配额和限制

本页面列出了适用于身份和访问权限管理 (IAM) 的配额和限制。配额和限制都能限制您可以发送的请求数量或可以创建的资源数量。限制还可能会约束资源的特性,例如资源标识符的长度。

如果配额太低,无法满足您的需求,您可以使用 Google Cloud Console 为您的项目申请增加配额。如果 Cloud Console 不允许您申请更改特定配额,请联系 Google Cloud 支持团队

限制不能更改。

配额

默认情况下,以下 Cloud IAM 配额适用于每个 Google Cloud 项目:

默认配额
IAM API
读取请求数(例如获取政策) 每分钟 6000
写入请求数(例如更新政策) 每分钟 600
Service Account Credentials API
要求生成凭据的请求数 每分钟 60000
要求对 JSON Web 令牌 (JWT) 或 blob 签名的请求数 每分钟 60000
服务帐号
服务帐号数 100

限制

IAM 对资源实施以下限制:

限制
自定义角色
一个组织的自定义角色数1 300
一个项目的自定义角色数1 300
自定义角色的名称 100 个字节
自定义角色的描述 256 字节
自定义角色的名称、描述和权限名称的总大小 64 KB
政策和绑定
一条政策里所有绑定中的 Google 群组数2 250
一条政策里所有绑定中的成员数(包括 Google 群组)2 1500
绑定的条件表达式中的逻辑运算符数 12
政策中包括同一角色和同一成员但条件表达式不同的角色绑定数 20
建议
有关为组织添加自定义角色的每日建议 15
有关为项目添加自定义角色的每日建议 5
当组织中的自定义角色数达到该限额后,建议功能便不会提议创建新的自定义角色3 100
当项目中的自定义角色数达到该限额后,建议功能便不会提议创建新的自定义角色4 25
服务帐号
服务帐号 ID 30 个字节
服务帐号显示名 100 个字节
服务帐号的服务帐号密钥数 10
短期凭据
凭据访问边界中的访问边界规则数 10
访问令牌的生命周期 3600 秒(1 小时)

1 如果您在项目级别创建自定义角色,这些自定义角色不会计入组织级别的限额。

2 IAM 会统计政策绑定中每个成员的所有出现次数, 但不会去除重复出现在多个绑定中的成员。例如,如果成员 user:alice@example.com 出现在 50 个绑定中,则该政策的所有绑定中只能再添加 1450 个成员。

3 如果您的组织包含 100 个以上的自定义角色,您将继续收到 IAM Recommender 的建议,但这些建议不会再提议您创建新的自定义角色

4 如果您的项目包含 25 个以上的自定义角色,您将继续收到 IAM Recommender 的建议,但针对该项目的建议不会再提议您创建新的自定义角色