這個頁面列出 Identity and Access Management (IAM) 適用的配額與限制。使用者可傳送的要求數或可建立的資源數有一定的配額與限制。此外,資源的屬性 (例如資源 ID 的長度) 可能也有特定的限制。
如果配額太低,不敷使用,可以透過 Google Cloud 主控台申請調整專案的配額。如果Google Cloud 控制台不允許您申請調整特定配額,請與 Google Cloud 支援團隊聯絡。
限制則無法變更。
配額
根據預設,下列 IAM 配額適用於每個Google Cloud 專案,但 Workforce Identity Federation 和 Privileged Access Manager 配額除外。員工身分聯盟配額適用於機構。
Privileged Access Manager 配額適用於專案和機構,且會根據呼叫目標按下列方式收費:
- 如果專案不屬於機構,系統會針對每次呼叫收取一單位的專案配額。
- 如果專案屬於機構,則每次呼叫會分別收取專案和機構配額的一個單位。如果其中一個配額已用盡,系統就會拒絕呼叫。
- 如果呼叫資料夾或機構,系統會收取一個機構配額單位。
| 預設配額 | |
|---|---|
| IAM v1 API | |
| 讀取要求數 (例如:取得允許政策) | 每項專案每分鐘 6,000 次 |
| 寫入要求數 (例如:更新允許政策) | 每項專案每分鐘 600 次 |
| IAM v2 API | |
| 讀取要求數 (例如:取得拒絕政策) | 每項專案每分鐘 5 次 |
| 寫入要求數 (例如:更新拒絕政策) | 每項專案每分鐘 5 次 |
| IAM v3 API | |
| 讀取要求數 (例如:取得主體存取邊界政策) | 每項專案每分鐘 5 次 |
| 寫入要求數 (例如:更新主體存取邊界政策) | 每項專案每分鐘 5 次 |
| Workload Identity 聯盟 | |
| 讀取要求數 (例如:取得工作負載身分集區) | 每項專案每分鐘 600 次 每個用戶端每分鐘 6,000 次 |
| 寫入要求數 (例如:更新 workload identity pool) | 每項專案每分鐘 60 次 每位用戶端每分鐘 600 次 |
| 員工身分聯盟 | |
| 建立/刪除/取消刪除要求 | 每個機構每分鐘 60 個 |
| 讀取要求數 (例如:取得員工身分集區) | 每個機構每分鐘 120 次 |
| 更新要求 (例如更新員工身分集區) | 每個機構每分鐘 120 次 |
| 主體刪除/取消刪除要求 (例如刪除員工身分集區主體) | 每個機構每分鐘 60 個 |
| 工作團隊身分集區數量 | 每個機構 100 個 |
| 員工 OAuth 應用程式 | |
| 建立/讀取/更新/刪除/取消刪除要求 | 每項專案每分鐘 60 次 |
| Service Account Credentials API | |
| 產生憑證的要求數 | 每項專案每分鐘 60,000 次 |
| 簽署 JSON Web Token (JWT) 或 blob 的要求數 | 每項專案每分鐘 60,000 次 |
| Security Token Service API | |
| 交換權杖要求 (非員工身分聯盟) | 每項專案每分鐘 6,000 次 |
| 交換權杖要求 (員工身分聯盟) | 每個機構每分鐘 1,000 次 |
| 服務帳戶 | |
| 服務帳戶數量 | 每項專案 100 個 |
| Privileged Access Manager API | |
| 授權寫入要求 (例如建立、更新或刪除授權) | 每項專案每分鐘 100 次 每個機構每分鐘 100 次 |
CheckOnboardingStatus 要求 |
每項專案每分鐘 300 次 每個機構每分鐘 900 次 |
ListEntitlements 要求 |
每項專案每分鐘 600 次 每個機構每分鐘 1800 次 |
SearchEntitlements 要求 |
每項專案每分鐘 600 次 每個機構每分鐘 1800 次 |
GetEntitlement 要求 |
每項專案每分鐘 3,000 次 每個機構每分鐘 9,000 次 |
ListGrants 要求 |
每項專案每分鐘 600 次 每個機構每分鐘 1800 次 |
SearchGrants 要求 |
每項專案每分鐘 600 次 每個機構每分鐘 1800 次 |
GetGrant 要求 |
每項專案每分鐘 3,000 次 每個機構每分鐘 9,000 次 |
CreateGrant 要求 |
每項專案每分鐘 200 次 每個機構每分鐘 600 次 |
ApproveGrant 要求 |
每項專案每分鐘 200 次 每個機構每分鐘 600 次 |
DenyGrant 要求 |
每項專案每分鐘 200 次 每個機構每分鐘 600 次 |
RevokeGrant 要求 |
每項專案每分鐘 300 次 每個機構每分鐘 900 次 |
GetOperation 要求 |
每項專案每分鐘 600 次 每個機構每分鐘 1800 次 |
ListOperations 要求 |
每項專案每分鐘 300 次 每個機構每分鐘 900 次 |
限制
IAM 適用的資源限制如下:這些限制無法變更。
| 限制 | |
|---|---|
| 自訂角色 | |
| 單一機構的自訂角色數量1 | 300 |
