本文列出 VPC Service Controls 適用的配額與限制。本文中指定的配額和限制可能隨時變更。
配額使用量計算依據是強制執行和試執行模式的使用量總和。舉例來說,如果服務範圍以強制執行模式保護五項資源,並以試執行模式保護七項資源,則系統會測試這兩者加總 (即 12 項資源) 是否超出對應限制。此外,即使政策其他部分也有相同項目,系統仍會將每個項目視為一項。舉例來說,如果專案包含在一個一般範圍和五個橋接範圍中,系統會計算所有六個執行個體,不會執行重複資料刪除作業。
不過,VPC Service Controls 計算服務範圍限制的方式不同。 詳情請參閱本文的「服務範圍限制」一節。
在 Google Cloud 控制台中查看配額
在 Google Cloud 控制台導覽選單中,依序點選「Security」(安全性) 和「VPC Service Controls」(VPC 服務控制項)。
如果系統提示您選取機構、資料夾或專案,請依提示選取。
在「VPC Service Controls」頁面中,選取要查看配額的存取權政策。
按一下「查看配額」。
「配額」頁面會顯示下列存取政策限制的使用指標,這些限制會套用至特定存取政策中的所有服務範圍:
- 服務範圍
- 受保護的資源
- 存取層級
- 輸入和輸出屬性總數
服務範圍限制
以下限制適用於每個服務範圍設定。也就是說,這項限制分別適用於周邊裝置的試執行和強制執行設定:
類型 | 限制 | 附註 |
---|---|---|
屬性 | 6,000 | 這項限制適用於輸入和輸出規則中指定的屬性總數。屬性限制包括這些規則中對專案、虛擬私有雲網路、存取層級、方法選取器、身分和角色的參照。方法、服務和專案屬性中使用的萬用字元 * 也計入屬性總數。 |
屬性限制注意事項
VPC Service Controls 會將下列輸入和輸出規則欄位中的每個項目視為一個屬性:
規則區塊 | 欄位 |
---|---|
ingressFrom |
|
ingressTo |
|
egressFrom |
|
egressTo |
|
如要進一步瞭解這些欄位,請參閱「Ingress 規則參考資料」和「Egress 規則參考資料」。
VPC Service Controls 會根據下列規則,檢查範圍是否超出屬性限制:
連入和連出規則中的每個欄位可以有多個項目,每個項目都會計入限制。
舉例來說,如果您在
egressFrom
規則區塊的identities
欄位中提及服務帳戶和使用者帳戶,VPC Service Controls 會將這兩個屬性計入限制。即使您在多項規則中重複使用相同資源,VPC Service Controls 仍會分別計算規則中每次出現的資源。
舉例來說,如果您在兩個不同的 Ingress 或 Egress 規則 (
rule-1
和rule-2
) 中提及專案project-1
,VPC Service Controls 會將兩個屬性計入限制。每個服務範圍都可以有「強制執行」和「模擬測試」設定。VPC Service Controls 會針對每項設定分別套用屬性限制。
舉例來說,如果範圍的強制執行和試執行設定分別有 3,500 和 3,000 個屬性,VPC Service Controls 會認為該範圍仍在屬性限制內。
存取政策限制
下列存取權政策限制會套用至特定存取權政策中的所有服務範圍:
類型 | 限制 | 附註 |
---|---|---|
服務範圍 | 10,000 | 服務重疊範圍會計入這項限制。 |
受保護的資源 | 40,000 | 如果專案僅在輸入和輸出政策中遭到參照,則不會計入這項限制。一次最多只能將 10,000 個受保護資源新增至政策,以免政策修改要求逾時。建議您等待 30 秒,再進行下一次政策修改。 |
身分群組 | 1,000 | 這項限制是指在輸入和輸出規則中設定的身分群組數量。 |
虛擬私有雲網路 | 500 | 此上限適用於強制執行模式、模擬測試模式和輸入規則中參照的 VPC 網路數量。 |
所有規則標題的字元總長度 | 240,000 | 所有輸入和輸出規則名稱的總長度不得超過這個限制。規則標題中的空白字元也會計入這項限制。不過,未提供標題的規則不會計入這項限制。 |
下列存取政策限制適用於特定存取政策中的所有存取層級:
類型 | 限制 | 附註 |
---|---|---|
虛擬私有雲網路 | 500 | 這項限制是指存取層級中參照的 VPC 網路數量。 |
機構限制
以下限制適用於特定機構中的所有存取權政策:
類型 | 限制 |
---|---|
機構層級存取政策 | 1 |
資料夾和專案範圍的存取權政策 | 50 |
Access Context Manager 配額和限制
由於 VPC Service Controls 使用 Access Context Manager API,您也須遵守 Access Context Manager 配額和限制。