Cuotas

Google Cloud aplica cuotas al uso de los recursos. En el caso de Cloud KMS, se aplican al uso de recursos como claves, llaveros de claves, versiones de claves y ubicaciones. Para obtener detalles sobre cómo administrar o aumentar tus cuotas, consulta Supervisa y ajusta las cuotas de Cloud KMS.

Consulta las cuotas de Cloud KMS

No se aplican cuotas para la cantidad de recursos de KeyRing, CryptoKey o CryptoKeyVersion, solo para la cantidad de operaciones.

Algunas cuotas de estas operaciones se aplican al proyecto de llamada, el proyecto de Google Cloud que hace llamadas al servicio de Cloud KMS. Otras cuotas se aplican al proyecto de hosting, el proyecto de Google Cloud que contiene las claves que se usan para la operación.

Las cuotas de llamadas de proyectos no incluyen el uso que generan los servicios de Google Cloud con claves de Cloud KMS para la integración de claves de encriptación administradas por el cliente (CMEK). Por ejemplo, las solicitudes de encriptación y desencriptación que provienen directamente de BigQuery, Bigtable o Spanner no contribuyen a las cuotas de solicitudes criptográficas.

En la consola de Google Cloud, se enumera el límite de cada cuota en consultas por minuto (QPM), pero las cuotas de los proyectos de hosting se aplican por segundo. Las cuotas que se aplican en las consultas por segundo (QPS) rechazan las solicitudes que superan el límite de QPS, incluso si tu uso por minuto es inferior al límite de QPM indicado. Si superas un límite de QPS, recibirás un error RESOURCE_EXHAUSTED.

Cuotas de uso de los recursos de Cloud KMS

En la siguiente tabla, se enumera cada cuota aplicada a los recursos de Cloud KMS. En la tabla, se muestra el nombre y el límite de cada cuota, a qué proyecto se aplica y las operaciones que se descuentan de la cuota. Puedes ingresar una palabra clave en el campo para filtrar la tabla. Por ejemplo, puedes ingresar calling para ver solo las cuotas aplicadas al proyecto de llamada o encrypt para ver solo las cuotas relacionadas con las operaciones de encriptación:

Cuota Proyecto Límite Recursos y operaciones
Solicitudes de lectura
cloudkms.googleapis.com​/read_requests
Proyecto de llamada 300 QPM

cryptoKeys: get, getIamPolicy, list y testIamPermissions

cryptoKeyVersions: get, list

ekmConnections: get, getIamPolicy, list, testIamPermissions y verifyConnectivity

importJobs: get, getIamPolicy, list y testIamPermissions

keyRings: get, getIamPolicy, list y testIamPermissions

locations: get, list

Exenciones: Operaciones de la consola de Google Cloud

Solicitudes de escritura
cloudkms.googleapis.com​/write_requests
Proyecto de llamada 60 QPM

cryptoKeys: create, patch, setIamPolicy y updatePrimaryVersion

cryptoKeyVersions: create, destroy, import, patch y restore

ekmConnections: create, patch y setIamPolicy

importJobs: create, setIamPolicy

keyRings: create, setIamPolicy

Exenciones: Operaciones de la consola de Google Cloud

Solicitudes criptográficas
cloudkms.googleapis.com​/crypto_requests
Proyecto de llamada 60,000 QPM

cryptoKeys: encrypt, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt

locations: generateRandomBytes

Exentos: Operaciones de integraciones de CMEK

Solicitudes de criptografía simétrica de HSM por región
cloudkms.googleapis.com​/hsm_symmetric_requests
Proyecto de hosting 500 QPS

cryptoKeys: encrypt, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt

Solicitudes de criptografía asimétrica de HSM por región
cloudkms.googleapis.com​/hsm_asymmetric_requests
Proyecto de hosting 50 QPS

cryptoKeys: encrypt, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

El HSM genera solicitudes aleatorias por región.
cloudkms.googleapis.com​/hsm_generate_random_requests
Proyecto de hosting 50 QPS

locations: generateRandomBytes

Solicitudes criptográficas externas por región
cloudkms.googleapis.com​/external_kms_requests
Proyecto de hosting 100 QPS

cryptoKeys: encrypt, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Ejemplos de cuota

En las siguientes secciones, se incluyen ejemplos de cada cuota con los siguientes proyectos de ejemplo:

  • KEY_PROJECT: Es un proyecto de Google Cloud que contiene claves de Cloud KMS, incluidas las claves de Cloud HSM y Cloud EKM.

  • SPANNER_PROJECT: Un proyecto de Google Cloud que contiene una instancia de Spanner que usa las claves de encriptación administradas por el cliente (CMEK) que residen en KEY_PROJECT.

