Questa pagina elenca le quote e i limiti che si applicano a Identity and Access Management (IAM). Sia le quote che i limiti possono restringere il numero di richieste che puoi inviare o di risorse che puoi creare. I limiti possono ridurre anche gli attributi di una risorsa, ad esempio la lunghezza dell'identificatore della risorsa.
Se una quota è troppo bassa per soddisfare le tue esigenze, puoi utilizzare la console Trusted Cloud per richiedere un aggiustamento della quota per il tuo progetto. Se la consoleTrusted Cloud non ti consente di richiedere la modifica di una quota specifica, contatta Trusted Cloud by S3NS l'assistenza.
Non è possibile modificare i limiti.
Quote
Per impostazione predefinita, a ogni progettoTrusted Cloud vengono applicate le seguenti quote IAM, ad eccezione delle quote di Workforce Identity Federation e di Privileged Access Manager. Le quote della federazione delle identità per la forza lavoro si applicano alle organizzazioni.
Le quote di Privileged Access Manager sono applicabili sia ai progetti sia alle organizzazioni e vengono addebitate come segue a seconda della destinazione della chiamata:
- Per i progetti che non appartengono a un'organizzazione, viene addebitata un'unità di quota di progetto per una chiamata.
- Per i progetti appartenenti a un'organizzazione, per una chiamata vengono addebitate un'unità di quota per il progetto e una per l'organizzazione. Una chiamata viene rifiutata se una delle due quote è stata esaurita.
- Per le chiamate a cartelle o organizzazioni, viene addebitata un'unità di quota dell'organizzazione.
| Quote predefinite | |
|---|---|
| API IAM v1 | |
| Richieste di lettura (ad esempio, recuperare un criterio di autorizzazione) | 6000 per progetto al minuto |
| Richieste di scrittura (ad esempio aggiornare un criterio di autorizzazione) | 600 al minuto per progetto |
| API IAM v2 | |
| Richieste di lettura (ad esempio recuperare una policy di negazione) | 5 per progetto al minuto |
| Richieste di scrittura (ad esempio aggiornare un criterio di negazione) | 5 per progetto al minuto |
| API IAM v3 | |
| Richieste di lettura (ad esempio recuperare una policy di Principal Access Boundary) | 5 per progetto al minuto |
| Richieste di scrittura (ad esempio aggiornare una policy di Principal Access Boundary) | 5 per progetto al minuto |
| Federazione delle identità per i workload | |
| Richieste di lettura (ad esempio recuperare un pool di identità del workload) | 600 al minuto per progetto 6000 al minuto per cliente |
| Richieste di scrittura (ad esempio aggiornare un pool di identità del workload) | 60 per progetto al minuto 600 per cliente al minuto |
| Federazione delle identità per la forza lavoro | |
| Creare/eliminare/recuperare richieste | 60 per organizzazione al minuto |
| Richieste di lettura (ad esempio recuperare un pool di identità della forza lavoro) | 120 per organizzazione al minuto |
| Richieste di aggiornamento (ad esempio, aggiornare un pool di identità della forza lavoro) | 120 per organizzazione al minuto |
| Richieste di eliminazione/recupero di soggetti (ad esempio, eliminazione di un soggetto del pool di identità della forza lavoro) | 60 per organizzazione al minuto |
| Numero di pool di identità della forza lavoro | 100 per organizzazione |
| Applicazioni OAuth per la forza lavoro | |
| Creare/leggere/aggiornare/eliminare/recuperare le richieste | 60 al minuto per progetto |
| API Service Account Credentials | |
| Richieste per generare credenziali | 60.000 per progetto al minuto |
| Richieste per firmare un token JWT (JSON Web Token) o un blob | 60.000 per progetto al minuto |
| API Security Token Service | |
| Richieste di token di scambio (federazione delle identità non per la forza lavoro) | 6000 per progetto al minuto |
| Richieste di token di scambio (federazione delle identità della forza lavoro) | 1000 per organizzazione al minuto |
| Account di servizio | |
| Numero di account di servizio | 100 per progetto |
Richieste CreateServiceAccount |
Varia a seconda del progetto. Per visualizzare la quota per un progetto, visualizza le quote del progetto nella Trusted Cloud console e cerca Richieste di creazione di service account per credenziale al minuto. |
| API Privileged Access Manager | |
| Richieste di scrittura dei diritti (ad esempio, creazione, aggiornamento o eliminazione di un diritto) | 100 per progetto al minuto 100 per organizzazione al minuto |
Richieste CheckOnboardingStatus |
300 per progetto al minuto 900 per organizzazione al minuto |
Richieste ListEntitlements |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste SearchEntitlements |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste GetEntitlement |
3000 per progetto al minuto 9000 per organizzazione al minuto |
Richieste ListGrants |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste SearchGrants |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste GetGrant |
3000 per progetto al minuto 9000 per organizzazione al minuto |
Richieste CreateGrant |
200 al minuto per progetto 600 al minuto per organizzazione |
Richieste ApproveGrant |
200 al minuto per progetto 600 al minuto per organizzazione |
Richieste DenyGrant |
200 al minuto per progetto 600 al minuto per organizzazione |
Richieste RevokeGrant |
300 per progetto al minuto 900 per organizzazione al minuto |
Richieste GetOperation |
600 al minuto per progetto 1800 al minuto per organizzazione |
Richieste ListOperations |
300 per progetto al minuto 900 per organizzazione al minuto |
Limiti
IAM applica i seguenti limiti alle risorse. Questi limiti non possono essere modificati.
