בדף הזה מפורטות המכסות והמגבלות שחלות על ניהול הזהויות והרשאות הגישה (IAM). המכסות והמגבלות יכולות להגביל את מספר הבקשות שאפשר לשלוח או את מספר המשאבים שאפשר ליצור. המגבלות יכולות גם להגביל את המאפיינים של משאב, כמו אורך המזהה שלו.
אם מכסה נמוכה מדי ולא מתאימה לצרכים שלכם, תוכלו להשתמש במסוף Google Cloud כדי לבקש שינוי של המכסה בפרויקט. אם במסוףGoogle Cloud אי אפשר לבקש לשנות מכסה מסוימת, אפשר לפנות Google Cloud לתמיכה.
אי אפשר לשנות את המגבלות.
מכסות
כברירת מחדל, המכסות הבאות של IAM חלות על כלGoogle Cloud פרויקט, חוץ ממכסות של איחוד שירותי אימות הזהות של כוח עבודה ומכסות של Privileged Access Manager. המכסות של איחוד שירותי אימות הזהות של כוח עבודה חלות על ארגונים.
המכסות של Privileged Access Manager חלות על פרויקטים ועל ארגונים, והחיוב מתבצע באופן הבא בהתאם ליעד של הקריאה:
- בפרויקטים שלא שייכים לארגון, כל קריאה מחויבת ביחידה אחת של מכסת פרויקט.
- בפרויקטים ששייכים לארגון, כל קריאה מחויבת ביחידה אחת של מכסת הפרויקט וביחידה אחת של מכסת הארגון. השיחה נדחית אם אחת משתי המכסות מוצתה.
- עבור שיחות לתיקיות או לארגונים, יחויב יחידה אחת של מכסת הארגון.
| מכסות שמוגדרות כברירת המחדל | |
|---|---|
| IAM v1 API | |
| בקשות קריאה (לדוגמה, קבלת מדיניות הרשאה) | 6,000 לפרויקט לדקה |
| בקשות כתיבה (לדוגמה, עדכון מדיניות הרשאה) | 600 לפרויקט לדקה |
| IAM v2 API | |
| בקשות קריאה (לדוגמה, קבלת מדיניות דחייה) | 5 לפרויקט לדקה |
| בקשות כתיבה (לדוגמה, עדכון מדיניות דחייה) | 5 לפרויקט לדקה |
| IAM v3 API | |
| בקשות קריאה (לדוגמה, קבלת מדיניות לקביעת גבול הגישה לחשבונות משתמשים) | 5 לפרויקט לדקה |
| בקשות כתיבה (לדוגמה, עדכון של מדיניות לקביעת גבול הגישה לחשבונות משתמשים) | 5 לפרויקט לדקה |
| איחוד שירותי אימות הזהות של עומסי עבודה | |
| בקשות קריאה (לדוגמה, קבלת מאגר זהויות של עומסי עבודה) | 600 לפרויקט לדקה 6,000 ללקוח לדקה |
| בקשות כתיבה (לדוגמה, עדכון של מאגר זהויות של עומסי עבודה) | 60 לפרויקט לדקה 600 ללקוח לדקה |
| איחוד שירותי אימות הזהות של כוח העבודה | |
| יצירה/מחיקה/ביטול-מחיקה של בקשות | 60 לארגון לדקה |
| בקשות קריאה (לדוגמה, קבלה של מאגר זהויות של כוח עבודה) | 120 לארגון לדקה |
| בקשות עדכון (לדוגמה, עדכון של מאגר זהויות של כוח עבודה) | 120 לארגון לדקה |
| בקשות מחיקה/ביטול-מחיקה של נושא (לדוגמה, מחיקת נושא של מאגר זהויות של כוח עבודה) | 60 לארגון לדקה |
| מספר מאגרי הזהויות של כוח העבודה | 100 לארגון |
| אפליקציות OAuth של כוח העבודה | |
| יצירה/קריאה/עדכון/מחיקה/ביטול-מחיקה של בקשות | 60 לפרויקט לדקה |
| Service Account Credentials API | |
| בקשות של יצירת פרטי כניסה | 60,000 לפרויקט לדקה |
| בקשות של חתימה על אסימון רשת מבוסס JSON (JWT) או blob | 60,000 לפרויקט לדקה |
| Security Token Service API | |
| בקשות גלובליות של אסימוני Exchange (לא איחוד שירותי אימות הזהות של כוח עבודה) | 6,000 לפרויקט לדקה |
| בקשות אזוריות של אסימוני Exchange (לא איחוד שירותי אימות הזהות של כוח העבודה) | 6,000 לפרויקט לכל אזור לדקה |
| בקשות של אסימוני Exchange (איחוד שירותי אימות הזהות של כוח עבודה) | 1,000 לארגון לדקה |
| בקשות גלובליות להחלפת טוקנים של צד שלישי | 3,000 לפרויקט לדקה |
| בקשות אזוריות להחלפת טוקנים של מתווך | 3,000 לפרויקט לכל אזור לדקה |
| בקשות גלובליות לבדיקת טוקנים | 6,000 לפרויקט לדקה |
| בקשות אזוריות לבדיקת טוקנים | 6,000 לפרויקט לכל אזור לדקה |
| חשבונות שירות | |
| מספר חשבונות שירות | 100 לכל פרויקט |
CreateServiceAccount בקשות |
משתנה בהתאם לפרויקט. כדי לראות את המכסה של פרויקט, צופים במכסות של הפרויקט במסוף Google Cloud ומחפשים את Create Service Account requests by credential per minute. |
| Privileged Access Manager API | |
| בקשות כתיבה של הרשאות (לדוגמה, יצירה, עדכון או מחיקה של הרשאה) | 100 לפרויקט לדקה 100 לארגון לדקה |
