 Google 群组出现一次,就算作一个主账号。

如果您使用 IAM Conditions,或者为具有异常长的标识符的多个主账号授予角色,则 IAM 可能允许的允许政策中的主账号较少。

3 对于此限制而言,Cloud Identity 网域、Google Workspace 账号和 Google 群组的计算方式如下:

  • 对于 Google 群组,无论每个唯一群组在允许政策中出现多少次,该群组都只统计一次。这与针对允许政策中的主账号总数的限制计算群组数的方式不同,对于该限制,群组每次出现都会计入该限制。
  • 对于 Cloud Identity 网域或 Google Workspace 账号,IAM 会统计允许政策的角色绑定中每个网域或账号的所有出现次数,而不会去除重复出现在多个角色绑定中的网域或账号。

例如,如果允许政策仅包含一个群组 (group:my-group@example.com),并且该群组在允许政策中出现 10 次,则您可以在达到限制之前再添加 249 个 Cloud Identity 网域、Google Workspace 账号或唯一群组。

或者,如果允许政策仅包含一个网域 (domain:example.com),并且该网域在允许政策中出现 10 次,则您可以在达到限制之前再添加 240 个 Cloud Identity 网域、Google Workspace 账号或唯一群组。

4 IAM 会统计每个主账号在附加到某个资源的所有拒绝政策中的所有出现次数。但不会去除重复出现在多个拒绝规则或拒绝政策中的主账号。例如,如果附加到某个资源的拒绝政策仅包含主账号 user:my-user@example.com 的拒绝规则,并且此主账号出现在 20 个拒绝规则中,则您可以再将 2,480 个主账号添加到该资源的拒绝政策中。

5 对于 OAuth 2.0 访问令牌,您可以将最长有效期延长至 12 小时(43200 秒)。如需延长最长有效期,请确定需要延长令牌有效期的服务账号,然后将这些服务账号添加到包含 constraints/iam.allowServiceAccountCredentialLifetimeExtension 列表限制条件的组织政策