Quotas et limites

Cette page répertorie les quotas et limites qui s'appliquent à Identity and Access Management (IAM). Les quotas et les limites peuvent restreindre le nombre de requêtes que vous pouvez envoyer ou le nombre de ressources que vous pouvez créer. Les limites peuvent également restreindre les attributs d'une ressource, tels que la longueur de son identifiant.

Si un quota n'est pas suffisant pour répondre à vos besoins, vous pouvez utiliser Google Cloud Console pour demander une augmentation de quota pour votre projet. Si vous ne pouvez pas demander la modification d'un quota spécifique via la console Google Cloud, contactez l'assistance Google Cloud.

Les limites ne peuvent pas être modifiées.

Quotas

Par défaut, les quotas IAM suivants s'appliquent à chaque projet Google Cloud, à l'exception des quotas de fédération d'identité de personnel et de Privileged Access Manager. Les quotas de fédération d'identité de personnel s'appliquent aux organisations.

Les quotas Privileged Access Manager s'appliquent aux projets et aux organisations. Ils sont facturés comme suit, en fonction de la cible de l'appel:

  • Pour les projets qui n'appartiennent pas à une organisation, une unité de quota de projet est facturée par appel.
  • Pour les projets appartenant à une organisation, une unité de quota de projet et d'organisation est facturée par appel. Un appel est refusé si l'un des deux quotas est épuisé.
  • Pour les appels vers des dossiers ou des organisations, une unité de quota d'organisation est facturée.

Quotas par défaut
API IAM v1
Requêtes de lecture (par exemple, obtention d'une stratégie d'autorisation) 6 000 par projet et par minute
Requêtes d'écriture (par exemple, mise à jour d'une stratégie d'autorisation) 600 par projet et par minute
API IAM v2
Requêtes de lecture (par exemple, obtention d'une stratégie de refus) 5 par projet et par minute
Requêtes d'écriture (par exemple, mise à jour d'une stratégie de refus) 5 par projet et par minute
API IAM v3
Requêtes de lecture (par exemple, obtention d'une stratégie de limite d'accès des comptes principaux) 5 par projet et par minute
Requêtes d'écriture (par exemple, mise à jour d'une stratégie de limite d'accès des comptes principaux) 5 par projet et par minute
Fédération d'identité de charge de travail
Requêtes de lecture (par exemple, obtention d'un pool d'identités de charge de travail) 600 par projet et par minute
6 000 par client et par minute
Requêtes d'écriture (par exemple, mise à jour d'un pool d'identités de charge de travail) 60 par projet et par minute
600 par client et par minute
Fédération des identités des employés
Requêtes de création/suppression/annulation de suppression 60 par organisation et par minute
Requêtes de lecture (par exemple, obtention d'un pool d'identités de personnel) 120 par organisation et par minute
Demandes de mise à jour (par exemple, mise à jour d'un pool d'identités de personnel) 120 par organisation et par minute
Demandes de suppression/d'annulation de suppression (par exemple, suppression d'un objet de pool d'identités de personnel) 60 par organisation et par minute
Nombre de pools d'identités de personnel 100 par organisation
Applications OAuth pour la main-d'œuvre
Requêtes de création/lecture/mise à jour/suppression/annulation de suppression 60 par projet et par minute
API Service Account Credentials
Requêtes de génération d'identifiants 60 000 par projet et par minute
Requêtes de signature d'un jeton Web JSON (JWT) ou d'un blob 60 000 par projet et par minute
API Security Token Service
Requêtes de jeton d'échange (fédération d'identité autre) 6 000 par projet et par minute
Requêtes de jeton d'échange (fédération d'identité de personnel) 1 000 par organisation et par minute
Comptes de service
Nombre de comptes de service 100 par projet
API Privileged Access Manager
Requêtes d'écriture d'un droit d'accès (par exemple, création, mise à jour ou suppression d'un droit d'accès) 100 par projet et par minute
100 par organisation et par minute
Requêtes CheckOnboardingStatus 300 par projet et par minute
900 par organisation et par minute
Requêtes ListEntitlements 600 par projet et par minute
1 800 par organisation et par minute
Requêtes SearchEntitlements 600 par projet et par minute
1 800 par organisation et par minute
Requêtes GetEntitlement 3 000 requêtes par minute et par projet
9 000 requêtes par minute et par organisation
Requêtes ListGrants 600 par projet et par minute
1 800 par organisation et par minute
Requêtes SearchGrants 600 par projet et par minute
1 800 par organisation et par minute
Requêtes GetGrant 3 000 requêtes par minute et par projet
9 000 requêtes par minute et par organisation
Requêtes CreateGrant 200 par projet et par minute
600 par organisation et par minute
Requêtes ApproveGrant 200 par projet et par minute
600 par organisation et par minute
Requêtes DenyGrant 200 par projet et par minute
600 par organisation et par minute
Requêtes RevokeGrant 300 par projet et par minute
900 par organisation et par minute
Requêtes GetOperation 600 par projet et par minute
1 800 par organisation et par minute
Requêtes ListOperations 300 par projet et par minute
900 par organisation et par minute

