Questa pagina elenca le quote e i limiti che si applicano a Identity and Access Management (IAM). Sia le quote che i limiti possono restringere il numero di richieste che puoi inviare o di risorse che puoi creare. I limiti possono ridurre anche gli attributi di una risorsa, ad esempio la lunghezza dell'identificatore della risorsa.
Se una quota è troppo bassa per soddisfare le tue esigenze, puoi utilizzare la console Google Cloud richiedi un aumento della quota per il tuo progetto. Se La console Google Cloud non consente di richiedere la modifica di una quota specifica, contatta l'assistenza Google Cloud.
Non è possibile modificare i limiti.
Quote
Per impostazione predefinita, le seguenti quote IAM si applicano a ogni nel progetto Google Cloud, ad eccezione di Workforce Identity Federation e Quote di Privileged Access Manager. Le quote di Workforce Identity Federation si applicano alle organizzazioni.
Le quote di Privileged Access Manager sono applicabili sia a progetti che a organizzazioni e sono addebitato come segue a seconda della destinazione della chiamata:
- Per i progetti che non appartengono a un'organizzazione, viene addebitata una unità di quota del progetto per una chiamata.
- Per i progetti appartenenti a un'organizzazione, un'unità del progetto e le quote dell'organizzazione vengono addebitate per una chiamata. La chiamata viene rifiutata se delle due quote è esaurito.
- Per le chiamate a cartelle o organizzazioni, viene addebitata una unità di quota dell'organizzazione.
Quote predefinite | |
---|---|
API IAM v1 | |
Richieste di lettura (ad esempio, ottenere un criterio di autorizzazione) | 6000 per progetto al minuto |
Richieste di scrittura (ad esempio, l'aggiornamento di un criterio di autorizzazione) | 600 per progetto al minuto |
API IAM v2 | |
Richieste di lettura (ad esempio, ricezione di un criterio di negazione) | 5 per progetto al minuto |
Richieste di scrittura (ad esempio aggiornare un criterio di rifiuto) | 5 al minuto per progetto |
API IAM v3 | |
Richieste di lettura (ad esempio recuperare un criterio di limite di accesso all'entità) | 5 al minuto per progetto |
Richieste di scrittura (ad esempio, l'aggiornamento di un criterio di Principal Access Boundary) | 5 per progetto al minuto |
Federazione delle identità per i carichi di lavoro | |
Richieste di lettura (ad esempio recuperare un pool di identità di carico di lavoro) | 600 per progetto al minuto 6000 per client al minuto |
Richieste di scrittura (ad esempio, l'aggiornamento di un pool di identità per i carichi di lavoro) | 60 per progetto al minuto 600 per cliente al minuto |
Federazione delle identità della forza lavoro | |
Richieste di creazione/eliminazione/annullamento eliminazione | 60 per organizzazione al minuto |
Richieste di lettura (ad esempio, acquisizione di un pool di identità della forza lavoro) | 120 per organizzazione al minuto |
Richieste di aggiornamento (ad esempio, aggiornamento di un pool di identità della forza lavoro) | 120 per organizzazione al minuto |
Richieste di eliminazione/annullamento dell'eliminazione dell'oggetto (ad esempio, eliminazione di un oggetto del pool di identità della forza lavoro) | 60 per organizzazione al minuto |
Numero di pool di identità della forza lavoro | 100 per organizzazione |
Applicazioni OAuth per la forza lavoro | |
Richieste di creazione/lettura/aggiornamento/eliminazione/annullamento dell'eliminazione | 60 al minuto per progetto |
API Service Account Credentials | |
Richieste per generare credenziali | 60.000 per progetto al minuto |
Richieste per firmare un token JWT (JSON Web Token) o un blob | 60.000 al minuto per progetto |
API Security Token Service | |
Richieste di token di Exchange (federazione delle identità non per la forza lavoro) | 6000 al minuto per progetto |
Richieste di token di Exchange (Federazione delle identità per la forza lavoro) | 60.000 al minuto per organizzazione |
Account di servizio | |
Numero di account di servizio | 100 per progetto |
API Privileged Access Manager | |
Richieste di scrittura dei diritti (ad esempio creazione, aggiornamento o eliminazione di un diritto) | 100 per progetto al minuto 100 per organizzazione al minuto |
Richieste CheckOnboardingStatus |
