割り当てと上限

このページには、Identity and Access Management(IAM)に適用される割り当てと上限の一覧が表示されています。割り当てと上限により、送信できるリクエストの数、または作成できるリソースの数が制限されます。上限では、リソースの属性(リソースの識別子の長さなど)が制限される場合もあります。

与えられた割り当てが少なすぎる場合は、Google Cloud Console を使用してプロジェクトの割り当ての増加をリクエストできます。Cloud Console で特定の割り当ての変更をリクエストできない場合は、Google Cloud サポートにお問い合わせください。

上限の変更はできません。

割り当て

デフォルトでは、各 Google Cloud プロジェクトに次の IAM 割り当てが適用されます。

デフォルトの割り当て
IAM API
読み取りリクエスト(例: ポリシーの取得) 6,000/分
書き込みリクエスト(例: ポリシーの更新) 600/分
Service Account Credentials API
認証情報の生成リクエスト 60,000/分
JSON ウェブトークン(JWT)または blob の署名リクエスト 60,000/分
サービス アカウント
サービス アカウントの数 100

上限

IAM では、以下のリソースの上限が適用されます。

上限
カスタムロール
組織のカスタムロールの数1 300
プロジェクトのカスタムロールの数1 300
カスタムロールのタイトル 100 バイト
カスタムロールの説明 256 バイト
カスタムロールのタイトル、説明、権限名の合計サイズ 64 KB
ポリシーとロール バインディング
1 つのポリシー内のすべてのロール バインディングに含まれる Google グループの数2 250
1 つのポリシー内のすべてのロール バインディングに含まれるメンバー(Google グループを含む)の総数2 1,500
1 つのロール バインディングの条件式に含まれる論理演算子の数 12
ポリシー内の、ロールとメンバーは同じであるが条件式が異なるロール バインディングの数 20
推奨事項
組織にカスタムロールを追加するための 1 日あたりの推奨事項の数 15
プロジェクトにカスタムロールを追加するための 1 日あたりの推奨事項の数 5
新しいカスタムロール作成のためのレコメンデーションを禁止する組織内のカスタムロールの数3 100
新しいカスタムロール作成のためのレコメンデーションを禁止するプロジェクト内のカスタムロールの数4 25
サービス アカウント
サービス アカウント ID 30 バイト
サービス アカウントの表示名 100 バイト
1 つのサービス アカウントが持つサービス アカウント キーの数 10
有効時間が短い認証情報
認証情報アクセス境界に含まれるアクセス境界ルールの数 10
アクセス トークンの最大有効時間

3,600 秒(1 時間)

OAuth 2.0 アクセス トークンの場合、最大有効時間を 12 時間(43,200 秒)まで延長できます。最大有効時間を延長するには、トークンの期限を延長する必要があるサービス アカウントを特定し、constraints/iam.allowServiceAccountCredentialLifetimeExtension リスト制約を含む組織のポリシーに追加します

1 プロジェクト レベルでカスタムロールを作成する場合、それらのカスタムロールは組織レベルの上限にはカウントされません。

2 IAM は、ポリシーのバインディング内の各メンバーのすべての出現をカウントします。複数のバインディングに出現するメンバーは重複除去されません。たとえば、メンバー user:alice@example.com が 50 個のバインディングに出現する場合、ポリシーのすべてのバインディングに対して 1,450 人のメンバーを追加できます。

3 組織に 100 を超えるカスタムロールが含まれている場合、引き続き IAM Recommender からの推奨事項を受け取ります。ただし、いずれの推奨事項も新しいカスタムロールの作成を提案するものではありません。

4 プロジェクトに 25 を超えるカスタムロールが含まれている場合、引き続き IAM Recommender からの推奨事項を受け取ります。ただし、そのプロジェクトに対するいずれの推奨事項も新しいカスタムロールの作成を提案するものではありません。