Halaman ini mencantumkan kuota dan batas yang berlaku untuk Identity and Access Management (IAM). Kuota dan batas dapat membatasi jumlah permintaan yang dapat Anda kirim atau jumlah resource yang dapat dibuat. Batas juga dapat membatasi atribut resource, seperti panjang ID resource.
Jika kuota terlalu rendah untuk memenuhi kebutuhan Anda, Anda dapat menggunakan konsol Google Cloud untuk meminta penyesuaian kuota untuk project Anda. Jika konsolGoogle Cloud tidak mengizinkan Anda meminta perubahan untuk kuota tertentu, hubungi Google Cloud dukungan.
Batas tidak dapat diubah.
Kuota
Secara default, kuota IAM berikut berlaku untuk setiap projectGoogle Cloud , kecuali kuota Workforce Identity Federation dan Privileged Access Manager. Kuota Workforce Identity Federation berlaku untuk organisasi.
Kuota Privileged Access Manager berlaku untuk project dan organisasi, dan dikenai biaya sebagai berikut, bergantung pada target panggilan:
- Untuk project yang bukan milik organisasi, satu unit kuota project dikenakan biaya untuk satu panggilan.
- Untuk project yang termasuk dalam organisasi, satu unit kuota project dan organisasi akan ditagih untuk satu panggilan. Panggilan ditolak jika salah satu dari dua kuota telah habis.
- Untuk panggilan ke folder atau organisasi, satu unit kuota organisasi akan dikenai biaya.
| Kuota default | |
|---|---|
| IAM v1 API | |
| Permintaan baca (misalnya, mendapatkan kebijakan izin) | 6.000 per project per menit |
| Permintaan tulis (misalnya, memperbarui kebijakan izin) | 600 per project per menit |
| IAM v2 API | |
| Permintaan baca (misalnya, mendapatkan kebijakan penolakan) | 5 per project per menit |
| Permintaan tulis (misalnya, memperbarui kebijakan penolakan) | 5 per project per menit |
| IAM v3 API | |
| Permintaan baca (misalnya, mendapatkan kebijakan batas akses utama) | 5 per project per menit |
| Permintaan tulis (misalnya, memperbarui kebijakan batas akses utama) | 5 per project per menit |
| Workload Identity Federation | |
| Permintaan baca (misalnya, mendapatkan workload identity pool) | 600 per project per menit 6.000 per klien per menit |
| Permintaan tulis (misalnya, memperbarui workload identity pool) | 60 per project per menit 600 per klien per menit |
| Workforce Identity Federation | |
| Permintaan membuat/menghapus/membatalkan penghapusan | 60 per organisasi per menit |
| Permintaan baca (misalnya, mendapatkan workforce identity pool) | 120 per organisasi per menit |
| Permintaan pembaruan (misalnya, memperbarui workforce identity pool) | 120 per organisasi per menit |
| Permintaan penghapusan/pembatalan penghapusan subjek (misalnya, menghapus subjek workforce identity pool) | 60 per organisasi per menit |
| Jumlah workforce identity pool | 100 per organisasi |
| Aplikasi OAuth tenaga kerja | |
| Permintaan membuat/membaca/memperbarui/menghapus/membatalkan penghapusan | 60 per project per menit |
| Service Account Credentials API | |
| Permintaan untuk membuat kredensial | 60.000 per project per menit |
| Permintaan untuk menandatangani JSON Web Token (JWT) atau blob | 60.000 per project per menit |
| Security Token Service API | |
| Permintaan penukaran token (workforce identity federation) | 6.000 per project per menit |
| Permintaan penukaran token (Workforce Identity Federation) | 1.000 per organisasi per menit |
| Akun layanan | |
| Jumlah akun layanan | 100 per project |
CreateServiceAccount permintaan |
Bervariasi, bergantung pada proyek. Untuk melihat kuota project, lihat kuota project Anda di Google Cloud konsol dan cari Permintaan Buat Akun Layanan menurut kredensial per menit. |
| Privileged Access Manager API | |
| Permintaan tulis hak (misalnya, membuat, memperbarui, atau menghapus hak) | 100 per project per menit 100 per organisasi per menit |
CheckOnboardingStatus permintaan |