Limites

IAM applique les limites suivantes sur les ressources. Ces limites ne peuvent pas être modifiées.

Limites
Rôles personnalisés
Rôles personnalisés pour une organisation1 300
Rôles personnalisés pour un projet1 300
ID d'un rôle personnalisé 64 octets
Titre d'un rôle personnalisé 100 octets
Description d'un rôle personnalisé 300 octets
Autorisations dans un rôle personnalisé 3 000
Taille totale pour le titre, la description et les noms d'autorisations d'un rôle personnalisé 64 ko
Autoriser les stratégies et les liaisons de rôles
Autoriser les règles par ressource 1
Nombre total de comptes principaux (y compris les domaines et les groupes Google) dans toutes les liaisons de rôles et exceptions de journalisation d'audit au sein d'une même stratégie2 1 500
Domaines et groupes Google dans toutes les liaisons de rôles au sein d'une même stratégie d'autorisation3 250
Opérateurs logiques dans une expression de condition de liaison de rôle 12
Les liaisons de rôle dans une stratégie d'autorisation qui inclut le même rôle et le même compte principal, mais différentes expressions de condition. 20
Règles et stratégies de refus
Stratégies de refus par ressource 500
Règles de refus par ressource 500
Domaines et groupes Google dans toutes les stratégies de refus d'une ressource 4 500
Nombre total de comptes principaux (y compris les domaines et les groupes Google) dans toutes les stratégies de refus d'une ressource 4 2500
Règles de refus dans une seule stratégie de refus 500
Opérateurs logiques dans une expression de condition de règle de refus 12
Stratégies de limite d'accès des comptes principaux
Règles dans une seule stratégie de limite d'accès des comptes principaux 500
Ressources de toutes les règles d'une stratégie de limite d'accès des comptes principaux 500
Nombre de stratégies de limite d'accès des comptes principaux pouvant être liées à une ressource 10
Stratégies de limite d'accès des comptes principaux par organisation 1000
Opérateurs logiques dans l'expression de condition d'une liaison de stratégie 10
Comptes de service
ID du compte de service 30 octets
Nom à afficher du compte de service 100 octets
Clés de compte de service pour un compte de service 10
Fédération des identités des employés
Fournisseurs de pools d'identités de personnel par pool 200
Objets de pool d'identités de personnel supprimés par pool 100 000
Applications OAuth pour la main-d'œuvre
Clients OAuth Workforce par projet 100
Identifiants client OAuth Workforce par client 10
Mappage des attributs de la fédération d'identité de charge de travail et de la fédération d'identité de personnel
Sujet mappé 127 octets
Nom à afficher de l'utilisateur du pool d'identités de personnel 100 octets
Taille totale des attributs mappés 8192 octets
Nombre de mappages d'attributs personnalisés 50
Identifiants de courte durée
Règles limitant les accès définies dans une limite d'accès aux identifiants 10
Durée de vie maximale d'un jeton d'accès 5

3 600 secondes (1 heure)

1 Si vous créez des rôles personnalisés au niveau du projet, ceux-ci ne sont pas pris en compte dans la limite définie au niveau de l'organisation.

