Google Cloud aplica cuotas al uso de recursos. En el caso de Cloud Key Management Service (Cloud KMS), se aplican cuotas a la administración y el uso de recursos como claves y versiones de claves, y ubicaciones. No hay cuotas para la cantidad de llaveros de claves, claves, versiones de claves ni otros recursos de Cloud KMS que puedes tener, solo para su uso.
Cómo ver las cuotas de Cloud KMS
A partir del 16 de febrero de 2026, Cloud KMS cambiará la forma en que se registran y aplican las cuotas. En este documento, se proporciona información sobre cómo funcionan las cuotas antes y después del cambio, y se te ayuda a identificar los pasos que debes seguir para prepararte para el cambio.
Cronograma
En la siguiente tabla, se proporciona una descripción general del cronograma previsto para los cambios en las cuotas de Cloud KMS.
| Fecha | ¿Qué aspectos cambiarán? |
|---|---|
| Cloud KMS comenzó a permitir solicitudes que superan la cuota para las claves de hardware (Cloud HSM), siempre y cuando el sistema de Cloud KMS no esté sobrecargado. | |
|
|
| Las métricas anteriores se retiraron y ya no se pueden supervisar. |
Resumen de cambios
El sistema de cuotas revisado está diseñado para simplificar la administración de cuotas para los usuarios de Cloud KMS. En la siguiente tabla, se resumen los cambios clave:
| Antes del 16 de febrero de 2026 | Después del 16 de febrero de 2026 | |
|---|---|---|
| Alcance de la ubicación | Alcance mixto: Algunas métricas se miden a nivel global y otras, por región. | Alcance regional: Todas las métricas se miden por región. El uso multirregión se cuenta en la cuota de la región específica que procesa la solicitud. |
| Límites de cuota | Límites estáticos: Se aplican límites de cuota predeterminados a cada proyecto. Puedes solicitar aumentos en los límites de cuota. | Límites dinámicos: Inicialmente, los límites de cuota se establecen en función de los límites específicos de tu proyecto y el uso anterior al 16 de febrero de 2026. También te recomendamos que habilites el servicio de ajuste de cuotas para que tus límites se ajusten automáticamente según tu uso habitual. |
| Aplicación | Aplicación estricta: Cuando se supera un límite de cuota, se rechazan las solicitudes, incluso si el sistema puede atenderlas. | Aplicación flexible: Cuando se supera un límite de cuota, se permiten las solicitudes de lectura y la mayoría de las solicitudes de escritura y de operaciones criptográficas si el sistema puede atender la solicitud. Sin embargo, los siguientes límites de cuota se aplican de forma estricta:
|
| Cuotas de Cloud HSM | Muchas cuotas de Cloud HSM: Cloud KMS aplica cuotas independientes para las solicitudes simétricas, asimétricas y de generateRandomBytes de Cloud HSM. |
Una cuota de Cloud HSM: Cloud KMS aplica una sola cuota para todas las solicitudes de Cloud HSM. Sin embargo, los diferentes tamaños y operaciones de claves consumen diferentes cantidades de cuota. |
| ¿Qué se mide? | Seguimiento de solicitudes: Las cuotas registran la cantidad de operaciones realizadas, pero no te ayudan a comprender cuántos recursos de procesamiento consumes. | Realiza un seguimiento del uso de recursos: Las cuotas cuentan tokens en lugar de operaciones. La cantidad de tokens por operación indica el costo de procesamiento relativo de cada operación. Para obtener más información, consulta Tokens por operación en esta página. |
| Escala de tiempo | Escalas de tiempo mixtas: Algunas métricas de cuota se informan por minuto, pero se aplican por segundo. | Escalas de tiempo coherentes: Todas las métricas de cuota se registran en la misma escala de tiempo en la que se aplican. La mayoría de las métricas se informan y se aplican por minuto. El uso de Cloud EKM se informa y se aplica por segundo. |
| Alcance del proyecto | Varios proyectos: Algunas cuotas se aplican al proyecto que contiene los recursos CryptoKey y CryptoKeyVersion, y otras se aplican al proyecto que realiza la solicitud. |
Un solo proyecto: Todas las cuotas se aplican al proyecto que contiene los recursos CryptoKey y CryptoKeyVersion. |
| Cuotas de CMEK y Cloud KMS | Uso ilimitado de CMEK de software: Cloud KMS no aplica cuotas a las claves de software que se usan en las integraciones de CMEK. | Restringe solo el uso excepcional: El uso de CMEK se contabiliza en el límite de uso de software, pero, con la aplicación flexible, se proporciona el uso que supera el límite si el sistema no está sobrecargado. |
Cuotas de Cloud KMS después del 16 de febrero de 2026
En la siguiente tabla, se enumeran las métricas y las cuotas de Cloud KMS.
