Ce document recense les quotas et limites qui s'appliquent à VPC Service Controls. Les quotas et les limites spécifiés dans ce document sont susceptibles de changer.
Le calcul de l'utilisation du quota est basé sur la somme de l'utilisation en modes forcé et simulation. Par exemple, si un périmètre de service protège cinq ressources en mode forcé et sept ressources en mode simulation, la somme des deux (soit 12) est comparée à la limite correspondante. De plus, chaque entrée individuelle est comptabilisée une seule fois, même si elle apparaît à plusieurs endroits dans la règle. Par exemple, si un projet est inclus dans un périmètre standard et cinq périmètres de liaison, les six occurrences sont comptabilisées, sans déduplication.
Toutefois, VPC Service Controls calcule les limites du périmètre de service différemment. Pour en savoir plus, consultez la section Limites des périmètres de service de ce document.
Afficher les quotas dans la console Google Cloud
Dans le menu de navigation de la console Google Cloud , cliquez sur Sécurité, puis sur VPC Service Controls.
Si vous y êtes invité, sélectionnez votre organisation, votre dossier ou votre projet.
Sur la page VPC Service Controls, sélectionnez la règle d'accès pour laquelle vous souhaitez afficher les quotas.
Cliquez sur Afficher le quota.
La page Quota affiche les métriques d'utilisation correspondant aux limites des règles d'accès suivantes, qui s'appliquent de manière cumulative à l'ensemble des périmètres de service d'une même règle d'accès :
- Périmètres de service
- Ressources protégées
- Niveaux d'accès
- Nombre total d'attributs d'entrée et de sortie
Limites des périmètres de service
La limite suivante s'applique à chaque configuration de périmètre de service. Autrement dit, elle est appliquée séparément aux configurations en mode simulation et forcé d'un même périmètre :
| Type | Limite | Notes |
|---|---|---|
| Attributs | 6 000 | Cette limite s'applique au nombre total d'attributs spécifiés dans les règles d'entrée et de sortie. La limite d'attributs inclut les références aux projets, aux réseaux VPC, aux niveaux d'accès, aux sélecteurs de méthodes, ainsi qu'aux identités et aux rôles dans ces règles. Le nombre total d'attributs inclut également l'utilisation de caractères génériques (*) dans les attributs de méthodes, de services et de projets.
|
Points à prendre en compte concernant la limite d'attributs
VPC Service Controls comptabilise chaque entrée dans les champs de règles d'entrée et de sortie suivants comme un attribut :
| Bloc de règles | Champs |
|---|---|
ingressFrom |
|
ingressTo |
|
egressFrom |
|
egressTo |
|
Pour en savoir plus sur ces champs, consultez la Documentation de référence sur les règles d'entrée et la Documentation de référence sur les règles de sortie.
VPC Service Controls applique les règles suivantes pour vérifier si un périmètre dépasse la limite d'attributs :
Chaque champ d'une règle d'entrée et de sortie peut comporter plusieurs entrées, et chacune est comptabilisée dans la limite.
Par exemple, si vous mentionnez un compte de service et un compte utilisateur dans le champ
identitiesd'un bloc de règlesegressFrom, VPC Service Controls comptabilise deux éléments dans la limite.VPC Service Controls comptabilise chaque occurrence d'une ressource dans les règles séparément, même si cette même ressource est répétée dans plusieurs règles.
Par exemple, si vous mentionnez un projet
project-1dans deux règles d'entrée ou de sortie différentes (rule-1etrule-2), VPC Service Controls comptabilise deux attributs dans la limite.Chaque périmètre de service peut avoir une configuration forcée et une configuration dry run. VPC Service Controls applique la limite d'attributs séparément pour chaque configuration.
Par exemple, si le nombre total d'attributs pour les configurations forcées et dry run d'un périmètre est respectivement de 3 500 et 3 000, VPC Service Controls considère que le périmètre respecte toujours la limite d'attributs.
Limites des règles d'accès
Les limites suivantes de la règle d'accès s'appliquent de manière cumulative à tous les périmètres de service d'une règle d'accès donnée :
| Type | Limite | Notes |
|---|---|---|
| Périmètres de service | 10 000 | Les liaisons de périmètre de service sont comptabilisées dans cette limite. |
| Ressources protégées | 40 000 | Les projets qui ne sont référencés que dans les règles d'entrée et de sortie ne sont pas comptabilisés dans cette limite. Ajoutez des ressources protégées à une règle uniquement par lots de 10 000 ressources ou moins pour éviter que les demandes de modification de règles n'expirent. Nous vous recommandons d'attendre 30 secondes avant de modifier à nouveau la règle. |
| Groupes d'identité | 1 000 | Cette limite s'applique au nombre de groupes d'identité configurés dans les règles d'entrée et de sortie. |
| Réseaux VPC | 500 | Cette limite s'applique au nombre de réseaux VPC référencés dans le mode forcé, le mode de simulation et dans les règles d'entrée. |
| Longueur totale des titres de toutes les règles | 240 000 | La longueur combinée de tous les titres de règles d'entrée et de sortie ne doit pas dépasser cette limite. Les caractères d'espacement dans les titres des règles sont également comptabilisés dans cette limite. Toutefois, les règles pour lesquelles vous n'avez pas fourni de titre ne sont pas comptabilisées dans cette limite. |
Les limites des règles d'accès suivantes s'appliquent de manière cumulative à tous les niveaux d'accès d'une règle d'accès donnée :
| Type | Limite | Notes |
|---|---|---|
| Réseaux VPC | 500 | Cette limite s'applique au nombre de réseaux VPC référencés dans les niveaux d'accès. |
Limites de l'organisation
Les limites suivantes s'appliquent à toutes les règles d'accès d'une organisation donnée :
| Type | Limite |
|---|---|
| Règle d'accès au niveau de l'organisation | 1 |
| Règles d'accès limitées aux dossiers et aux projets | 50 |
Quotas et limites d'Access Context Manager
Vous êtes également soumis aux quotas et limites d'Access Context Manager, car VPC Service Controls utilise les API Access Context Manager.