2 Pour respecter cette limite, IAM comptabilise toutes les apparitions de chaque compte principal dans les liaisons de rôle de la stratégie d'autorisation, ainsi que les comptes principaux que la stratégie d'autorisation exclut de l'accès aux journaux d'audit des accès aux données. Les comptes principaux qui apparaissent dans plusieurs liaisons ne sont pas supprimés. Par exemple, si une stratégie d'autorisation ne contient que des liaisons de rôles pour le compte principal user:my-user@example.com et que ce compte principal apparaît dans 50 liaisons de rôles, vous pouvez ajouter 1 450 comptes principaux aux liaisons de rôles dans la stratégie d'autorisation.

De plus, dans le cadre de cette limite, chaque apparition d'un domaine ou d'un groupe Google est comptabilisée comme un seul compte principal, quel que soit le nombre de membres individuels contenus dans le domaine ou le groupe.

Si vous utilisez des conditions IAM ou si vous attribuez des rôles à de nombreux comptes principaux avec des identifiants particulièrement longs, il se peut qu'IAM autorise moins de comptes principaux dans la stratégie d'autorisation.

3 Dans le cadre de cette limite, les domaines Cloud Identity, les comptes Google Workspace et les groupes Google sont comptabilisés comme suit:

  • Pour les groupes Google, chaque groupe unique n'est comptabilisé qu'une seule fois, quel que soit le nombre de fois où il apparaît dans la stratégie d'autorisation. Cela diffère de la façon dont les groupes sont comptabilisés pour la limite du nombre total de comptes principaux dans une règle d'autorisation. Pour cette limite, chaque apparition d'un groupe est comptabilisée dans la limite.
  • Pour les domaines Cloud Identity ou les comptes Google Workspace, IAM comptabilise toutes les apparitions de chaque domaine ou compte dans les liaisons de rôle de la stratégie d'autorisation. Les comptes principaux qui apparaissent dans plusieurs liaisons de rôles ne sont pas supprimés.

Par exemple, si votre règle d'autorisation ne contient qu'un seul groupe, group:my-group@example.com, et que le groupe apparaît 10 fois dans la règle d'autorisation, vous pouvez ajouter 249 domaines Cloud Identity, comptes Google Workspace ou groupes uniques avant d'atteindre la limite.

Par exemple, si votre règle d'autorisation ne contient qu'un seul domaine, domain:example.com, et que le domaine apparaît 10 fois dans la règle d'autorisation, vous pouvez ajouter 240 domaines Cloud Identity, comptes Google Workspace ou groupes uniques avant d'atteindre la limite.

4 IAM compte toutes les apparitions de chaque compte principal dans toutes les stratégies de refus associées à une ressource. Les comptes principaux qui apparaissent dans plusieurs règles de refus ou stratégies de refus ne sont pas dédupliqués. Par exemple, si les stratégies de refus associées à une ressource ne contiennent que des règles de refus pour le compte principal user:my-user@example.com et que ce compte principal apparaît dans 20 règles de refus, vous pouvez ajouter 2 480 autres comptes principaux aux stratégies de refus de la ressource.

5 Pour les jetons d'accès OAuth 2.0, vous pouvez prolonger la durée de vie maximale à 12 heures (43 200 secondes). Pour ce faire, identifiez les comptes de service qui ont besoin de jetons à durée de vie prolongée, puis ajoutez-les à une règle d'administration qui comprend la contrainte de liste constraints/iam.allowServiceAccountCredentialLifetimeExtension.