Cuotas

Google Cloud aplica cuotas al uso de los recursos. En el caso de Cloud KMS, se aplican cuotas al uso de recursos como claves, llaveros de claves, versiones de claves y ubicaciones. Para obtener detalles sobre cómo administrar o aumentar tus cuotas, consulta Supervisa y ajusta las cuotas de Cloud KMS.

Ver las cuotas de Cloud KMS

No hay cuotas para la cantidad de recursos KeyRing, CryptoKey o CryptoKeyVersion, solo para la cantidad de operaciones.

Algunas cuotas de estas operaciones se aplican al proyecto que realiza la llamada, el proyecto de Google Cloud que realiza llamadas al servicio de Cloud KMS. Se aplican otras cuotas al proyecto de hosting, el proyecto de Google Cloud que contiene las claves usadas para la operación.

Las cuotas de proyectos de llamadas no incluyen el uso generado por los servicios de Google Cloud con claves de Cloud KMS para la integración de claves de encriptación administradas por el cliente (CMEK). Por ejemplo, las solicitudes de encriptación y desencriptación que provienen directamente de BigQuery, Bigtable o Spanner no contribuyen a las cuotas de solicitudes criptográficas.

La consola de Google Cloud muestra el límite de consultas por minuto (QPM) para cada cuota, pero las cuotas de los proyectos de hosting se aplican por segundo. Las cuotas aplicadas en las consultas por segundo (QPS) rechazan las solicitudes que superan el límite de QPS, incluso si tu uso por minuto es menor que el límite de QPM que se muestra. Si superas un límite de QPS, recibirás un error RESOURCE_EXHAUSTED.

Cuotas de uso de los recursos de Cloud KMS

En la siguiente tabla, se muestra cada cuota que se aplica a los recursos de Cloud KMS. En la tabla, se indican el nombre y el límite de cada cuota, a qué proyecto se aplica la cuota y las operaciones que se descuentan de ella. Puedes ingresar una palabra clave en el campo para filtrar la tabla. Por ejemplo, puedes ingresar calling para ver solo las cuotas aplicadas al proyecto que realiza la llamada o encrypt para ver solo las cuotas relacionadas con las operaciones de encriptación:

Cuota	Proyecto	Límite	Recursos y operaciones
Solicitudes de lectura `cloudkms.googleapis.com/read_requests`	Llamando al proyecto	300 QPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get y list ekmConnections: get, getIamPolicy, list, testIamPermissions y verifyConnectivity importJobs: get, getIamPolicy, list y testIamPermissions keyRings: get, getIamPolicy, list y testIamPermissions locations: get y list Exento: operaciones de la consola de Google Cloud.
Solicitudes de escritura `cloudkms.googleapis.com/write_requests`	Llamando al proyecto	60 QPM	cryptoKeys: create, patch, setIamPolicy y updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch y restablecer ekmConnections: create, patch, setIamPolicy importJobs: create y setIamPolicy keyRings: create y setIamPolicy Exento: operaciones de la consola de Google Cloud.
Solicitudes criptográficas `cloudkms.googleapis.com/crypto_requests`	Llamando al proyecto	60,000 QPM	cryptoKeys: encriptar, decrypt cryptoKeyVersions: asymmetricDecrypt asymmetricSign getPublicKey macSign macVerify rawEncrypt rawDecrypt locations: generateRandomBytes Exento: operaciones de integraciones de CMEK.
Solicitudes criptográficas simétricas de HSM por región `cloudkms.googleapis.com/hsm_symmetric_requests`	Proyecto de hosting	500 QPS	cryptoKeys: encriptar, decrypt cryptoKeyVersions: asymmetricDecrypt asymmetricSign getPublicKey macSign macVerify rawEncrypt rawDecrypt
Solicitudes criptográficas asimétricas de HSM por región `cloudkms.googleapis.com/hsm_asymmetric_requests`	Proyecto de hosting	50 QPS	cryptoKeys: encriptar, decrypt cryptoKeyVersions: asymmetricDecrypt asymmetricSign getPublicKey macSign macVerify
HSM genera solicitudes aleatorias por región `cloudkms.googleapis.com/hsm_generate_random_requests`	Proyecto de hosting	50 QPS	locations: generateRandomBytes
Solicitudes criptográficas externas por región `cloudkms.googleapis.com/external_kms_requests`	Proyecto de hosting	100 QPS	cryptoKeys: encriptar, decrypt cryptoKeyVersions: asymmetricDecrypt asymmetricSign getPublicKey macSign macVerify

Ejemplos de cuota

En las siguientes secciones, se incluyen ejemplos de cada cuota que usa los siguientes proyectos de ejemplo:

KEY_PROJECT: Es un proyecto de Google Cloud que contiene claves de Cloud KMS, incluidas las claves de Cloud HSM y Cloud EKM.
SPANNER_PROJECT: Es un proyecto de Google Cloud que contiene una instancia de Spanner que usa las claves de encriptación administradas por el cliente (CMEK) que residen en KEY_PROJECT.
SERVICE_PROJECT: Es un proyecto de Google Cloud que contiene una cuenta de servicio que usas para administrar los recursos de Cloud KMS que residen en KEY_PROJECT.