CheckOnboardingStatus בקשות |
300 לפרויקט לדקה 900 לארגון לדקה |
ListEntitlements בקשות |
600 לפרויקט לדקה 1,800 לארגון לדקה |
SearchEntitlements בקשות |
600 לפרויקט לדקה 1,800 לארגון לדקה |
GetEntitlement בקשות |
3,000 לפרויקט לדקה 9,000 לארגון לדקה |
ListGrants בקשות |
600 לפרויקט לדקה 1,800 לארגון לדקה |
SearchGrants בקשות |
600 לפרויקט לדקה 1,800 לארגון לדקה |
GetGrant בקשות |
3,000 לפרויקט לדקה 9,000 לארגון לדקה |
CreateGrant בקשות |
200 לפרויקט לדקה 600 לארגון לדקה |
ApproveGrant בקשות |
200 לפרויקט לדקה 600 לארגון לדקה |
DenyGrant בקשות |
200 לפרויקט לדקה 600 לארגון לדקה |
RevokeGrant בקשות |
300 לפרויקט לדקה 900 לארגון לדקה |
GetOperation בקשות |
600 לפרויקט לדקה 1,800 לארגון לדקה |
ListOperations בקשות |
300 לפרויקט לדקה 900 לארגון לדקה |
מגבלות
IAM אוכף את המגבלות הבאות על משאבים. אי אפשר לשנות אותן.
| מגבלות | |
|---|---|
| תפקידים בהתאמה אישית | |
| תפקידים בהתאמה אישית לארגון1 | 300 |
| תפקידים בהתאמה אישית לפרויקט1 | 300 |
| מזהה של תפקיד בהתאמה אישית | 64 בייטים |
| שם של תפקיד בהתאמה אישית | 100 בייטים |
| תיאור של תפקיד בהתאמה אישית | 300 בייטים |
| הרשאות בתפקיד מותאם אישית | 3,000 |
| הגודל הכולל של השם, התיאור ושמות ההרשאות של תפקיד בהתאמה אישית | 64KB |
| מדיניות הרשאות וקישורי תפקידים | |
| מדיניות הרשאות למשאב | 1 |
| המספר הכולל של חשבונות משתמשים (כולל דומיינים וקבוצות Google) בכל קישורי התפקידים והפטורים לרישום ביומני ביקורת במדיניות אחת2 | 1,500 |
| דומיינים וקבוצות Google בכל קישורי התפקידים במדיניות הרשאות אחת3 | 250 |
| אופרטורים לוגיים בביטוי התנאי של קישור תפקידים | 12 |
| קישורי תפקידים במדיניות הרשאות שכוללים את אותו התפקיד ואותו חשבון משתמש, אבל עם ביטויי תנאי שונים | 20 |
| מדיניות דחייה וכללי דחייה | |
| מדיניות דחייה למשאב | 500 |
| כללי דחייה למשאב | 500 |
| דומיינים וקבוצות Google בכל מדיניות הדחייה של משאב4 | 500 |
| המספר הכולל של חשבונות משתמשים (כולל דומיינים וקבוצות Google) בכל מדיניות הדחייה של משאב 4 | 2500 |
| כללי דחייה במדיניות דחייה אחת | 500 |
| אופרטורים לוגיים בביטוי תנאי של כלל דחייה | 12 |
| מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) | |
| כללים במדיניות אחת לקביעת גבול הגישה לחשבונות משתמשים (PAB) | 500 |
| משאבים בכל הכללים במדיניות אחת לקביעת גבול הגישה לחשבונות משתמשים (PAB) | 500 |
| מספר המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שאפשר לקשר למשאב | 10 |
| מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) לכל ארגון | 1000 |
| אופרטורים לוגיים בביטוי התנאי של קישור מדיניות | 10 |
| מדיניות גישה | |
| מספר כללי מדיניות הגישה שאפשר לקשר למשאב | 5 |
| מספר המשאבים שאפשר לקשר אליהם מדיניות גישה אחת | 5 |
| חשבונות שירות | |
| מזהה חשבון השירות | 30 בייטים |
| השם המוצג של חשבון השירות | 100 בייטים |
| מפתחות של חשבונות שירות לחשבון שירות | 10 |
| איחוד שירותי אימות הזהות של כוח העבודה | |
| ספקים של מאגרי זהויות כוח עבודה לכל מאגר | 200 |
| נושאים שנמחקו במאגרי זהויות כוח עבודה לכל מאגר | 100,000 |
| אפליקציות OAuth של כוח העבודה | |
| לקוחות OAuth של כוח העבודה לכל פרויקט | 100 |
| פרטי כניסה של לקוח OAuth לכל לקוח | 10 |
| מיפוי מאפיינים של איחוד זהויות של עומסי עבודה ושל איחוד זהויות של כוח עבודה | |
| הנושא הממופה | 127 בייטים |
| השם המוצג של משתמש ממופה במאגר זהויות של כוח עבודה | 100 בייטים |
| הגודל הכולל של מאפיינים ממופים | 8,192 בייטים |
| מספר המיפויים של מאפיינים מותאמים אישית | 50 |
| פרטי הכניסה לטווח קצר | |
| כללי גבולות גישה בגבול הגישה לפרטי הכניסה | 10 |
| משך החיים המקסימלי של אסימון גישה 5 |
3,600 שניות (שעה) |
1 אם יוצרים תפקידים בהתאמה אישית ברמת הפרויקט, הם לא נספרים כחלק מהמגבלה ברמת הארגון.
