本文档列出了适用于 VPC Service Controls 的配额和限制。本主题中指定的配额和限制随时可能更改。
配额用量计算基于强制执行模式和模拟运行模式的用量之和。例如,如果服务边界在实施模式下保护五个资源,在试运行模式下保护七个资源,则系统会根据相应的限制对两者的总和(即 12 个)进行测试。此外,每个条目计为一个,即使该条目出现在政策的其他位置也是如此。例如,如果项目包含在一个常规边界和五个网桥边界内,则系统会计算所有六个实例,并且不会执行去重操作。
不过,VPC Service Controls 计算服务边界限制的方式有所不同。如需了解详情,请参阅本文档的服务边界限制部分。
在 Google Cloud 控制台中查看配额
在 Google Cloud 控制台导航菜单中,点击安全性,然后点击 VPC Service Controls。
如果出现提示,请选择您的组织、文件夹或项目。
在 VPC Service Controls 页面上,选择要查看其配额的访问权限政策。
点击查看配额。
配额页面会显示以下访问权限政策限制的使用情况指标,这些限制累计适用于给定访问权限政策中的所有服务边界:
- 服务边界
- 受保护资源
- 访问权限级别
- 入站流量和出站流量属性总数
服务边界限制
以下限制适用于每项服务边界配置。也就是说,此限制分别适用于边界的试运行配置和强制配置:
| 类型 | 限制 | 备注 |
|---|---|---|
| 特性 | 6,000 | 此限制适用于入站和出站规则中指定的属性总数。该属性限制包括这些规则中对项目、VPC 网络、访问权限级别、方法选择器和身份的引用。属性总数还包括在方法、服务和项目属性中使用通配符 * 的情况。
|
属性数限制注意事项
VPC Service Controls 会将以下入站规则和出站规则字段中的每个条目计为一个属性:
| 规则块 | 字段 |
|---|---|
ingressFrom |
|
ingressTo |
|
egressFrom |
|
egressTo |
|
如需详细了解这些字段,请参阅入站规则参考文档和出站规则参考文档。
VPC Service Controls 会考虑以下规则,以检查边界是否超出属性限制:
入站规则和出站规则中的每个字段都可以有多个条目,并且每个条目都会计入此限制。
例如,如果您在
egressFrom规则块的identities字段中提及了服务账号和用户账号,VPC Service Controls 会将这两个属性计入限制范围内。VPC Service Controls 会分别统计规则中资源的每个出现情况,即使您在多个规则中重复使用同一资源也是如此。
例如,如果您在两个不同的入站或出站规则(
rule-1和rule-2)中提及项目project-1,VPC Service Controls 会将这两个属性计入限制。每个服务边界都可以具有强制执行和试运行配置。VPC Service Controls 会分别对每个配置应用属性限制。
例如,如果边界的强制执行配置和模拟运行配置的属性总数分别为 3,500 个和 3,000 个,则 VPC Service Controls 会认为该边界仍在属性数限制范围内。
访问权限政策限制
以下访问权限政策限制累计适用于给定访问权限政策中的所有服务边界:
| 类型 | 限制 | 备注 |
|---|---|---|
| 服务边界 | 10000 | 服务边界网桥会计入此限制。 |
| 受保护资源 | 40,000 | 仅在入站和出站政策中引用的项目不计入此限额。请仅以 1 万个资源或更少的批量向政策添加受保护资源,以防止政策修改请求超时。 建议您等待 30 秒,然后再进行下一次政策修改。 |
| 身份群组 | 1000 | 此限制适用于入站和出站规则中配置的身份组的计数。 |
| VPC 网络 | 500 | 此限制适用于实施模式、试运行模式和入站规则中引用的 VPC 网络的计数。 |
以下访问权限政策限制累计适用于给定访问权限政策中的所有访问权限级别:
| 类型 | 限制 | 备注 |
|---|---|---|
| VPC 网络 | 500 | 此限制适用于访问权限级别中引用的 VPC 网络的计数。 |
组织限制
以下限制适用于给定组织中的所有访问权限政策:
| 类型 | 限制 |
|---|---|
| 组织级访问权限政策 | 1 |
| 文件夹级和项目级访问权限政策 | 50 |
Access Context Manager 配额和限制
您还需要遵循 Access Context Manager 配额和限制,因为 VPC Service Controls 会使用 Access Context Manager API。