300 al minuto per progetto 900 al minuto per organizzazione |
Richieste ListEntitlements |
600 per progetto al minuto 1800 al minuto per organizzazione |
Richieste SearchEntitlements |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste GetEntitlement |
3000 al minuto per progetto 9000 al minuto per organizzazione |
Richieste ListGrants |
600 per progetto al minuto 1800 al minuto per organizzazione |
Richieste SearchGrants |
600 per progetto al minuto 1800 al minuto per organizzazione |
Richieste GetGrant |
3000 per progetto al minuto 9000 al minuto per organizzazione |
Richieste CreateGrant |
200 per progetto al minuto 600 al minuto per organizzazione |
Richieste ApproveGrant |
200 al minuto per progetto 600 al minuto per organizzazione |
Richieste DenyGrant |
200 per progetto al minuto 600 al minuto per organizzazione |
Richieste RevokeGrant |
300 per progetto al minuto 900 al minuto per organizzazione |
Richieste GetOperation |
600 per progetto al minuto 1800 al minuto per organizzazione |
Richieste ListOperations |
300 per progetto al minuto 900 al minuto per organizzazione |
Limiti
IAM applica i seguenti limiti alle risorse. Questi limiti non possono essere modificati.
Limiti | |
---|---|
Ruoli personalizzati | |
Ruoli personalizzati per un'organizzazione1 | 300 |
Ruoli personalizzati per un progetto1 | 300 |
ID di un ruolo personalizzato | 64 byte |
Titolo di un ruolo personalizzato | 100 byte |
Descrizione di un ruolo personalizzato | 300 byte |
Autorizzazioni in un ruolo personalizzato | 3000 |
Dimensione totale di titolo, descrizione e nomi autorizzazione per un ruolo personalizzato | 64 kB |
Consenti criteri e associazioni dei ruoli | |
Consenti criteri per risorsa | 1 |
Numero totale di entità (inclusi domini e gruppi Google) in tutto le associazioni di ruoli audit logging esenzioni all'interno di un'unica norma2 | 1500 |
Domini e gruppi Google in tutte le associazioni di ruoli all'interno di un singolo criterio di autorizzazione3 | 250 |
Operatori logici nell'espressione della condizione di un'associazione di ruoli | 12 |
Associazioni di ruoli in un criterio di autorizzazione che includono lo stesso ruolo e lo stesso account principale, ma espressioni di condizione diverse | 20 |
Criteri di negazione e regole di negazione | |
Criteri di rifiuto per risorsa | 500 |
Regole di negazione per risorsa | 500 |
Domini e gruppi Google in tutti i blocchi di una risorsa Norme4 | 500 |
Numero totale di principali (inclusi domini e gruppi Google) in tutti i criteri di rifiuto di una risorsa4 | 2500 |
Regole di negazione in un singolo criterio di negazione | 500 |
Operatori logici nell'espressione della condizione di una regola di rifiuto | 12 |
Criteri di Principal Access Boundary | |
Regole in un singolo criterio di Principal Access Boundary | 500 |
Risorse in tutte le regole di un singolo criterio di Principal Access Boundary | 500 |
Numero di criteri di Principal Access Boundary che possono essere associati a una risorsa | 10 |
Criteri di Principal Access Boundary per organizzazione | 1000 |
Operatori logici nell'espressione della condizione di un'associazione di criteri | 10 |
Account di servizio | |
ID account di servizio | 30 byte |
Nome visualizzato dell'account di servizio | 100 byte |
Chiavi per un account di servizio | 10 |
Federazione delle identità della forza lavoro | |
Provider di pool di identità per la forza lavoro per pool | 200 |
Soggetti del pool di identità della forza lavoro eliminati per pool | 100.000 |
Applicazioni OAuth per il personale | |
Client OAuth per la forza lavoro per progetto | 100 |
Credenziali client OAuth di Workforce per client | 10 |
Mappatura degli attributi di Workload Identity Federation e Workforce Identity Federation | |
Soggetto mappato | 127 byte |
Nome visualizzato dell'utente del pool di identità della forza lavoro mappato | 100 byte |
Dimensioni totali degli attributi mappati | 8192 byte |
Numero di mapping degli attributi personalizzati | 50 |
Credenziali di breve durata | |
Regole relative ai limiti di accesso in un limite all'accesso con credenziali | 10 |
Durata massima di un token di accesso5 |
3600 secondi (1 ora) |
1 Se crei ruoli personalizzati a livello di progetto, non vengono conteggiate ai fini del limite a livello di organizzazione.
