Ce document répertorie les quotas et limites qui s'appliquent à VPC Service Controls. Les quotas et les limites spécifiés dans ce document sont susceptibles d'être modifiés.
Le calcul de l'utilisation des quotas est basé sur la somme de l'utilisation dans les modes d'application et de simulation. Par exemple, si un périmètre de service protège cinq ressources en mode forcé et sept ressources en mode simulation, la somme des deux, soit 12, est testée par rapport à la limite correspondante. De plus, chaque entrée individuelle est comptabilisée comme une seule entrée, même si elle apparaît ailleurs dans la règle. Par exemple, si un projet est inclus dans un périmètre standard et cinq périmètres de pont, les six instances sont comptabilisées et aucune déduplication n'est effectuée.
Toutefois, VPC Service Controls calcule les limites du périmètre de service différemment. Pour en savoir plus, consultez la section Limites du périmètre de service de ce document.
Afficher les quotas dans la console Google Cloud
Dans le menu de navigation de la console Google Cloud, cliquez sur Sécurité, puis sur VPC Service Controls.
Si vous y êtes invité, sélectionnez votre organisation, votre dossier ou votre projet.
Sur la page VPC Service Controls, sélectionnez la règle d'accès pour laquelle vous souhaitez afficher les quotas.
Cliquez sur Afficher le quota.
La page Quota affiche les métriques d'utilisation pour les limites de règle d'accès suivantes qui s'appliquent de manière cumulative à tous les périmètres de service d'une règle d'accès donnée:
- Périmètres de service
- Ressources protégées
- Niveaux d'accès
- Nombre total d'attributs d'entrée et de sortie
Limites du périmètre de service
La limite suivante s'applique à chaque configuration de périmètre de service. Autrement dit, cette limite s'applique séparément pour les configurations de simulation et forcées d'un périmètre:
| Type | Limite | Remarques |
|---|---|---|
| Attributs | 6 000 | Cette limite s'applique au nombre total d'attributs spécifiés dans les règles d'entrée et de sortie. La limite des attributs inclut les références aux projets, aux réseaux VPC, aux niveaux d'accès, aux sélecteurs de méthodes et aux identités dans ces règles. Le nombre total d'attributs inclut également l'utilisation de caractères génériques, *, dans les attributs de méthodes, de services et de projets.
|
Remarques concernant la limite d'attributs
VPC Service Controls comptabilise chaque entrée des champs de règle d'entrée et de sortie suivants comme un attribut:
| Bloc de règles | Champs |
|---|---|
ingressFrom |
|
ingressTo |
|
egressFrom |
|
egressTo |
|
Pour en savoir plus sur ces champs, consultez la documentation de référence sur les règles d'entrée et la documentation de référence sur les règles de sortie.
VPC Service Controls tient compte des règles suivantes pour vérifier si un périmètre dépasse la limite d'attributs:
Chaque champ d'une règle d'entrée et de sortie peut comporter plusieurs entrées, et chaque entrée est comptabilisée dans la limite.
Par exemple, si vous mentionnez un compte de service et un compte utilisateur dans le champ
identitiesd'un bloc de règlesegressFrom, VPC Service Controls compte deux attributs pour la limite.VPC Service Controls comptabilise chaque occurrence d'une ressource dans les règles séparément, même si vous répétez la même ressource dans plusieurs règles.
Par exemple, si vous mentionnez un projet,
project-1, dans deux règles d'entrée ou de sortie différentes,rule-1etrule-2, VPC Service Controls compte deux attributs pour la limite.Chaque périmètre de service peut avoir une configuration forcée et une configuration de simulation. VPC Service Controls applique la limite d'attributs séparément pour chaque configuration.
Par exemple, si le nombre total d'attributs pour les configurations appliquées et d'essais de simulation d'un périmètre est respectivement de 3 500 et 3 000 attributs, VPC Service Controls considère que le périmètre est toujours dans la limite d'attributs.
Limites des règles d'accès
Les limites de la stratégie d'accès suivante s'appliquent de manière cumulative à tous les périmètres de service d'une stratégie d'accès donnée:
| Type | Limite | Remarques |
|---|---|---|
| Périmètres de service | 10 000 | Les liaisons de périmètre de service sont comptabilisées dans cette limite. |
| Ressources protégées | 40 000 | Les projets qui ne sont référencés que dans les règles d'entrée et de sortie ne sont pas comptabilisés dans cette limite. N'ajoutez des ressources protégées à une règle que par lots de 10 000 ressources ou moins pour éviter que les requêtes de modification de règles ne soient soumises à un délai avant expiration. Nous vous recommandons d'attendre 30 secondes avant d'apporter la modification suivante. |
| Groupes d'identités | 1 000 | Cette limite s'applique au nombre de groupes d'identité configurés dans les règles d'entrée et de sortie. |
| Réseaux VPC | 500 | Cette limite s'applique au nombre de réseaux VPC référencés dans le mode forcé, le mode de simulation et les règles d'entrée. |
Les limites de la stratégie d'accès suivante s'appliquent de manière cumulative à tous les niveaux d'accès d'une stratégie d'accès donnée:
| Type | Limite | Remarques |
|---|---|---|
| Réseaux VPC | 500 | Cette limite s'applique au nombre de réseaux VPC référencés dans les niveaux d'accès. |
Limites de l'organisation
Les limites suivantes s'appliquent à toutes les règles d'accès d'une organisation donnée:
| Type | Limite |
|---|---|
| Règle d'accès au niveau de l'organisation | 1 |
| Règles d'accès au niveau des dossiers et des projets | 50 |
Quotas et limites d'Access Context Manager
Vous êtes également soumis aux quotas et limites d'Access Context Manager, car VPC Service Controls utilise les API Access Context Manager.