Google Cloud aplica cuotas al uso de los recursos. En el caso de Cloud KMS, se aplican al uso de recursos como claves, llaveros de claves, versiones de claves y ubicaciones.
No se aplican cuotas para la cantidad de recursos de KeyRing, CryptoKey o CryptoKeyVersion, solo para la cantidad de operaciones.
Verifica las cuotas
Para verificar las cuotas actuales de los recursos de tu proyecto, ve a la página Cuotas en Google Cloud Console. En la página Cuotas, puedes filtrar por kms para ver solo las cuotas relacionadas con Cloud KMS, incluidos Cloud HSM y Cloud EKM. Si estás por alcanzar o superar tus cuotas, puedes aumentarlas.
Cuotas de todos los recursos de Cloud KMS
Cloud Key Management Service tiene cuotas para los siguientes recursos:
- Solicitudes de lectura por minuto: Una solicitud de lectura es una operación en la que se lee un recurso de Cloud KMS, como
KeyRing,CryptoKey,CryptoKeyVersionoLocation.Las siguientes operaciones son solicitudes de lectura:
| Recurso | Operaciones |
|---|---|
| KeyRing | get, getIamPolicy, list y testIamPermissions |
| CryptoKey | get, getIamPolicy, list y testIamPermissions |
| CryptoKeyVersion | get y list |
| Ubicación | get y list |
- Solicitudes de escritura por minuto: Una solicitud de escritura es una operación en la que se crea o modifica un recurso de Cloud KMS, como
KeyRing,CryptoKeyoCryptoKeyVersion.Las siguientes operaciones son solicitudes de escritura:
| Recurso | Operaciones |
|---|---|
| KeyRing | create y setIamPolicy |
| CryptoKey | create, patch, setIamPolicy y updatePrimaryVersion |
| CryptoKeyVersion | create, destroy, patch y restore |
- Solicitudes criptográficas por minuto: Las solicitudes criptográficas son operaciones que realizan encriptación, desencriptación, firma digital o recuperación de claves públicas.
Las siguientes operaciones son solicitudes criptográficas:
| Recurso | Operaciones |
|---|---|
| CryptoKey | encrypt y decrypt |
| CryptoKeyVersion | asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, |
Cuotas adicionales de Cloud HSM
Las cuotas mencionadas anteriormente se aplican a los proyectos de Google Cloud que realizan llamadas al servicio de Cloud KMS, tanto en las claves de software como en las de Cloud HSM. Por ejemplo, si realizas llamadas a Cloud KMS con una cuenta de servicio, es el proyecto de Google Cloud el que posee la cuenta de servicio.
Cuando se usan en operaciones criptográficas, las claves y versiones de claves de Cloud HSM están sujetas a un límite de cuota adicional de consultas por segundo (QPS) de HSM. La cuota de HSM según la configuración predeterminada es de 500 QPS para operaciones criptográficas simétricas, de 50 QPS para operaciones criptográficas asimétricas y de 50 QPS para operaciones GenerateRandomBytes. Cuando se usan las claves de HSM, la cuota de HSM se aplica al proyecto de Google Cloud que tiene las claves de Cloud HSM. Esto se suma a cualquier otro uso de la cuota por parte del proyecto que llamó a Cloud KMS.
En este ejemplo, un cliente tiene dos proyectos de Google Cloud:
- El proyecto A contiene la aplicación del cliente.
- El proyecto K contiene las claves que el cliente administra en Cloud KMS.
Cuando la aplicación realiza una solicitud de encriptación que usa una clave de HSM almacenada en el proyecto K, el proyecto A usa la cuota de solicitudes criptográficas, y el proyecto K usa la cuota de HSM. Si ambos proyectos corresponden al mismo proyecto de Google Cloud, este usa la cuota de solicitudes criptográficas y la de HSM.
Cuotas adicionales para Cloud External Key Manager
Las claves de Cloud External Key Manager están sujetas al mismo tipo de límite de cuota adicional que las claves de Cloud HSM.
Todas las claves de Cloud EKM en una ubicación de Google Cloud tienen una cuota de 100 QPS por proyecto para operaciones criptográficas. Cuando se usan las claves de Cloud EKM, la cuota de Cloud EKM limita el proyecto de Google Cloud que contiene las claves de Cloud EKM. Esto se suma a cualquier otro uso de la cuota por parte del proyecto que llamó a Cloud KMS.
Información sobre errores de cuota
Si realizas una llamada después de agotar la cuota, la solicitud muestra un error RESOURCE_EXHAUSTED. El código de estado HTTP es 429. Para obtener más información sobre cómo las bibliotecas cliente muestran el error RESOURCE_EXHAUSTED, consulta Asignación de bibliotecas cliente.
Si estás dentro de la cuota, pero aún recibes el error RESOURCE_EXHAUSTED, es posible que envíes demasiadas solicitudes de operaciones criptográficas por segundo. Esto puede suceder porque las cuotas de Cloud KMS se establecen por minuto, pero se aplican en una escala por segundo. Si deseas obtener más información para supervisar las métricas, consulta Supervisa y alerta sobre las métricas de cuotas.
Aumenta las cuotas
Para aumentar tus cuotas, incluida la cuota de operaciones criptográficas (hasta 60,000 consultas por minuto), ve a la página Cuotas en Console y filtra por kms. Selecciona la cuota o la cuota regional que desees y, luego, haz clic en Editar cuotas para ingresar el límite deseado. También puedes solicitar un aumento de cuota mayor, y se te notificará acerca del estado de tu solicitud. Las cuotas multirregionales y globales no aparecen en la consola. Para aumentar la cuota de las ubicaciones multirregionales o la ubicación global, realiza la solicitud a una región diferente y menciona la multirregión en la descripción de la solicitud.