Questa pagina elenca le quote e i limiti che si applicano a Identity and Access Management (IAM). Sia le quote che i limiti possono restringere il numero di richieste che puoi inviare o di risorse che puoi creare. I limiti possono ridurre anche gli attributi di una risorsa, ad esempio la lunghezza dell'identificatore della risorsa.
Se una quota è troppo bassa per soddisfare le tue esigenze, puoi utilizzare la console Google Cloud per richiedere un aumento della quota per il tuo progetto. Se la console Google Cloud non ti consente di richiedere la modifica di una quota specifica, contatta l'assistenza Google Cloud.
Non è possibile modificare i limiti.
Quote
Per impostazione predefinita, le seguenti quote IAM si applicano a ogni progetto Google Cloud, ad eccezione delle quote della federazione delle identità per la forza lavoro. Le quote di federazione delle identità per la forza lavoro si applicano alle organizations.
| Quote predefinite | |
|---|---|
| API IAM | |
| Richieste di lettura (ad esempio recuperare un criterio) | 6000 al minuto |
| Richieste di scrittura (ad esempio aggiornare un criterio) | 600 al minuto |
| Federazione delle identità per i carichi di lavoro | |
| Richieste di lettura, ad esempio recupero di un pool di identità per i carichi di lavoro | 600 per progetto al minuto 6000 per client al minuto |
| Richieste di scrittura, ad esempio l'aggiornamento di un pool di identità per i carichi di lavoro | 60 per progetto al minuto 600 per client al minuto |
| Federazione delle identità per la forza lavoro (anteprima) | |
| Creazione/eliminazione/annullamento eliminazione delle richieste | 60 per organizzazione al minuto |
| Richieste di lettura (ad esempio, recupero di un pool di identità della forza lavoro) | 120 per organizzazione al minuto |
| Richieste di aggiornamento, ad esempio l'aggiornamento di un pool di identità della forza lavoro | 120 per organizzazione al minuto |
| Richieste di eliminazione/annullamento eliminazione del soggetto (ad esempio, eliminazione del soggetto di un pool di identità della forza lavoro) | 60 per organizzazione al minuto |
| Pool di identità della forza lavoro per organizzazione | 100 |
| API Service Account Credentials | |
| Richieste per generare credenziali | 60.000 al minuto |
| Richieste per firmare un token JWT (JSON Web Token) o un blob | 60.000 al minuto |
| API Security Token Service | |
| Richieste di token di Exchange (federazione delle identità non per la forza lavoro) | 6000 al minuto |
| Richieste di token di Exchange (federazione delle identità per la forza lavoro) (anteprima) | 60.000 per organizzazione al minuto |
| Account di servizio | |
| Numero di account di servizio | 100 |
Limiti
IAM applica i seguenti limiti alle risorse. Questi limiti non possono essere modificati.
| Limiti | |
|---|---|
| Ruoli personalizzati | |
| Ruoli personalizzati per un'organizzazione1 | 300 |
| Ruoli personalizzati per un progetto1 | 300 |
| ID di un ruolo personalizzato | 64 byte |
| Titolo di un ruolo personalizzato | 100 byte |
| Descrizione di un ruolo personalizzato | 300 byte |
| Autorizzazioni in un ruolo personalizzato | 3000 |
| Dimensioni totali del titolo, della descrizione e dei nomi delle autorizzazioni per un ruolo personalizzato | 64 kB |
| Consenti criteri e associazioni di ruoli | |
| Consenti criteri per risorsa | 1 |
| Domini e gruppi Google in tutte le associazioni di ruoli all'interno di un unico criterio di autorizzazione2 | 250 |
| Numero totale di entità (inclusi domini e gruppi Google) in tutte le associazioni di ruoli ed esenzioni dall'audit logging in un unico criterio3 | 1500 |
| Operatori logici nell'espressione della condizione di un'associazione di ruolo | 12 |
| Associazioni di ruoli in un criterio di autorizzazione che includono lo stesso ruolo e la stessa entità, ma espressioni di condizione diverse | 20 |
| Criteri di negazione e regole di negazione | |
| Criteri di negazione per risorsa | 500 |