Leer solicitudes

La cuota de Solicitudes de lectura limita las solicitudes de lectura del proyecto de Google Cloud que llama a la API de Cloud KMS. Por ejemplo, ver una lista de claves en KEY_PROJECT desde KEY_PROJECT con Google Cloud CLI se descuenta de la cuota KEY_PROJECT de solicitudes de lectura. Si usas una cuenta de servicio en SERVICE_PROJECT para ver tu lista de claves, la solicitud de lectura se realiza en el recuento de la cuota de solicitudes de lectura de SERVICE_PROJECT.

El uso de la consola de Google Cloud para ver los recursos de Cloud KMS no contribuye a la cuota de solicitudes de lectura.

Escribir solicitudes

La cuota de Solicitudes de escritura limita las solicitudes de escritura del proyecto de Google Cloud que llama a la API de Cloud KMS. Por ejemplo, la creación de claves en KEY_PROJECT con gcloud CLI cuenta de la cuota de solicitudes de escritura de KEY_PROJECT. Si usas una cuenta de servicio en SERVICE_PROJECT para crear claves, la solicitud de escritura se descuenta de la cuota de Solicitudes de escritura de SERVICE_PROJECT.

El uso de la consola de Google Cloud para crear o administrar recursos de Cloud KMS no contribuye a la cuota de Solicitudes de lectura.

Solicitudes criptográficas

La cuota de Solicitudes criptográficas limita las operaciones criptográficas del proyecto de Google Cloud que llama a la API de Cloud KMS. Por ejemplo, la encriptación de datos con llamadas a la API desde un recurso de cuenta de servicio que se ejecuta en SERVICE_PROJECT mediante claves de KEY_PROJECT se descuenta de la cuota de solicitudes criptográficas de SERVICE_PROJECT.

La encriptación y desencriptación de datos en un recurso de Spanner en SPANNER_PROJECT mediante la integración de CMEK no cuentan para la cuota de Solicitudes criptográficas de SPANNER_PROJECT.

Solicitudes criptográficas simétricas de HSM por región

La cuota de solicitudes criptográficas simétricas de HSM por región limita las operaciones criptográficas con claves simétricas de Cloud HSM en el proyecto de Google Cloud que contiene esas claves. Por ejemplo, la encriptación de datos en un recurso de Spanner con claves simétricas de HSM se descuenta de la cuota KEY_PROJECT de solicitudes criptográficas simétricas de HSM por región .

Solicitudes criptográficas asimétricas de HSM por región

La cuota de solicitudes criptográficas asimétricas de HSM por región limita las operaciones criptográficas mediante claves asimétricas de Cloud HSM en el proyecto de Google Cloud que contiene esas claves. Por ejemplo, la encriptación de datos en un recurso de Spanner con claves asimétricas de HSM cuenta en la cuota de solicitudes criptográficas asimétricas de HSM por región de KEY_PROJECT.

HSM genera solicitudes aleatorias por región.

Los límites de cuota de HSM generación de solicitudes aleatorias por región generan operaciones de bytes aleatorios con Cloud HSM en el proyecto de Google Cloud especificado en el mensaje de solicitud. Por ejemplo, las solicitudes de cualquier fuente para generar bytes aleatorios en KEY_PROJECT se tienen en cuenta en la cuota KEY_PROJECT de HSM genera solicitudes aleatorias por región.

Solicitudes criptográficas externas por región

La cuota de Solicitudes criptográficas externas por región limita las operaciones criptográficas mediante claves externas (Cloud EKM) en el proyecto de Google Cloud que contiene esas claves. Por ejemplo, la encriptación de datos en un recurso de Spanner mediante claves de EKM se descuenta de la cuota KEY_PROJECT de solicitudes criptográficas externas por región.

Información sobre errores de cuota

Si realizas una solicitud después de alcanzar la cuota, la solicitud generará un error RESOURCE_EXHAUSTED. El código de estado HTTP es 429. Para obtener más información sobre cómo las bibliotecas cliente muestran el error RESOURCE_EXHAUSTED, consulta Asignación de bibliotecas cliente.

Si recibes el error RESOURCE_EXHAUSTED, es posible que estés enviando demasiadas solicitudes de operaciones criptográficas por segundo. Puedes recibir el error RESOURCE_EXHAUSTED incluso si la consola de Google Cloud muestra que estás dentro del límite de consultas por minuto. Este problema puede deberse a que las cuotas de proyectos de hosting de Cloud KMS se muestran por minuto, pero se aplican a una escala por segundo. Para obtener más información sobre las métricas de supervisión, consulta Supervisa y genera alertas sobre las métricas de cuota.

Si quieres obtener más información para solucionar problemas de cuota de Cloud KMS, consulta Soluciona problemas de cuota.

¿Qué sigue?

Obtén información sobre cómo usar Cloud Monitoring con Cloud KMS.
Aprende a supervisar y ajustar las cuotas de Cloud KMS.