Nesta página estão listadas as cotas e os limites que se aplicam ao Identity and Access Management (IAM). Esses valores restringem o número de solicitações que podem ser enviadas ou a quantidade de recursos que podem ser criados. Os limites também podem restringir os atributos de um recurso, como o tamanho do identificador.
Se a cota estiver abaixo das suas necessidades, use o Console do Google Cloud para solicitar um aumento de cota para o projeto. Se o Cloud Google Console não permitir que você solicite uma mudança para uma cota específica, entre em contato com o suporte do Google Cloud.
Não é possível alterar os limites.
Cotas
Por padrão, as cotas do IAM a seguir se aplicam a todos os projetos do Google Cloud, com exceção das cotas da federação de identidade da força de trabalho e do Privileged Access Manager. As cotas da federação de identidade da força de trabalho se aplicam a organizações.
As cotas do Privileged Access Manager são aplicáveis a projetos e organizações e são cobradas da seguinte forma, dependendo do destino da chamada:
- Para projetos que não pertencem a uma organização, uma unidade de cota de projeto é cobrada por uma chamada.
- Para projetos pertencentes a uma organização, uma unidade de cada cota de projeto e organização é cobrada por uma chamada. Uma chamada é negada se uma das duas cotas for esgotada.
- Para chamadas para pastas ou organizações, uma unidade de cota de organização é cobrada.
Cotas padrão | |
---|---|
API IAM v1 | |
Solicitações de leitura (por exemplo, acessar uma política de permissão) | 6.000 por projeto por minuto |
Solicitações de gravação (por exemplo, atualizar uma política de permissão) | 600 por projeto por minuto |
API IAM v2 | |
Solicitações de leitura (por exemplo, acessar uma política de negação) | 5 por projeto e por minuto |
Solicitações de gravação (por exemplo, atualizar uma política de negação) | 5 por projeto e por minuto |
API IAM v3 | |
Solicitações de leitura (por exemplo, acessar uma política de limite de acesso principal) | 5 por projeto e por minuto |
Solicitações de gravação (por exemplo, atualizar uma política de limite de acesso de principal) | 5 por projeto e por minuto |
Federação de identidade da carga de trabalho | |
Solicitações de leitura (por exemplo, acessar um pool de identidade da carga de trabalho) | 600 por projeto por minuto 6.000 por cliente por minuto |
Solicitações de gravação (por exemplo, atualizar um pool de identidades da carga de trabalho) | 60 por projeto por minuto 600 por cliente por minuto |
Federação de identidade de colaboradores | |
Criar/excluir/cancelar solicitações | 60 por organização por minuto |
Solicitações de leitura (por exemplo, acessar um pool de identidade da carga de trabalho) | 120 por organização por minuto |
Solicitações de atualização (por exemplo, um pool de identidade da força de trabalho) | 120 por organização por minuto |
Solicitações de exclusão/cancelamento de assunto (por exemplo, exclusão de um assunto do pool de identidades da força de trabalho) | 60 por organização por minuto |
Número de pools de identidades da força de trabalho | 100 por organização |
Aplicativos OAuth da força de trabalho | |
Criar/ler/atualizar/excluir/cancelar solicitações | 60 por projeto por minuto |
API Service Account Credentials | |
Solicitações para gerar credenciais | 60.000 por projeto por minuto |
Solicitações para assinar um JSON Web Token (JWT) ou blob | 60.000 por projeto por minuto |
API Security Token Service | |
Solicitações de token do Exchange (federação de identidades que não são de força de trabalho) | 6.000 por projeto por minuto |
Solicitações de token do Exchange (federação de identidade da força de trabalho) | 1.000 por organização por minuto |
Contas de serviço | |
Número de contas de serviço | 100 por projeto |
API Privileged Access Manager | |
Solicitações de gravação de direito de acesso (por exemplo, criar, atualizar ou excluir um direito de acesso) | 100 por projeto por minuto 100 por organização por minuto |
Solicitações CheckOnboardingStatus |
300 por projeto por minuto 900 por organização por minuto |
Solicitações ListEntitlements |
600 por projeto por minuto 1.800 por organização por minuto |
Solicitações SearchEntitlements |
600 por projeto por minuto 1.800 por organização por minuto |
Solicitações GetEntitlement |
3.000 por projeto por minuto 9.000 por organização por minuto |
Solicitações ListGrants |
600 por projeto por minuto 1.800 por organização por minuto |
Solicitações SearchGrants |
600 por projeto por minuto 1.800 por organização por minuto |
Solicitações GetGrant |
3.000 por projeto por minuto 9.000 por organização por minuto |
Solicitações CreateGrant |
200 por projeto por minuto 600 por organização por minuto |
Solicitações ApproveGrant |
200 por projeto por minuto 600 por organização por minuto |
Solicitações DenyGrant |
200 por projeto por minuto 600 por organização por minuto |
Solicitações RevokeGrant |
300 por projeto por minuto 900 por organização por minuto |
Solicitações GetOperation |
600 por projeto por minuto 1.800 por organização por minuto |
Solicitações ListOperations |
300 por projeto por minuto 900 por organização por minuto |
Limites
O Cloud IAM aplica os seguintes limites aos recursos. Não é possível alterar esses limites.