300 per project per menit 900 per organisasi per menit |
ListEntitlements permintaan |
600 per project per menit 1.800 per organisasi per menit |
SearchEntitlements permintaan |
600 per project per menit 1.800 per organisasi per menit |
GetEntitlement permintaan |
3.000 per project per menit 9.000 per organisasi per menit |
ListGrants permintaan |
600 per project per menit 1.800 per organisasi per menit |
SearchGrants permintaan |
600 per project per menit 1.800 per organisasi per menit |
GetGrant permintaan |
3.000 per project per menit 9.000 per organisasi per menit |
CreateGrant permintaan |
200 per project per menit 600 per organisasi per menit |
ApproveGrant permintaan |
200 per project per menit 600 per organisasi per menit |
DenyGrant permintaan |
200 per project per menit 600 per organisasi per menit |
RevokeGrant permintaan |
300 per project per menit 900 per organisasi per menit |
GetOperation permintaan |
600 per project per menit 1.800 per organisasi per menit |
ListOperations permintaan |
300 per project per menit 900 per organisasi per menit |
Batas
IAM menerapkan batas berikut pada resource. Batas ini tidak dapat diubah.
| Batas | |
|---|---|
| Peran khusus | |
| Peran khusus untuk organisasi1 | 300 |
| Peran khusus untuk sebuah project1 | 300 |
| ID peran khusus | 64 byte |
| Judul peran khusus | 100 byte |
| Deskripsi peran khusus | 300 byte |
| Izin dalam peran khusus | 3.000 |
| Ukuran total judul, deskripsi, dan nama izin untuk peran khusus | 64 KB |
| Kebijakan izin dan binding peran | |
| Kebijakan izin per resource | 1 |
| Jumlah total akun utama (termasuk domain dan grup Google) di semua binding peran dan pengecualian logging audit dalam satu kebijakan2 | 1.500 |
| Domain dan grup Google di semua binding peran dalam satu kebijakan izin3 | 250 |
| Operator logika dalam ekspresi kondisi binding peran | 12 |
| Binding peran dalam kebijakan izin yang mencakup peran yang sama dan akun utama yang sama, tetapi ekspresi kondisinya berbeda | 20 |
| Kebijakan penolakan dan aturan penolakan | |
| Kebijakan penolakan per resource | 500 |
| Aturan penolakan per resource | 500 |
| Domain dan grup Google di semua kebijakan penolakan resource 4 | 500 |
| Jumlah total akun utama (termasuk domain dan grup Google) di semua kebijakan penolakan resource 4 | 2500 |
| Aturan tolak dalam kebijakan penolakan tunggal | 500 |
| Operator logika dalam ekspresi kondisi aturan tolak | 12 |
| Kebijakan batas akses utama | |
| Aturan dalam kebijakan batas akses prinsipal tunggal | 500 |
| Resource di semua aturan dalam satu kebijakan batas akses prinsipal | 500 |
| Jumlah kebijakan batas akses utama yang dapat terikat ke resource | 10 |
| Kebijakan batas akses utama per organisasi | 1000 |
| Operator logika dalam ekspresi kondisi binding kebijakan | 10 |
| Akun layanan | |
| ID akun layanan | 30 byte |
| Nama tampilan akun layanan | 100 byte |
| Kunci akun layanan untuk akun layanan | 10 |
| Workforce Identity Federation | |
| Penyedia workforce identity pool per kumpulan | 200 |
| Subjek workforce identity pool yang dihapus per kumpulan | 100.000 |
| Aplikasi OAuth tenaga kerja | |
| Klien OAuth tenaga kerja per project | 100 |
| Kredensial klien OAuth tenaga kerja per klien | 10 |
| Pemetaan atribut Workload Identity Federation dan Workforce Identity Federation | |
| Subjek yang dipetakan | 127 byte |
| Nama tampilan pengguna workforce identity pool yang dipetakan | 100 byte |
| Ukuran total atribut yang dipetakan | 8.192 byte |
| Jumlah pemetaan atribut khusus | 50 |
| Kredensial jangka pendek | |
| Aturan batas akses dalam Batas Akses Kredensial | 10 |
| Masa pakai maksimum token akses 5 |
3.600 detik (1 jam) |
1 Jika Anda membuat peran khusus di level project, peran khusus tersebut tidak diperhitungkan terhadap batas di level organisasi.
