En esta página se indican las cuotas y los límites aplicables a Gestión de Identidades y Accesos de Cloud (Cloud IAM). Tanto las cuotas como los límites permiten restringir el número de solicitudes que puedes enviar o el número de recursos que puedes crear. Además, los límites permiten restringir los atributos de cualquier recurso, como la longitud de su identificador.
Si la cuota de uno de tus proyectos no es suficiente por ser demasiado baja, puedes usar la Trusted Cloud consola para solicitar un ajuste de la cuota de tu proyecto. Si la consola deTrusted Cloud no te permite solicitar un cambio en una cuota específica, ponte en contacto con el equipo de Trusted Cloud by S3NS Asistencia.
Los límites no se pueden cambiar.
Cuotas
De forma predeterminada, las siguientes cuotas de gestión de identidades y accesos se aplican a todos losTrusted Cloud proyectos, excepto las cuotas de la federación de identidades de los empleados y de Privileged Access Manager. Las cuotas de la federación de identidades de Workforce se aplican a las organizaciones.
Las cuotas de Gestor de acceso privilegiado se aplican tanto a proyectos como a organizaciones, y se cobran de la siguiente manera en función del destino de la llamada:
- En el caso de los proyectos que no pertenecen a ninguna organización, se cobra una unidad de cuota de proyecto por cada llamada.
- En el caso de los proyectos que pertenecen a una organización, se cobra una unidad de cuota de proyecto y otra de cuota de organización por cada llamada. Se rechaza una llamada si se ha agotado alguna de las dos cuotas.
- En el caso de las llamadas a carpetas u organizaciones, se cobra una unidad de cuota de organización.
| Cuotas predeterminadas | |
|---|---|
| API IAM v1 | |
| Solicitudes de lectura (por ejemplo, obtener una política de permiso) | 6000 por proyecto y minuto |
| Solicitudes de escritura (por ejemplo, actualizar una política de permiso) | 600 por proyecto y minuto |
| API IAM v2 | |
| Solicitudes de lectura (por ejemplo, obtener una política de denegación) | 5 por proyecto y minuto |
| Solicitudes de escritura (por ejemplo, actualizar una política de denegación) | 5 por proyecto y minuto |
| API IAM v3 | |
| Solicitudes de lectura (por ejemplo, obtener una política de límites de acceso de principales) | 5 por proyecto y minuto |
| Solicitudes de escritura (por ejemplo, actualizar una política de límites de acceso de principales) | 5 por proyecto y minuto |
| Federación de identidades de cargas de trabajo | |
| Solicitudes de lectura (por ejemplo, obtener un grupo de identidades de carga de trabajo) | 600 por proyecto y minuto 6000 por cliente y minuto |
| Solicitudes de escritura (por ejemplo, actualizar un grupo de identidades de carga de trabajo) | 60 por proyecto y minuto 600 por cliente y minuto |
| Workforce Identity Federation | |
| Crear, eliminar y restaurar solicitudes | 60 por organización y minuto |
| Solicitudes de lectura (por ejemplo, obtener un grupo de identidades de Workforce) | 120 por organización y minuto |
| Solicitudes de actualización (por ejemplo, actualizar un grupo de identidades de Workforce) | 120 por organización y minuto |
| Solicitudes de eliminación o restauración de un asunto (por ejemplo, eliminar un asunto de un grupo de identidades de Workforce) | 60 por organización y minuto |
| Número de grupos de identidades de Workforce | 100 por organización |
| Aplicaciones OAuth de la plantilla | |
| Crear, leer, actualizar, eliminar y restaurar solicitudes | 60 por proyecto y minuto |
| API Service Account Credentials | |
| Solicitudes de generación de credenciales | 60.000 por proyecto y minuto |
| Solicitudes de firma de un JSON Web Token (JWT) o un blob | 60.000 por proyecto y minuto |
| API Security Token Service | |
| Solicitudes de token de intercambio (federación de identidades que no es de Workforce) | 6000 por proyecto y minuto |
| Solicitudes de token de intercambio (Federación de Identidades de Workforce) | 1000 por organización y minuto |
| Cuentas de servicio | |
| Número de cuentas de servicio | 100 por proyecto |
Solicitudes de CreateServiceAccount |
Varía en función del proyecto. Para ver la cuota de un proyecto, consulta las cuotas de tu proyecto en la consola Trusted Cloud y busca Solicitudes de creación de cuentas de servicio por credencial por minuto. |
| API Privileged Access Manager | |
| Solicitudes de escritura de derechos (por ejemplo, crear, actualizar o eliminar un derecho) | 100 por proyecto y minuto 100 por organización y minuto |
Solicitudes de CheckOnboardingStatus |
300 por proyecto y minuto 900 por organización y minuto |
Solicitudes de ListEntitlements |
600 por proyecto y minuto 1800 por organización y minuto |
Solicitudes de SearchEntitlements |
600 por proyecto y minuto 1800 por organización y minuto |
Solicitudes de GetEntitlement |
3000 por proyecto y minuto 9000 por organización y minuto |
Solicitudes de ListGrants |
600 por proyecto y minuto 1800 por organización y minuto |
Solicitudes de SearchGrants |
600 por proyecto y minuto 1800 por organización y minuto |
Solicitudes de GetGrant |
3000 por proyecto y minuto 9000 por organización y minuto |
Solicitudes de CreateGrant |
200 por proyecto y minuto 600 por organización y minuto |
Solicitudes de ApproveGrant |
200 por proyecto y minuto 600 por organización y minuto |
Solicitudes de DenyGrant |
200 por proyecto y minuto 600 por organización y minuto |
Solicitudes de RevokeGrant |
300 por proyecto y minuto 900 por organización y minuto |
Solicitudes de GetOperation |
600 por proyecto y minuto 1800 por organización y minuto |
Solicitudes de ListOperations |
300 por proyecto y minuto 900 por organización y minuto |
Límites
IAM aplica los límites siguientes a los recursos. Estos límites no se pueden cambiar.
