Cloud KMS の割り当てのモニタリングと調整

このページでは、Cloud Key Management Service の割り当てを管理する方法について説明します。Cloud KMS に関連付けられた割り当ての詳細については、割り当てをご覧ください。

始める前に

プロジェクトの割り当てを表示するには、次の権限が必要です。

resourcemanager.projects.get
monitoring.timeSeries.list
serviceusage.services.list
serviceusage.quotas.get

プロジェクトの割り当てを変更するには、serviceusage.quotas.update 権限が必要です。

これらの権限を含む IAM ロールの詳細については、IAM 権限のリファレンスをご覧ください。

Cloud KMS の割り当てを確認する

Google Cloud コンソールで、Cloud KMS API の [API/サービスの詳細] ページに移動します。

Cloud KMS API/サービスの詳細に移動

このページでは、Cloud KMS API の割り当ての詳細を表示できます。
別のプロジェクトの割り当てを表示するには、Google Cloud コンソールヘッダーで目的のプロジェクトを選択します。
割り当てタイプでフィルタするには、[フィルタ] バーをクリックし、プロパティリストから [割り当て] を選択してから、目的の割り当てを選択します。
リージョンでフィルタするには、[フィルタ] バーをクリックし、プロパティリストから [ディメンション（例: 場所）] を選択してから、目的のリージョン名を入力します。

割り当てに近づいているか、上回っている場合は、Cloud KMS の割り当ての増加をリクエストできます。

割り当てに関する問題のトラブルシューティング

関連する割り当ての上限に達したために Cloud KMS がリクエストを拒否すると、RESOURCE_EXHAUSTED エラーが返されます。Cloud KMS REST API を使用して送信されたリクエストの場合、RESOURCE_EXHAUSTED エラーに HTTP ステータスコード 429 が含まれます。Cloud KMS のホスティングプロジェクトの割り当ては秒単位で適用されるため、HSM または EKM 鍵に対する RESOURCE_EXHAUSTED エラーは秒間再試行することで解決できます。

RESOURCE_EXHAUSTED エラーの繰り返しは、プロジェクトが割り当てを定期的に超えていることを示します。この問題を解決するには、次のいずれか、またはすべてを試すことができます。

プロジェクトが Cloud KMS リソースを使用するリクエストを行う頻度を下げる。
Cloud KMS の割り当ての増加をリクエストする。
複数のリソースが同じ割り当てを共有しないように、必要に応じて別々のプロジェクトにリソースを使用する。
- プロジェクト割り当ての呼び出し - 1 つのプロジェクトに Cloud KMS API を使用するリソースが多く、リクエストレートが高い場合は、60,000 QPM の上限を共有しないよう、それらのリソースを独自のプロジェクトに移動することを検討してください。
- プロジェクト割り当てのホスティング - QPS レートが高い個別のリソースをサポートする Cloud HSM または Cloud EKM 鍵を含むプロジェクトが 1 つある場合は、優先度などの詳細に基づいて Cloud KMS 鍵を別々のプロジェクトに分割することを検討してください。このようにすると、同じ Cloud HSM と Cloud EKM の割り当てを共有する鍵が少なくなります。
注: ここで説明するように追加のプロジェクトを作成すると、次のような他の割り当て、たとえば、ユーザーあたりのプロジェクト数または請求先アカウントあたりのプロジェクト数の割り当てで問題が発生する可能性があります。Google Cloud の割り当ての詳細については、割り当ての操作をご覧ください。
RESOURCE_EXHAUSTED エラーを処理するバックオフメカニズムをクライアントに追加します。

Cloud KMS の割り当ての増加をリクエストする

Google Cloud コンソールで、Cloud KMS API の [API/サービスの詳細] ページに移動します。

Cloud KMS API/サービスの詳細に移動

このページでは、Cloud KMS API の割り当ての詳細を表示できます。
別のプロジェクトの割り当ての増加をリクエストするには、Google Cloud コンソールのヘッダーで目的のプロジェクトを選択します。
割り当てのリストで、増やしたいデフォルトまたはリージョンの割り当てを選択し、[割り当ての編集] をクリックします。

注: マルチリージョンの割り当てとグローバル割り当てはコンソールに表示されません。マルチリージョンロケーションまたはグローバルロケーションの割り当てを増やすには、別のリージョンをリクエストし、リクエストの説明にマルチリージョンを記述します。
[割り当ての変更] ペインで、選択した割り当てに必要な上限を入力します。
[リクエストの説明] に、リクエストの理由の説明を入力します。
[次へ] をクリックして続行します。
[名前]、[メールアドレス]、[電話番号] などの連絡先情報を指定します。
リクエストを完了するには、[リクエストを送信] をクリックします。

リクエストを送信すると、そのリクエストは評価のために承認者に送信されます。審査が完了すると、リクエストのステータスについて通知されます。

特定のプロジェクトに対する Cloud KMS の使用量の上限を設定する

Cloud KMS リソースの使用量により厳しい割り当てを設定する場合は、特定のプロジェクトの割り当てをデフォルトよりも低い上限に設定できます。たとえば、同じプロジェクトでリソースに Cloud HSM または Cloud EKM 鍵を使用する複数のプロジェクトがある場合、暗号リクエスト割り当てを超過しないよう、各呼び出しプロジェクトで割り当てを引き下げるリージョンごとの HSM 対称暗号リクエストを使用できます。

Google Cloud コンソールで、Cloud KMS API の [API/サービスの詳細] ページに移動します。

Cloud KMS API/サービスの詳細に移動

このページでは、Cloud KMS API の割り当ての詳細を表示できます。
別のプロジェクトの割り当てを減らすには、Google Cloud コンソールのヘッダーで目的のプロジェクトを選択します。
割り当てのリストで、減らしたいデフォルトまたはリージョンの割り当てを選択してから、[割り当ての編集] をクリックします。
[割り当ての変更] ペインで、選択した割り当てに必要な上限を入力します。
[次へ] をクリックして続行します。

割り当てを現在の上限の 10% を超えて減らすと、警告が表示されます。デフォルトよりも低い割り当てを続行するには、[確認] をクリックします。それ以外の場合は、[キャンセル] をクリックして戻り、新しい上限を選択できます。
変更を保存するには、[リクエストを送信] をクリックします。

新しい上限はすぐに有効になります。

次のステップ

割り当ての操作について詳細を確認する。
クライアントライブラリによって RESOURCE_EXHAUSTED エラーが表示される仕組みについては、クライアントライブラリマッピングをご覧ください。
Cloud KMS の割り当ての詳細を表示する。