| Limiti | |
|---|---|
| Ruoli personalizzati | |
| Ruoli personalizzati per un'organizzazione1 | 300 |
| Ruoli personalizzati per un progetto1 | 300 |
| ID di un ruolo personalizzato | 64 byte |
| Titolo di un ruolo personalizzato | 100 byte |
| Descrizione di un ruolo personalizzato | 300 byte |
| Autorizzazioni in un ruolo personalizzato | 3000 |
| Dimensione totale di titolo, descrizione e nomi autorizzazione per un ruolo personalizzato | 64 kB |
| Criteri di autorizzazione e binding dei ruoli | |
| Policy di autorizzazione per risorsa | 1 |
| Numero totale di entità in tutte le associazioni di ruoli e esenzioni dalla registrazione degli audit all'interno di un singolo criterio2 | 1500 |
| Operatori logici in un'espressione della condizione di un'associazione di ruoli | 12 |
| Associazioni di ruoli in un criterio di autorizzazione che include lo stesso ruolo e la stessa entità, ma espressioni di condizione diverse | 20 |
| Policy di negazione e regole di negazione | |
| Policy di negazione per risorsa | 500 |
| Regole di negazione per risorsa | 500 |
| Numero totale di entità in tutte le norme di negazione di una risorsa 3 | 2500 |
| Regole di negazione in un singolo criterio di negazione | 500 |
| Operatori logici nell'espressione della condizione di una regola di negazione | 12 |
| Policy di Principal Access Boundary | |
| Regole in un singolo criterio di Principal Access Boundary | 500 |
| Risorse in tutte le regole di un singolo criterio di Principal Access Boundary | 500 |
| Numero di policy di Principal Access Boundary che possono essere associate a una risorsa | 10 |
| Policy di Principal Access Boundary per organizzazione | 1000 |
| Operatori logici in un'espressione della condizione di un'associazione di criteri | 10 |
| Account di servizio | |
| ID account di servizio | 30 byte |
| Nome visualizzato dell'account di servizio | 100 byte |
| Chiavi per un account di servizio | 10 |
| Federazione delle identità per la forza lavoro | |
| Provider di pool di identità per la forza lavoro per pool | 200 |
| Soggetti del pool di identità della forza lavoro eliminati per pool | 100.000 |
| Applicazioni OAuth per la forza lavoro | |
| Client OAuth per la forza lavoro per progetto | 100 |
| Credenziali client OAuth di Workforce per client | 10 |
| Mapping degli attributi della federazione delle identità per i workload e della federazione delle identità della forza lavoro | |
| Soggetto mappato | 127 byte |
| Nome visualizzato dell'utente del pool di identità della forza lavoro mappato | 100 byte |
| Dimensioni totali degli attributi mappati | 8192 byte |
| Numero di mapping degli attributi personalizzati | 50 |
| Credenziali di breve durata | |
| Durata massima di un token di accesso 4 |
3600 secondi (1 ora) |
1 Se crei ruoli personalizzati a livello di progetto, questi non vengono conteggiati per il raggiungimento del limite a livello di organizzazione.
2 Ai fini di questo limite, IAM conteggia tutte le volte che ciascuna entità compare nelle associazioni di ruolo del criterio di autorizzazione, nonché le entità che il criterio di autorizzazione esenta dalla registrazione degli audit log di accesso ai dati. Non deduplica le entità presenti in più di un'associazione di ruoli. Ad esempio, se un criterio di tipo Consenti contiene solo associazioni di ruoli per l'entitàprincipal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com e questa entità compare in 50 associazioni di ruoli, puoi aggiungere altre 1450 entità alle associazioni di ruoli nel criterio di tipo Consenti.
Inoltre, ai fini di questo limite, ogni occorrenza di un insieme di entità viene conteggiata come una singola entità, indipendentemente dal numero di singoli membri nell'insieme.
Se utilizzi le condizioni IAM o se concedi ruoli a molte entità con identificatori insolitamente lunghi, IAM potrebbe consentire un numero inferiore di entità nel criterio di autorizzazione.
3
IAM conteggia tutte le volte che ciascuna entità compare in tutti i criteri di negazione collegati a una risorsa. Non deduplica le entità che compaiono
in più di una regola di negazione o in più di un criterio di negazione. Ad esempio, se i criteri di negazione collegati a una risorsa
contengono solo regole di negazione per l'entità principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com e questa entità compare in
20 regole di negazione, puoi aggiungere altre
2480 entità ai criteri di negazione della risorsa.
4
Per i token di accesso OAuth 2.0, puoi estendere la durata massima a 12 ore (43.200 secondi). Per estendere la durata massima, identifica i service account i cui token necessitano di una durata estesa, quindi aggiungi questi service account a un criterio dell'organizzazione che includa il vincolo dell'elenco constraints/iam.allowServiceAccountCredential.