這個頁面列出 Identity and Access Management (IAM) 適用的配額與限制。使用者可傳送的要求數或可建立的資源數有一定的配額與限制。此外,資源的屬性 (例如資源 ID 的長度) 可能也有特定的限制。
如果配額太低,不敷使用,可以透過 Google Cloud 控制台申請調整專案的配額。如果Google Cloud 控制台不允許您申請調整特定配額,請與 Google Cloud 支援團隊聯絡。
限制則無法變更。
配額
根據預設,下列 IAM 配額適用於每個Google Cloud 專案,但員工身分聯盟和 Privileged Access Manager 配額除外。員工身分聯盟配額適用於機構。
Privileged Access Manager 配額適用於專案和機構,並根據呼叫目標按下列方式收費:
- 如果專案不屬於機構,系統會針對每次呼叫收取一單位的專案配額。
- 如果專案屬於機構,則每次呼叫會分別收取專案和機構配額各一個單位。如果這兩個配額中任一項用盡,系統就會拒絕呼叫。
- 如果呼叫資料夾或機構,系統會收取一個機構配額單位。
| 預設配額 | |
|---|---|
| IAM v1 API | |
| 讀取要求 (例如:取得允許政策) | 每項專案每分鐘 6,000 次 |
| 寫入要求數 (例如:更新允許政策) | 每項專案每分鐘 600 次 |
| IAM v2 API | |
| 讀取要求 (例如:取得拒絕政策) | 每項專案每分鐘 5 次 |
| 寫入要求數 (例如:更新拒絕政策) | 每項專案每分鐘 5 次 |
| IAM v3 API | |
| 讀取要求 (例如:取得主體存取邊界政策) | 每項專案每分鐘 5 次 |
| 寫入要求數 (例如:更新主體存取邊界政策) | 每項專案每分鐘 5 次 |
| Workload Identity 聯盟 | |
| 讀取要求 (例如:取得 workload identity pool) | 每項專案每分鐘 600 次 每個用戶端每分鐘 6,000 次 |
| 寫入要求數 (例如:更新 workload identity pool) | 每項專案每分鐘 60 次 每位用戶端每分鐘 600 次 |
| 員工身分聯盟 | |
| 建立/刪除/取消刪除要求 | 每個機構每分鐘 60 次 |
| 讀取要求 (例如:取得員工身分集區) | 每個機構每分鐘 120 次 |
| 更新要求 (例如更新員工身分聯盟集區) | 每個機構每分鐘 120 次 |
| 主體刪除/取消刪除要求 (例如刪除員工身分集區主體) | 每個機構每分鐘 60 次 |
| 員工身分集區數量 | 每個機構 100 個 |
| 員工 OAuth 應用程式 | |
| 建立/讀取/更新/刪除/取消刪除要求 | 每項專案每分鐘 60 次 |
| Service Account Credentials API | |
| 產生憑證的要求數 | 每項專案每分鐘 60,000 次 |
| 簽署 JSON Web Token (JWT) 或 blob 的要求數 | 每項專案每分鐘 60,000 次 |
| Security Token Service API | |
| 交換權杖的全球要求 (不含員工身分聯盟) | 每項專案每分鐘 6,000 次 |
| 交換權杖的區域要求 (非員工身分聯盟) | 每項專案每分鐘 6,000 次 (每個區域) |
| 交換權杖要求 (員工身分聯盟) | 每個機構每分鐘 1,000 次 |
| 中介權杖交換全球要求 | 每項專案每分鐘 3,000 次 |
| 中介權杖交換區域要求 | 每項專案每分鐘每個區域 3,000 次 |
| 權杖內省全域要求 | 每項專案每分鐘 6,000 次 |
| 權杖內省區域要求 | 每項專案每分鐘 6,000 次 (每個區域) |
| 服務帳戶 | |
| 服務帳戶數量 | 視專案而定。如要查看專案的配額,請啟用 IAM API,然後在 Google Cloud 控制台中查看專案配額,並搜尋「服務帳戶數量」。 |
