Halaman ini mencantumkan kuota dan batas yang berlaku untuk Identity and Access Management (IAM). Kuota dan batas dapat membatasi jumlah permintaan yang dapat Anda kirim atau jumlah resource yang dapat dibuat. Batas juga dapat membatasi atribut resource, seperti panjang ID resource.
Jika kuota terlalu rendah untuk memenuhi kebutuhan Anda, Anda dapat menggunakan konsol Trusted Cloud untuk meminta penyesuaian kuota untuk project Anda. Jika konsolTrusted Cloud tidak mengizinkan Anda meminta perubahan untuk kuota tertentu, hubungi Trusted Cloud by S3NS dukungan.
Batas tidak dapat diubah.
Kuota
Secara default, kuota IAM berikut berlaku untuk setiap projectTrusted Cloud , kecuali kuota Workforce Identity Federation dan Privileged Access Manager. Kuota Workforce Identity Federation berlaku untuk organisasi.
Kuota Privileged Access Manager berlaku untuk project dan organisasi, dan dikenai biaya sebagai berikut, bergantung pada target panggilan:
- Untuk project yang bukan milik organisasi, satu unit kuota project dikenakan biaya untuk satu panggilan.
- Untuk project yang termasuk dalam organisasi, satu unit kuota project dan organisasi akan ditagih untuk satu panggilan. Panggilan ditolak jika salah satu dari dua kuota telah habis.
- Untuk panggilan ke folder atau organisasi, satu unit kuota organisasi akan dikenai biaya.
| Kuota default | |
|---|---|
| IAM v1 API | |
| Permintaan baca (misalnya, mendapatkan kebijakan izin) | 6.000 per project per menit |
| Permintaan tulis (misalnya, memperbarui kebijakan izin) | 600 per project per menit |
| IAM v2 API | |
| Permintaan baca (misalnya, mendapatkan kebijakan penolakan) | 5 per project per menit |
| Permintaan tulis (misalnya, memperbarui kebijakan penolakan) | 5 per project per menit |
| IAM v3 API | |
| Permintaan baca (misalnya, mendapatkan kebijakan batas akses utama) | 5 per project per menit |
| Permintaan tulis (misalnya, memperbarui kebijakan batas akses utama) | 5 per project per menit |
| Workload Identity Federation | |
| Permintaan baca (misalnya, mendapatkan workload identity pool) | 600 per project per menit 6.000 per klien per menit |
| Permintaan tulis (misalnya, memperbarui workload identity pool) | 60 per project per menit 600 per klien per menit |
| Workforce Identity Federation | |
| Permintaan membuat/menghapus/membatalkan penghapusan | 60 per organisasi per menit |
| Permintaan baca (misalnya, mendapatkan workforce identity pool) | 120 per organisasi per menit |
| Permintaan pembaruan (misalnya, memperbarui workforce identity pool) | 120 per organisasi per menit |
| Permintaan penghapusan/pembatalan penghapusan subjek (misalnya, menghapus subjek workforce identity pool) | 60 per organisasi per menit |
| Jumlah workforce identity pool | 100 per organisasi |
| Aplikasi OAuth tenaga kerja | |
| Permintaan membuat/membaca/memperbarui/menghapus/membatalkan penghapusan | 60 per project per menit |
| Service Account Credentials API | |
| Permintaan untuk membuat kredensial | 60.000 per project per menit |
| Permintaan untuk menandatangani JSON Web Token (JWT) atau blob | 60.000 per project per menit |
| Security Token Service API | |
| Permintaan penukaran token (workforce identity federation) | 6.000 per project per menit |
| Permintaan penukaran token (Workforce Identity Federation) | 1.000 per organisasi per menit |
| Akun layanan | |
| Jumlah akun layanan | 100 per project |
CreateServiceAccount permintaan |
Bervariasi, bergantung pada proyek. Untuk melihat kuota project, lihat kuota project Anda di Trusted Cloud konsol dan cari Permintaan Buat Akun Layanan menurut kredensial per menit. |
| Privileged Access Manager API | |
| Permintaan tulis hak (misalnya, membuat, memperbarui, atau menghapus hak) | 100 per project per menit 100 per organisasi per menit |
CheckOnboardingStatus permintaan |
300 per project per menit 900 per organisasi per menit |
ListEntitlements permintaan |
600 per project per menit 1.800 per organisasi per menit |
SearchEntitlements permintaan |
600 per project per menit 1.800 per organisasi per menit |
GetEntitlement permintaan |
3.000 per project per menit 9.000 per organisasi per menit |
ListGrants permintaan |
600 per project per menit 1.800 per organisasi per menit |
SearchGrants permintaan |
600 per project per menit 1.800 per organisasi per menit |
GetGrant permintaan |
3.000 per project per menit 9.000 per organisasi per menit |
CreateGrant permintaan |
200 per project per menit 600 per organisasi per menit |
ApproveGrant permintaan |
200 per project per menit 600 per organisasi per menit |
DenyGrant permintaan |
200 per project per menit 600 per organisasi per menit |
RevokeGrant permintaan |
300 per project per menit 900 per organisasi per menit |
GetOperation permintaan |
600 per project per menit 1.800 per organisasi per menit |
ListOperations permintaan |
300 per project per menit 900 per organisasi per menit |
Batas
IAM menerapkan batas berikut pada resource. Batas ini tidak dapat diubah.
