Google Cloud aplica cuotas al uso de los recursos. En el caso de Cloud KMS, se aplican al uso de recursos como claves, llaveros de claves, versiones de claves y ubicaciones. Para obtener detalles sobre cómo administrar o aumentar tus cuotas, consulta Supervisa y ajusta las cuotas de Cloud KMS.
Consulta las cuotas de Cloud KMS
No se aplican cuotas para la cantidad de recursos de KeyRing
, CryptoKey
o CryptoKeyVersion
, solo para la cantidad de operaciones.
Algunas cuotas de estas operaciones se aplican al proyecto de llamada, el proyecto de Google Cloud que hace llamadas al servicio de Cloud KMS. Otras cuotas se aplican al proyecto de hosting, el proyecto de Google Cloud que contiene las claves que se usan para la operación.
Las cuotas de llamadas de proyectos no incluyen el uso que generan los servicios de Google Cloud con claves de Cloud KMS para la integración de claves de encriptación administradas por el cliente (CMEK). Por ejemplo, las solicitudes de encriptación y desencriptación que provienen directamente de BigQuery, Bigtable o Spanner no contribuyen a las cuotas de solicitudes criptográficas.
En la consola de Google Cloud, se enumera el límite de cada cuota en consultas por minuto (QPM), pero las cuotas de los proyectos de hosting se aplican por segundo. Las cuotas que se aplican en las consultas por segundo (QPS) rechazan las solicitudes que superan el límite de QPS, incluso si tu uso por minuto es inferior al límite de QPM indicado. Si superas un límite de QPS, recibirás un error RESOURCE_EXHAUSTED
.
Cuotas de uso de los recursos de Cloud KMS
En la siguiente tabla, se enumera cada cuota aplicada a los recursos de Cloud KMS. En la tabla, se muestra el nombre y el límite de cada cuota, a qué proyecto se aplica y las operaciones que se descuentan de la cuota. Puedes ingresar una palabra clave en el campo para filtrar la tabla. Por ejemplo, puedes ingresar calling para ver solo las cuotas aplicadas al proyecto de llamada o encrypt para ver solo las cuotas relacionadas con las operaciones de encriptación:
Ejemplos de cuota
En las siguientes secciones, se incluyen ejemplos de cada cuota con los siguientes proyectos de ejemplo:
KEY_PROJECT
: Es un proyecto de Google Cloud que contiene claves de Cloud KMS, incluidas las claves de Cloud HSM y Cloud EKM.SPANNER_PROJECT
: Un proyecto de Google Cloud que contiene una instancia de Spanner que usa las claves de encriptación administradas por el cliente (CMEK) que residen enKEY_PROJECT
.SERVICE_PROJECT
: Un proyecto de Google Cloud que contiene una cuenta de servicio que usas para administrar los recursos de Cloud KMS que residen enKEY_PROJECT
.
Leer solicitudes
La cuota de Solicitudes de lectura limita las solicitudes de lectura del proyecto de Google Cloud que llama a la API de Cloud KMS. Por ejemplo, ver una lista de claves en KEY_PROJECT
desde KEY_PROJECT
con Google Cloud CLI se registra en la cuota de solicitudes de lectura de KEY_PROJECT
. Si usas una cuenta de servicio en
SERVICE_PROJECT
para ver tu lista de claves, la solicitud de lectura se registra
en la cuota de solicitudes de lectura de SERVICE_PROJECT
.
El uso de la consola de Google Cloud para ver los recursos de Cloud KMS no contribuye a la cuota de solicitudes de lectura.
Escribir solicitudes
La cuota de Solicitudes de escritura limita las solicitudes de escritura del proyecto de Google Cloud que llama a la API de Cloud KMS. Por ejemplo, crear claves en KEY_PROJECT
con gcloud CLI se registra en la cuota de solicitudes de escritura de KEY_PROJECT
. Si usas una cuenta de servicio en SERVICE_PROJECT
para crear claves, la solicitud de escritura se registra en la cuota de solicitudes de escritura de SERVICE_PROJECT
.
