Cotas e limites

Nesta página estão listadas as cotas e os limites que se aplicam ao Identity and Access Management (IAM). Esses valores restringem o número de solicitações que podem ser enviadas ou a quantidade de recursos que podem ser criados. Os limites também podem restringir os atributos de um recurso, como o tamanho do identificador.

Se a cota estiver abaixo das suas necessidades, use o Console do Google Cloud para solicitar um aumento de cota para o projeto. Se o Cloud Google Console não permitir que você solicite uma mudança para uma cota específica, entre em contato com o suporte do Google Cloud.

Não é possível alterar os limites.

Cotas

Por padrão, as cotas do IAM a seguir se aplicam a todos os projetos do Google Cloud, com exceção das cotas da federação de identidade da força de trabalho e do Privileged Access Manager. As cotas da federação de identidade da força de trabalho se aplicam a organizações.

As cotas do Privileged Access Manager são aplicáveis a projetos e organizações e são cobradas da seguinte forma, dependendo do destino da chamada:

  • Para projetos que não pertencem a uma organização, uma unidade de cota de projeto é cobrada por uma chamada.
  • Para projetos pertencentes a uma organização, uma unidade de cada cota de projeto e organização é cobrada por uma chamada. Uma chamada é negada se uma das duas cotas for esgotada.
  • Para chamadas para pastas ou organizações, uma unidade de cota de organização é cobrada.

Cotas padrão
API IAM v1
Solicitações de leitura (por exemplo, acessar uma política de permissão) 6.000 por projeto por minuto
Solicitações de gravação (por exemplo, atualizar uma política de permissão) 600 por projeto por minuto
API IAM v2
Solicitações de leitura (por exemplo, acessar uma política de negação) 5 por projeto e por minuto
Solicitações de gravação (por exemplo, atualizar uma política de negação) 5 por projeto e por minuto
API IAM v3
Solicitações de leitura (por exemplo, acessar uma política de limite de acesso principal) 5 por projeto e por minuto
Solicitações de gravação (por exemplo, atualizar uma política de limite de acesso de principal) 5 por projeto e por minuto
Federação de identidade da carga de trabalho
Solicitações de leitura (por exemplo, acessar um pool de identidade da carga de trabalho) 600 por projeto por minuto
6.000 por cliente por minuto
Solicitações de gravação (por exemplo, atualizar um pool de identidades da carga de trabalho) 60 por projeto por minuto
600 por cliente por minuto
Federação de identidade de colaboradores
Criar/excluir/cancelar solicitações 60 por organização por minuto
Solicitações de leitura (por exemplo, acessar um pool de identidade da carga de trabalho) 120 por organização por minuto
Solicitações de atualização (por exemplo, um pool de identidade da força de trabalho) 120 por organização por minuto
Solicitações de exclusão/cancelamento de assunto (por exemplo, exclusão de um assunto do pool de identidades da força de trabalho) 60 por organização por minuto
Número de pools de identidades da força de trabalho 100 por organização
Aplicativos OAuth da força de trabalho
Criar/ler/atualizar/excluir/cancelar solicitações 60 por projeto por minuto
API Service Account Credentials
Solicitações para gerar credenciais 60.000 por projeto por minuto
Solicitações para assinar um JSON Web Token (JWT) ou blob 60.000 por projeto por minuto
API Security Token Service
Solicitações de token do Exchange (federação de identidades que não são de força de trabalho) 6.000 por projeto por minuto
Solicitações de token do Exchange (federação de identidade da força de trabalho) 1.000 por organização por minuto
Contas de serviço
Número de contas de serviço 100 por projeto
API Privileged Access Manager
Solicitações de gravação de direito de acesso (por exemplo, criar, atualizar ou excluir um direito de acesso) 100 por projeto por minuto
100 por organização por minuto
Solicitações CheckOnboardingStatus 300 por projeto por minuto
900 por organização por minuto
Solicitações ListEntitlements 600 por projeto por minuto
1.800 por organização por minuto
Solicitações SearchEntitlements 600 por projeto por minuto
1.800 por organização por minuto
Solicitações GetEntitlement 3.000 por projeto por minuto
9.000 por organização por minuto
Solicitações ListGrants 600 por projeto por minuto
1.800 por organização por minuto
Solicitações SearchGrants 600 por projeto por minuto
1.800 por organização por minuto
Solicitações GetGrant 3.000 por projeto por minuto
9.000 por organização por minuto
Solicitações CreateGrant 200 por projeto por minuto
600 por organização por minuto
Solicitações ApproveGrant 200 por projeto por minuto
600 por organização por minuto
Solicitações DenyGrant 200 por projeto por minuto
600 por organização por minuto
Solicitações RevokeGrant 300 por projeto por minuto
900 por organização por minuto
Solicitações GetOperation 600 por projeto por minuto
1.800 por organização por minuto
Solicitações ListOperations 300 por projeto por minuto
900 por organização por minuto

Limites

O Cloud IAM aplica os seguintes limites aos recursos. Não é possível alterar esses limites.

