En esta página se detallan las cuotas y los límites que se aplican a la administración de identidades y accesos (IAM). Las cuotas y los límites pueden restringir la cantidad de solicitudes que puedes enviar o la cantidad de recursos que puedes crear. Los límites también pueden restringir los atributos de un recurso, como la longitud del identificador del recurso.
Si una cuota es muy baja para satisfacer tus necesidades, puedes usar la consola de Trusted Cloud para solicitar un ajuste de cuota para tu proyecto. Si la consola deTrusted Cloud no te permite solicitar el cambio de una cuota específica, comunícate con el equipo de asistencia de Trusted Cloud by S3NS .
Los límites no se pueden cambiar.
Cuotas
De forma predeterminada, las siguientes cuotas de IAM se aplican a cada proyecto deTrusted Cloud , a excepción de las cuotas de la federación de identidades de personal y Privileged Access Manager. Las cuotas de la federación de identidades de personal se aplican a las organizaciones.
Las cuotas de Privileged Access Manager se aplican a proyectos y organizaciones y se cobran de la siguiente manera según el objetivo de la llamada:
- En el caso de los proyectos que no pertenecen a una organización, se cobra una unidad de cuota del proyecto por llamada.
- En el caso de los proyectos que pertenecen a una organización, se cobra una unidad de cada cuota de proyecto y de organización por llamada. Se rechaza una llamada si se agotó una de las dos cuotas.
- En el caso de las llamadas a carpetas u organizaciones, se cobra una unidad de cuota de la organización.
| Cuotas predeterminadas | |
|---|---|
| API de IAM v1 | |
| Solicitudes de lectura (por ejemplo, obtener una política de permisos) | 6,000 por proyecto por minuto |
| Solicitudes de escritura (por ejemplo, actualizar una política de permisos) | 600 por proyecto por minuto |
| API de IAM v2 | |
| Solicitudes de lectura (por ejemplo, obtener una política de denegación) | 5 por proyecto por minuto |
| Solicitudes de escritura (por ejemplo, actualizar una política de denegación) | 5 por proyecto por minuto |
| API de IAM v3 | |
| Solicitudes de lectura (por ejemplo, obtener una política de límite de acceso de las principales) | 5 por proyecto por minuto |
| Solicitudes de escritura (por ejemplo, actualizar una política de límite de acceso de las principales) | 5 por proyecto por minuto |
| Federación de identidades para cargas de trabajo | |
| Solicitudes de lectura (por ejemplo, obtener un grupo de Workload Identity) | 600 por proyecto por minuto 6,000 por cliente por minuto |
| Solicitudes de escritura (por ejemplo, actualizar un grupo de Workload Identity) | 60 por proyecto por minuto 600 por cliente por minuto |
| Federación de identidades de personal | |
| Solicitudes de creación, eliminación y recuperación | 60 por organización por minuto |
| Solicitudes de lectura (por ejemplo, obtener un grupo de Workforce Identity) | 120 por organización por minuto |
| Solicitudes de actualización (por ejemplo, actualización de un grupo de Workforce Identity) | 120 por organización por minuto |
| Solicitudes de eliminación y recuperación de asuntos (por ejemplo, borrar un asunto de grupo de Workforce Identity) | 60 por organización por minuto |
| Cantidad de grupos de Workforce Identity | 100 por organización |
| Aplicaciones de OAuth de Workforce | |
| Solicitudes de creación, lectura, actualización, eliminación y recuperación | 60 por proyecto por minuto |
| API de Service Account Credentials | |
| Solicitudes de generación de credenciales | 60,000 por proyecto por minuto |
| Solicitudes de firma de un token web JSON (JWT) o BLOB | 60,000 por proyecto por minuto |
| API del servicio de token de seguridad | |
| Solicitudes de intercambio de tokens (federación de identidades que no son de personal) | 6,000 por proyecto por minuto |
| Solicitudes de intercambio de tokens (federación de identidades de personal) | 1,000 por organización por minuto |
| Cuentas de servicio | |
| Cantidad de cuentas de servicio | 100 por proyecto |
Solicitudes CreateServiceAccount |
Varía según el proyecto. Para ver la cuota de un proyecto, consulta las cuotas de tu proyecto en la consola de Trusted Cloud y busca Solicitudes de creación de cuentas de servicio por credencial por minuto. |
| API de Privileged Access Manager | |
| Solicitudes de escritura de derechos (por ejemplo, crear, actualizar o borrar un derecho) | 100 por proyecto por minuto 100 por organización por minuto |
Solicitudes CheckOnboardingStatus |
300 por proyecto por minuto 900 por organización por minuto |
Solicitudes ListEntitlements |
600 por proyecto por minuto 1,800 por organización por minuto |
Solicitudes SearchEntitlements |
600 por proyecto por minuto 1,800 por organización por minuto |
Solicitudes GetEntitlement |
3,000 por proyecto por minuto 9,000 por organización por minuto |
Solicitudes ListGrants |
600 por proyecto por minuto 1,800 por organización por minuto |
Solicitudes SearchGrants |
600 por proyecto por minuto 1,800 por organización por minuto |
Solicitudes GetGrant |
3,000 por proyecto por minuto 9,000 por organización por minuto |
Solicitudes CreateGrant |
200 por proyecto por minuto 600 por organización por minuto |
Solicitudes ApproveGrant |
200 por proyecto por minuto 600 por organización por minuto |
Solicitudes DenyGrant |
200 por proyecto por minuto 600 por organización por minuto |
Solicitudes RevokeGrant |
300 por proyecto por minuto 900 por organización por minuto |
Solicitudes GetOperation |
600 por proyecto por minuto 1,800 por organización por minuto |
Solicitudes ListOperations |
300 por proyecto por minuto 900 por organización por minuto |
Límites
IAM aplica los siguientes límites a los recursos: Estos límites no se pueden cambiar.
