配额和限制

本页面列出了适用于身份和访问权限管理 (IAM) 的配额和限制。配额和限制都能限制您可以发送的请求数量或可以创建的资源数量。限制还可能会约束资源的特性,例如资源标识符的长度。

如果配额太低,无法满足您的需求,您可以使用 Google Cloud Console 为您的项目申请增加配额。如果 Google Cloud 控制台不允许您申请更改特定配额,请联系 Google Cloud 支持团队

限制不能更改。

配额

默认情况下,以下 IAM 配额适用于每个 Google Cloud 项目:

默认配额
IAM API
读取请求数(例如获取政策) 每分钟 6000
写入请求数(例如更新政策) 每分钟 600
工作负载身份池
读取请求数(例如获取工作负载身份池) 每个项目每分钟 600
每个客户端每分钟 6000
写入请求数(例如更新工作负载身份池) 每个项目每分钟 60
每个客户端每分钟 600
Service Account Credentials API
要求生成凭据的请求数 每分钟 60000
要求对 JSON Web 令牌 (JWT) 或 blob 签名的请求数 每分钟 60000
Security Token Service API
交换令牌请求 每分钟 6000
服务帐号
服务帐号数 100

限制

IAM 对资源实施以下限制。这些限制无法更改。

限制
自定义角色
一个组织的自定义角色数1 300
一个项目的自定义角色数1 300
自定义角色的名称 100 个字节
自定义角色的描述 256 字节
自定义角色中的权限 3000
自定义角色的名称、描述和权限名称的总大小 64 KB
允许政策和角色绑定
单个允许政策中的所有角色绑定中的网域和 Google 群组2 250
单项政策中所有角色绑定中的主帐号(包括 Google 群组)总数3 1500
角色绑定的条件表达式中的逻辑运算符数 12
允许政策中包括同一角色和同一主帐号但条件表达式不同的角色绑定数 20
拒绝政策和拒绝规则
每项资源的拒绝政策数 5
单个拒绝政策中的所有拒绝规则中的网域和 Google 群组4 100
单个拒绝政策中的所有拒绝规则中的主帐号(包括网域和 Google 群组)总数4 500
单个拒绝政策中的拒绝规则数 100
拒绝规则的条件表达式中的逻辑运算符数 12
服务帐号
服务帐号 ID 30 个字节
服务帐号显示名 100 个字节
服务帐号的服务帐号密钥数 10
短期凭据
凭据访问边界中的访问边界规则数 10
访问令牌的最长有效期

3600 秒(1 小时)

对于 OAuth 2.0 访问令牌,您可以将最长有效期延长至 12 小时(43200 秒)。如需延长最长有效期,请确定需要延长令牌有效期的服务帐号,然后将这些服务帐号添加到组织政策(包含 constraints/iam.allowServiceAccountCredentialLifetimeExtension 列表限制条件的组织政策)。

1 如果您在项目级别创建自定义角色,这些自定义角色不会计入组织级别的限额。

2 对于此限制而言,网域和 Google 群组的计算方式如下:

  • 对于网域,IAM 会统计允许政策的角色绑定中每个网域的所有出现次数。它不会删除重复出现在多个角色绑定中的网域。例如,如果允许政策仅包含一个网域 (domain:example.com),并且该网域在允许政策中出现 10 次,则您可以在达到限制之前再添加 240 个网域。
  • 对于 Google 群组,无论每个唯一群组在允许政策中出现多少次,该群组都只统计一次。例如,如果允许政策仅包含一个群组 (group:my-group@example.com),并且该群组在允许政策中出现 10 次,则您可以在达到限制之前再添加 249 个唯一群组。

3 对于此限制而言,IAM 会统计允许政策的角色绑定中每个主帐号的所有出现次数。它不会删除重复出现在多个角色绑定中的主帐号。例如,如果允许政策仅包含主帐号 group:my-group@example.com 的角色绑定,并且此主帐号出现在 50 个角色绑定中,则您可以向允许政策中的角色绑定添加另外 1,450 个主帐号。

如果您使用 IAM Conditions,或者为多个主帐号授予较长标识符的角色,则 IAM 可能会允许政策中的主帐号较少。

4 IAM 会统计所有主帐号在拒绝政策的拒绝规则中出现的次数。但不会去重复出现在多个拒绝规则中的主帐号。例如,如果拒绝政策仅包含主帐号 user:alice@example.com 的拒绝规则,并且此主帐号出现在 20 个拒绝规则中,那么您可以向拒绝政策中的拒绝规则添加其他 480 个主帐号。