CreateServiceAccount 要求 |
視專案而定。如要查看專案的配額,請啟用 IAM API,然後在 Google Cloud 控制台中查看專案配額,並搜尋「Create Service Account requests by credential per minute」(每分鐘每個憑證的服務帳戶建立要求)。 |
| Privileged Access Manager API | |
| 授權寫入要求 (例如建立、更新或刪除授權) | 每項專案每分鐘 100 次 每個機構每分鐘 100 次 |
CheckOnboardingStatus 要求 |
每項專案每分鐘 300 次 每個機構每分鐘 900 次 |
ListEntitlements 要求 |
每項專案每分鐘 600 次 每個機構每分鐘 1800 次 |
SearchEntitlements 要求 |
每項專案每分鐘 600 次 每個機構每分鐘 1800 次 |
GetEntitlement 要求 |
每項專案每分鐘 3,000 次 每個機構每分鐘 9,000 次 |
ListGrants 要求 |
每項專案每分鐘 600 次 每個機構每分鐘 1800 次 |
SearchGrants 要求 |
每項專案每分鐘 600 次 每個機構每分鐘 1800 次 |
GetGrant 要求 |
每項專案每分鐘 3,000 次 每個機構每分鐘 9,000 次 |
CreateGrant 要求 |
每項專案每分鐘 200 次 每個機構每分鐘 600 次 |
ApproveGrant 要求 |
每項專案每分鐘 200 次 每個機構每分鐘 600 次 |
DenyGrant 要求 |
每項專案每分鐘 200 次 每個機構每分鐘 600 次 |
RevokeGrant 要求 |
每項專案每分鐘 300 次 每個機構每分鐘 900 次 |
GetOperation 要求 |
每項專案每分鐘 600 次 每個機構每分鐘 1800 次 |
ListOperations 要求 |
每項專案每分鐘 300 次 每個機構每分鐘 900 次 |
限制
IAM 適用的資源限制如下:這些限制無法變更。
| 限制 | |
|---|---|
| 自訂角色 | |
| 單一機構的自訂角色數量1 | 300 |
| 單一專案的自訂角色數量1 | 300 |
| 自訂角色的 ID | 64 個位元組 |
| 自訂角色的名稱 | 100 個位元組 |
| 自訂角色的說明 | 300 個位元組 |
| 自訂角色的權限 | 3,000 |
| 自訂角色的名稱、說明和權限名稱總大小 | 64 KB |
| 允許政策和角色繫結 | |
| 每個資源的允許政策 | 1 |
| 單一政策中所有角色繫結和稽核記錄豁免的主體總數 (包括網域和 Google 群組)2 | 1,500 |
| 單一允許政策中所有角色繫結的網域和 Google 群組數量3 | 250 |
| 角色繫結條件運算式中的邏輯運算子數量 | 12 |
| 允許政策中包括同角色同主體、但條件運算式不同的角色繫結數量 | 20 |
| 拒絕政策和拒絕規則 | |
| 每個資源的拒絕政策 | 500 |
| 各資源的拒絕規則 | 500 |
| 資源所有拒絕政策中的網域和 Google 群組 4 | 500 |
| 主體總數 (包括網域和 Google 群組) 在所有資源的拒絕政策中 4 | 2500 |
| 單一拒絕政策中的拒絕規則 | 500 |
| 拒絕規則的條件運算式中的邏輯運算子數量 | 12 |
| 主體存取邊界政策 | |
| 單一主體存取邊界政策中的規則 | 500 |
| 單一主體存取邊界政策中所有規則的資源 | 500 |
| 可繫結至資源的主體存取邊界政策數量 | 10 |
| 每個機構的主體存取邊界政策 | 1000 |
| 政策繫結條件運算式中的邏輯運算子數量 | 10 |