| Métrica | Escala de tiempo Predeterminado |
Aplicación | Operaciones |
|---|---|---|---|
Uso de lecturacloudkms.googleapis.com/read_usage |
Minuto 600 TPM |
|
cryptoKeys: get, getIamPolicy, list, testIamPermissions ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions |
Uso de escrituracloudkms.googleapis.com/write_usage |
Minuto 100 TPM |
|
cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy |
Uso del softwarecloudkms.googleapis.com/software_usage |
Minuto 6,000,000 de TPM |
Sobreexposición suave |
cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, decapsulate, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt |
Uso del HSMcloudkms.googleapis.com/hsm_usage |
Minuto 3,000,000 de TPM |
Sobreexposición suave | |
Uso de KMS externocloudkms.googleapis.com/external_usage |
Segundo 10,000 TPS |
Difícil |
Tokens por operación
En la siguiente tabla, se indica la cantidad de tokens de cuota que consume cada operación para cada recurso, tamaño de clave y operación de Cloud KMS. Puedes usar esta tabla para estimar cuántos tokens de cuota puede consumir una aplicación determinada. Las operaciones que requieren más procesamiento usan más tokens de cuota.
| Recurso de Cloud KMS | Operación | Tokens por operación |
|---|---|---|
| Todos los recursos de Cloud KMS | Todas las operaciones de lectura | Uso de lectura: 1 |
| Todos los recursos externos y respaldados por software de Cloud KMS | Todas las operaciones de escritura | Uso de escritura: 1 |
| Claves respaldadas por hardware | Operaciones de escritura que no son de creación ni de importación | Uso de escritura: 1 |
| Claves simétricas y MAC respaldadas por hardware | Operaciones de creación e importación | Uso de escritura: 1 Uso de HSM: 1,200 |
| Claves asimétricas respaldadas por hardware | Operaciones de creación e importación | Uso de escritura: 1 Uso de HSM: 50,000 |
| Claves respaldadas por software | Todas las operaciones criptográficas | Uso del software: 100 |
| Claves externas (Cloud EKM) | Todas las operaciones criptográficas | Uso de KMS externo: 100 |
| Claves de hardware (Cloud HSM) |
|
Uso de HSM: 100 |
| Claves de hardware (Cloud HSM) | generateRandomBytes |
Uso de HSM: 1,000 |
| Claves de hardware (Cloud HSM) |
|
Uso de HSM: 1,500 |
| Claves de hardware (Cloud HSM) |
|
Uso de HSM: 3,500 |
| Claves de hardware (Cloud HSM) |
|
Uso de HSM: 4,500 |
| Claves de hardware (Cloud HSM) |
|
Uso de HSM: 7,000 |
| Claves de hardware (Cloud HSM) |
|
Uso de HSM: 14,000 |
Acciones sugeridas para prepararse para los cambios en las cuotas
| Caso de uso | Preparación sugerida |
|---|---|
| Asegúrate de que haya cuotas adecuadas para los proyectos existentes | En el caso de los proyectos existentes, los límites de cuota para las métricas nuevas se calcularán automáticamente en función del uso real del proyecto. No se requiere ninguna acción para los proyectos existentes. |
| Asegúrate de que haya cuotas suficientes para los proyectos nuevos | Si planeas crear un proyecto nuevo y esperas un uso elevado de la cuota, habilita el ajuste automático de la cuota con el servicio de ajuste de cuotas. Permite que el tráfico aumente gradualmente durante 1 o 2 semanas para que los sistemas se ajusten a tu uso, o bien solicita de forma proactiva los límites de cuota que creas que necesitarás. |
| Actualiza la supervisión para usar las cuotas nuevas | La supervisión con las métricas de cuota existentes está disponible hasta el 31 de agosto de 2026. Te recomendamos que configures la supervisión con las nuevas métricas después de que estén disponibles el 16 de febrero de 2026, pero antes del 31 de agosto de 2026. |
| Habilita el ajustador de cuotas | Te recomendamos que habilites el sistema de ajuste de cuotas para que se ajusten automáticamente tus cuotas de Cloud KMS en función de tu uso. Cada proyecto que contiene recursos de Cloud KMS debe habilitarse para el ajustador de cuotas por separado. |
Cuotas de Cloud KMS antes del 16 de febrero de 2026
Algunas cuotas sobre estas operaciones se aplican al proyecto de llamada, el proyecto deGoogle Cloud que realiza llamadas al servicio de Cloud KMS. Otras cuotas se aplican al proyecto de hosting, el proyecto Google Cloud que contiene las claves que se usan para la operación.
