本文档列出了适用于政策智能的配额和系统限制。 配额用于指定您可以使用的可计数共享资源数量,由 Google Cloud 服务(例如 Policy Intelligence)定义。系统限制是无法更改的固定值。
Google Cloud 使用配额来帮助确保公平性并减少资源使用和可用性的激增。配额用于限制您的 Google Cloud 项目可使用的 Google Cloud 资源的数量。配额适用于一系列资源类型,包括硬件、软件和网络组件。例如,配额可以限制对某项服务的 API 调用次数、您的项目并发使用的负载均衡器数量或者您可以创建的项目数量。配额可以防止服务过载,从而保护 Google Cloud 用户社区。配额还可帮助您管理自己的 Google Cloud 资源。
Cloud 配额系统执行以下操作:
- 监控 Google Cloud 产品和服务的消耗情况
- 限制这些资源的消耗量
- 提供请求更改配额值的方法
在大多数情况下,当您尝试消耗的资源超出其配额允许的范围时,系统会阻止对资源的访问,并且您尝试执行的任务会失败。
配额通常在 Google Cloud 项目级层应用。您在一个项目中使用资源不会影响您在另一个项目中的可用配额。在 Google Cloud 项目中,配额在所有应用和 IP 地址间共享。
如需调整大多数配额,请使用 Google Cloud 控制台。 如需了解详情,请参阅申请配额调整。
Policy Intelligence 资源也有系统限制。 系统限制无法更改。
Policy Analyzer 配额
Cloud Asset Inventory 根据使用方项目对传入请求速率施加限制。默认配额如下所示:
| 配额 | 值 |
|---|---|
AnalyzeIamPolicy |
每个使用方项目每分钟 100 次 每个使用方项目每天 1,000 次 |
AnalyzeIamPolicyLongrunning |
每个使用方项目每分钟 100 次 每个使用方项目每天 1,000 次 |
您可以使用 API 和服务配额信息中心来查看项目的当前配额和用量。
如果您未在组织级层激活 Security Command Center 高级层级,Policy Analyzer 还会限制您可以执行的查询次数。
| 配额 | 值 |
|---|---|
| 每个组织每天的分析查询次数1 | 20 |
1 此配额仅适用于未在组织级层激活 Security Command Center 高级层级的组织。
如需了解详情,请参阅结算问题。
Policy Analyzer 限制
政策分析器会将组成员资格中的组扩展和资源层次结构中的资源扩展限制为以下值。
| 限制 | 值 |
|---|---|
AnalyzeIamPolicy |
每个群组 1,000 个 |
AnalyzeIamPolicy |
每项资源 1,000 个 |
AnalyzeIamPolicyLongrunning |
每项资源 100,000 个 |
推荐功能限制
以下限制适用于 IAM 建议:
| 限制 | 值 |
|---|---|
| 有关为组织添加自定义角色的每日建议数 | 15 |
| 有关为项目添加自定义角色的每日建议数 | 5 |
| 组织中阻止提供建议的自定义角色数量 创建新的自定义角色1 | 100 |
| 项目中阻止建议的自定义角色的数量 创建新的自定义角色2 | 25 |
1 如果您的组织包含 100 个以上的自定义角色,您将继续收到 Recommender 的角色建议,但这些建议不会再提议您创建新的自定义角色。
2 如果您的项目包含 25 个以上的自定义角色,您将继续收到 Recommender 的角色建议,但针对该项目的建议不会再提议您创建新的自定义角色。