Quote e limiti

Questa pagina elenca le quote e i limiti che si applicano a Identity and Access Management (IAM). Sia le quote che i limiti possono restringere il numero di richieste che puoi inviare o di risorse che puoi creare. I limiti possono ridurre anche gli attributi di una risorsa, ad esempio la lunghezza dell'identificatore della risorsa.

Se una quota è troppo bassa per soddisfare le tue esigenze, puoi utilizzare Google Cloud Console per richiedere un aumento della quota per il tuo progetto. Se Cloud Console non ti consente di richiedere una modifica per una quota specifica, contatta l'assistenza Google Cloud.

Non è possibile modificare i limiti.

Quote

Per impostazione predefinita, a ogni progetto Google Cloud vengono applicate le seguenti quote IAM:

Quote predefinite
API IAM
Richieste di lettura (ad esempio recuperare un criterio) 6000 al minuto
Richieste di scrittura (ad esempio aggiornare un criterio) 600 al minuto
Pool di identità dei carichi di lavoro
Richieste di lettura (ad esempio, creazione di un pool Workload Identity) 600 per progetto al minuto
6000 per cliente al minuto
Richieste di scrittura (ad esempio, aggiornamento di un pool Workload Identity) 60 per progetto al minuto
600 per cliente al minuto
API Service Account Credentials
Richieste per generare credenziali 60.000 al minuto
Richieste per firmare un token JWT (JSON Web Token) o un blob 60.000 al minuto
API Security Token Service
Richieste di token di Exchange 6000 al minuto
Account di servizio
Numero di account di servizio 100

Limiti

IAM applica i seguenti limiti alle risorse. Questi limiti non possono essere modificati.

Limiti
Ruoli personalizzati
Ruoli personalizzati per un'organizzazione1 300
Ruoli personalizzati per un progetto1 300
Titolo di un ruolo personalizzato 100 byte
Descrizione di un ruolo personalizzato 256 byte
Autorizzazioni in un ruolo personalizzato 3000
Dimensione totale del titolo, della descrizione e dei nomi delle autorizzazioni per un ruolo personalizzato 64 kB
Consenti criteri e associazioni di ruoli
Domini e gruppi Google in tutte le associazioni di ruoli all'interno di un singolo criterio di autorizzazione2 250
Numero totale di entità (inclusi i gruppi Google) in tutte le associazioni di ruoli all'interno di un singolo criterio3 1500
Operatori logici in un'espressione della condizione di associazione dei ruoli 12
Associazioni di ruoli in un criterio di autorizzazione che includono lo stesso ruolo e la stessa entità, ma espressioni di condizioni diverse 20
Nega i criteri e le regole di negazione
Criteri di negazione per risorsa 5
Domini e gruppi Google in tutte le regole di negazione in un singolo criterio di negazione4 100
Numero totale di entità (inclusi domini e gruppi Google) in tutte le regole di negazione all'interno di un singolo criterio di rifiuto4 500
Regole di negazione in un singolo criterio di negazione 100
Operatori logici in un'espressione della condizione di regola di negazione 12
Account di servizio
ID account di servizio 30 byte
Nome visualizzato dell'account di servizio 100 byte
Chiavi per un account di servizio 10
Credenziali di breve durata
Regole di accesso ai confini in un limite di accesso alle credenziali 10
Durata massima di un token di accesso

3600 secondi (1 ora)

Per i token di accesso OAuth 2.0, è possibile estendere la durata massima a 12 ore (43.200 secondi). Per estendere la durata massima, identifica gli account di servizio che richiedono una durata estesa per i token, quindi aggiungi questi account di servizio a un criterio dell'organizzazione che include il vincolo dell'elenco constraints/iam.allowServiceAccountCredentialLifetimeExtension.

1Se crei ruoli personalizzati a livello di progetto, tali ruoli non verranno conteggiati per il raggiungimento del limite a livello di organizzazione.

2 Ai fini di questo limite, i domini e i gruppi Google vengono conteggiati come segue:

  • Per i domini, IAM conteggia tutte le visualizzazioni di ogni dominio nelle associazioni dei ruoli di criterio di autorizzazione. Non deduplica i domini che compaiono in più associazioni di ruoli. Ad esempio, se un criterio di autorizzazione contiene un solo dominio, domain:example.com, e il dominio è presente nel criterio di autorizzazione 10 volte, puoi aggiungere altri 240 domini prima di raggiungere il limite.
  • Per i gruppi Google, ogni gruppo univoco viene conteggiato una sola volta, indipendentemente dal numero di volte in cui il gruppo viene visualizzato nel criterio di autorizzazione. Ad esempio, se un criterio di autorizzazione contiene un solo gruppo, group:my-group@example.com, e il gruppo è presente nel criterio di autorizzazione 10 volte, puoi aggiungere altri 249 gruppi univoci prima di raggiungere il limite.

3 Ai fini di questo limite, IAM conteggia tutte le visualizzazioni di ogni principio nelle associazioni dei ruoli della norma di autorizzazione. Non deduplica le entità visualizzate in più associazioni di ruoli. Ad esempio, se un criterio di autorizzazione contiene solo associazioni di ruoli per l'entità group:my-group@example.com, che compare in 50 associazioni di ruoli, puoi aggiungere altre 1450 entità alle associazioni di ruoli nel criterio di autorizzazione.

Se utilizzi condizioni IAM o se concedi ruoli a molte entità con identificatori lunghi, IAM potrebbe consentire meno entità nel criterio.

4 IAM conteggia tutte le visualizzazioni di ogni entità nelle regole di negazione del criterio di negazione. Non deduplica le entità visualizzate in più di una regola di negazione. Ad esempio, se un criterio di negazione contiene solo regole di negazione per l'entità user:alice@example.com e questa entità viene visualizzata in 20 regole di negazione, puoi aggiungere altre 480 entità alle regole di negazione nel criterio di negazione.