En esta página se detallan las cuotas y los límites que se aplican a la administración de identidades y accesos (IAM). Las cuotas y los límites pueden restringir la cantidad de solicitudes que puedes enviar o la cantidad de recursos que puedes crear. Los límites también pueden restringir los atributos de un recurso, como la longitud del identificador del recurso.
Si una cuota es muy baja para satisfacer tus necesidades, puedes usar Google Cloud Console a fin de solicitar un aumento en la cuota de tu proyecto. Si Cloud Console no te permite solicitar el cambio de una cuota específica, comunícate con Asistencia de Google Cloud.
Los límites no se pueden cambiar.
Cuotas
Las siguientes cuotas de IAM se aplican a cada proyecto de Google Cloud de forma predeterminada:
| Cuotas predeterminadas | |
|---|---|
| API de IAM | |
| Solicitudes de lectura (por ejemplo, obtener una política) | 6,000 por minuto |
| Solicitudes de escritura (por ejemplo, actualizar una política) | 600 por minuto |
| Grupos de Workload Identity | |
| Solicitudes de lectura (por ejemplo, obtener un grupo de Workload Identity) | 600 por proyecto por minuto 6,000 por cliente por minuto |
| Solicitudes de escritura (por ejemplo, actualizar un grupo de Workload Identity) | 60 por proyecto por minuto 600 por cliente por minuto |
| API de Service Account Credentials | |
| Solicitudes de generación de credenciales | 60,000 por minuto |
| Solicitudes de firma de un token web JSON (JWT) o BLOB | 60,000 por minuto |
| API del servicio de token de seguridad | |
| Solicitudes de tokens de Exchange | 6,000 por minuto |
| Cuentas de servicio | |
| Cantidad de cuentas de servicio | 100 |
Límites
IAM aplica los siguientes límites a los recursos: Estos límites no se pueden cambiar.
| Límites | |
|---|---|
| Funciones personalizadas | |
| Funciones personalizadas para una organización1 | 300 |
| Funciones personalizadas para un proyecto1 | 300 |
| Título de una función personalizada | 100 bytes |
| Descripción de una función personalizada | 256 bytes |
| Permisos en un rol personalizado | 3,000 |
| El tamaño total del título, la descripción y los nombres de los permisos de una función personalizada | 64 KB |
| Permite políticas y vinculaciones de funciones | |
| Dominios y Grupos de Google en todas las vinculaciones de funciones dentro de una sola política de permiso2 | 250 |
| Cantidad total de principales (incluidos los Grupos de Google) en todas las vinculaciones de roles dentro de una sola política3 | 1,500 |
| Operadores lógicos en la expresión condicional de una vinculación | 12 |
| Vinculaciones de funciones en una política de admisión que incluyen la misma función y el mismo principal, pero diferentes expresiones condicionales | 20 |
| Políticas de denegación y reglas de denegación | |
| Políticas de denegación por recurso | 5 |
| Dominios y Grupos de Google en todas las reglas de denegación dentro de una sola política de denegación4 | 100 |
| Cantidad total de principales (incluidos los dominios y los Grupos de Google) en todas las reglas de denegación dentro de una sola política de denegación4 | 500 |
| Reglas de denegación en una sola política de denegación | 100 |
| Operadores lógicos en la expresión condicional de una regla de denegación | 12 |
| Cuentas de servicio | |
| ID de cuenta de servicio | 30 bytes |
| Nombre visible de una cuenta de servicio | 100 bytes |
| Claves de cuenta de servicio de una cuenta de servicio | 10 |
| Credenciales de corta duración | |
| Reglas de límite de acceso de un Límite de acceso para credenciales | 10 |
| Duración máxima de un token de acceso |
3,600 segundos (1 hora)
Puedes extender la duración máxima de los tokens de acceso de OAuth 2.0 a 12 horas (43,200 segundos). Para extender la vida útil máxima, identifica las cuentas de servicio que necesitan una vida útil prolongada para los tokens y, luego, agregar estas cuentas de servicio a una política de la organización que incluya la restricción de lista |
1 Si creas funciones personalizadas a nivel de proyecto, estas no se consideran en el límite a nivel de organización.
2 Para los fines de este límite, los dominios y los Grupos de Google se cuentan de la siguiente manera:
-
Para los dominios, IAM cuenta todas las apariciones de cada dominio en las vinculaciones de roles de la política de permisos. No anula el duplicado de los dominios que aparecen en más de una vinculación de roles. Por ejemplo, si una política de permisos contiene solo un dominio,
domain:example.com, y el dominio aparece en la política de permiso 10 veces, puedes agregar otros 240 dominios antes de alcanzar el límite. -
Para los Grupos de Google, cada grupo único se cuenta solo una vez, sin importar cuántas veces aparezca en la política de permisos. Por ejemplo, si una política de permisos contiene solo un grupo,
group:my-group@example.com, y el grupo aparece en la política de permisos 10 veces, puedes agregar 249 grupos únicos más antes de alcanzar el límite.
3Para los fines de este límite, IAM cuenta todas las apariciones de cada principal en las vinculaciones de roles de la política de permisos. No anula el duplicado de las principales que aparecen en más de una vinculación de roles. Por ejemplo, si una política de permisos solo contiene vinculaciones de roles para la principal group:my-group@example.com, y esta principal aparece en 50 vinculaciones de roles, puedes agregar otras 1,450 principales a las vinculaciones de roles en la política de permisos.
Si usas las Condiciones de IAM o si otorgas funciones a muchas principales con identificadores largos, IAM podría permitir menos principales en la política.
4
IAM cuenta todas las apariciones de cada principal en las reglas de denegación de la
política de denegación. No anula el duplicado de los principales que aparecen en más de una regla de denegación. Por ejemplo, si una política de denegación contiene solo reglas de denegación para el user:alice@example.com principal, y este principal aparece en 20 reglas de denegación, puedes agregar otros 480 principales a las reglas de denegación en la política de denegación.