Quotas et limites

Cette page répertorie les quotas et limites qui s'appliquent à Identity and Access Management (IAM). Les quotas et les limites peuvent restreindre le nombre de requêtes que vous pouvez envoyer ou le nombre de ressources que vous pouvez créer. Les limites peuvent également restreindre les attributs d'une ressource, tels que la longueur de son identifiant.

Si un quota n'est pas suffisant pour répondre à vos besoins, vous pouvez utiliser Google Cloud Console pour demander une augmentation de quota pour votre projet. Si vous ne pouvez pas demander la modification d'un quota spécifique via Cloud Console, contactez l'assistance Google Cloud.

Les limites ne peuvent pas être modifiées.

Quotas

Par défaut, les quotas IAM suivants s'appliquent à chaque projet Google Cloud :

Quotas par défaut
API IAM
Requêtes de lecture (par exemple, obtention d'une stratégie) 6 000 par minute
Requêtes d'écriture (par exemple, mise à jour d'une stratégie) 600 par minute
API Service Account Credentials
Requêtes de génération d'identifiants 60 000 par minute
Requêtes de signature d'un jeton Web JSON (JWT) ou d'un blob 60 000 par minute
Comptes de service
Nombre de comptes de service 100

Limites

IAM applique les limites suivantes sur les ressources :

Limites
Rôles personnalisés
Rôles personnalisés pour une organisation1 300
Rôles personnalisés pour un projet1 300
Titre d'un rôle personnalisé 100 octets
Description d'un rôle personnalisé 256 octets
Taille totale pour le titre, la description et les noms d'autorisations d'un rôle personnalisé 64 ko
Stratégies et liaisons
Groupes Google dans toutes les liaisons au sein d'une stratégie2 250
Tous les membres (y compris les groupes Google) dans toutes les liaisons au sein d'une stratégie2 1 500
Opérateurs logiques dans une expression de condition de liaison 12
Liaisons de rôles dans une stratégie qui incluent le même rôle et le même membre, mais différentes expressions de condition 20
Recommandations
Nombre de recommandations quotidiennes concernant l'ajout d'un rôle personnalisé à une organisation 15
Nombre de recommandations quotidiennes concernant l'ajout d'un rôle personnalisé à un projet 5
Nombre de rôles personnalisés dans une organisation empêchant de générer des recommandations concernant la création d'autres rôles personnalisés3 100
Nombre de rôles personnalisés dans un projet empêchant de générer des recommandations concernant la création d'autres rôles personnalisés4 25
Comptes de service
ID du compte de service 30 octets
Nom à afficher du compte de service 100 octets
Clés de compte de service pour un compte de service 10
Identifiants de courte durée
Règles limitant les accès définies dans une limite d'accès aux identifiants 10
Durée de vie maximale d'un jeton d'accès

3 600 secondes (1 heure)

Vous pouvez prolonger la durée de vie maximale des jetons d'accès pour OAuth 2.0 à 12 heures (43 200 secondes). Pour ce faire, identifiez les comptes de service qui ont besoin de jetons à durée de vie prolongée, puis ajoutez-les à une règle d'administration qui comprend la contrainte de liste constraints/iam.allowServiceAccountCredentialLifetimeExtension.

1 Si vous créez des rôles personnalisés au niveau du projet, ceux-ci ne sont pas pris en compte dans la limite définie au niveau de l'organisation.

2 IAM compte toutes les apparitions de chaque membre dans les liaisons de la stratégie. Les membres qui apparaissent dans plusieurs liaisons ne sont pas supprimés. Par exemple, si le membre user:alice@example.com apparaît dans 50 liaisons, vous pouvez ajouter 1 450 membres pour l'ensemble des liaisons de la stratégie.

3 Si votre organisation contient plus de 100 rôles personnalisés, vous continuerez de recevoir des recommandations de la part de l'outil de recommandation IAM. Cependant, aucune de ces recommandations ne vous suggérera de créer un rôle personnalisé.

4 Si votre projet contient plus de 25 rôles personnalisés, vous continuerez de recevoir des recommandations de la part de l'outil de recommandation IAM. Cependant, aucune de ces recommandations ne vous suggérera de créer un rôle personnalisé.