2 למטרות המגבלה הזו, IAM סופר את כל המופעים של כל חשבון משתמש בקישורי התפקידים של מדיניות ההרשאות, וגם את חשבונות המשתמשים שמדיניות ההרשאות פוטרת מרישום הגישה לנתונים ביומני הביקורת. הוא לא מבטל כפילויות של חשבונות משתמשים שמופיעים בכמה קישורי תפקידים. לדוגמה, אם מדיניות הרשאות כוללת רק קישורי תפקידים לחשבון המשתמשuser:my-user@example.com, וחשבון המשתמש הזה מופיע ב-50 קישורי תפקידים, תוכלו להוסיף עוד 1,450 חשבונות משתמשים לקישורי התפקידים במדיניות ההרשאות.
בנוסף, למטרות המגבלה הזו, כל מופע של דומיין או קבוצה ב-Google נספר כחשבון משתמש אחד, בלי קשר למספר החברים בדומיין או בקבוצה.
אם משתמשים בתנאים של IAM, או אם מעניקים תפקידים לחשבונות משתמש רבים עם מזהים ארוכים במיוחד, אז IAM עשוי לאפשר שימוש בפחות חשבונות משתמשים במדיניות ההרשאה.
3 לצורכי המגבלה הזו, דומיינים ב-Cloud Identity, חשבונות Google Workspace וקבוצות Google נספרים באופן הבא:
- לקבוצות Google, כל קבוצה ייחודית נספרת פעם אחת בלבד בלי קשר למספר הפעמים שהקבוצה מופיעה במדיניות ההרשאות. הספירה הזו שונה מהספירה של קבוצות במסגרת המגבלה על המספר הכולל של חשבונות משתמשים במדיניות הרשאה – במסגרת המגבלה הזו, כל מופע של קבוצה נספר במסגרת המגבלה.
- בדומיינים של Cloud Identity או בחשבונות Google Workspace, IAM סופר את כל המופעים של כל דומיין או חשבון בקישורי התפקידים של מדיניות ההרשאות. הוא לא מבטל כפילויות של דומיינים או חשבונות שמופיעים בכמה קישורי תפקידים.
לדוגמה, אם מדיניות ההרשאות כוללת רק קבוצה אחת,
group:my-group@example.com, והקבוצה מופיעה במדיניות ההרשאות 10 פעמים, תוכלו להוסיף עוד 249 דומיינים של Cloud Identity, חשבונות Google Workspace או קבוצות ייחודיות עד שתגיעו למגבלה.
לחלופין, אם מדיניות ההרשאות כוללת רק דומיין אחד, domain:example.com, והדומיין מופיע במדיניות ההרשאות 10 פעמים, תוכלו להוסיף עוד 240 דומיינים של Cloud Identity, חשבונות Google Workspace או קבוצות ייחודיות עד שתגיעו למגבלה.
4
IAM סופר את כל המופעים של כל חשבון משתמש בכל כללי מדיניות הדחייה שמצורפים למשאב. הוא לא מבטל כפילויות של חשבונות משתמשים שמופיעים בכמה כללי דחייה או מדיניות דחייה. לדוגמה, אם מדיניות הדחייה שמצורפת למשאב כוללת רק כללי דחייה לחשבון המשתמש user:my-user@example.com, וחשבון המשתמש הזה מופיע ב-20 כללי דחייה, תוכלו להוסיף עוד 2,480 חשבונות משתמשים למדיניות הדחייה של המשאב.
5
לאסימוני גישה מסוג OAuth 2.0 אפשר להאריך את משך החיים מקסימום ל-12 שעות (43,200 שניות). כדי לעשות את זה, אתם צריכים לזהות את חשבונות השירות שבהם תרצו להאריך את משך החיים של האסימונים, ואזלהוסיף את חשבונות השירות האלה למדיניות הארגון שכוללת את המגבלה constraints/iam.allowServiceAccountCredential לרשימות.