Nesta página estão listadas as cotas e os limites que se aplicam ao Identity and Access Management (IAM). Esses valores restringem o número de solicitações que podem ser enviadas ou a quantidade de recursos que podem ser criados. Os limites também podem restringir os atributos de um recurso, como o tamanho do identificador.
Se a cota estiver abaixo das suas necessidades, use o Console do Google Cloud para solicitar um aumento de cota para o projeto. Se o Cloud Google Console não permitir que você solicite uma mudança para uma cota específica, entre em contato com o suporte do Google Cloud.
Não é possível alterar os limites.
Cotas
Por padrão, as cotas do IAM a seguir se aplicam a todos os projetos do Google Cloud, com exceção das cotas da federação de identidade da força de trabalho. As cotas da federação de identidade da força de trabalho se aplicam a organizações.
| Cotas padrão | |
|---|---|
| API IAM | |
| Solicitações de leitura (por exemplo, acessar uma política) | 6.000 por minuto |
| Solicitações de gravação (por exemplo, atualizar uma política) | 600 por minuto |
| Federação de identidade da carga de trabalho | |
| Solicitações de leitura (por exemplo, acessar um pool de identidade da carga de trabalho) | 600 por projeto por minuto 6.000 por cliente por minuto |
| Solicitações de gravação (por exemplo, atualizar um pool de identidades da carga de trabalho) | 60 por projeto por minuto 600 por cliente por minuto |
| Federação de identidade da força de trabalho (Visualização) | |
| Criar/excluir/cancelar solicitações | 60 por organização por minuto |
| Solicitações de leitura (por exemplo, acessar um pool de identidade da carga de trabalho) | 120 por organização por minuto |
| Solicitações de atualização (por exemplo, um pool de identidade da força de trabalho) | 120 por organização por minuto |
| Solicitações de exclusão/cancelamento de assunto (por exemplo, exclusão de um assunto do pool de identidades da força de trabalho) | 60 por organização por minuto |
| Pools de identidade da força de trabalho por organização | 100 |
| API Service Account Credentials | |
| Solicitações para gerar credenciais | 60.000 por minuto |
| Solicitações para assinar um JSON Web Token (JWT) ou blob | 60.000 por minuto |
| API Security Token Service | |
| Solicitações de token do Exchange (federação de identidades que não são de força de trabalho) | 6.000 por minuto |
| Solicitações de token do Exchange (federação de identidade da força de trabalho) (Preview) | 60.000 por organização por minuto |
| Contas de serviço | |
| Número de contas de serviço | 100 |
Limites
O Cloud IAM aplica os seguintes limites aos recursos. Não é possível alterar esses limites.
| Limites | |
|---|---|
| Papéis personalizados | |
| Papéis personalizados para uma organização1 | 300 |
| Papéis personalizados para um projeto1 | 300 |
| ID de uma função personalizada | 64 bytes |
| Título de um papel personalizado | 100 bytes |
| Descrição de um papel personalizado | 300 bytes |
| Permissões em uma função personalizada | 3.000 |
| Tamanho total do título, da descrição e dos nomes das permissões para papéis personalizados | 64 KB |
| Permitir vinculações de papéis e políticas | |
| Permitir políticas por recurso | 1 |
| Domínios e Grupos do Google em todas as vinculações de papéis em uma única política de permissão2 | 250 |
| Número total de participantes (incluindo domínios e grupos do Google) em todas as vinculações de papel e isenções de geração de registros de auditoria em uma única política3 | 1.500 |
| Operadores lógicos na expressão condicional de uma vinculação | 12 |
| Vinculações de papel em uma política de permissão que inclui o mesmo papel e o mesmo membro, mas expressões condicionais diferentes | 20 |
| Políticas e regras de negação | |
| Políticas de negação por recurso | 500 |
| Regras de negação por recurso | 500 |
| Domínios e grupos do Google em todas as políticas de negação de um recurso4 | 500 |
| Número total de principais (incluindo domínios e Grupos do Google) em todas as políticas de negação de um recurso4 | 2500 |
| Regras de negação em uma única política de negação | 500 |
| Operadores lógicos na expressão condicional de uma regra de negação | 12 |
| Contas de serviço | |
| ID da conta de serviço | 30 bytes |
| Nome de exibição da conta de serviço | 100 bytes |
| Chaves da conta de serviço | 10 |
| Federação de identidade da força de trabalho (Visualização) | |
| Provedores de pool de identidades de força de trabalho por pool | 200 |
| Assuntos do pool de identidades de força de trabalho excluídos por pool | 100.000 |
| Mapeamento de atributos da federação da identidade da carga de trabalho e da federação da identidade da força de trabalho (Visualização) | |
| Assunto mapeado | 127 bytes |
| Nome de exibição do usuário do pool de identidades da força de trabalho mapeado | 100 bytes |
| Tamanho total dos atributos mapeados | 8.192 bytes |
| Número de mapeamentos de atributos personalizados | 50 |
| Credenciais de curta duração | |
| Regras de limite de acesso a credenciais | 10 |
| Ciclo de vida máximo de um token de acesso5 |
3.600 segundos (uma hora) |
1 Papéis personalizados criados no nível do projeto não são contabilizados para o limite no nível da organização.
2 Para esse limite, os domínios e Grupos do Google são contabilizados da seguinte forma:
-
Para domínios, o IAM conta todas as ocorrências de cada domínio nas vinculações de papel
da política de permissão. Ele não elimina domínios duplicados que aparecem em mais de uma
vinculação. Por exemplo, se uma política de permissão contiver apenas um domínio,
domain:example.com, e o domínio aparecer na política de permissão 10 vezes, será possível adicionar mais 240 domínios antes de atingir o limite. -
Para os grupos do Google, cada grupo exclusivo é contado apenas uma vez, independentemente de quantas vezes o
grupo aparecer na política de permissão. Por exemplo, se uma política de permissão contiver apenas um grupo,
group:my-group@example.com, e o grupo aparecer na política de permissão 10 vezes, você poderá adicionar mais 249 grupos exclusivos antes de atingir o limite.
3
Para esse limite, o IAM conta todas as aparências de cada
principal nas vinculações de papéis da política de permissão, bem como nos principais que a política de permissão
isenta da geração de registros de auditoria de acesso a dados. Ele não elimina participantes duplicados que aparecem em mais de uma vinculação
de papel. Por exemplo, se uma política de permissão contiver apenas vinculações de papéis para o principal
group:my-group@example.com e este principal aparecer em 50
vinculações de papéis, será possível adicionar mais 1.450 principais às vinculações
de papéis na política de permissão.
Se você usar as condições do IAM ou conceder papéis a muitos participantes com identificadores longos, pode ser que o IAM permita menos participantes na política.
4
O IAM conta todas as aparências de cada principal em todas
as políticas de negação anexadas a um recurso. Isso não elimina a duplicação
de principais que aparecem em mais de uma regra ou política de negação. Por exemplo,
se as políticas de negação anexadas a um recurso tiverem apenas regras de negação
para a user:alice@example.com principal e essa principal aparecer em
20 regras de negação, será possível adicionar outras
2.480 principais às políticas de negação
do recurso.
5 É possível estender o ciclo de vida máximo dos tokens de acesso do OAuth 2.0 até
12 horas
(43.200 segundos). Para estender a vida útil
ao máximo, identifique as contas de serviço que precisam de um ciclo de vida estendido
para tokens. Depois,
adicione essas contas de serviço a uma política da organização que inclui
a
restrição de lista
constraints/iam.allowServiceAccountCredential.