Limites
Papéis personalizados
Papéis personalizados para uma organização1 300
Papéis personalizados para um projeto1 300
ID de uma função personalizada 64 bytes
Título de um papel personalizado 100 bytes
Descrição de um papel personalizado 300 bytes
Permissões em uma função personalizada 3.000
Tamanho total do título, da descrição e dos nomes das permissões para papéis personalizados 64 KB
Permitir vinculações de papéis e políticas
Permitir políticas por recurso 1
Número total de participantes (incluindo domínios e Grupos do Google) em todas as vinculações de papel e isenções de geração de registros de auditoria em uma única política2 1.500
Domínios e Grupos do Google em todas as vinculações de papel em uma única política de permissão3 250
Operadores lógicos na expressão condicional de uma vinculação 12
Vinculações de papel em uma política de permissão que inclui o mesmo papel e o mesmo membro, mas expressões condicionais diferentes 20
Políticas e regras de negação
Políticas de negação por recurso 500
Regras de negação por recurso 500
Domínios e grupos do Google em todas as políticas de negação de um recurso4 500
Número total de principais (incluindo domínios e Grupos do Google) em todas as políticas de negação de um recurso4 2500
Regras de negação em uma única política de negação 500
Operadores lógicos na expressão condicional de uma regra de negação 12
Políticas de limite de acesso principal
Regras em uma única política de limite de acesso principal 500
Recursos em todas as regras em uma única política de limite de acesso principal 500
Número de políticas de limite de acesso principal que podem ser vinculadas a um recurso 10
Políticas de limite de acesso principal por organização 1000
Operadores lógicos na expressão condicional de uma vinculação de política 10
Contas de serviço
ID da conta de serviço 30 bytes
Nome de exibição da conta de serviço 100 bytes
Chaves da conta de serviço 10
Federação de identidade de colaboradores
Provedores de pool de identidades de força de trabalho por pool 200
Assuntos do pool de identidades de força de trabalho excluídos por pool 100.000
Aplicativos OAuth da força de trabalho
Clientes OAuth da força de trabalho por projeto 100
Credenciais de cliente OAuth do Workforce por cliente 10
Mapeamento de atributos da federação da identidade da carga de trabalho e da federação da identidade da força de trabalho
Assunto mapeado 127 bytes
Nome de exibição do usuário do pool de identidades da força de trabalho mapeado 100 bytes
Tamanho total dos atributos mapeados 8.192 bytes
Número de mapeamentos de atributos personalizados 50
Credenciais de curta duração
Regras de limite de acesso a credenciais 10
Ciclo de vida máximo de um token de acesso5

3.600 segundos (uma hora)

1 Papéis personalizados criados no nível do projeto não são contabilizados para o limite no nível da organização.

2 Para esse limite, o IAM conta todas as aparições de cada principal nas vinculações de papéis da política de permissão, bem como nos principais que a política de permissão isenta da geração de registros de auditoria de acesso a dados. Ele não elimina participantes duplicados que aparecem em mais de uma vinculação de função. Por exemplo, se uma política de permissão contiver apenas vinculações de papéis para o participante user:sample-user@example.com e este participante aparecer em 50 vinculações de papéis, será possível adicionar mais 1.450 participantes às vinculações de papéis na política de permissão.

Além disso, para os fins desse limite, cada aparição de um domínio ou grupo do Google é contabilizada como um só principal, independentemente do número de participantes individuais no domínio ou grupo.

Se você usar as Condições do IAM ou conceder papéis a muitos principais com identificadores longos, pode ser que o IAM permita menos principais na política.

3 Para esse limite, os domínios do Cloud Identity, as contas do Google Workspace e os grupos do Google são contados da seguinte forma:

  • Para os grupos do Google, cada grupo exclusivo é contado apenas uma vez, independentemente de quantas vezes o grupo aparecer na política de permissão. Isso é diferente de como os grupos são contados para o limite no número total de principais em uma política de permissão. Para esse limite, cada aparição de um grupo conta para o limite.
  • Para domínios do Cloud Identity ou contas do Google Workspace, o IAM conta todas as ocorrências de cada domínio ou conta nas vinculações de papel da política de permissão. Ele não elimina domínios ou contas duplicados que aparecem em mais de uma vinculação de função.

Por exemplo, se a política de permissão contiver apenas um grupo, group:my-group@example.com, e o grupo aparecer na política de permissão 10 vezes, será possível adicionar mais 249 domínios do Cloud Identity, contas do Google Workspace ou grupos exclusivos antes de atingir o limite.

Como alternativa, se a política de permissão contiver apenas um domínio, domain:example.com, e o domínio aparecer na política de permissão 10 vezes, será possível adicionar mais 240 domínios do Cloud Identity, contas do Google Workspace ou grupos exclusivos antes de atingir o limite.

4 O IAM conta todas as aparições de cada participante em todas as políticas de negação anexadas a um recurso. Isso não elimina a duplicação de principais que aparecem em mais de uma regra ou política de negação. Por exemplo, se as políticas de negação anexadas a um recurso tiverem apenas regras de negação para a user:alice@example.com principal e essa principal aparecer em 20 regras de negação, será possível adicionar outras 2.480 principais às políticas de negação do recurso.

5 É possível estender o ciclo de vida máximo dos tokens de acesso do OAuth 2.0 até 12 horas (43.200 segundos). Para estender a vida útil ao máximo, identifique as contas de serviço que precisam de um ciclo de vida estendido para tokens. Depois, adicione essas contas de serviço a uma política da organização que inclui a restrição de lista constraints/iam.allowServiceAccountCredentialLifetimeExtension.