本页面上的部分或全部信息可能不适用于 Trusted Cloud by S3NS。

配额和限制

本页面列出了适用于身份和访问权限管理 (IAM) 的配额和限制。配额和限制都能限制您可以发送的请求数量或可以创建的资源数量。限制还可能会约束资源的特性，例如资源标识符的长度。

如果配额太低，无法满足您的需求，您可以使用 Trusted Cloud 控制台为您的项目申请调整配额。如果Trusted Cloud 控制台不允许您申请更改特定配额，请与 Trusted Cloud by S3NS 支持团队联系。

限制不能更改。

配额

默认情况下，以下 IAM 配额适用于每个Trusted Cloud 项目，员工身份联合和 Privileged Access Manager 配额除外。员工身份联合配额适用于组织。

Privileged Access Manager 配额适用于项目和组织，并根据调用的目标按以下方式收费：

对于不属于组织的项目，系统会针对调用收取一个单位的项目配额。
对于属于某个组织的项目，系统会针对每个项目和组织配额收取一个单位的配额。如果这两项配额中的任一项用尽，系统会拒绝调用。
对于对文件夹或组织的调用，系统会收取一个单位的组织配额。

默认配额
IAM v1 API
读取请求数（例如获取允许政策）	每个项目每分钟 6,000 次
写入请求数（例如更新允许政策）	每个项目每分钟 600 次
IAM v2 API
读取请求数（例如获取拒绝政策）	每个项目每分钟 5 次
写入请求数（例如更新拒绝政策）	每个项目每分钟 5 次
IAM v3 API
读取请求数（例如获取主账号访问权限边界政策）	每个项目每分钟 5 次
写入请求（例如更新主账号访问权限边界政策）	每个项目每分钟 5 次
工作负载身份联合
读取请求数（例如获取工作负载身份池）	每个项目每分钟 600 每个客户端每分钟 6000
写入请求数（例如更新工作负载身份池）	每个项目每分钟 60 每个客户端每分钟 600
员工身份联合
创建/删除/恢复删除请求数	每个组织每分钟 60 次
读取请求数（例如获取员工身份池）	每个组织每分钟 120 次
更新请求数（例如更新员工身份池）	每个组织每分钟 120 次
主题删除/恢复删除请求数（例如删除员工身份池主题）	每个组织每分钟 60 次
员工身份池数量	每个组织 100 个
员工 OAuth 应用
创建/读取/更新/删除/恢复删除请求数	每个项目每分钟 60 次
Service Account Credentials API
要求生成凭据的请求数	每个项目每分钟 60,000 次
要求对 JSON Web 令牌 (JWT) 或 blob 签名的请求数	每个项目每分钟 60,000 次
Security Token Service API
交换令牌请求数（非员工身份联合）	每个项目每分钟 6,000 次
交换令牌请求数（员工身份联合）	每个组织每分钟 1,000 次
服务账号
服务账号数	每个项目 100 次
`CreateServiceAccount` 请求	因项目而异。如需查看项目的配额，请在 Trusted Cloud 控制台中查看项目的配额，然后搜索每分钟按凭证创建服务账号的请求数。
Privileged Access Manager API
使用权写入请求（例如，创建、更新或删除使用权）	每个项目每分钟 100 次每个组织每分钟 100 次
`CheckOnboardingStatus` 请求	每个项目每分钟 300 次每个组织每分钟 900 次
`ListEntitlements` 请求	每个项目每分钟 600 次每个组织每分钟 1800 次
`SearchEntitlements` 请求	每个项目每分钟 600 次每个组织每分钟 1800 次
`GetEntitlement` 请求	每个项目每分钟 3000 次每个组织每分钟 9000 次
`ListGrants` 请求	每个项目每分钟 600 次每个组织每分钟 1800 次
`SearchGrants` 请求	每个项目每分钟 600 次每个组织每分钟 1800 次
`GetGrant` 请求	每个项目每分钟 3000 次每个组织每分钟 9000 次
`CreateGrant` 请求	每个项目每分钟 200 次每个组织每分钟 600 次
`ApproveGrant` 请求	每个项目每分钟 200 次每个组织每分钟 600 次
`DenyGrant` 请求	每个项目每分钟 200 次每个组织每分钟 600 次
`RevokeGrant` 请求	每个项目每分钟 300 次每个组织每分钟 900 次
`GetOperation` 请求	每个项目每分钟 600 次每个组织每分钟 1800 次
`ListOperations` 请求	每个项目每分钟 300 次每个组织每分钟 900 次

