配額與限制

本文列出 VPC Service Controls 適用的配額和限制。本文中指定的配額和限制可能隨時變更。

配額使用率計算是根據強制執行和模擬測試模式的使用率總和。例如,如果 service perimeter 在強制執行模式下保護五項資源,在模擬測試模式下保護七項資源,則系統會將兩者加總 (即 12 項資源) 與對應限制進行比較。此外,即使政策其他部分也有相同內容,系統仍會將每個項目視為一項。例如,如果專案包含在一個一般 perimeter 和五個橋接設定 perimeter 中,系統會計算所有六個執行個體,不會執行簡化作業。

不過,VPC Service Controls 計算 service perimeter 限制的方式不同。詳情請參閱本文的「Service perimeter 限制」部分。

在 Google Cloud 控制台中查看配額

  1. 在 Google Cloud 控制台導覽選單中,依序按一下「Security」(安全性) 和「VPC Service Controls」

    前往 VPC Service Controls

  2. 系統顯示提示時,請選取組織、資料夾或專案。

  3. 在「VPC Service Controls」頁面中,選取要查看配額的存取權政策。

  4. 按一下「View Quota」(查看配額)

    「Quota」(配額) 頁面會顯示下列存取權政策限制的用量指標,這些限制會套用至特定存取權政策中的所有 service perimeter:

    • Service perimeter
    • 受保護的資源
    • 存取層級
    • 輸入和輸出屬性總數

Service perimeter 限制

下列限制適用於每個 service perimeter 設定。也就是說,這項限制分別適用於 perimeter 的模擬測試和強制執行設定:

類型 限制 附註
屬性 6,000 這項限制適用於輸入和輸出規則中指定的屬性總數。屬性限制包括這些規則中對專案、虛擬私有雲網路、存取層級、方法選取器、身分和角色的參照。方法、服務和專案屬性中使用的萬用字元 *,也會計入屬性總數。

屬性限制注意事項

VPC Service Controls 會將下列輸入和輸出規則欄位中的每個項目視為一個屬性:

規則模塊 欄位
ingressFrom
  • sources
  • identities
ingressTo
  • resources
  • methodSelectors
  • roles
egressFrom
  • sources
  • identities
egressTo
  • resources
  • methodSelectors
  • externalResources
  • roles

如要進一步瞭解這些欄位,請參閱「輸入規則參考資料」和「輸出規則參考資料」。

VPC Service Controls 會根據下列規則,檢查 perimeter 是否超出屬性限制:

  • 輸入和輸出規則中的每個欄位可以有多個項目,每個項目都會計入限制。

    例如,如果您在 egressFrom 規則模塊的 identities 欄位中提及服務帳戶和使用者帳戶,VPC Service Controls 會將這兩個屬性計入限制。

  • 即使您在多項規則中重複使用相同資源,VPC Service Controls 仍會分別計算規則中每次出現的資源。

    例如,如果您在兩個不同的輸入或輸出規則 (rule-1rule-2) 中提及專案 project-1,VPC Service Controls 會將兩個屬性計入限制。

  • 每個 service perimeter 都可有強制執行模擬測試設定。VPC Service Controls 會針對每項設定分別套用屬性限制。

    例如,如果 perimeter 的強制執行和模擬測試設定的屬性總數分別為 3,500 個和 3,000 個屬性,VPC Service Controls 會認為 perimeter 仍在屬性限制內。

存取權政策限制

下列存取權政策限制會套用至特定存取權政策中的所有 service perimeter,並累加計算:

類型 限制 附註
Service perimeter 10,000 Service perimeter bridge 會計入這項限制。
受保護的資源 40,000 如果僅在輸入和輸出政策中參照專案,則不會計入這項限制。一次只能將最多 10,000 個受保護資源新增至政策,以免政策修改要求逾時。建議等待 30 秒,再進行下一次政策修改。
身分群組 1,000 這項限制是指在輸入和輸出規則中設定的身分群組數量。
虛擬私有雲網路 500 此限制是指強制執行模式、模擬測試模式和輸入規則中參照的虛擬私有雲網路數量。
所有規則標題的總字元長度 240,000 所有輸入和輸出規則標題的組合長度不得超過這個限制。規則標題中的空白字元也會計入這項限制。不過,未提供標題的規則不會計入這項限制。

下列存取權政策限制適用於特定存取權政策中的所有存取層級:

類型 限制 附註
虛擬私有雲網路 500 這項限制是指存取層級參照的虛擬私有雲網路數量。

組織限制

下列限制適用於特定組織中的所有存取權政策:

類型 限制
組織層級存取權政策 1
資料夾和專案範圍的存取權政策 50

Access Context Manager 配額和限制

此外,由於 VPC Service Controls 使用 Access Context Manager API,您也須遵守 Access Context Manager 配額和限制