Cuotas y límites

En esta página se detallan las cuotas y los límites que se aplican a la administración de identidades y accesos (IAM). Las cuotas y los límites pueden restringir la cantidad de solicitudes que puedes enviar o la cantidad de recursos que puedes crear. Los límites también pueden restringir los atributos de un recurso, como la longitud del identificador del recurso.

Si una cuota es muy baja para satisfacer tus necesidades, puedes usar la consola de Google Cloud a fin de solicitar un aumento en la cuota de tu proyecto. Si la consola de Google Cloud no te permite solicitar el cambio de una cuota específica, comunícate con Asistencia de Google Cloud.

Los límites no se pueden cambiar.

Cuotas

De forma predeterminada, las siguientes cuotas de IAM se aplican a cada proyecto de Google Cloud, a excepción de las cuotas de la federación de identidades de personal y Privileged Access Manager. Las cuotas de la federación de identidades de personal se aplican a las organizaciones.

Las cuotas de Privileged Access Manager se aplican a proyectos y organizaciones y se cobran de la siguiente manera según el objetivo de la llamada:

  • En el caso de los proyectos que no pertenecen a una organización, se cobra una unidad de cuota del proyecto por llamada.
  • En el caso de los proyectos que pertenecen a una organización, se cobra una unidad de cada cuota de proyecto y de organización por llamada. Se rechaza una llamada si se agotó una de las dos cuotas.
  • En el caso de las llamadas a carpetas u organizaciones, se cobra una unidad de cuota de la organización.

Cuotas predeterminadas
API de IAM v1
Solicitudes de lectura (por ejemplo, obtener una política de permisos) 6,000 por proyecto por minuto
Solicitudes de escritura (por ejemplo, actualizar una política de permisos) 600 por proyecto por minuto
API de IAM v2
Solicitudes de lectura (por ejemplo, obtener una política de denegación) 5 por proyecto por minuto
Solicitudes de escritura (por ejemplo, actualizar una política de denegación) 5 por proyecto por minuto
API de IAM v3
Solicitudes de lectura (por ejemplo, obtener una política de límite de acceso de las principales) 5 por proyecto por minuto
Solicitudes de escritura (por ejemplo, actualizar una política de límite de acceso de las principales) 5 por proyecto por minuto
Federación de identidades para cargas de trabajo
Solicitudes de lectura (por ejemplo, obtener un grupo de Workload Identity) 600 por proyecto por minuto
6,000 por cliente por minuto
Solicitudes de escritura (por ejemplo, actualizar un grupo de Workload Identity) 60 por proyecto por minuto
600 por cliente por minuto
Federación de identidades de personal
Solicitudes de creación, eliminación y recuperación 60 por organización por minuto
Solicitudes de lectura (por ejemplo, obtener un grupo de Workforce Identity) 120 por organización por minuto
Solicitudes de actualización (por ejemplo, actualización de un grupo de Workforce Identity) 120 por organización por minuto
Solicitudes de eliminación y recuperación de asuntos (por ejemplo, borrar un asunto de grupo de Workforce Identity) 60 por organización por minuto
Cantidad de grupos de Workforce Identity 100 por organización
Aplicaciones de OAuth de Workforce
Solicitudes de creación, lectura, actualización, eliminación y recuperación 60 por proyecto por minuto
API de Service Account Credentials
Solicitudes de generación de credenciales 60,000 por proyecto por minuto
Solicitudes de firma de un token web JSON (JWT) o BLOB 60,000 por proyecto por minuto
API del servicio de token de seguridad
Solicitudes de intercambio de tokens (federación de identidades que no son de personal) 6,000 por proyecto por minuto
Solicitudes de intercambio de tokens (federación de identidades de personal) 1,000 por organización por minuto
Cuentas de servicio
Cantidad de cuentas de servicio 100 por proyecto
API de Privileged Access Manager
Solicitudes de escritura de derechos (por ejemplo, crear, actualizar o borrar un derecho) 100 por proyecto por minuto
100 por organización por minuto
Solicitudes CheckOnboardingStatus 300 por proyecto por minuto
900 por organización por minuto
Solicitudes ListEntitlements 600 por proyecto por minuto
1,800 por organización por minuto
Solicitudes SearchEntitlements 600 por proyecto por minuto
1,800 por organización por minuto
Solicitudes GetEntitlement 3,000 por proyecto por minuto
9,000 por organización por minuto
Solicitudes ListGrants 600 por proyecto por minuto
1,800 por organización por minuto
Solicitudes SearchGrants 600 por proyecto por minuto
1,800 por organización por minuto
Solicitudes GetGrant 3,000 por proyecto por minuto
9,000 por organización por minuto
Solicitudes CreateGrant 200 por proyecto por minuto
600 por organización por minuto
Solicitudes ApproveGrant 200 por proyecto por minuto
600 por organización por minuto
Solicitudes DenyGrant 200 por proyecto por minuto
600 por organización por minuto
Solicitudes RevokeGrant 300 por proyecto por minuto
900 por organización por minuto
Solicitudes GetOperation 600 por proyecto por minuto
1,800 por organización por minuto
Solicitudes ListOperations 300 por proyecto por minuto
900 por organización por minuto

Límites

IAM aplica los siguientes límites a los recursos: Estos límites no se pueden cambiar.