Las cuotas de proyectos de llamada no incluyen el uso generado por losGoogle Cloud servicios que usan claves de Cloud KMS para la integración de claves de encriptación administradas por el cliente (CMEK). Por ejemplo, las solicitudes de encriptación y desencriptación que provienen directamente de BigQuery, Bigtable o Spanner no contribuyen a las cuotas de solicitudes criptográficas.
La consola de Google Cloud muestra el límite de cada cuota en consultas por minuto (QPM), pero las cuotas del proyecto de hosting se aplican por segundo. Las cuotas aplicadas en consultas por segundo (QPS) rechazan las solicitudes que superan el límite de QPS, incluso si tu uso por minuto es inferior al límite de QPM indicado. Si superas un límite de QPS, recibirás un error RESOURCE_EXHAUSTED.
Cuotas de uso de los recursos de Cloud KMS
En la siguiente tabla, se enumeran las cuotas que se aplican a los recursos de Cloud KMS. En la tabla, se indican el nombre y el límite de cada cuota, el proyecto al que se aplica la cuota y las operaciones que se tienen en cuenta para la cuota. Puedes ingresar una palabra clave en el campo para filtrar la tabla. Por ejemplo, puedes ingresar llamadas para ver solo las cuotas aplicadas al proyecto de llamadas o encriptar para ver solo las cuotas relacionadas con las operaciones de encriptación:
Ejemplos de cuota
En las siguientes secciones, se incluyen ejemplos de cada cuota con los siguientes proyectos de ejemplo:
KEY_PROJECT: Es un proyecto de Google Cloud que contiene claves de Cloud KMS, incluidas las claves de Cloud HSM de múltiples inquilinos y de Cloud EKM.SPANNER_PROJECT: Es un proyecto Google Cloud que contiene una instancia de Spanner que usa las claves de encriptación administradas por el cliente (CMEK) que residen enKEY_PROJECT.SERVICE_PROJECT: Un proyecto de Google Cloud que contiene una cuenta de servicio que usas para administrar los recursos de Cloud KMS que residen enKEY_PROJECT.
Leer solicitudes
La cuota de solicitudes de lectura limita las solicitudes de lectura del proyectoGoogle Cloud que llama a la API de Cloud KMS. Por ejemplo, ver una lista de claves en KEY_PROJECT desde KEY_PROJECT con Google Cloud CLI se contabiliza en la cuota de solicitudes de lectura de KEY_PROJECT. Si usas una cuenta de servicio en SERVICE_PROJECT para ver tu lista de claves, la solicitud de lectura se contabiliza en la cuota de solicitudes de lectura de SERVICE_PROJECT.
El uso de la consola de Google Cloud para ver los recursos de Cloud KMS no contribuye a la cuota de solicitudes de lectura.