| Límites | |
|---|---|
| Funciones personalizadas | |
| Funciones personalizadas para una organización1 | 300 |
| Funciones personalizadas para un proyecto1 | 300 |
| ID de un rol personalizado | 64 bytes |
| Título de rol personalizado | 100 bytes |
| Descripción de una función personalizada | 300 bytes |
| Permisos en un rol personalizado | 3,000 |
| El tamaño total del título, la descripción y los nombres de los permisos de una función personalizada | 64 KB |
| Permite políticas y vinculaciones de funciones | |
| Permite políticas por recurso | 1 |
| Cantidad total de principales en todas las vinculaciones de roles y exenciones de registros de auditoría dentro de una sola política2 | 1,500 |
| Operadores lógicos en la expresión condicional de una vinculación | 12 |
| Vinculaciones de funciones en una política de admisión que incluyen la misma función y el mismo principal, pero diferentes expresiones condicionales | 20 |
| Políticas de denegación y reglas de denegación | |
| Políticas de denegación por recurso | 500 |
| Reglas de denegación por recurso | 500 |
| Cantidad total de principales en todas las políticas de denegación de un recurso 3 | 2,500 |
| Reglas de denegación en una sola política de denegación | 500 |
| Operadores lógicos en la expresión condicional de una regla de denegación | 12 |
| Políticas de Límite de Acceso de las Principales | |
| Reglas en una sola Política de Límite de Acceso de las Principales | 500 |
| Recursos en todas las reglas de una sola Política de Límite de Acceso de las Principales | 500 |
| Cantidad de Política de Límite de Acceso de las Principales que se pueden vincular a un recurso | 10 |
| Política de Límite de Acceso de las Principales por organización | 1000 |
| Operadores lógicos en la expresión condicional de una política de vinculación | 10 |
| Cuentas de servicio | |
| ID de cuenta de servicio | 30 bytes |
| Nombre visible de una cuenta de servicio | 100 bytes |
| Claves de cuenta de servicio de una cuenta de servicio | 10 |
| Federación de identidades de personal | |
| Proveedores de grupos de Workload Identity por grupo | 200 |
| Asuntos borrados del grupo de identidad del personal por grupo | 100,000 |
| Aplicaciones de OAuth de Workforce | |
| Clientes de OAuth de Workforce por proyecto | 100 |
| Credenciales de cliente de OAuth de Workforce por cliente | 10 |
| Federación de identidades para cargas de trabajo y asignación de atributos de la federación de identidades de personal | |
| Asunto asignado | 127 bytes |
| Nombre visible asignado del usuario del grupo de Workforce Identity | 100 bytes |
| Tamaño total de los atributos asignados | 8,192 bytes |
| Cantidad de asignaciones de atributos personalizados | 50 |
| Credenciales de corta duración | |
| Duración máxima de un token de acceso 4 |
3,600 segundos (1 hora) |
1 Si creas roles personalizados a nivel de proyecto, estos no se consideran en el límite a nivel de organización.
2 Para los fines de este límite, IAM cuenta todas las apariciones de cada principal en las vinculaciones de roles de la política de permiso, así como los principales que la política de permisos exime a los registros de auditoría de acceso a los datos. No anula el duplicado de las principales que aparecen en más de una vinculación de rol. Por ejemplo, si una política de permisos solo contiene vinculaciones de roles para la principalprincipal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com y esta principal aparece en 50 vinculaciones de roles, puedes agregar otras 1,450 principales a las vinculaciones de roles en la política de permisos.
Además, para los fines de este límite, cada aparición de un conjunto de principales se cuenta como un único principal, sin importar la cantidad de miembros individuales del conjunto.
Si usas las Condiciones de IAM o si otorgas roles a muchas principales con identificadores más largos de lo normal, IAM podría permitir menos principales en la política de permisos.
3
IAM cuenta todas las apariciones de cada principal en todas
las políticas de denegación adjuntas a un recurso. No anula el duplicado de los principales que aparecen en más de una regla de denegación o política de denegación. Por ejemplo, si las políticas de denegación adjuntas a un recurso contienen solo reglas de denegación para la principal principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com, y esta principal aparece en 20 reglas de denegación, puedes agregar otras 2,480 principales a las políticas de denegación del recurso.
4
Puedes extender la duración máxima de los tokens de acceso de OAuth 2.0 a 12 horas (43,200 segundos). Para extender la vida útil máxima, identifica las cuentas de servicio que necesitan una vida útil prolongada para los tokens y, luego, agregar estas cuentas de servicio a una política de la organización que incluya la restricción de lista constraints/iam.allowServiceAccountCredential.