| 單一專案的自訂角色數量1 | 300 |
| 自訂角色的 ID | 64 個位元組 |
| 自訂角色的名稱 | 100 個位元組 |
| 自訂角色的說明 | 300 個位元組 |
| 自訂角色的權限 | 3,000 |
| 自訂角色的名稱、說明和權限名稱總大小 | 64 KB |
| 允許政策和角色繫結 | |
| 每個資源的允許政策 | 1 |
| 單一政策中所有角色繫結和稽核記錄豁免的主體總數 (包括網域和 Google 群組)2 | 1,500 |
| 單一允許政策中所有角色繫結的網域和 Google 群組數量3 | 250 |
| 角色繫結條件運算式中的邏輯運算子數量 | 12 |
| 允許政策中包括同角色同主體、但條件運算式不同的角色繫結數量 | 20 |
| 拒絕政策和拒絕規則 | |
| 每個資源的拒絕政策 | 500 |
| 每個資源的拒絕規則 | 500 |
| 資源所有拒絕政策中的網域和 Google 群組 4 | 500 |
| 資源所有拒絕政策中的主體總數 (包括網域和 Google 群組) 4 | 2500 |
| 單一拒絕政策中的拒絕規則 | 500 |
| 拒絕規則條件運算式中的邏輯運算子數量 | 12 |
| 主體存取邊界政策 | |
| 單一主體存取邊界政策中的規則 | 500 |
| 單一主體存取邊界政策中所有規則的資源 | 500 |
| 可繫結至資源的主體存取邊界政策數量 | 10 |
| 每個機構的主體存取邊界政策 | 1000 |
| 政策繫結的條件運算式中的邏輯運算子數量 | 10 |
| 服務帳戶 | |
| 服務帳戶 ID | 30 個位元組 |
| 服務帳戶顯示名稱 | 100 個位元組 |
| 單一服務帳戶的服務帳戶金鑰數量 | 10 |
| 員工身分聯盟 | |
| 每個集區的工作團隊身分集區提供者 | 200 |
| 每個集區已刪除的員工身分集區主體 | 100,000 |
| 員工 OAuth 應用程式 | |
| 每個專案的員工 OAuth 用戶端 | 100 |
| 每個用戶端的 Workforce OAuth 用戶端憑證 | 10 |
| Workload Identity 聯盟和 Workforce Identity 聯盟屬性對應 | |
| 對應的主體 | 127 個位元組 |
| 對應的工作團隊身分集區使用者顯示名稱 | 100 個位元組 |
| 對應屬性的總大小 | 8,192 個位元組 |
| 自訂屬性對應數量 | 50 |
| 短期憑證 | |
| 憑證存取權範圍中的存取權範圍規則數量 | 10 |
| 存取權杖的最大生命週期 5 |
3,600 秒 (1 小時) |
1 如果您在專案層級建立自訂角色,這些自訂角色不會計入機構層級的限制。
2 為計算這項限制,IAM 會計算允許政策角色繫結中每位主體的「所有」出現次數,以及允許政策豁免資料存取稽核記錄的主體。但「不會」捨棄相同主體在不同角色繫結中重複出現的次數。舉例來說,假設允許政策只包含主體user:my-user@example.com 的角色繫結,而這個主體出現在 50 個角色繫結中,那麼您可以在允許政策的角色繫結中再新增 1,450 個主體。
此外,就這項限制而言,無論網域或 Google 群組中有多少個別成員,每個網域或群組都會計為一個主體。
如果您使用 IAM 條件,或是授予許多主體角色,且這些主體的 ID 異常長,則 IAM 可能會在允許政策中允許較少主體。
3 為計算這項限制,Cloud Identity 網域、Google Workspace 帳戶和 Google 群組的計數方式如下:
- 如果是 Google 群組,無論群組在允許政策中出現幾次,每個不重複的群組只會計入一次。這與允許政策中主體總數的限制不同,後者會將群組的每次出現計入限制。
- 如果是 Cloud Identity 網域或 Google Workspace 帳戶,IAM 會計算允許政策的角色繫結中,每個網域或帳戶出現的「所有」次數。但「不會」捨棄相同網域或帳戶在不同角色繫結中重複出現的次數。
舉例來說,如果允許政策只包含一個群組 (group:my-group@example.com),且該群組在允許政策中出現 10 次,您最多可以再新增 249 個 Cloud Identity 網域、Google Workspace 帳戶或不重複群組,才會達到上限。
或者,如果允許政策只包含一個網域 (domain:example.com),且該網域在允許政策中出現 10 次,您最多可以再新增 240 個 Cloud Identity 網域、Google Workspace 帳戶或不重複群組,才會達到上限。
4
IAM 會計算附加至資源的所有拒絕政策中,每個主體的「所有」出現次數。但「不會」捨棄相同主體在不同拒絕規則或拒絕政策中重複出現的次數。舉例來說,如果附加至資源的拒絕政策只包含主體 user:my-user@example.com 的拒絕規則,且這個主體出現在 20 項拒絕規則中,那麼您可以在資源的拒絕政策中再新增 2,480 個主體。
5
您可以將 OAuth 2.0 存取權杖的最大生命週期延長至 12 小時 (43,200 秒)。如要延長最長生命週期,請找出要延長存取權杖生命週期的服務帳戶,然後將這些服務帳戶新增至機構政策 (須含 constraints/iam.allowServiceAccountCredential 清單限制)。