Cuotas

Google Cloud aplica cuotas al uso de los recursos. En el caso de Cloud KMS, se aplican al uso de recursos como claves, llaveros de claves, versiones de claves y ubicaciones.

No se aplican cuotas para la cantidad de recursos de KeyRing, CryptoKey o CryptoKeyVersion, solo para la cantidad de operaciones.

Verifica las cuotas

Para verificar las cuotas actuales de los recursos de tu proyecto, ve a la página Cuotas en Google Cloud Platform Console.

Cuotas de todos los recursos de Cloud KMS

Cloud Key Management Service tiene cuotas para los siguientes recursos:

  • Solicitudes de lectura por minuto: una solicitud de lectura es una operación en la que se lee un recurso de Cloud KMS, como KeyRing, CryptoKey, CryptoKeyVersion o Location.

    Las siguientes operaciones son solicitudes de lectura:

Recurso Operaciones
KeyRing get, getIamPolicy, list y testIamPermissions
CryptoKey get, getIamPolicy, list y testIamPermissions
CryptoKeyVersion get y list
Ubicación get y list
  • Solicitudes de escritura por minuto: Una solicitud de escritura es una operación en la que se crea o modifica un recurso de Cloud KMS, como KeyRing, CryptoKey o CryptoKeyVersion.

    Las siguientes operaciones son solicitudes de escritura:

Recurso Operaciones
KeyRing create y setIamPolicy
CryptoKey create, patch, setIamPolicy y updatePrimaryVersion
CryptoKeyVersion create, destroy, patch y restore
  • Solicitudes criptográficas por minuto: Las solicitudes criptográficas son operaciones que realizan encriptación, desencriptación, firma digital o recuperación de claves públicas.

    Las siguientes operaciones son solicitudes criptográficas:

Recurso Operaciones
CryptoKey encrypt y decrypt
CryptoKeyVersion asymmetricDecrypt, asymmetricSign, getPublicKey, macSign y macVerify,

Cuotas adicionales de Cloud HSM

Las cuotas mencionadas anteriormente se aplican a los proyectos de Google Cloud que realizan llamadas al servicio de Cloud KMS, tanto en las claves de software como en las de Cloud HSM. Por ejemplo, si realizas llamadas a Cloud KMS con una cuenta de servicio, es el proyecto de Google Cloud el que posee la cuenta de servicio.

Cuando se usan en operaciones criptográficas, las claves y versiones de claves de Cloud HSM están sujetas a un límite de cuota adicional de consultas por segundo (QPS) de HSM. La cuota de HSM según la configuración predeterminada es de 500 QPS para operaciones criptográficas simétricas, de 50 QPS para operaciones criptográficas asimétricas y de 50 QPS para operaciones GenerateRandomBytes. Cuando se usan las claves de HSM, la cuota de HSM se aplica al proyecto de Google Cloud que tiene las claves de Cloud HSM. Esto se suma a cualquier otro uso de la cuota por parte del proyecto que llamó a Cloud KMS.

En este ejemplo, un cliente tiene dos proyectos de Google Cloud:

  • El proyecto A contiene la aplicación del cliente.
  • El proyecto K contiene las claves que el cliente administra en Cloud KMS.

Cuando la aplicación realiza una solicitud de encriptación que usa una clave de HSM almacenada en el proyecto K, el proyecto A usa la cuota de solicitudes criptográficas, y el proyecto K usa la cuota de HSM. Si ambos proyectos corresponden al mismo proyecto de Google Cloud, este usa la cuota de solicitudes criptográficas y la de HSM.

Cuotas adicionales para Cloud External Key Manager

La cuota de las operaciones criptográficas para todas las claves de Cloud EKM en una ubicación de Google Cloud por proyecto es de 10 QPS.

Información sobre errores de cuota

Si realizas una llamada después de agotar la cuota, la solicitud muestra un error RESOURCE_EXHAUSTED. El código de estado HTTP es 429. Para obtener más información sobre cómo las bibliotecas cliente muestran el error RESOURCE_EXHAUSTED, consulta Asignación de bibliotecas cliente.

Si estás dentro de la cuota, pero recibes el error RESOURCE_EXHAUSTED de todos modos, es posible que envíes demasiadas solicitudes de operaciones criptográficas por segundo. Esto puede suceder porque las cuotas de Cloud KMS se establecen por minuto, pero se aplican a una escala por segundo. La métrica Peak crypto ops ayuda a diagnosticar el problema. Peak crypto ops muestra la cantidad máxima de solicitudes criptográficas por segundo en intervalos de un minuto, que identifican cualquier aumento en las solicitudes que pueda haber generado el error RESOURCE_EXHAUSTED. Para obtener un mayor nivel de detalle, la métrica Peak crypto ops también puede mostrar solicitudes criptográficas por ubicación y según el tipo de operación criptográfica. Para obtener más información sobre la supervisión de métricas, consulta Supervisa y alerta sobre métricas de cuotas.

Aumenta las cuotas

Para aumentar la cuota de las operaciones criptográficas (hasta 60,000 consultas por minuto), ve a la página Cuotas de Cloud Console. También puedes solicitar un aumento de cuota, y te notificaremos el estado de la solicitud. Las cuotas multiregionales y globales no aparecen en la consola. Si quieres aumentar la cuota de ubicaciones multirregionales o la ubicación global, realiza la solicitud para una región diferente y menciona la multirregión en la descripción de la solicitud.