| Regole di negazione per risorsa | 500 |
| Domini e gruppi Google in tutti i criteri di negazione di una risorsa4 | 500 |
| Numero totale di entità (inclusi domini e gruppi Google) in tutti i criteri di negazione di una risorsa4 | 2500 |
| Regole di negazione in un singolo criterio di negazione | 500 |
| Operatori logici nell'espressione della condizione di una regola di negazione | 12 |
| Account di servizio | |
| ID account di servizio | 30 byte |
| Nome visualizzato dell'account di servizio | 100 byte |
| Chiavi per un account di servizio | 10 |
| Federazione delle identità per la forza lavoro (anteprima) | |
| Provider di pool di identità per la forza lavoro per pool | 200 |
| Soggetti del pool di identità della forza lavoro eliminati per pool | 100.000 |
| Mappatura degli attributi della federazione delle identità per i carichi di lavoro e della federazione delle identità per la forza lavoro (Anteprima) | |
| Soggetto mappato | 127 byte |
| Nome visualizzato dell'utente del pool di identità della forza lavoro mappato | 100 byte |
| Dimensioni totali attributi mappati | 8192 byte |
| Numero di mapping degli attributi personalizzati | 50 |
| Credenziali di breve durata | |
| Regole dei limiti di accesso in un limite di accesso alle credenziali | 10 |
| Durata massima di un token di accesso5 |
3600 secondi (1 ora) |
1 Se crei ruoli personalizzati a livello di progetto, questi non verranno conteggiati per il raggiungimento del limite a livello di organizzazione.
2 Ai fini di questo limite, i domini e i gruppi Google sono conteggiati come segue:
-
Per i domini, IAM conteggia tutte le occorrenze di ogni dominio nelle associazioni di ruolo del criterio di autorizzazione. Non deduplica i domini visualizzati in più di un'associazione di ruoli. Ad esempio, se un criterio di autorizzazione contiene un solo dominio,
domain:example.com, e questo viene visualizzato nel criterio di autorizzazione 10 volte, puoi aggiungere altri 240 domini prima di raggiungere il limite. -
Per Google Gruppi, ogni gruppo univoco viene conteggiato una sola volta, indipendentemente da quante volte il gruppo compare nel criterio di autorizzazione. Ad esempio, se un criterio di autorizzazione contiene solo un gruppo,
group:my-group@example.com, e questo viene visualizzato nel criterio di autorizzazione 10 volte, puoi aggiungere altri 249 gruppi univoci prima di raggiungere il limite.
3
Ai fini di questo limite, IAM conteggia tutte le visualizzazioni di ogni
entità nelle associazioni di ruoli del criterio di autorizzazione, nonché le entità che il criterio di autorizzazione
esclude dall'audit logging di accesso ai dati. Non deduplica le entità presenti in più associazioni di ruoli. Ad esempio, se un criterio di autorizzazione contiene solo associazioni di ruoli per l'entità group:my-group@example.com e questa entità viene visualizzata in 50 associazioni di ruoli, puoi aggiungere altre 1450 entità alle associazioni di ruoli nel criterio di autorizzazione.
Se utilizzi le condizioni IAM o se concedi ruoli a molte entità con identificatori insolitamente lunghi, IAM potrebbe consentire meno entità nel criterio.
4
IAM conteggia tutti le visualizzazioni di ciascuna entità in tutti
i criteri di negazione associati a una risorsa. Non deduplica le entità presenti in più di una regola di negazione o di un criterio di negazione. Ad esempio, se i criteri di negazione associati a una risorsa contengono solo regole di negazione per l'entità user:alice@example.com e questa è presente in 20 regole di negazione, potresti aggiungere altre 2480 entità ai criteri di negazione della risorsa.
5 Per i token di accesso OAuth 2.0, è possibile estendere la durata massima a 12 ore (43.200 secondi). Per estendere la durata massima, identifica gli account di servizio che richiedono una durata estesa per i token, quindi aggiungi questi account di servizio a un criterio dell'organizzazione che includa il vincolo dell'elenco constraints/iam.allowServiceAccountCredential.