| Límites | |
|---|---|
| Roles personalizados | |
| Roles personalizados para una organización1 | 300 |
| Roles personalizados para un proyecto1 | 300 |
| ID de un rol personalizado | 64 bytes |
| Título de un rol personalizado | 100 bytes |
| Descripción de un rol personalizado | 300 bytes |
| Permisos de un rol personalizado | 3000 |
| Tamaño total del título, la descripción y los nombres del permiso de un rol personalizado | 64 kB |
| Políticas y vinculaciones de roles permitidas | |
| Permitir políticas por recurso | 1 |
| Número total de principales en todas las vinculaciones de roles y exenciones de registro de auditoría de una sola política2 | 1500 |
| Operadores lógicos en la expresión condicional de una vinculación de roles | 12 |
| Vinculaciones de rol de una política de permiso que incluye el mismo rol y la misma entidad principal, pero expresiones condicionales diferentes | 20 |
| Políticas de denegación y reglas de denegación | |
| Políticas de denegación por recurso | 500 |
| Reglas de denegación por recurso | 500 |
| Número total de principales en todas las políticas de denegación de un recurso 3 | 2500 |
| Reglas de denegación en una sola política de denegación | 500 |
| Operadores lógicos en la expresión condicional de una regla de denegación | 12 |
| Políticas de límites de acceso de principales | |
| Reglas de una política de límites de acceso de principales | 500 |
| Recursos de todas las reglas de una sola política de límites de acceso de principales | 500 |
| Número de políticas de límites de acceso de principales que se pueden vincular a un recurso | 10 |
| Políticas de límites de acceso de principales por organización | 1000 |
| Operadores lógicos en la expresión condicional de una vinculación de política | 10 |
| Cuentas de servicio | |
| ID de cuenta de servicio | 30 bytes |
| Nombre visible de la cuenta de servicio | 100 bytes |
| Claves de cuenta de servicio | 10 |
| Workforce Identity Federation | |
| Proveedores de grupos de identidades de Workforce por grupo | 200 |
| Asuntos de grupos de identidades de Workforce eliminados por grupo | 100.000 |
| Aplicaciones OAuth de la plantilla | |
| Clientes de OAuth de la fuerza de trabajo por proyecto | 100 |
| Credenciales de cliente de OAuth de la fuerza de trabajo por cliente | 10 |
| Asignación de atributos de federación de identidades de cargas de trabajo y de federación de identidades para los trabajadores | |
| Asunto asignado | 127 bytes |
| Nombre visible del usuario del grupo de identidades de Workforce asignado | 100 bytes |
| Tamaño total de los atributos asignados | 8192 bytes |
| Número de asignaciones de atributos personalizados | 50 |
| Credenciales de duración reducida | |
| Tiempo de vida máximo de un token de acceso 4 |
3600 segundos (1 hora) |
1 Si creas roles personalizados a nivel de proyecto, estos roles no se contabilizan en el cálculo del límite a nivel de organización.
2 A efectos de este límite, IAM cuenta todas las apariciones de cada principal en las vinculaciones de roles de la política de permiso, así como los principals que la política de permiso exime del registro de auditoría de acceso a datos. No anula los principales duplicados que aparezcan en varias vinculaciones de roles. Por ejemplo, si una política de permiso solo contiene vinculaciones de roles para la entidad principalprincipal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com y esta entidad principal aparece en 50 vinculaciones de roles, puedes añadir otras 1450 entidades principales a las vinculaciones de roles de la política de permiso.
Además, a efectos de este límite, cada aparición de un conjunto de principales se cuenta como un único principal, independientemente del número de miembros individuales que haya en el conjunto.
Si usas condiciones de gestión de identidades y accesos o asignas roles a muchos principales con identificadores inusualmente largos, es posible que la gestión de identidades y accesos permita menos principales en la política de permisos.
3
IAM cuenta todas las apariciones de cada principal en todas las políticas de denegación adjuntas a un recurso. No anula los principales duplicados que aparezcan en más de una regla o política de denegación. Por ejemplo, si las políticas de denegación adjuntas a un recurso solo contienen reglas de denegación para la entidad principal principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com y esta entidad principal aparece en 20 reglas de denegación, puedes añadir otras 2480 entidades principales a las políticas de denegación del recurso.
4
El tiempo de vida máximo de los tokens de acceso de OAuth 2.0 se puede ampliar hasta los 43.200 segundos (12 horas). Para ampliar el tiempo de vida máximo, identifica las cuentas de servicio cuyos tokens necesitan un tiempo de vida mayor y, a continuación, añádelas a una política de organización que incluya la restricción de la lista constraints/iam.allowServiceAccountCredential.