Cette page répertorie les quotas et limites qui s'appliquent à Identity and Access Management (IAM). Les quotas et les limites peuvent restreindre le nombre de requêtes que vous pouvez envoyer ou le nombre de ressources que vous pouvez créer. Les limites peuvent également restreindre les attributs d'une ressource, tels que la longueur de son identifiant.
Si un quota n'est pas suffisant pour répondre à vos besoins, vous pouvez utiliser la console Cloud de Confiance pour demander un ajustement de quota pour votre projet. Si la consoleCloud de Confiance ne vous permet pas de demander la modification d'un quota spécifique, contactez l'assistance Cloud de Confiance by S3NS .
Les limites ne peuvent pas être modifiées.
Quotas
Par défaut, les quotas IAM suivants s'appliquent à chaque projetCloud de Confiance , à l'exception des quotas de la fédération des identités des employés et de Privileged Access Manager. Les quotas de la fédération des identités des employés s'appliquent aux organisations.
Les quotas de Privileged Access Manager s'appliquent aux projets et aux organisations. Ils sont facturés comme suit en fonction de la cible de l'appel :
- Pour les projets qui n'appartiennent pas à une organisation, une unité de quota de projet est facturée par appel.
- Pour les projets appartenant à une organisation, une unité de quota de projet et une unité de quota d'organisation sont facturées pour un appel. Un appel est refusé si l'un des deux quotas est épuisé.
- Pour les appels vers des dossiers ou des organisations, une unité de quota d'organisation est facturée.
| Quotas par défaut | |
|---|---|
| API IAM v1 | |
| Requêtes de lecture (par exemple, lister les rôles personnalisés) | 6 000 par projet et par minute |
| Requêtes d'écriture (par exemple, création d'un rôle personnalisé) | 600 par projet et par minute |
| API IAM v2 | |
| Requêtes de lecture (par exemple, obtention d'une stratégie de refus) | 5 par projet et par minute |
| Requêtes d'écriture (par exemple, mise à jour d'une stratégie de refus) | 5 par projet et par minute |
| API IAM v3 | |
| Requêtes de lecture (par exemple, obtention d'une stratégie de limite d'accès des comptes principaux) | 5 par projet et par minute |
| Requêtes d'écriture (par exemple, mise à jour d'une stratégie de limite d'accès des comptes principaux) | 5 par projet et par minute |
| Fédération d'identité de charge de travail | |
| Requêtes de lecture (par exemple, obtention d'un pool d'identités de charge de travail) | 600 par projet et par minute 6 000 par client et par minute |
| Requêtes d'écriture (par exemple, mise à jour d'un pool d'identités de charge de travail) | 60 par projet et par minute 600 par client et par minute |
| Fédération des identités des employés | |
| Requêtes de création/suppression/annulation de suppression | 60 par organisation et par minute |
| Requêtes de lecture (par exemple, obtention d'un pool d'identités de personnel) | 120 par organisation et par minute |
| Demandes de mise à jour (par exemple, mise à jour d'un pool d'identités de personnel) | 120 par organisation et par minute |
| Demandes de suppression/d'annulation de suppression (par exemple, suppression d'un objet de pool d'identités de personnel) | 60 par organisation et par minute |
| Nombre de pools d'identités de personnel | 100 par organisation |
| Applications OAuth pour les employés | |
| Requêtes de création/lecture/modification/suppression/annulation de suppression | 60 par projet et par minute |
| API Service Account Credentials | |
| Requêtes de génération d'identifiants | 60 000 par projet et par minute |
| Requêtes de signature d'un jeton Web JSON (JWT) ou d'un blob | 60 000 par projet et par minute |
| API Security Token Service | |
| Requêtes globales de jeton d'échange (hors fédération d'identité des employés) | 6 000 par projet et par minute |