| 存取權政策 | |
| 可繫結至資源的存取權政策數量 | 5 |
| 可將單一存取政策繫結至的資源數 | 5 |
| 服務帳戶 | |
| 服務帳戶 ID | 30 個位元組 |
| 服務帳戶顯示名稱 | 100 個位元組 |
| 單一服務帳戶的服務帳戶金鑰數量 | 10 |
| 員工身分聯盟 | |
| 每個集區的工作團隊身分集區提供者 | 200 |
| 每個集區已刪除的工作團隊身分集區主體 | 100,000 |
| 員工 OAuth 應用程式 | |
| 每個專案的員工 OAuth 用戶端 | 100 |
| 每個用戶端的 Workforce OAuth 用戶端憑證 | 10 |
| Workload Identity Federation 和員工身分聯盟屬性對應 | |
| 對應的主體 | 127 個位元組 |
| 對應的工作團隊身分集區使用者顯示名稱 | 100 個位元組 |
| 對應屬性的總大小 | 8,192 個位元組 |
| 自訂屬性對應數量 | 50 |
| 短期憑證 | |
| 憑證存取權範圍中的存取權範圍規則數量 | 10 |
| 存取權杖的最大生命週期 5 |
3,600 秒 (1 小時) |
1 如果您在專案層級建立自訂角色,這些自訂角色不會計入機構層級的限制。
2 為計算這項限制,IAM 會計算允許政策角色繫結中每位主體的「所有」出現次數,以及允許政策「免除資料存取稽核記錄」的主體。而「不會」捨棄相同主體在不同角色繫結中重複出現的次數。舉例來說,假設允許政策只包含主體user:my-user@example.com 的角色繫結,且這個主體出現在 50 個角色繫結中,那麼您可以在允許政策的角色繫結中再新增 1,450 個主體。
此外,就這項限制而言,無論網域或 Google 群組中有多少個別成員,每個網域或群組都會計為一個主體。
如果您使用 IAM 條件,或是授予許多主體角色,且這些主體的 ID 異常長,則 IAM 可能會在允許政策中允許較少主體。
3 為計算這項限制,Cloud Identity 網域、Google Workspace 帳戶和 Google 群組的計數方式如下:
- 如果是 Google 群組,無論群組在允許政策中出現幾次,每個不重複的群組只會計入一次。這與允許政策中主體總數的限制不同,後者會將群組的每次出現計入限制。
- 如果是 Cloud Identity 網域或 Google Workspace 帳戶,IAM 會計算允許政策角色繫結中每個網域或帳戶出現的「所有」次數。但「不會」捨棄相同網域或帳戶在不同角色繫結中重複出現的次數。
舉例來說,如果允許政策只包含一個群組 (group:my-group@example.com),且該群組在允許政策中出現 10 次,您最多可以再新增 249 個 Cloud Identity 網域、Google Workspace 帳戶或不重複群組,才會達到上限。
或者,如果允許政策只包含一個網域 (domain:example.com),且該網域在允許政策中出現 10 次,您最多可以再新增 240 個 Cloud Identity 網域、Google Workspace 帳戶或不重複群組,才會達到上限。
4
身分與存取權管理會計算附加至資源的所有拒絕政策中,每個主體的所有出現次數。但「不會」捨棄相同主體在不同拒絕規則或拒絕政策中重複出現的次數。舉例來說,如果附加至資源的拒絕政策只包含主體 user:my-user@example.com 的拒絕規則,且這個主體出現在 20 項拒絕規則中,則您可以在資源的拒絕政策中再新增 2,480 個主體。
5
您可以將 OAuth 2.0 存取權杖的最大生命週期延長至 12 小時 (43,200 秒)。如要延長存取權杖的生命週期上限,請先找出要延長存取權杖生命週期的服務帳戶,然後將這些服務帳戶新增至機構政策 (須含 constraints/iam.allowServiceAccountCredential 清單限制)。