  • SERVICE_PROJECT: Un proyecto de Google Cloud que contiene una cuenta de servicio que usas para administrar los recursos de Cloud KMS que residen en KEY_PROJECT.

Leer solicitudes

La cuota de Solicitudes de lectura limita las solicitudes de lectura del proyecto de Google Cloud que llama a la API de Cloud KMS. Por ejemplo, ver una lista de claves en KEY_PROJECT desde KEY_PROJECT con Google Cloud CLI se registra en la cuota de solicitudes de lectura de KEY_PROJECT. Si usas una cuenta de servicio en SERVICE_PROJECT para ver tu lista de claves, la solicitud de lectura se registra en la cuota de solicitudes de lectura de SERVICE_PROJECT.

El uso de la consola de Google Cloud para ver los recursos de Cloud KMS no contribuye a la cuota de solicitudes de lectura.

Escribir solicitudes

La cuota de Solicitudes de escritura limita las solicitudes de escritura del proyecto de Google Cloud que llama a la API de Cloud KMS. Por ejemplo, crear claves en KEY_PROJECT con gcloud CLI se registra en la cuota de solicitudes de escritura de KEY_PROJECT. Si usas una cuenta de servicio en SERVICE_PROJECT para crear claves, la solicitud de escritura se registra en la cuota de solicitudes de escritura de SERVICE_PROJECT.

El uso de la consola de Google Cloud para crear o administrar recursos de Cloud KMS no contribuye a la cuota de solicitudes de lectura.

Solicitudes criptográficas

La cuota de solicitudes criptográficas limita las operaciones criptográficas del proyecto de Google Cloud que llama a la API de Cloud KMS. Por ejemplo, encriptar datos con llamadas a la API desde un recurso de cuenta de servicio que se ejecuta en SERVICE_PROJECT con claves de KEY_PROJECT se registra en la cuota de solicitudes de criptografía de SERVICE_PROJECT.

La encriptación y desencriptación de datos en un recurso de Spanner en SPANNER_PROJECT con la integración de CMEK no se cuenta para la cuota de solicitudes de criptografía de SPANNER_PROJECT.

Solicitudes de criptografía simétrica de HSM por región

La cuota de solicitudes criptográficas simétricas de HSM por región limita las operaciones criptográficas que usan claves simétricas de Cloud HSM en el proyecto de Google Cloud que contiene esas claves. Por ejemplo, encriptar datos en un recurso de Spanner con claves simétricas de HSM se considera en la cuota de solicitudes criptográficas simétricas de HSM por región de KEY_PROJECT.

Solicitudes de criptografía asimétrica de HSM por región

La cuota de solicitudes criptográficas asimétricas de HSM por región limita las operaciones criptográficas que usan claves asimétricas de Cloud HSM en el proyecto de Google Cloud que contiene esas claves. Por ejemplo, encriptar datos en un recurso de Spanner con claves asimétricas de HSM se considera en la cuota de solicitudes criptográficas asimétricas de HSM por región de KEY_PROJECT.

El HSM genera solicitudes aleatorias por región

Los límites de cuota de HSM generan solicitudes aleatorias por región generan operaciones de bytes aleatorios con Cloud HSM en el proyecto de Google Cloud especificado en el mensaje de solicitud. Por ejemplo, las solicitudes de cualquier fuente para generar bytes aleatorios en KEY_PROJECT se registran en la cuota de HSM genera solicitudes aleatorias por región de KEY_PROJECT.

Solicitudes criptográficas externas por región

La cuota de solicitudes criptográficas externas por región limita las operaciones criptográficas que usan claves externas (Cloud EKM) en el proyecto de Google Cloud que contiene esas claves. Por ejemplo, encriptar datos en un recurso de Spanner con claves de EKM se considera en la cuota de solicitudes criptográficas externas por región de KEY_PROJECT.

Información sobre errores de cuota

Si realizas una solicitud después de agotar la cuota, la solicitud muestra un error RESOURCE_EXHAUSTED. El código de estado HTTP es 429. Para obtener más información sobre cómo las bibliotecas cliente muestran el error RESOURCE_EXHAUSTED, consulta Asignación de bibliotecas cliente.

Si recibes el error RESOURCE_EXHAUSTED, es posible que envíes demasiadas solicitudes de operaciones criptográficas por segundo. Puedes recibir el error RESOURCE_EXHAUSTED incluso si la consola de Google Cloud muestra que estás dentro del límite de consultas por minuto. Esto puede suceder porque las cuotas de proyectos de alojamiento de Cloud KMS se muestran por minuto, pero se aplican en una escala por segundo. Si deseas obtener más información para supervisar las métricas, consulta Supervisa y alerta sobre las métricas de cuotas.

Para obtener detalles sobre cómo solucionar problemas de cuotas de Cloud KMS, consulta Soluciona problemas de cuotas.

¿Qué sigue?