Kontingente und Limits

Auf dieser Seite sind die Kontingente und Limits für Identity and Access Management (IAM) aufgeführt. Die Anzahl der Anfragen, die Sie senden können, sowie die Anzahl der erstellbaren Ressourcen können durch Kontingente und Limits eingeschränkt sein. Limits können auch die Attribute einer Ressource wie etwa die Länge der Ressourcen-ID beschränken.

Wenn das verfügbare Kontingent für Ihr Projekt nicht ausreicht, können Sie in der Google Cloud Console ein höheres Kontingent anfordern. Wenn die Cloud Console keine Anfrage für ein bestimmtes Kontingent zulässt, wenden Sie sich an den Google Cloud-Support.

Limits können nicht geändert werden.

Kontingente

Standardmäßig gelten für jedes Google Cloud-Projekt die folgenden IAM-Kontingente:

Standardkontingente
IAM API
Leseanfragen (z. B. zum Abrufen einer Richtlinie) 6.000 pro Minute
Schreibanfragen (z. B. zum Aktualisieren einer Richtlinie) 600 pro Minute
Service Account Credentials API
Anfragen zum Erstellen von Anmeldedaten 60.000 pro Minute
Anfragen zum Signieren eines JSON-Webtokens (JWT) oder Blobs 60.000 pro Minute
Dienstkonten
Anzahl von Dienstkonten 100

Limits

IAM erzwingt die folgenden Ressourcenlimits:

Limits
Benutzerdefinierte Rollen
Benutzerdefinierte Rollen für eine Organisation1 300
Benutzerdefinierte Rollen für ein Projekt1 300
Titel einer benutzerdefinierten Rolle 100 Byte
Beschreibung einer benutzerdefinierten Rolle 256 Byte
Gesamtgröße des Titels, der Beschreibung und des Berechtigungsnamens für eine benutzerdefinierte Rolle 64 KB
Richtlinien und Bindungen
Google-Gruppen in alle Bindungen innerhalb einer Richtlinie2 250
Alle Mitglieder (einschließlich Google-Gruppen) in allen Bindungen innerhalb einer Richtlinie2 1.500
Logische Operatoren im Bedingungsausdruck einer Bindung 12
Rollenbindungen in einer Richtlinie, die dieselbe Rolle und dasselbe Mitglied, aber unterschiedliche Bedingungsausdrücke beinhalten 20
Empfehlungen
Anzahl Empfehlungen pro Tag, um eine benutzerdefinierte Rolle für ein Unternehmen hinzuzufügen 15
Anzahl Empfehlungen pro Tag, um eine benutzerdefinierte Rolle für ein Projekt hinzuzufügen 5
Anzahl benutzerdefinierter Rollen in einer Organisation, die das Erstellen von neuen benutzerdefinierten Rollen3 verhindern 100
Anzahl benutzerdefinierter Rollen in einem Projekt, die das Erstellen von neuen benutzerdefinierten Rollen4 verhindern 25
Dienstkonten
Dienstkonto-ID 30 Byte
Anzeigename des Dienstkontos 100 Byte
Dienstkontoschlüssel für ein Dienstkonto 10
Kurzlebige Anmeldedaten
Regeln zur Zugriffsgrenze in einer Zugriffsgrenze für Anmeldedaten 10
Maximale Lebensdauer eines Zugriffstokens

3.600 Sekunden (1 Stunde)

Die maximale Lebensdauer für OAuth 2.0-Zugriffstoken kann auf 12 Stunden (43.200 Sekunden) ausgeweitet werden. Identifizieren Sie dazu zuerst die Dienstkonten, bei denen eine verlängerte Lebensdauer für Tokens festgelegt werden soll. Fügen Sie diese Dienstkonten danach einer Organisationsrichtlinie hinzu, in der die Listeneinschränkung constraints/iam.allowServiceAccountCredentialLifetimeExtension enthalten ist.

1 Wenn Sie auf der Projektebene benutzerdefinierte Rollen erstellen, zählen diese nicht zum Limit auf der Organisationsebene.

2 IAM zählt alle Vorkommen eines Mitglieds in den Bindungen der Richtlinie. Mitglieder in mehreren Bindungen werden nicht dedupliziert. Beispiel: Wenn das Mitglied user:alice@example.com in 50 Bindungen enthalten ist, können Sie in allen Bindungen der Richtlinie weitere 1.450 Mitglieder hinzufügen.

3 Wenn Ihre Organisation mehr als 100 benutzerdefinierte Rollen enthält, werden Sie weiterhin Empfehlungen aus dem IAM-Recommender erhalten. In keiner der Empfehlungen wird Ihnen jedoch vorgeschlagen, eine neue benutzerdefinierte Rolle zu erstellen.

4 Wenn Ihr Projekt mehr als 25 benutzerdefinierte Rollen enthält, werden Sie weiterhin Empfehlungen aus dem IAM-Recommender erhalten. In keiner der Empfehlungen für dieses Projekt wird Ihnen jedoch vorgeschlagen, eine neue benutzerdefinierte Rolle zu erstellen.