监控和调整 Cloud KMS 配额

本页面介绍如何管理 Cloud Key Management Service 配额。如需详细了解与 Cloud KMS 关联的配额,请参阅配额

准备工作

要查看项目配额,您需要具备以下权限:

  • resourcemanager.projects.get
  • monitoring.timeSeries.list
  • serviceusage.services.list
  • serviceusage.quotas.get

如需更改项目配额,您必须拥有 serviceusage.quotas.update 权限。

如需详细了解哪些 IAM 角色包含这些权限,请参阅 IAM 权限参考文档

检查您的 Cloud KMS 配额

  1. 在 Google Cloud 控制台中,转到 Cloud KMS API 的 API/服务详情页面。

    转到 Cloud KMS API/服务详细信息

    您可以在此页面查看 Cloud KMS API 的配额详细信息。

  2. 如需查看其他项目的配额,请在 Google Cloud 控制台标题中选择所需项目。

  3. 如需按配额类型进行过滤,请点击过滤栏,从属性列表中选择配额,然后选择所需的配额。

  4. 如需按区域进行过滤,请点击过滤栏,从属性列表中选择维度(例如位置):,然后输入所需的区域名称。

如果您发现已接近或超出配额,可以申请更高的 Cloud KMS 配额

排查配额问题

如果 Cloud KMS 因达到相关配额限制而拒绝请求,则会返回 RESOURCE_EXHAUSTED 错误。对于使用 Cloud KMS REST API 发出的请求,RESOURCE_EXHAUSTED 错误的 HTTP 状态代码为 429。Cloud KMS 托管项目配额是按秒强制执行的,因此通过下一秒重试,可以解决 HSM 或 EKM 密钥偶尔发生的 RESOURCE_EXHAUSTED 错误。

周期性 RESOURCE_EXHAUSTED 错误表示项目经常超出一个或多个配额。如需解决此问题,您可以尝试以下任何或所有操作:

  • 请降低项目发出使用 Cloud KMS 资源的请求的速率。

  • 申请更高的 Cloud KMS 配额

  • 在适当的情况下,请对您的资源使用单独的项目,以防止多个资源共用相同的配额。

    • 调用项目配额 - 如果您的单个项目包含多项以高请求速率使用 Cloud KMS API 的资源,请考虑将资源移至各自的项目,以免这些资源共用 60,000 QPM 这一限制。

    • 托管项目配额 - 如果您的单个项目包含支持具有高 QPS 速率的不同资源的 Cloud HSM 或 Cloud EKM 密钥,请考虑根据其优先级或工作负载等详细信息将 Cloud KMS 密钥拆分为单独的项目。这样,更少的密钥共享相同的 Cloud HSM 配额和 Cloud EKM 配额。

  • 为客户端添加退避机制,以处理 RESOURCE_EXHAUSTED 错误。

申请更高的 Cloud KMS 配额

  1. 在 Google Cloud 控制台中,转到 Cloud KMS API 的 API/服务详情页面。

    转到 Cloud KMS API/服务详细信息

    您可以在此页面查看 Cloud KMS API 的配额详细信息。

  2. 如需为其他项目申请增加配额,请在 Google Cloud 控制台标头中选择所需的项目。

  3. 在配额列表中,选择要增加的默认配额或区域配额,然后点击修改配额

  4. 配额更改窗格中,为所选配额输入所需的限制。

  5. 请求说明中,提供请求原因的说明。

  6. 点击下一步以继续。

  7. 提供您的联系信息,包括姓名电子邮件地址电话号码

  8. 点击提交请求以完成请求。

    您的请求提交后,会发送给审批人进行评估。您的请求审核完成后,我们会通知您有关其状态。

限制特定项目的 Cloud KMS 用量

如果您希望对 Cloud KMS 资源的用量施加更严格的配额,可以选择将给定项目的配额设置为低于默认值的配额。例如,如果多个项目的资源都在同一项目中使用 Cloud HSM 或 Cloud EKM 密钥,您可以选择降低每个调用项目的加密请求配额,以确保您不会超出托管这些密钥的项目上的配额,例如每个区域的 HSM 对称加密请求数

  1. 在 Google Cloud 控制台中,转到 Cloud KMS API 的 API/服务详情页面。

    转到 Cloud KMS API/服务详细信息

    您可以在此页面查看 Cloud KMS API 的配额详细信息。

  2. 如需减少其他项目的配额,请在 Google Cloud 控制台标题中选择所需的项目。

  3. 在配额列表中,选择要减少的默认配额或区域配额,然后点击修改配额

  4. 配额更改窗格中,为所选配额输入所需的限制。

  5. 点击下一步以继续。

    如果将配额减少的幅度超过当前限额的 10%,则系统会显示一条警告。如需继续应用低于默认值的配额,请点击确认。否则,您可以点击取消返回并选择新的限额。

  6. 如需保存更改,请点击提交请求

    您的新限额会立即生效。

后续步骤