本页面列出了适用于身份和访问权限管理 (IAM) 的配额和限制。配额和限制都能限制您可以发送的请求数量或可以创建的资源数量。限制还可能会约束资源的特性,例如资源标识符的长度。
如果配额太低,无法满足您的需求,您可以使用 Google Cloud Console 为您的项目申请增加配额。如果 Cloud Console 不允许您申请更改特定配额,请联系 Google Cloud 支持团队。
限制不能更改。
配额
默认情况下,以下 IAM 配额适用于每个 Google Cloud 项目:
| 默认配额 | |
|---|---|
| IAM API | |
| 读取请求数(例如获取政策) | 每分钟 6000 |
| 写入请求数(例如更新政策) | 每分钟 600 |
| Service Account Credentials API | |
| 要求生成凭据的请求数 | 每分钟 60000 |
| 要求对 JSON Web 令牌 (JWT) 或 blob 签名的请求数 | 每分钟 60000 |
| 服务帐号 | |
| 服务帐号数 | 100 |
限制
IAM 对资源实施以下限制:
| 限制 | |
|---|---|
| 自定义角色 | |
| 一个组织的自定义角色数1 | 300 |
| 一个项目的自定义角色数1 | 300 |
| 自定义角色的名称 | 100 个字节 |
| 自定义角色的描述 | 256 字节 |
| 自定义角色的名称、描述和权限名称的总大小 | 64 KB |
| 政策和绑定 | |
| 一条政策里所有绑定中的 Google 群组数2 | 250 |
| 一条政策里所有绑定中的成员数(包括 Google 群组)2 | 1500 |
| 绑定的条件表达式中的逻辑运算符数 | 12 |
| 政策中包括同一角色和同一成员但条件表达式不同的角色绑定数 | 20 |
| 建议 | |
| 有关为组织添加自定义角色的每日建议数 | 15 |
| 有关为项目添加自定义角色的每日建议数 | 5 |
| 当组织中的自定义角色数达到该限额后,建议功能便不会提议创建新的自定义角色3 | 100 |
| 当项目中的自定义角色数达到该限额后,建议功能便不会提议创建新的自定义角色4 | 25 |
| 服务帐号 | |
| 服务帐号 ID | 30 个字节 |
| 服务帐号显示名 | 100 个字节 |
| 服务帐号的服务帐号密钥数 | 10 |
| 短期凭据 | |
| 凭据访问边界中的访问边界规则数 | 10 |
| 访问令牌的最长有效期 |
3600 秒(1 小时)
对于 OAuth 2.0 访问令牌,您可以将最长有效期延长至 12 小时(43200 秒)。为此,请确定需要延长令牌有效期的服务帐号,然后将这些服务帐号添加到包含 |
1 如果您在项目级别创建自定义角色,这些自定义角色不会计入组织级别的限额。
2
IAM 会统计政策绑定中每个成员的所有出现次数,
但不会去除重复出现在多个绑定中的成员。例如,如果成员 user:alice@example.com 出现在 50 个绑定中,则该政策的所有绑定中只能再添加 1450 个成员。
3 如果您的组织包含 100 个以上的自定义角色,您将继续收到 IAM Recommender 的建议,但这些建议不会再提议您创建新的自定义角色。
4 如果您的项目包含 25 个以上的自定义角色,您将继续收到 IAM Recommender 的建议,但针对该项目的建议不会再提议您创建新的自定义角色。