Limites | |
---|---|
Papéis personalizados | |
Papéis personalizados para uma organização1 | 300 |
Papéis personalizados para um projeto1 | 300 |
ID de uma função personalizada | 64 bytes |
Título de um papel personalizado | 100 bytes |
Descrição de um papel personalizado | 300 bytes |
Permissões em uma função personalizada | 3.000 |
Tamanho total do título, da descrição e dos nomes das permissões para papéis personalizados | 64 KB |
Permitir vinculações de papéis e políticas | |
Permitir políticas por recurso | 1 |
Número total de participantes (incluindo domínios e Grupos do Google) em todas as vinculações de papel e isenções de geração de registros de auditoria em uma única política2 | 1.500 |
Domínios e Grupos do Google em todas as vinculações de papel em uma única política de permissão3 | 250 |
Operadores lógicos na expressão condicional de uma vinculação | 12 |
Vinculações de papel em uma política de permissão que inclui o mesmo papel e o mesmo membro, mas expressões condicionais diferentes | 20 |
Políticas e regras de negação | |
Políticas de negação por recurso | 500 |
Regras de negação por recurso | 500 |
Domínios e grupos do Google em todas as políticas de negação de um recurso4 | 500 |
Número total de principais (incluindo domínios e Grupos do Google) em todas as políticas de negação de um recurso4 | 2500 |
Regras de negação em uma única política de negação | 500 |
Operadores lógicos na expressão condicional de uma regra de negação | 12 |
Políticas de limite de acesso principal | |
Regras em uma única política de limite de acesso principal | 500 |
Recursos em todas as regras em uma única política de limite de acesso principal | 500 |
Número de políticas de limite de acesso principal que podem ser vinculadas a um recurso | 10 |
Políticas de limite de acesso principal por organização | 1000 |
Operadores lógicos na expressão condicional de uma vinculação de política | 10 |
Contas de serviço | |
ID da conta de serviço | 30 bytes |
Nome de exibição da conta de serviço | 100 bytes |
Chaves da conta de serviço | 10 |
Federação de identidade de colaboradores | |
Provedores de pool de identidades de força de trabalho por pool | 200 |
Assuntos do pool de identidades de força de trabalho excluídos por pool | 100.000 |
Aplicativos OAuth da força de trabalho | |
Clientes OAuth da força de trabalho por projeto | 100 |
Credenciais de cliente OAuth do Workforce por cliente | 10 |
Mapeamento de atributos da federação da identidade da carga de trabalho e da federação da identidade da força de trabalho | |
Assunto mapeado | 127 bytes |
Nome de exibição do usuário do pool de identidades da força de trabalho mapeado | 100 bytes |
Tamanho total dos atributos mapeados | 8.192 bytes |
Número de mapeamentos de atributos personalizados | 50 |
Credenciais de curta duração | |
Regras de limite de acesso a credenciais | 10 |
Ciclo de vida máximo de um token de acesso5 |
3.600 segundos (uma hora) |
1 Papéis personalizados criados no nível do projeto não são contabilizados para o limite no nível da organização.
2 Para esse limite, o IAM conta todas as aparições de cada principal nas vinculações de papéis da política de permissão, bem como nos principais que a política de permissão isenta da geração de registros de auditoria de acesso a dados. Ele não elimina participantes duplicados que aparecem em mais de uma vinculação de função. Por exemplo, se uma política de permissão contiver apenas vinculações de papéis para o participanteuser:sample-user@example.com
e este participante aparecer em
50 vinculações de papéis, será possível adicionar mais
1.450 participantes às vinculações de papéis na política de permissão.
Além disso, para os fins desse limite, cada aparição de um domínio ou grupo do Google é contabilizada como um só principal, independentemente do número de participantes individuais no domínio ou grupo.
Se você usar as Condições do IAM ou conceder papéis a muitos principais com identificadores longos, pode ser que o IAM permita menos principais na política.
3 Para esse limite, os domínios do Cloud Identity, as contas do Google Workspace e os grupos do Google são contados da seguinte forma:
- Para os grupos do Google, cada grupo exclusivo é contado apenas uma vez, independentemente de quantas vezes o grupo aparecer na política de permissão. Isso é diferente de como os grupos são contados para o limite no número total de principais em uma política de permissão. Para esse limite, cada aparição de um grupo conta para o limite.
- Para domínios do Cloud Identity ou contas do Google Workspace, o IAM conta todas as ocorrências de cada domínio ou conta nas vinculações de papel da política de permissão. Ele não elimina domínios ou contas duplicados que aparecem em mais de uma vinculação de função.
Por exemplo, se a política de permissão contiver apenas um grupo,
group:my-group@example.com
, e o grupo aparecer na política de permissão
10 vezes, será possível adicionar mais 249
domínios do Cloud Identity, contas do Google Workspace ou grupos exclusivos antes de atingir o
limite.
Como alternativa, se a política de permissão contiver apenas um domínio, domain:example.com
, e
o domínio aparecer na política de permissão
10 vezes, será possível adicionar mais
240 domínios do Cloud Identity, contas do Google Workspace ou grupos
exclusivos antes de atingir o limite.
4
O IAM conta todas as aparições de cada participante em todas
as políticas de negação anexadas a um recurso. Isso não elimina a duplicação
de principais que aparecem em mais de uma regra ou política de negação. Por exemplo,
se as políticas de negação anexadas a um recurso tiverem apenas regras de negação
para a user:alice@example.com
principal e essa principal aparecer em
20 regras de negação, será possível adicionar outras
2.480 principais às políticas de negação
do recurso.
5 É possível estender o ciclo de vida máximo dos tokens de acesso do OAuth 2.0 até
12 horas
(43.200 segundos). Para estender a vida útil
ao máximo, identifique as contas de serviço que precisam de um ciclo de vida estendido
para tokens. Depois,
adicione essas contas de serviço a uma política da organização que inclui
a
restrição de lista
constraints/iam.allowServiceAccountCredential
.