Kontingente und Limits

Auf dieser Seite sind die Kontingente und Limits für Identity and Access Management (IAM) aufgeführt. Die Anzahl der Anfragen, die Sie senden können, sowie die Anzahl der erstellbaren Ressourcen können durch Kontingente und Limits eingeschränkt sein. Limits können auch die Attribute einer Ressource wie etwa die Länge der Ressourcen-ID beschränken.

Wenn das verfügbare Kontingent für Ihr Projekt nicht ausreicht, können Sie in der Google Cloud Console ein höheres Kontingent anfordern. Wenn die Cloud Console keine Anfrage für ein bestimmtes Kontingent zulässt, wenden Sie sich an den Google Cloud-Support.

Limits können nicht geändert werden.

Kontingente

Standardmäßig gelten für jedes Google Cloud-Projekt die folgenden IAM-Kontingente:

Standardkontingente
IAM API
Leseanfragen (z. B. zum Abrufen einer Richtlinie) 6.000 pro Minute
Schreibanfragen (z. B. zum Aktualisieren einer Richtlinie) 600 pro Minute
Identitätspools für Arbeitslasten
Leseanfragen (z. B. zum Abrufen eines Workload-Identity-Pools) 600 pro Projekt und Minute
6.000 pro Client und Minute
Schreibanfragen (z. B. Aktualisieren eines Workload-Identity-Pools) 60 pro Projekt und Minute
600 pro Client und Minute
Service Account Credentials API
Anfragen zum Erstellen von Anmeldedaten 60.000 pro Minute
Anfragen zum Signieren eines JSON-Webtokens (JWT) oder Blobs 60.000 pro Minute
Security Token Service API
Austausch von Tokenanfragen 6.000 pro Minute
Dienstkonten
Anzahl von Dienstkonten 100

Limits

IAM erzwingt die folgenden Ressourcenlimits. Diese Limits können nicht geändert werden.

Limits
Benutzerdefinierte Rollen
Benutzerdefinierte Rollen für eine Organisation1 300
Benutzerdefinierte Rollen für ein Projekt1 300
Titel einer benutzerdefinierten Rolle 100 Byte
Beschreibung einer benutzerdefinierten Rolle 256 Byte
Berechtigungen in einer benutzerdefinierten Rolle 3.000
Gesamtgröße des Titels, der Beschreibung und des Berechtigungsnamens für eine benutzerdefinierte Rolle 64 KB
Richtlinien und Rollenbindungen zulassen
Domains und Google-Gruppen in allen Rollenbindungen innerhalb einer einzelnen Zulassungsrichtlinie2 250
Gesamtzahl der Hauptkonten (einschließlich Google-Gruppen) in allen Rollenbindungen innerhalb einer einzelnen Richtlinie3 1.500
Logische Operatoren im Bedingungsausdruck einer Rollenbindung 12
Rollenbindungen in einer Zulassungsrichtlinie, die dieselbe Rolle und dasselbe Hauptkonto, aber unterschiedliche Bedingungsausdrücke beinhalten 20
Ablehnungsrichtlinien und Ablehnungsregeln
Ablehnungsrichtlinien pro Ressource 5
Domains und Google-Gruppen in allen Ablehnungsregeln innerhalb einer einzelnen Ablehnungsrichtlinie4 100
Gesamtzahl der Hauptkonten (einschließlich Domains und Google-Gruppen) in allen Ablehnungsregeln innerhalb einer einzelnen Ablehnungsrichtlinie4 500
Regeln in einer einzelnen Ablehnungsrichtlinie ablehnen 100
Logische Operatoren im Bedingungsausdruck einer Ablehnungsregel 12
Dienstkonten
Dienstkonto-ID 30 Byte
Anzeigename des Dienstkontos 100 Byte
Dienstkontoschlüssel für ein Dienstkonto 10
Kurzlebige Anmeldedaten
Regeln zur Zugriffsgrenze in einer Zugriffsgrenze für Anmeldedaten 10
Maximale Lebensdauer eines Zugriffstokens

3.600 Sekunden (1 Stunde)

Die maximale Lebensdauer für OAuth 2.0-Zugriffstoken kann auf 12 Stunden (43.200 Sekunden) ausgeweitet werden. Identifizieren Sie die Dienstkonten, die eine längere Lebensdauer für Tokens benötigen, um die maximale Lebensdauer zu verlängern. Fügen Sie diese Dienstkonten dann einer Organisationsrichtlinie hinzu, die die Listeneinschränkung constraints/iam.allowServiceAccountCredentialLifetimeExtension enthält.

1 Wenn Sie auf der Projektebene benutzerdefinierte Rollen erstellen, zählen diese nicht zum Limit auf der Organisationsebene.

2 Für dieses Limit werden Domains und Google-Gruppen so gezählt:

  • Für Domains zählt IAM alle Vorkommen jeder Domain in den Rollenbindungen der zulässigen Richtlinie. Hauptkonten, die in mehreren Rollenbindungen vorkommen, werden nicht dedupliziert. Wenn eine Berechtigungsrichtlinie beispielsweise nur eine Domain (domain:example.com) enthält und die Domain zehnmal in der Zulassungsliste enthalten ist, können Sie weitere 240 Domains hinzufügen, bevor Sie das Limit erreichen.
  • Bei Google-Gruppen wird jede eindeutige Gruppe nur einmal gezählt, unabhängig davon, wie oft die Gruppe in der Richtlinie zum Zulassen angezeigt wird. Wenn eine Berechtigungsrichtlinie beispielsweise nur eine Gruppe (group:my-group@example.com) enthält und die Gruppe zehnmal in der Richtlinie zum Zulassen enthalten ist, können Sie weitere 249 eindeutige Gruppen hinzufügen, bevor Sie das Limit erreichen.

3 Für dieses Limit zählt IAM alle Vorkommen eines Hauptkontos. in den Rollenbindungen der zulässigen Richtlinie. Hauptkonten, die in mehreren Rollenbindungen vorkommen, werden nicht dedupliziert. Wenn eine Zulassungsrichtlinie beispielsweise nur Rollenbindungen für das Hauptkonto group:my-group@example.com enthält und dieses Hauptkonto in 50 Rollenbindungen enthalten ist, können Sie den Rollenbindungen in der Zulassungsrichtlinie weitere 1.450 Hauptkonten hinzufügen.

Wenn Sie IAM Conditions verwenden oder vielen Hauptkonten mit langen Kennzeichnungen Rollen zuweisen, erlaubt IAM möglicherweise weniger Hauptkonten in der Richtlinie.

4 IAM zählt alle Vorkommen eines Hauptkontos in den Ablehnungsregeln der Ablehnungsrichtlinie. Es werden keine Hauptkonten dedupliziert, die in mehr als einer Ablehnungsregel erscheinen. Wenn eine Ablehnungsrichtlinie beispielsweise nur Ablehnungsregeln für das Hauptkonto user:alice@example.com enthält und dieses Hauptkonto in 20 Ablehnungsregeln enthalten ist, können Sie der Ablehnungsregel in der Ablehnungsrichtlinie weitere 480 Hauptkonten hinzufügen.