Límites
Funciones personalizadas
Funciones personalizadas para una organización1 300
Funciones personalizadas para un proyecto1 300
ID de un rol personalizado 64 bytes
Título de rol personalizado 100 bytes
Descripción de una función personalizada 300 bytes
Permisos en un rol personalizado 3,000
El tamaño total del título, la descripción y los nombres de los permisos de una función personalizada 64 KB
Permite políticas y vinculaciones de funciones
Permite políticas por recurso 1
Cantidad total de principales (incluidos los dominios y los Grupos de Google) en todas las vinculaciones de roles y exenciones de registros de auditoría dentro de una sola política2 1,500
Dominios y Grupos de Google en todas las vinculaciones de funciones dentro de una sola política de permiso3 250
Operadores lógicos en la expresión condicional de una vinculación 12
Vinculaciones de funciones en una política de admisión que incluyen la misma función y el mismo principal, pero diferentes expresiones condicionales 20
Políticas de denegación y reglas de denegación
Políticas de denegación por recurso 500
Reglas de denegación por recurso 500
Dominios y Grupos de Google en todas las políticas de denegación de un recurso 4 500
Cantidad total de principales (incluidos los dominios y los Grupos de Google) en todas las políticas de denegación de un recurso 4 2,500
Reglas de denegación en una sola política de denegación 500
Operadores lógicos en la expresión condicional de una regla de denegación 12
Políticas de Límite de Acceso de las Principales
Reglas en una sola Política de Límite de Acceso de las Principales 500
Recursos en todas las reglas de una sola Política de Límite de Acceso de las Principales 500
Cantidad de Política de Límite de Acceso de las Principales que se pueden vincular a un recurso 10
Política de Límite de Acceso de las Principales por organización 1000
Operadores lógicos en la expresión condicional de una política de vinculación 10
Cuentas de servicio
ID de cuenta de servicio 30 bytes
Nombre visible de una cuenta de servicio 100 bytes
Claves de cuenta de servicio de una cuenta de servicio 10
Federación de identidades de personal
Proveedores de grupos de Workload Identity por grupo 200
Asuntos borrados del grupo de identidad del personal por grupo 100,000
Aplicaciones de OAuth de Workforce
Clientes de OAuth de Workforce por proyecto 100
Credenciales de cliente de OAuth de Workforce por cliente 10
Federación de identidades para cargas de trabajo y asignación de atributos de la federación de identidades de personal
Asunto asignado 127 bytes
Nombre visible asignado del usuario del grupo de Workforce Identity 100 bytes
Tamaño total de los atributos asignados 8,192 bytes
Cantidad de asignaciones de atributos personalizados 50
Credenciales de corta duración
Reglas de límite de acceso de un Límite de acceso para credenciales 10
Duración máxima de un token de acceso 5

3,600 segundos (1 hora)

1 Si creas roles personalizados a nivel de proyecto, estos no se consideran en el límite a nivel de organización.

2 Para los fines de este límite, IAM cuenta todas las apariciones de cada principal en las vinculaciones de roles de la política de permiso, así como los principales que la política de permisos exime a los registros de auditoría de acceso a los datos. No anula el duplicado de las principales que aparecen en más de una vinculación de rol. Por ejemplo, si una política de permisos solo contiene vinculaciones de roles para el user:my-user@example.com principal, y este principal aparece en 50 vinculaciones de roles, puedes agregar otras 1,450 principales a las vinculaciones de roles en la política de permisos.

Además, para los fines de este límite, cada aparición de un dominio o Grupo de Google se cuenta como un único principal, sin importar la cantidad de miembros individuales del dominio o grupo.

Si usas las Condiciones de IAM o si otorgas roles a muchas principales con identificadores más largos de lo normal, IAM podría permitir menos principales en la política de permisos.

3 Para los fines de este límite, los dominios de Cloud Identity, las cuentas de Google Workspace y los Grupos de Google se cuentan de la siguiente manera:

  • Para los Grupos de Google, cada grupo único se cuenta solo una vez, sin importar cuántas veces aparezca en la política de permisos. Esto es diferente de la forma en que se cuentan los grupos para el límite de la cantidad total de principales en una política de permisos. Para ese límite, cada aparición de un grupo se considera en el límite.
  • Para los dominios de Cloud Identity o las cuentas de Google Workspace, IAM cuenta todas las apariciones de cada dominio o cuenta en las vinculaciones de roles de la política de permisos. No anula el duplicado de los dominios o las cuentas que aparecen en más de una vinculación de roles.

Por ejemplo, si tu política de permisos contiene solo un grupo, group:my-group@example.com y el grupo aparece en la política de permisos 10 veces, puedes agregar 249 dominios, cuentas de Google Workspace o grupos únicos de Cloud Identity más antes de alcanzar el límite.

Como alternativa, si tu política de permisos contiene solo un dominio, domain:example.com y el dominio aparece en la política de permisos 10 veces, puedes agregar otros 240 dominios de Cloud Identity, cuentas de Google Workspace o grupos únicos antes de alcanzar el límite.

4 IAM cuenta todas las apariciones de cada principal en todas las políticas de denegación adjuntas a un recurso. No anula el duplicado de los principales que aparecen en más de una regla de denegación o una política de denegación. Por ejemplo, si las políticas de denegación adjuntas a un recurso solo contienen reglas de denegación para la principal user:my-user@example.com, y esta principal aparece en 20 reglas de denegación, puedes agregar otras 2,480 principales a las políticas de denegación del recurso.

5 Para los tokens de acceso de OAuth 2.0, puedes extender la duración máxima a 12 horas (43,200 segundos). Para extender la vida útil máxima, identifica las cuentas de servicio que necesitan una vida útil prolongada para los tokens y, luego, agregar estas cuentas de servicio a una política de la organización que incluya la restricción de lista constraints/iam.allowServiceAccountCredentialLifetimeExtension.