2 Untuk tujuan batas ini, IAM menghitung semua tampilan dari setiap akun utama di binding peran kebijakan izin, serta akun utama yang dikecualikan dari logging audit Akses Data oleh kebijakan izin. Fitur ini tidak menghapus duplikat akun utama yang muncul di lebih dari satu binding peran. Misalnya, jika kebijakan izin hanya berisi binding peran untuk akun utamauser:my-user@example.com, dan akun utama ini muncul dalam
50 binding peran, maka Anda dapat menambahkan
1.450 akun utama lain ke binding peran dalam kebijakan izin.
Selain itu, untuk tujuan batasan ini, setiap kemunculan domain atau grup Google dihitung sebagai satu akun utama, terlepas dari jumlah anggota individual dalam domain atau grup.
Jika Anda menggunakan IAM Conditions, atau jika Anda memberikan peran ke banyak akun utama dengan ID yang sangat panjang, IAM mungkin mengizinkan lebih sedikit akun utama dalam kebijakan izin.
3 Untuk tujuan batas ini, domain Cloud Identity, akun Google Workspace, dan grup Google dihitung sebagai berikut:
- Untuk grup Google, setiap grup unik hanya dihitung sekali, terlepas dari berapa kali grup muncul dalam kebijakan izin. Hal ini berbeda dengan cara grup dihitung untuk batas jumlah total prinsipal dalam kebijakan izin—untuk batas tersebut, setiap kemunculan grup dihitung dalam batas.
- Untuk domain Cloud Identity atau akun Google Workspace, IAM menghitung semua tampilan setiap domain atau akun dalam binding peran kebijakan izin. Tindakan ini tidak menghapus duplikat domain atau akun yang muncul di lebih dari satu binding peran.
Misalnya, jika kebijakan izin Anda hanya berisi satu grup,
group:my-group@example.com, dan grup tersebut muncul dalam kebijakan izin
sebanyak 10 kali, Anda dapat menambahkan 249
domain Cloud Identity, akun Google Workspace, atau grup unik lainnya sebelum mencapai
batasnya.
Atau, jika kebijakan izin Anda hanya berisi satu domain, domain:example.com, dan
domain tersebut muncul dalam kebijakan izin
sebanyak 10 kali, Anda dapat menambahkan
240 domain Cloud Identity, akun Google Workspace, atau grup unik
lainnya sebelum mencapai batasnya.
4
IAM menghitung semua tampilan setiap akun utama dalam semua
kebijakan penolakan yang dilampirkan ke resource. Tindakan ini tidak menghapus duplikat akun utama yang muncul
di lebih dari satu aturan penolakan atau kebijakan penolakan. Misalnya, jika kebijakan penolakan yang dilampirkan ke resource
hanya berisi aturan penolakan untuk akun utama user:my-user@example.com, dan akun utama ini muncul dalam
20 aturan penolakan, maka Anda dapat menambahkan
2.480 akun utama lain ke kebijakan penolakan
resource.
5
Untuk token akses OAuth 2.0, Anda dapat memperpanjang masa pakai maksimum hingga
12 jam
(43.200 detik). Untuk memperpanjang masa pakai maksimum,
identifikasi akun layanan yang memerlukan perpanjangan masa aktif untuk token, lalu
tambahkan akun layanan ini ke kebijakan organisasi yang
menyertakan
batasan daftar
constraints/iam.allowServiceAccountCredential.