限制

IAM 对资源实施以下限制。这些限制无法更改。

限制
自定义角色
一个组织的自定义角色数¹	300
一个项目的自定义角色数¹	300
自定义角色的 ID	64 字节
自定义角色的名称	100 个字节
自定义角色的描述	300 个字节
自定义角色中的权限	3000
自定义角色的名称、描述和权限名称的总大小	64 KB
允许政策和角色绑定
每项资源允许的政策数量	1
单项政策中的所有角色绑定和审核日志记录豁免的主账号总数²	1,500
角色绑定的条件表达式中的逻辑运算符数	12
允许政策中包括同一角色和同一主账号但条件表达式不同的角色绑定数	20
拒绝政策和拒绝规则
每项资源的拒绝政策数	500
每项资源的拒绝规则数	500
资源的所有拒绝政策中的主账号总数 ³	2500
单个拒绝政策中的拒绝规则数	500
拒绝规则的条件表达式中的逻辑运算符数	12
Principal Access Boundary Policy
单个主账号访问权限边界政策中的规则	500
单个主账号访问权限边界政策中所有规则中的资源	500
可绑定到资源的主账号访问权限边界政策数量	10
每个组织的主账号访问权限边界政策	1000
政策绑定的条件表达式中的逻辑运算符数	10
服务账号
服务账号 ID	30 个字节
服务账号显示名	100 个字节
服务账号的服务账号密钥数	10
员工身份联合
每个池的员工身份池提供方数量	200
每个池的已删除员工身份池主题数	100000
员工 OAuth 应用
每个项目的员工 OAuth 客户端	100
每个客户端的员工 OAuth 客户端凭据	10
工作负载身份联合和员工身份联合属性映射
映射的主题	127 个字节
映射的员工身份池用户显示名	100 个字节
映射属性的总大小	8192 个字节
自定义属性映射的数量	50
短期凭据
访问令牌的最长有效期 ⁴	3600 秒（1 小时）

¹ 如果您在项目级别创建自定义角色，这些自定义角色不会计入组织级别的限额。

² 对于此限制而言，IAM 会统计允许政策的角色绑定中每个主账号的所有出现次数，以及允许政策从数据访问审核日志中排除的主账号，而不会去除重复出现在多个绑定中的主账号。例如，如果允许政策仅包含主账号 principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com 的角色绑定，并且此主账号出现在 50 个角色绑定中，则您可以向允许政策中的角色绑定添加另外 1,450 个主账号。

此外，对于此限制而言，无论主账号集中的单个成员数量是多少，只要主账号集出现一次，就算作一个主账号。

如果您使用 IAM Conditions，或者为具有异常长的标识符的多个主账号授予角色，则 IAM 可能允许的允许政策中的主账号较少。

³ IAM 会统计每个主账号在附加到某个资源的所有拒绝政策中的所有出现次数。但不会去除重复出现在多个拒绝规则或拒绝政策中的主账号。例如，如果附加到某个资源的拒绝政策仅包含主账号 principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com 的拒绝规则，并且此主账号出现在 20 个拒绝规则中，则您可以再将 2,480 个主账号添加到该资源的拒绝政策中。

⁴ 对于 OAuth 2.0 访问令牌，您可以将最长有效期延长至 12 小时（43200 秒）。如需延长最长有效期，请确定需要延长令牌有效期的服务账号，然后将这些服务账号添加到包含 constraints/iam.allowServiceAccountCredentialLifetimeExtension 列表限制条件的组织政策。