| Requêtes régionales de jeton d'échange (fédération d'identité autre) | 6 000 par projet,par région et par minute |
| Requêtes de jeton d'échange (fédération des identités des employés) | 1 000 par organisation et par minute |
| Demandes globales d'échange de jetons d'intermédiaire | 3 000 par projet et par minute |
| Requêtes régionales d'échange de jetons intermédiaires | 3 000 par projet,par région et par minute |
| Requêtes globales d'introspection des jetons | 6 000 par projet et par minute |
| Requêtes régionales d'introspection des jetons | 6 000 par projet,par région et par minute |
| Comptes de service | |
| Nombre de comptes de service | Varie selon le projet. Pour afficher le quota d'un projet, activez l'API IAM, puis affichez les quotas de votre projet dans la console Cloud de Confiance et recherchez Nombre de comptes de service. |
Requêtes CreateServiceAccount |
Varie selon le projet. Pour afficher le quota d'un projet, activez l'API IAM, puis affichez les quotas de votre projet dans la console Cloud de Confiance et recherchez Requêtes de création de compte de service par identifiant par minute. |
| API Privileged Access Manager | |
| Requêtes d'écriture des droits d'accès (par exemple, création, mise à jour ou suppression d'un droit d'accès) | 100 par projet et par minute 100 par organisation et par minute |
Requêtes CheckOnboardingStatus |
300 par projet et par minute 900 par organisation et par minute |
Requêtes ListEntitlements |
600 par projet et par minute 1 800 par organisation et par minute |
Requêtes SearchEntitlements |
600 par projet et par minute 1 800 par organisation et par minute |
Requêtes GetEntitlement |
3 000 par projet et par minute 9 000 par organisation et par minute |
Requêtes ListGrants |
600 par projet et par minute 1 800 par organisation et par minute |
Requêtes SearchGrants |
600 par projet et par minute 1 800 par organisation et par minute |
Requêtes GetGrant |
3 000 par projet et par minute 9 000 par organisation et par minute |
Requêtes CreateGrant |
200 par projet et par minute 600 par organisation et par minute |
Requêtes ApproveGrant |
200 par projet et par minute 600 par organisation et par minute |
Requêtes DenyGrant |
200 par projet et par minute 600 par organisation et par minute |
Requêtes RevokeGrant |
300 par projet et par minute 900 par organisation et par minute |
Requêtes GetOperation |
600 par projet et par minute 1 800 par organisation et par minute |
Requêtes ListOperations |
300 par projet et par minute 900 par organisation et par minute |
Limites
IAM applique les limites suivantes sur les ressources. Ces limites ne peuvent pas être modifiées.
| Limites | |
|---|---|
| Rôles personnalisés | |
| Rôles personnalisés pour une organisation1 | 300 |
| Rôles personnalisés pour un projet1 | 300 |
| ID d'un rôle personnalisé | 64 octets |
| Titre d'un rôle personnalisé | 100 octets |
| Description d'un rôle personnalisé | 300 octets |
| Autorisations dans un rôle personnalisé | 3 000 |
| Taille totale pour le titre, la description et les noms d'autorisations d'un rôle personnalisé | 64 ko |
| Autoriser les stratégies et les liaisons de rôles | |
| Autoriser les règles par ressource | 1 |
| Nombre total de comptes principaux dans toutes les liaisons de rôles et exceptions de journalisation d'audit au sein d'une seule stratégie2 | 1 500 |
| Opérateurs logiques dans une expression de condition de liaison de rôle | 12 |
| Les liaisons de rôle dans une stratégie d'autorisation qui inclut le même rôle et le même compte principal, mais différentes expressions de condition. | 20 |
| Règles et stratégies de refus | |
| Stratégies de refus par ressource | 500 |
| Règles de refus par ressource | 500 |
| Nombre total de comptes principaux dans toutes les stratégies de refus d'une ressource 3 | 2500 |
| Règles de refus dans une seule stratégie de refus | 500 |
| Opérateurs logiques dans une expression de condition de règle de refus | 12 |