Escribir solicitudes
La cuota de solicitudes de escritura limita las solicitudes de escritura del proyectoGoogle Cloud que llama a la API de Cloud KMS. Por ejemplo, la creación de claves en KEY_PROJECT con gcloud CLI se contabiliza en la cuota de solicitudes de escritura de KEY_PROJECT. Si usas una cuenta de servicio en SERVICE_PROJECT para crear claves, la solicitud de escritura se contabiliza en la cuota de solicitudes de escritura de SERVICE_PROJECT.
El uso de la consola de Google Cloud para crear o administrar recursos de Cloud KMS no contribuye a la cuota de solicitudes de lectura.
Solicitudes criptográficas
La cuota de solicitudes criptográficas limita las operaciones criptográficas del proyectoGoogle Cloud que llama a la API de Cloud KMS. Por ejemplo, encriptar datos con llamadas a la API desde un recurso de cuenta de servicio que se ejecuta en SERVICE_PROJECT con claves de KEY_PROJECT se contabiliza en la cuota de solicitudes criptográficas de SERVICE_PROJECT.
La encriptación y desencriptación de datos en un recurso de Spanner en SPANNER_PROJECT con la integración de CMEK no se contabiliza para la cuota de solicitudes criptográficas de SPANNER_PROJECT.
Solicitudes criptográficas simétricas del HSM por región
La cuota de solicitudes criptográficas simétricas de HSM por región limita las operaciones criptográficas con claves simétricas de Cloud HSM en el proyecto Google Cloudque contiene esas claves. Por ejemplo, encriptar datos en un recurso de Spanner con claves simétricas de HSM se contabiliza en la cuota de KEY_PROJECT solicitudes criptográficas simétricas de HSM por región .
Solicitudes criptográficas asimétricas del HSM por región
La cuota de solicitudes criptográficas asimétricas de HSM por región limita las operaciones criptográficas que usan claves asimétricas de Cloud HSM en el proyecto que contiene esas claves. Google CloudPor ejemplo, encriptar datos en un recurso de Spanner con claves HSM asimétricas se contabiliza en la cuota de KEY_PROJECT solicitudes criptográficas asimétricas de HSM por región.
Solicitudes de generación aleatoria de HSM por región
Los límites de cuota de solicitudes de generación aleatoria de HSM por región generan operaciones de bytes aleatorios con Cloud HSM en el proyecto Google Cloud especificado en el mensaje de solicitud. Por ejemplo, las solicitudes de cualquier fuente para generar bytes aleatorios en KEY_PROJECT se contabilizan en la cuota de solicitudes aleatorias de generación de HSM por región de KEY_PROJECT.
Solicitudes criptográficas externas por región
La cuota de solicitudes criptográficas externas por región limita las operaciones criptográficas con claves externas (Cloud EKM) en el proyecto de Google Cloud que contiene esas claves. Por ejemplo, encriptar datos en un recurso de Spanner con claves de EKM se contabiliza en la cuota de KEY_PROJECT Solicitudes criptográficas externas por región.
Información sobre errores de cuota
Si realizas una solicitud después de agotar la cuota, la solicitud muestra un error RESOURCE_EXHAUSTED. El código de estado HTTP es 429. Para obtener más información sobre cómo las bibliotecas cliente muestran el error RESOURCE_EXHAUSTED, consulta Asignación de bibliotecas cliente.
Si recibes el error RESOURCE_EXHAUSTED, es posible que envíes demasiadas solicitudes de operaciones criptográficas por segundo. Puedes recibir el error RESOURCE_EXHAUSTED incluso si la consola de Google Cloud muestra que estás dentro del límite de consultas por minuto. Este problema puede ocurrir porque las cuotas del proyecto de alojamiento de Cloud KMS se muestran por minuto, pero se aplican en una escala por segundo. Para obtener más información sobre las métricas de supervisión, consulta Configura alertas y supervisión de cuotas.
Para obtener detalles sobre cómo solucionar problemas relacionados con las cuotas de Cloud KMS, consulta Soluciona problemas relacionados con las cuotas.
¿Qué sigue?
- Obtén más información para usar Cloud Monitoring con Cloud KMS.
- Obtén más información para supervisar y ajustar las cuotas de Cloud KMS.