| Batas | |
|---|---|
| Peran khusus | |
| Peran khusus untuk organisasi1 | 300 |
| Peran khusus untuk sebuah project1 | 300 |
| ID peran khusus | 64 byte |
| Judul peran khusus | 100 byte |
| Deskripsi peran khusus | 300 byte |
| Izin dalam peran khusus | 3.000 |
| Ukuran total judul, deskripsi, dan nama izin untuk peran khusus | 64 KB |
| Kebijakan izin dan binding peran | |
| Kebijakan izin per resource | 1 |
| Jumlah total akun utama di semua binding peran dan pengecualian logging audit dalam satu kebijakan2 | 1.500 |
| Operator logika dalam ekspresi kondisi binding peran | 12 |
| Binding peran dalam kebijakan izin yang mencakup peran yang sama dan akun utama yang sama, tetapi ekspresi kondisinya berbeda | 20 |
| Kebijakan penolakan dan aturan penolakan | |
| Kebijakan penolakan per resource | 500 |
| Aturan penolakan per resource | 500 |
| Jumlah total akun utama di semua kebijakan penolakan resource 3 | 2500 |
| Aturan tolak dalam kebijakan penolakan tunggal | 500 |
| Operator logika dalam ekspresi kondisi aturan tolak | 12 |
| Kebijakan batas akses utama | |
| Aturan dalam kebijakan batas akses prinsipal tunggal | 500 |
| Resource di semua aturan dalam satu kebijakan batas akses prinsipal | 500 |
| Jumlah kebijakan batas akses utama yang dapat terikat ke resource | 10 |
| Kebijakan batas akses utama per organisasi | 1000 |
| Operator logika dalam ekspresi kondisi binding kebijakan | 10 |
| Akun layanan | |
| ID akun layanan | 30 byte |
| Nama tampilan akun layanan | 100 byte |
| Kunci akun layanan untuk akun layanan | 10 |
| Workforce Identity Federation | |
| Penyedia workforce identity pool per kumpulan | 200 |
| Subjek workforce identity pool yang dihapus per kumpulan | 100.000 |
| Aplikasi OAuth tenaga kerja | |
| Klien OAuth tenaga kerja per project | 100 |
| Kredensial klien OAuth tenaga kerja per klien | 10 |
| Pemetaan atribut Workload Identity Federation dan Workforce Identity Federation | |
| Subjek yang dipetakan | 127 byte |
| Nama tampilan pengguna workforce identity pool yang dipetakan | 100 byte |
| Ukuran total atribut yang dipetakan | 8.192 byte |
| Jumlah pemetaan atribut khusus | 50 |
| Kredensial jangka pendek | |
| Masa pakai maksimum token akses 4 |
3.600 detik (1 jam) |
1 Jika Anda membuat peran khusus di level project, peran khusus tersebut tidak diperhitungkan terhadap batas di level organisasi.
2 Untuk tujuan batas ini, IAM menghitung semua tampilan dari setiap akun utama di binding peran kebijakan izin, serta akun utama yang dikecualikan dari logging audit Akses Data oleh kebijakan izin. Fitur ini tidak menghapus duplikat akun utama yang muncul di lebih dari satu binding peran. Misalnya, jika kebijakan izin hanya berisi binding peran untuk akun utamaprincipal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com, dan akun utama ini muncul dalam
50 binding peran, maka Anda dapat menambahkan
1.450 akun utama lain ke binding peran dalam kebijakan izin.
Selain itu, untuk tujuan batas ini, setiap kemunculan set akun utama dihitung sebagai satu akun utama, terlepas dari jumlah anggota individual dalam set.
Jika Anda menggunakan IAM Conditions, atau jika Anda memberikan peran ke banyak akun utama dengan ID yang sangat panjang, IAM mungkin mengizinkan lebih sedikit akun utama dalam kebijakan izin.
3
IAM menghitung semua tampilan setiap akun utama dalam semua
kebijakan penolakan yang dilampirkan ke resource. Tindakan ini tidak menghapus duplikat akun utama yang muncul
di lebih dari satu aturan penolakan atau kebijakan penolakan. Misalnya, jika kebijakan penolakan yang dilampirkan ke resource
hanya berisi aturan penolakan untuk akun utama principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com, dan akun utama ini muncul dalam
20 aturan penolakan, maka Anda dapat menambahkan
2.480 akun utama lain ke kebijakan penolakan
resource.
4
Untuk token akses OAuth 2.0, Anda dapat memperpanjang masa pakai maksimum hingga
12 jam
(43.200 detik). Untuk memperpanjang masa pakai maksimum,
identifikasi akun layanan yang memerlukan perpanjangan masa aktif untuk token, lalu
tambahkan akun layanan ini ke kebijakan organisasi yang
menyertakan
batasan daftar
constraints/iam.allowServiceAccountCredential.