| Stratégies de limite d'accès des comptes principaux | |
| Règles d'une même stratégie de limite d'accès des comptes principaux | 500 |
| Ressources de toutes les règles d'une même stratégie de limite d'accès des comptes principaux | 500 |
| Nombre de stratégies de limite d'accès des comptes principaux pouvant être liées à une ressource | 10 |
| Stratégies de limite d'accès des comptes principaux par organisation | 1000 |
| Opérateurs logiques dans une expression de condition de liaison de stratégie | 10 |
| Règles d'accès | |
| Nombre de règles d'accès pouvant être liées à une ressource | 5 |
| Nombre de ressources auxquelles vous pouvez associer une même stratégie d'accès | 5 |
| Comptes de service | |
| ID du compte de service | 30 octets |
| Nom à afficher du compte de service | 100 octets |
| Clés de compte de service pour un compte de service | 10 |
| Fédération des identités des employés | |
| Fournisseurs de pools d'identités de personnel par pool | 200 |
| Objets de pool d'identités de personnel supprimés par pool | 100 000 |
| Applications OAuth pour les employés | |
| Clients OAuth pour le personnel par projet | 100 |
| Identifiants client OAuth pour le personnel par client | 10 |
| Correspondance des attributs entre la fédération d'identité de charge de travail et la fédération des identités des employés | |
| Sujet mappé | 127 octets |
| Nom à afficher de l'utilisateur du pool d'identités de personnel | 100 octets |
| Taille totale des attributs mappés | 8192 octets |
| Nombre de mappages d'attributs personnalisés | 50 |
| Identifiants de courte durée | |
| Durée de vie maximale d'un jeton d'accès 4 |
3 600 secondes (1 heure) |
1 Si vous créez des rôles personnalisés au niveau du projet, ceux-ci ne sont pas pris en compte dans la limite définie au niveau de l'organisation.
2 Pour respecter cette limite, Cloud IAM comptabilise toutes les apparitions de chaque compte principal dans les liaisons de rôle de la stratégie d'autorisation, ainsi que les comptes principaux que la stratégie d'autorisation exclut des journaux d'audit des accès aux données. Les comptes principaux qui apparaissent dans plusieurs liaisons de rôles ne sont pas supprimés. Par exemple, si une stratégie d'autorisation ne contient que des liaisons de rôles pour le compte principalprincipal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com et que ce compte principal apparaît dans 50 liaisons de rôles, vous pouvez ajouter 1 450 comptes principaux aux liaisons de rôles dans la stratégie d'autorisation.
De plus, dans le cadre de cette limite, chaque apparition d'un ensemble de comptes principaux est comptabilisée comme un seul compte principal, quel que soit le nombre de membres individuels contenus dans l'ensemble.
Si vous utilisez des conditions IAM ou si vous attribuez des rôles à de nombreux comptes principaux avec des identifiants particulièrement longs, il se peut qu'IAM autorise moins de comptes principaux dans la stratégie d'autorisation.
3
IAM compte toutes les apparitions de chaque compte principal dans toutes les stratégies de refus associées à une ressource. Les comptes principaux qui apparaissent dans plusieurs règles de refus ou stratégies de refus ne sont pas dédupliqués. Par exemple, si les stratégies de refus associées à une ressource ne contiennent que des règles de refus pour le compte principal principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com et que ce compte principal apparaît dans 20 règles de refus, vous pouvez ajouter 2 480 autres comptes principaux aux stratégies de refus de la ressource.
4
Vous pouvez prolonger la durée de vie maximale des jetons d'accès pour OAuth 2.0 à 12 heures (43 200 secondes). Pour ce faire, identifiez les comptes de service qui ont besoin de jetons à durée de vie prolongée, puis ajoutez-les à une règle d'administration qui comprend la contrainte de liste constraints/iam.allowServiceAccountCredential.