Google Cloud aplica cuotas al uso de los recursos. En el caso de Cloud KMS, se aplican al uso de recursos como claves, llaveros de claves, versiones de claves y ubicaciones.
No se aplican cuotas para la cantidad de recursos de KeyRing, CryptoKey o CryptoKeyVersion, solo para la cantidad de operaciones.
Verifica las cuotas
Para verificar las cuotas actuales de los recursos de tu proyecto, ve a la página Cuotas en Google Cloud Platform Console.
Cuotas de todos los recursos de Cloud KMS
Cloud Key Management Service tiene cuotas para los siguientes recursos:
- Solicitudes de lectura por minuto: una solicitud de lectura es una operación en la que se lee un recurso de Cloud KMS, como
KeyRing,CryptoKey,CryptoKeyVersionoLocation.Las siguientes operaciones son solicitudes de lectura:
| Recurso | Operaciones |
|---|---|
| KeyRing | get, getIamPolicy, list y testIamPermissions |
| CryptoKey | get, getIamPolicy, list y testIamPermissions |
| CryptoKeyVersion | get y list |
| Ubicación | get y list |
- Solicitudes de escritura por minuto: Una solicitud de escritura es una operación en la que se crea o modifica un recurso de Cloud KMS, como
KeyRing,CryptoKeyoCryptoKeyVersion.Las siguientes operaciones son solicitudes de escritura:
| Recurso | Operaciones |
|---|---|
| KeyRing | create y setIamPolicy |
| CryptoKey | create, patch, setIamPolicy y updatePrimaryVersion |
| CryptoKeyVersion | create, destroy, patch y restore |
- Solicitudes criptográficas por minuto: Las solicitudes criptográficas son operaciones que realizan encriptación, desencriptación, firma digital o recuperación de claves públicas.
Las siguientes operaciones son solicitudes criptográficas:
| Recurso | Operaciones |
|---|---|
| CryptoKey | encrypt y decrypt |
| CryptoKeyVersion | asymmetricDecrypt, asymmetricSign, getPublicKey, macSign y macVerify, |
Cuotas adicionales de Cloud HSM
Las cuotas mencionadas anteriormente se aplican a los proyectos de Google Cloud que realizan llamadas al servicio de Cloud KMS, tanto en las claves de software como en las de Cloud HSM. Por ejemplo, si realizas llamadas a Cloud KMS con una cuenta de servicio, es el proyecto de Google Cloud el que posee la cuenta de servicio.
Cuando se usan en operaciones criptográficas, las claves y versiones de claves de Cloud HSM están sujetas a un límite de cuota adicional de consultas por segundo (QPS) de HSM. La cuota de HSM según la configuración predeterminada es de 500 QPS para operaciones criptográficas simétricas, de 50 QPS para operaciones criptográficas asimétricas y de 50 QPS para operaciones GenerateRandomBytes. Cuando se usan las claves de HSM, la cuota de HSM se aplica al proyecto de Google Cloud que tiene las claves de Cloud HSM. Esto se suma a cualquier otro uso de la cuota por parte del proyecto que llamó a Cloud KMS.
En este ejemplo, un cliente tiene dos proyectos de Google Cloud:
- El proyecto A contiene la aplicación del cliente.
- El proyecto K contiene las claves que el cliente administra en Cloud KMS.
Cuando la aplicación realiza una solicitud de encriptación que usa una clave de HSM almacenada en el proyecto K, el proyecto A usa la cuota de solicitudes criptográficas, y el proyecto K usa la cuota de HSM. Si ambos proyectos corresponden al mismo proyecto de Google Cloud, este usa la cuota de solicitudes criptográficas y la de HSM.
Cuotas adicionales para Cloud External Key Manager
La cuota de las operaciones criptográficas para todas las claves de Cloud EKM en una ubicación de Google Cloud por proyecto es de 10 QPS.
Información sobre errores de cuota
Si realizas una llamada después de agotar la cuota, la solicitud muestra un error RESOURCE_EXHAUSTED. El código de estado HTTP es 429. Para obtener más información sobre cómo las bibliotecas cliente muestran el error RESOURCE_EXHAUSTED, consulta Asignación de bibliotecas cliente.
Si estás dentro de la cuota, pero recibes el error RESOURCE_EXHAUSTED de todos modos, es posible que envíes demasiadas solicitudes de operaciones criptográficas por segundo. Esto puede suceder porque las cuotas de Cloud KMS se establecen por minuto, pero se aplican a una escala por segundo. La métrica Peak crypto ops ayuda a diagnosticar el problema. Peak crypto ops muestra la cantidad máxima de solicitudes criptográficas por segundo en intervalos de un minuto, que identifican cualquier aumento en las solicitudes que pueda haber generado el error RESOURCE_EXHAUSTED.
Para obtener un mayor nivel de detalle, la métrica Peak crypto ops también puede mostrar solicitudes criptográficas por ubicación y según el tipo de operación criptográfica. Para obtener más información sobre la supervisión de métricas, consulta Supervisa y alerta sobre métricas de cuotas.
Aumenta las cuotas
Para aumentar la cuota de las operaciones criptográficas (hasta 60,000 consultas por minuto), ve a la página Cuotas de Cloud Console. También puedes solicitar un aumento de cuota, y te notificaremos el estado de la solicitud. Las cuotas multiregionales y globales no aparecen en la consola. Si quieres aumentar la cuota de ubicaciones multirregionales o la ubicación global, realiza la solicitud para una región diferente y menciona la multirregión en la descripción de la solicitud.