El uso de la consola de Google Cloud para crear o administrar recursos de Cloud KMS no contribuye a la cuota de solicitudes de lectura.
Solicitudes criptográficas
La cuota de solicitudes criptográficas limita las operaciones criptográficas del proyecto de Google Cloud que llama a la API de Cloud KMS. Por ejemplo, encriptar datos con llamadas a la API desde un recurso de cuenta de servicio que se ejecuta en SERVICE_PROJECT
con claves de KEY_PROJECT
se registra en la cuota de solicitudes de criptografía de SERVICE_PROJECT
.
La encriptación y desencriptación de datos en un recurso de Spanner en SPANNER_PROJECT
con la integración de CMEK no se cuenta para la cuota de solicitudes de criptografía de SPANNER_PROJECT
.
Solicitudes de criptografía simétrica de HSM por región
La cuota de solicitudes criptográficas simétricas de HSM por región limita las operaciones criptográficas que usan claves simétricas de Cloud HSM en el proyecto de Google Cloud que contiene esas claves. Por ejemplo, encriptar datos en un recurso de Spanner con claves simétricas de HSM se considera en la cuota de solicitudes criptográficas simétricas de HSM por región de KEY_PROJECT
.
Solicitudes de criptografía asimétrica de HSM por región
La cuota de solicitudes criptográficas asimétricas de HSM por región limita las operaciones criptográficas que usan claves asimétricas de Cloud HSM en el proyecto de Google Cloud que contiene esas claves. Por ejemplo, encriptar datos en un recurso de Spanner con claves asimétricas de HSM se considera en la cuota de solicitudes criptográficas asimétricas de HSM por región de KEY_PROJECT
.
El HSM genera solicitudes aleatorias por región
Los límites de cuota de HSM generan solicitudes aleatorias por región generan operaciones de bytes aleatorios con Cloud HSM en el proyecto de Google Cloud especificado en el mensaje de solicitud. Por ejemplo, las solicitudes de cualquier fuente para generar bytes aleatorios en KEY_PROJECT
se registran en la cuota de HSM genera solicitudes aleatorias por región de KEY_PROJECT
.
Solicitudes criptográficas externas por región
La cuota de solicitudes criptográficas externas por región limita las operaciones criptográficas que usan claves externas (Cloud EKM) en el proyecto de Google Cloud que contiene esas claves. Por ejemplo, encriptar datos en un recurso de Spanner con claves de EKM se considera en la cuota de solicitudes criptográficas externas por región de KEY_PROJECT
.
Información sobre errores de cuota
Si realizas una solicitud después de agotar la cuota, la solicitud muestra un error
RESOURCE_EXHAUSTED
. El código de estado HTTP es 429
. Para obtener más información sobre cómo las bibliotecas cliente muestran el error RESOURCE_EXHAUSTED
, consulta Asignación de bibliotecas cliente.
Si recibes el error RESOURCE_EXHAUSTED
, es posible que envíes demasiadas
solicitudes de operaciones criptográficas por segundo. Puedes recibir el error RESOURCE_EXHAUSTED
incluso si la consola de Google Cloud muestra que estás dentro del límite de consultas por minuto. Esto puede suceder porque las cuotas de proyectos de alojamiento de Cloud KMS se muestran por minuto, pero se aplican en una escala por segundo. Si deseas obtener más información para supervisar las métricas, consulta Supervisa y alerta sobre las métricas de cuotas.
Para obtener detalles sobre cómo solucionar problemas de cuotas de Cloud KMS, consulta Soluciona problemas de cuotas.
¿Qué sigue?
- Obtén información para usar Cloud Monitoring con Cloud KMS.
- Obtén información para supervisar y ajustar las cuotas de Cloud KMS.