Cloud KMS-Kontingente überwachen und anpassen

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite erfahren Sie, wie Sie Ihre Kontingente für den Cloud Key Management Service verwalten. Weitere Informationen zu den mit Cloud KMS verknüpften Kontingenten finden Sie unter Kontingente.

Hinweis

Zum Aufrufen von Projektkontingenten sind folgende Berechtigungen erforderlich:

  • resourcemanager.projects.get
  • monitoring.timeSeries.list
  • serviceusage.services.list
  • serviceusage.quotas.get

Die Berechtigung serviceusage.quotas.update ist erforderlich, um Projektkontingente zu ändern.

Weitere Informationen dazu, welche IAM-Rollen diese Berechtigungen enthalten, finden Sie in der Referenz zu IAM-Berechtigungen.

Cloud KMS-Kontingente prüfen

  1. Rufen Sie in der Google Cloud Console die Seite API/Dienstdetails für die Cloud KMS API auf.

    Zur Seite „Cloud KMS API-/Dienstdetails“

    Auf dieser Seite können Sie Kontingentdetails für die Cloud KMS API ansehen.

  2. Wählen Sie im Header der Google Cloud Console das gewünschte Projekt aus, um sich die Kontingente für ein anderes Projekt anzeigen zu lassen.

  3. Klicken Sie zum Filtern nach Kontingenttyp in die Filterleiste und wählen Sie in der Liste der Attribute die Option Kontingent aus. Legen Sie dann das gewünschte Kontingent fest.

  4. Klicken Sie zum Filtern nach Region in die Filterleiste und wählen Sie in der Liste der Attribute Dimensionen (z. B. Standort) aus. Geben Sie dann den gewünschten Regionsnamen ein.

Wenn Sie Ihre Kontingente fast erreichen oder überschreiten, können Sie höhere Cloud KMS-Kontingente anfordern.

Kontingentprobleme beheben

Wenn Cloud KMS eine Anfrage ablehnt, weil das Limit des entsprechenden Kontingents erreicht wurde, wird der Fehler RESOURCE_EXHAUSTED zurückgegeben. Bei Anfragen mit der Cloud KMS REST API hat der Fehler RESOURCE_EXHAUSTED den HTTP-Statuscode 429. Da Cloud KMS-Hostprojektkontingente pro Sekunde erzwungen werden, können gelegentliche RESOURCE_EXHAUSTED-Fehler für HSM- oder EKM-Schlüssel durch einen neuen Versuch noch einmal behoben werden.

Wiederkehrende RESOURCE_EXHAUSTED-Fehler weisen darauf hin, dass Ihr Projekt regelmäßig mindestens ein Kontingent überschreitet. Zur Behebung dieses Problems können Sie einen oder alle der folgenden Schritte ausführen:

  • Reduzieren Sie die Rate, mit der Ihre Projekte Anfragen senden, die Cloud KMS-Ressourcen verwenden.

  • Höhere Cloud KMS-Kontingente anfordern

  • Verwenden Sie nach Bedarf separate Projekte für Ihre Ressourcen, damit mehrere Ressourcen nicht die gleichen Kontingente haben.

    • Projektkontingente aufrufen: Wenn Sie ein einzelnes Projekt mit mehreren Ressourcen haben, in denen die Cloud KMS API mit hohen Anfrageraten verwendet wird, sollten Sie die Ressourcen eventuell in ihre eigenen Projekte verschieben, damit sie nicht das Limit von 60.000 QPM überschreiten.

    • Kontingente für Hosting – Wenn Sie ein einzelnes Projekt haben, das Cloud HSM- oder Cloud EKM-Schlüssel enthält, die unterschiedliche Ressourcen mit hohen QPS-Raten unterstützen, sollten Sie Cloud KMS-Schlüssel anhand von Details wie Priorität oder Arbeitslast in separate Projekte aufteilen. Auf diese Weise haben weniger Schlüssel dieselben Cloud HSM- und Cloud EKM-Kontingente.

  • Fügen Sie Ihrem Client einen Backoff-Mechanismus hinzu, um RESOURCE_EXHAUSTED-Fehler zu verarbeiten.

Höhere Cloud KMS-Kontingente anfordern

  1. Rufen Sie in der Google Cloud Console die Seite API/Dienstdetails für die Cloud KMS API auf.

    Zur Seite „Cloud KMS API-/Dienstdetails“

    Auf dieser Seite können Sie Kontingentdetails für die Cloud KMS API ansehen.

  2. Wenn Sie eine Kontingenterhöhung für ein anderes Projekt anfordern möchten, wählen Sie das gewünschte Projekt im Header der Google Cloud Console aus.

  3. Wählen Sie in der Liste der Kontingente das Standard- oder regionale Kontingent aus, das Sie erhöhen möchten, und klicken Sie auf Kontingente bearbeiten.

  4. Geben Sie im Bereich Kontingentänderungen die gewünschten Limits für die ausgewählten Kontingente ein.

  5. Geben Sie unter Anfragebeschreibung eine Beschreibung des Grundes für den Antrag an.

  6. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  7. Geben Sie Ihre Kontaktdaten wie Name, E-Mail-Adresse und Telefonnummer an.

  8. Klicken Sie zum Abschließen Ihrer Anfrage auf Anfrage senden.

    Nachdem Ihre Anfrage eingereicht wurde, wird sie zur Genehmigung an die Genehmiger gesendet. Sie werden über den Status Ihres Antrags benachrichtigt, sobald er geprüft wurde.

Cloud KMS-Nutzung für ein bestimmtes Projekt begrenzen

Wenn Sie für die Nutzung Ihrer Cloud KMS-Ressourcen ein strengeres Kontingent festlegen möchten, können Sie für ein bestimmtes Projekt ein niedrigeres Kontingent als das Standardkontingent festlegen. Wenn Sie beispielsweise mehrere Projekte haben, deren Ressourcen Cloud HSM- oder Cloud EKM-Schlüssel im selben Projekt verwenden, können Sie das Kontingent für kryptografische Anfragen für jedes aufrufende Projekt senken. So vermeiden Sie, dass Sie im Projekt, das diese Schlüssel hostet, ein Kontingent wie symmetrische HSM-Anfragen pro Region überschreiten.

  1. Rufen Sie in der Google Cloud Console die Seite API/Dienstdetails für die Cloud KMS API auf.

    Zur Seite „Cloud KMS API-/Dienstdetails“

    Auf dieser Seite können Sie Kontingentdetails für die Cloud KMS API ansehen.

  2. Wenn Sie ein Kontingent für ein anderes Projekt verringern möchten, wählen Sie das gewünschte Projekt im Header der Google Cloud Console aus.

  3. Wählen Sie in der Liste der Kontingente das Standard- oder regionale Kontingent aus, das Sie verringern möchten, und klicken Sie dann auf Kontingente bearbeiten.

  4. Geben Sie im Bereich Kontingentänderungen die gewünschten Limits für die ausgewählten Kontingente ein.

  5. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

    Wenn Sie ein Kontingent um mehr als 10% des aktuellen Limits reduzieren, wird eine Warnung angezeigt. Klicken Sie auf Bestätigen, um weiterhin ein niedrigeres Kontingent als das Standardkontingent anzuwenden. Klicken Sie andernfalls auf Abbrechen, um zurückzugehen und ein neues Limit festzulegen.

  6. Klicken Sie auf Antrag einreichen, um die Änderungen zu speichern.

    Das neue Limit ist sofort aktiv.

Nächste Schritte