Cuotas

Google Cloud aplica cuotas al uso de los recursos. En el caso de Cloud KMS, se aplican al uso de recursos como claves, llaveros de claves, versiones de claves y ubicaciones.

No se aplican cuotas para la cantidad de recursos de KeyRing, CryptoKey o CryptoKeyVersion, solo para la cantidad de operaciones.

Verifica las cuotas

Para verificar las cuotas actuales de los recursos de tu proyecto, ve a la página Cuotas en Google Cloud Platform Console.

Cuotas de todos los recursos de Cloud KMS

Cloud Key Management Service tiene cuotas para los siguientes recursos:

  • Solicitudes de lectura por minuto: una solicitud de lectura es una operación en la que se lee un recurso de Cloud KMS, como KeyRing, CryptoKey, CryptoKeyVersion o Location.

    Las siguientes operaciones son solicitudes de lectura:

Recurso Operaciones
KeyRing get, getIamPolicy, list y testIamPermissions
CryptoKey get, getIamPolicy, list y testIamPermissions
CryptoKeyVersion get y list
Ubicación get y list
  • Solicitudes de escritura por minuto: Una solicitud de escritura es una operación en la que se crea o modifica un recurso de Cloud KMS, como KeyRing, CryptoKey o CryptoKeyVersion.

    Las siguientes operaciones son solicitudes de escritura:

Recurso Operaciones
KeyRing create y setIamPolicy
CryptoKey create, patch, setIamPolicy y updatePrimaryVersion
CryptoKeyVersion create, destroy, patch y restore
  • Solicitudes criptográficas por minuto: Las solicitudes criptográficas son operaciones que realizan encriptación, desencriptación, firma digital o recuperación de claves públicas.

    Las siguientes operaciones son solicitudes criptográficas:

Recurso Operaciones
CryptoKey encrypt y decrypt
CryptoKeyVersion asymmetricDecrypt, asymmetricSign y getPublicKey

Cuotas adicionales de Cloud HSM

Las cuotas mencionadas anteriormente se aplican a los proyectos de Google Cloud que realizan llamadas al servicio de Cloud KMS, tanto en las claves de software como en las de Cloud HSM. Por ejemplo, si realizas llamadas a Cloud KMS con una cuenta de servicio, es el proyecto de Google Cloud el que posee la cuenta de servicio.

Cuando se usan en operaciones criptográficas, las claves y versiones de claves de Cloud HSM están sujetas a un límite de cuota adicional de consultas por segundo (QPS) de HSM. La cuota de HSM según la configuración predeterminada es de 500 QPS para operaciones criptográficas simétricas y de 50 QPS para operaciones criptográficas asimétricas. Cuando se usan las claves de HSM, la cuota de HSM se aplica al proyecto de Google Cloud que tiene las claves de Cloud HSM. Esto se suma a cualquier otro uso de la cuota por parte del proyecto que llamó a Cloud KMS.

En este ejemplo, un cliente tiene dos proyectos de Google Cloud:

  • El proyecto A contiene la aplicación del cliente.
  • El proyecto K contiene las claves que el cliente administra en Cloud KMS.

Cuando la aplicación realiza una solicitud de encriptación que usa una clave de HSM almacenada en el proyecto K, el proyecto A usa la cuota de solicitudes criptográficas, y el proyecto K usa la cuota de HSM. Si ambos proyectos corresponden al mismo proyecto de Google Cloud, este usa la cuota de solicitudes criptográficas y la de HSM.

Cuotas adicionales para Cloud External Key Manager

La cuota de las operaciones criptográficas para todas las claves de Cloud EKM en una ubicación de Google Cloud por proyecto es de 10 QPS.

Información sobre errores de cuota

Si realizas una llamada después de agotar la cuota, la solicitud muestra un error RESOURCE_EXHAUSTED. El código de estado HTTP es 429. Para obtener más información sobre cómo las bibliotecas cliente muestran el error RESOURCE_EXHAUSTED, consulta Asignación de bibliotecas cliente.

Si te encuentras dentro de tu cuota, pero de todas formas recibes el error RESOURCE_EXHAUSTED, es posible que envíes demasiadas solicitudes de operaciones criptográficas por segundo. Esto puede ocurrir porque las cuotas de Cloud KMS se configuran por minuto, pero se aplican en una escala por segundo. La métrica Peak crypto ops ayuda a diagnosticar el problema. Peak crypto ops muestra la cantidad máxima de solicitudes criptográficas por segundo en intervalos de un minuto, que identifican los picos en las solicitudes que pueden haber producido el error RESOURCE_EXHAUSTED. Para obtener un mayor nivel de detalle, la métrica Peak crypto ops también puede mostrar solicitudes criptográficas por ubicación y el tipo de operación criptográfica. Para obtener más información sobre la supervisión de las métricas, consulta Supervisa y genera alertas sobre las métricas de cuota.

Aumenta las cuotas

Para aumentar la cuota de las operaciones criptográficas (hasta 60,000 consultas por minuto), ve a la página Cuotas de Cloud Console. También puedes solicitar un aumento de cuota, y te notificaremos el estado de la solicitud. Las cuotas multirregionales y globales no aparecen en la consola. Para aumentar la cuota de ubicaciones multirregionales o la ubicación global, realiza la solicitud a otra región y menciona la multirregión en la descripción de la solicitud.