Esta página lista as quotas e os limites que se aplicam à gestão de identidade e de acesso (IAM). As quotas e os limites podem restringir o número de pedidos que pode enviar ou o número de recursos que pode criar. Os limites também podem restringir os atributos de um recurso, como o comprimento do identificador do recurso.
Se uma quota for demasiado baixa para satisfazer as suas necessidades, pode usar a Trusted Cloud consola para pedir um ajuste da quota para o seu projeto. Se a Trusted Cloud consola não lhe permitir pedir uma alteração para uma quota específica, contacte o Trusted Cloud by S3NS apoio técnico.
Não é possível alterar os limites.
Quotas
Por predefinição, as seguintes quotas da IAM aplicam-se a todos os Trusted Cloud projetos, com exceção das quotas da Workforce Identity Federation e do Privileged Access Manager. As quotas da federação de identidade da força de trabalho aplicam-se a organizações.
As quotas do Privileged Access Manager são aplicáveis a projetos e organizações, e são cobradas da seguinte forma, consoante o destino da chamada:
- Para projetos que não pertencem a uma organização, é cobrada uma unidade de quota do projeto por chamada.
- Para projetos pertencentes a uma organização, é cobrada uma unidade de cada uma das quotas de projeto e organização por chamada. Uma chamada é recusada se qualquer uma das duas quotas tiver sido esgotada.
- Para chamadas para pastas ou organizações, é cobrada uma unidade da quota da organização.
| Quotas predefinidas | |
|---|---|
| API IAM v1 | |
| Pedidos de leitura (por exemplo, obter uma política de autorização) | 6000 por projeto por minuto |
| Escrever pedidos (por exemplo, atualizar uma política de permissão) | 600 por projeto por minuto |
| API IAM v2 | |
| Pedidos de leitura (por exemplo, obter uma política de recusa) | 5 por projeto por minuto |
| Pedidos de escrita (por exemplo, atualizar uma política de recusa) | 5 por projeto por minuto |
| API IAM v3 | |
| Pedidos de leitura (por exemplo, obter uma política de limite de acesso principal) | 5 por projeto por minuto |
| Escrever pedidos (por exemplo, atualizar uma política de limite de acesso principal) | 5 por projeto por minuto |
| Workload Identity Federation | |
| Pedidos de leitura (por exemplo, obter um Workload Identity Pool) | 600 por projeto por minuto 6000 por cliente por minuto |
| Escrever pedidos (por exemplo, atualizar um Workload Identity Pool) | 60 por projeto por minuto 600 por cliente por minuto |
| Federação de identidade da força de trabalho | |
| Criar/eliminar/restaurar pedidos | 60 por organização por minuto |
| Pedidos de leitura (por exemplo, obter um Workforce Identity Pool) | 120 por organização por minuto |
| Pedidos de atualização (por exemplo, atualizar um grupo do Workforce Identity) | 120 por organização por minuto |
| Pedidos de eliminação/anulação da eliminação de um assunto (por exemplo, eliminar um assunto de um Workload Identity Pool) | 60 por organização por minuto |
| Número de Workload Identity Pools | 100 por organização |
| Aplicações OAuth da força de trabalho | |
| Criar/ler/atualizar/eliminar/restaurar pedidos | 60 por projeto por minuto |
| API Service Account Credentials | |
| Pedidos para gerar credenciais | 60 000 por projeto por minuto |
| Pedidos para assinar um símbolo da Web JSON (JWT) ou um blob | 60 000 por projeto por minuto |
| API Security Token Service | |
| Pedidos de tokens de troca (federação de identidade da força de trabalho) | 6000 por projeto por minuto |
| Pedidos de tokens de troca (federação de identidade da força de trabalho) | 1000 por organização por minuto |
| Contas de serviço | |
| Número de contas de serviço | 100 por projeto |
CreateServiceAccount pedidos |
Varia consoante o projeto. Para ver a quota de um projeto, veja as quotas do seu projeto na Trusted Cloud consola e pesquise Pedidos de criação de contas de serviço por credencial por minuto. |
| API Privileged Access Manager | |
| Solicitações de gravação de concessões (por exemplo, criar, atualizar ou eliminar uma concessão) | 100 por projeto por minuto 100 por organização por minuto |
CheckOnboardingStatus pedidos |
300 por projeto por minuto 900 por organização por minuto |
ListEntitlements pedidos |
600 por projeto por minuto 1800 por organização por minuto |
SearchEntitlements pedidos |
600 por projeto por minuto 1800 por organização por minuto |
GetEntitlement pedidos |
3000 por projeto por minuto 9000 por organização por minuto |
ListGrants pedidos |
600 por projeto por minuto 1800 por organização por minuto |
SearchGrants pedidos |
600 por projeto por minuto 1800 por organização por minuto |
GetGrant pedidos |
3000 por projeto por minuto 9000 por organização por minuto |
CreateGrant pedidos |
200 por projeto por minuto 600 por organização por minuto |
ApproveGrant pedidos |
200 por projeto por minuto 600 por organização por minuto |
DenyGrant pedidos |
200 por projeto por minuto 600 por organização por minuto |
RevokeGrant pedidos |
300 por projeto por minuto 900 por organização por minuto |
GetOperation pedidos |
600 por projeto por minuto 1800 por organização por minuto |
ListOperations pedidos |
300 por projeto por minuto 900 por organização por minuto |
Limites
O IAM aplica os seguintes limites aos recursos. Não é possível alterar estes limites.