2 Ai fini di questo limite, IAM conteggia tutte le apparizioni di ogni l'entità nelle associazioni di ruolo del criterio di autorizzazione, nonché le entità che il criterio di autorizzazione esclude dall'accesso ai dati log di controllo. Non deduplica le entità presenti in più di un'associazione di ruoli. Ad esempio, se un criterio di autorizzazione contiene solo associazioni di ruoli per l'entitàuser:sample-user@example.com
, e questa entità appare in
50 associazioni di ruoli, dopodiché puoi aggiungerne un'altra
1450 entità alle associazioni di ruolo nel criterio di autorizzazione.
Inoltre, ai fini di questo limite, ogni apparizione di un dominio o di un gruppo Google è conteggiata come una a entità singola, indipendentemente dal numero di singoli membri nel dominio o nel gruppo.
Se utilizzi le condizioni IAM o se concedi ruoli a molte entità con insolitamente identificatori lunghi, IAM potrebbe consentire meno entità nel criterio di autorizzazione.
3 Ai fini di questo limite, i domini Cloud Identity, gli account Google Workspace e i servizi vengono conteggiati come segue:
- Per Google Gruppi, ogni gruppo univoco viene conteggiato una sola volta, indipendentemente dal numero di volte viene visualizzato nel criterio di autorizzazione. Questa modalità è diversa dalla modalità di conteggio dei gruppi per il limite. sul numero totale di entità in un criterio di autorizzazione; per quel limite, ogni aspetto per il calcolo del limite.
- Per i domini Cloud Identity o gli account Google Workspace, IAM viene conteggiato tutti gli aspetti di ciascun dominio o account nelle associazioni di ruoli del criterio di autorizzazione. Non non deduplicare i domini o gli account visualizzati in più di un'associazione dei ruoli.
Ad esempio, se il criterio di autorizzazione contiene un solo gruppo,
group:my-group@example.com
, e il gruppo compare nel criterio di autorizzazione
10 volte, puoi aggiungerne altre 249
domini Cloud Identity, account Google Workspace o gruppi univoci prima di raggiungere
limite.
In alternativa, se il criterio di autorizzazione contiene un solo dominio, domain:example.com
, e il dominio compare nel criterio di autorizzazione 10 volte, puoi aggiungere altri 240 domini Cloud Identity, account Google Workspace o gruppi unici prima di raggiungere il limite.
4
IAM conteggia tutte le apparizioni di ogni entità in tutti
dei criteri di negazione
collegati a una risorsa. Non deduplica
che appaiono in più di una regola di negazione o di un criterio di negazione. Ad esempio, se i criteri di rifiuto associati a una risorsa contengono solo regole di rifiuto per l'entità user:alice@example.com
e questa entità compare in 20 regole di rifiuto, puoi aggiungere altre 2480 entità ai criteri di rifiuto della risorsa.
5 Per i token di accesso OAuth 2.0, puoi estendere la durata massima alle
12 ore
(43.200 secondi). Per estendere la durata massima,
identificare gli account di servizio che necessitano di una durata estesa per i token,
aggiungi questi account di servizio a un criterio dell'organizzazione che
include
constraints/iam.allowServiceAccountCredential
dell'elenco.