Cloud KMS の割り当てをモニタリングして調整する

このページでは、Cloud Key Management Service の割り当てを管理する方法について説明します。Cloud KMS に関連付けられた割り当ての詳細については、割り当てをご覧ください。

始める前に

プロジェクトの割り当てを表示するには、次の権限が必要です。

  • resourcemanager.projects.get
  • monitoring.timeSeries.list
  • serviceusage.services.list
  • serviceusage.quotas.get

serviceusage.quotas.update 権限は、プロジェクトの割り当てを変更するために必要です。

これらの権限が含まれる IAM ロールの詳細については、IAM 権限のリファレンスをご覧ください。

Cloud KMS の割り当てを確認する

  1. Google Cloud コンソールで、Cloud KMS API の [API/サービスの詳細] ページに移動します。

    Cloud KMS API/サービスの詳細に移動

    このページでは、Cloud KMS API の割り当ての詳細を表示できます。

  2. 別のプロジェクトの割り当てを表示するには、Google Cloud コンソールヘッダーで目的のプロジェクトを選択します。

  3. 割り当てタイプでフィルタするには、[フィルタ] バーをクリックし、プロパティ リストから [割り当て] を選択して、目的の割り当てを選択します。

  4. リージョンでフィルタするには、[フィルタ] バーをクリックし、プロパティ リストから [ディメンション(場所)] を選択して、目的のリージョン名を入力します。

割り当てに近づいている、または割り当てを超えている場合は、Cloud KMS の割り当ての引き上げをリクエストできます。

割り当ての問題のトラブルシューティング

関連する割り当ての上限に達したために Cloud KMS がリクエストを拒否すると、RESOURCE_EXHAUSTED エラーが返されます。Cloud KMS REST API を使用して行われたリクエストの場合、RESOURCE_EXHAUSTED エラーの HTTP ステータス コードは 429 です。Cloud KMS のホスティング プロジェクトの割り当ては秒単位で適用されるため、HSM または EKM 鍵に対する RESOURCE_EXHAUSTED エラーは秒間再試行することで解決できます。

繰り返し RESOURCE_EXHAUSTED エラーは、プロジェクトが定期的に 1 つ以上の割り当てを超えていることを示します。この問題を解決するには、次の一部または全部をお試しください。

  • プロジェクトが Cloud KMS リソースを使用するリクエストを行うレートを下げる。

  • Cloud KMS の割り当ての増加をリクエストする

  • 複数のリソースが同じ割り当てを共有しないように、必要に応じて別々のプロジェクトにリソースを使用する。

    • プロジェクト割り当ての呼び出し - 1 つのプロジェクトに Cloud KMS API を使用するリソースが多く、リクエスト レートが高い場合は、60,000 QPM の上限を共有しないよう、それらのリソースを独自のプロジェクトに移動することを検討してください。

    • プロジェクト割り当てのホスティング - QPS レートが高い個別のリソースをサポートする Cloud HSM または Cloud EKM 鍵を含むプロジェクトが 1 つある場合は、優先度などの詳細に基づいて Cloud KMS 鍵を別々のプロジェクトに分割することを検討してください。これにより、同じ Cloud HSM と Cloud EKM の割り当てを共有する鍵が少なくなります。

  • RESOURCE_EXHAUSTED エラーを処理するバックオフ メカニズムをクライアントに追加します。

Cloud KMS の割り当て上限の引き上げをリクエストする

  1. Google Cloud コンソールで、Cloud KMS API の [API/サービスの詳細] ページに移動します。

    Cloud KMS API/サービスの詳細に移動

    このページでは、Cloud KMS API の割り当ての詳細を表示できます。

  2. 別のプロジェクトの割り当ての増加をリクエストするには、Google Cloud コンソールのヘッダーで目的のプロジェクトを選択します。

  3. 割り当てのリストで、増やしたいデフォルトまたはリージョンの割り当てを選択し、[割り当ての編集] をクリックします。

  4. [割り当ての変更] ペインで、選択した割り当ての上限を入力します。

  5. [リクエストの説明] に、リクエストの理由の説明を入力します。

  6. [次へ] をクリックして続行します。

  7. [名前]、[メール]、[電話番号] などの連絡先情報を入力します。

  8. リクエストを完了するには、[リクエストを送信] をクリックします。

    送信されたリクエストは、評価のために承認者に送信されます。リクエストの審査が完了すると、ステータスが通知されます。

特定のプロジェクトの Cloud KMS の使用量の上限を設定する

Cloud KMS リソースの使用量に対して割り当てを厳密に設定する場合は、特定のプロジェクトの割り当てをデフォルトよりも低い上限に設定できます。たとえば、同じプロジェクトでリソースに Cloud HSM または Cloud EKM 鍵を使用する複数のプロジェクトがある場合、暗号リクエスト割り当てを超過しないよう、各呼び出しプロジェクトで割り当てを引き下げるリージョンごとの HSM 対称暗号リクエストを使用できます。

  1. Google Cloud コンソールで、Cloud KMS API の [API/サービスの詳細] ページに移動します。

    Cloud KMS API/サービスの詳細に移動

    このページでは、Cloud KMS API の割り当ての詳細を表示できます。

  2. 別のプロジェクトの割り当てを減らすには、Google Cloud コンソールのヘッダーで目的のプロジェクトを選択します。

  3. 割り当てのリストで、減少させるデフォルトまたはリージョンの割り当てを選択し、[割り当てを編集] をクリックします。

  4. [割り当ての変更] ペインで、選択した割り当ての上限を入力します。

  5. [次へ] をクリックして続行します。

    割り当てを現在の上限から 10% 以上減らすと、警告が表示されます。デフォルトよりも低い割り当てを引き続き適用するには、[確認] をクリックします。それ以外の場合は、[キャンセル] をクリックして戻り、新しい上限を選択できます。

  6. 変更を保存するには、[リクエストを送信] をクリックします。

    新しい上限がすぐに有効になります。

次のステップ