| Limites | |
|---|---|
| Funções personalizadas | |
| Funções personalizadas para uma organização1 | 300 |
| Funções personalizadas para um projeto1 | 300 |
| ID de uma função personalizada | 64 bytes |
| Título de uma função personalizada | 100 bytes |
| Descrição de uma função personalizada | 300 bytes |
| Autorizações numa função personalizada | 3000 |
| Tamanho total do título, da descrição e dos nomes das autorizações de uma função personalizada | 64 KB |
| Políticas de autorização e associações de funções | |
| Permita políticas por recurso | 1 |
| Número total de principais em todas as associações de funções e isenções de registo de auditoria numa única política2 | 1500 |
| Operadores lógicos na expressão de condição de uma associação de função | 12 |
| Associações de funções numa política de permissão que incluem a mesma função e o mesmo principal, mas expressões de condições diferentes | 20 |
| Políticas de recusa e regras de recusa | |
| Políticas de recusa por recurso | 500 |
| Regras de recusa por recurso | 500 |
| Número total de principais em todas as políticas de recusa de um recurso 3 | 2500 |
| Regras de recusa numa única política de recusa | 500 |
| Operadores lógicos numa expressão de condição de uma regra de recusa | 12 |
| Políticas de limite de acesso principal | |
| Regras numa única política de limite de acesso principal | 500 |
| Recursos em todas as regras numa única política de limite de acesso principal | 500 |
| Número de políticas de limite de acesso principal que podem ser associadas a um recurso | 10 |
| Políticas de limite de acesso principal por organização | 1000 |
| Operadores lógicos na expressão de condição de uma associação de políticas | 10 |
| Contas de serviço | |
| ID da conta de serviço | 30 bytes |
| Nome a apresentar da conta de serviço | 100 bytes |
| Chaves de contas de serviço para uma conta de serviço | 10 |
| Federação de identidade da força de trabalho | |
| Fornecedores do Workforce Identity Pool por conjunto | 200 |
| Assuntos do Workload Identity Pool eliminados por conjunto | 100 000 |
| Aplicações OAuth da força de trabalho | |
| Clientes OAuth da força de trabalho por projeto | 100 |
| Credenciais do cliente OAuth da força de trabalho por cliente | 10 |
| Mapeamento de atributos da Workload Identity Federation e da Workforce Identity Federation | |
| Assunto mapeado | 127 bytes |
| Nome a apresentar do utilizador do Workforce Identity Pool mapeado | 100 bytes |
| Tamanho total dos atributos mapeados | 8192 bytes |
| Número de mapeamentos de atributos personalizados | 50 |
| Credenciais de curta duração | |
| Tempo de vida máximo de uma chave de acesso 4 |
3600 segundos (1 hora) |
1 Se criar funções personalizadas ao nível do projeto, essas funções personalizadas não contam para o limite ao nível da organização.
2 Para efeitos deste limite, o IAM contabiliza todas as ocorrências de cada principal nas associações de funções da política de autorização, bem como os principais que a política de autorização isenta do registo de auditoria de acesso aos dados. Não remove duplicados de entidades de segurança que aparecem em mais do que uma associação de funções. Por exemplo, se uma política de permissão contiver apenas associações de funções para o principalprincipal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com e este principal aparecer em 50 associações de funções, pode adicionar mais 1450 principais às associações de funções na política de permissão.
Além disso, para efeitos deste limite, cada apresentação de um conjunto principal é contabilizada como um único principal, independentemente do número de membros individuais no conjunto.
Se usar condições de IAM ou conceder funções a muitos responsáveis com identificadores invulgarmente longos, o IAM pode permitir menos responsáveis na política de autorização.
3
A IAM contabiliza todas as ocorrências de cada principal em todas as
políticas de recusa anexadas a um recurso. Não remove duplicados de diretores que aparecem em mais do que uma regra de recusa ou uma política de recusa. Por exemplo, se as políticas de recusa anexadas a um recurso contiverem apenas regras de recusa para o principal principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com e este principal aparecer em 20 regras de recusa, pode adicionar mais 2480 principais às políticas de recusa do recurso.
4
Para chaves de acesso OAuth 2.0, pode prolongar a duração máxima para
12 horas
(43 200 segundos). Para prolongar a duração total máxima,
identifique as contas de serviço que precisam de uma duração total prolongada para as chaves de acesso e, em seguida,
adicione estas contas de serviço a uma política da organização que
inclua a
constraints/iam.allowServiceAccountCredential
restrição de lista.