Google Cloud applica le quote sull'utilizzo delle risorse. Per Cloud KMS, le quote vengono applicate all'uso di risorse come chiavi, keyring, versioni delle chiavi e località. Per informazioni dettagliate su come gestire o aumentare le quote, consulta Monitorare e modificare le quote di Cloud KMS.
Visualizzare le quote di Cloud KMS
Per il numero di risorse KeyRing
, CryptoKey
o CryptoKeyVersion
non è prevista una quota, che invece è prevista per il numero di operazioni.
Alcune quote per queste operazioni si applicano al progetto chiamante, ovvero al progetto Google Cloud che effettua chiamate al servizio Cloud KMS. Altre quote si applicano al progetto di hosting, ovvero al progetto Google Cloud che contiene le chiavi utilizzate per l'operazione.
Le quote del progetto di chiamata non includono l'utilizzo generato dai servizi Google Cloud che utilizzano le chiavi Cloud KMS per l'integrazione delle chiavi di crittografia gestite dal cliente (CMEK). Ad esempio, le richieste di crittografia e decrittografia provenienti direttamente da BigQuery, Bigtable o Spanner non contribuiscono alle quote delle richieste di crittografia.
La console Google Cloud elenca il limite per ogni quota in query al minuto
(QPM), ma le quote del progetto di hosting vengono applicate al secondo. Le quote applicate in termini di query al secondo (QPS) rifiutano le richieste che superano il limite di QPS, anche se l'utilizzo al minuto è inferiore al limite di QPM indicato. Se superi un
limite di QPS, ricevi un errore RESOURCE_EXHAUSTED
.
Quote per l'utilizzo delle risorse Cloud KMS
La tabella seguente elenca ogni quota applicata alle risorse Cloud KMS. La tabella riporta il nome e il limite di ogni quota, il progetto a cui si applica e le operazioni che vengono conteggiate ai fini della quota. Puoi inserire una parola chiave nel campo per filtrare la tabella. Ad esempio, puoi inserire chiamate per visualizzare solo le quote applicate al progetto di chiamata o crittografia per visualizzare solo le quote relative alle operazioni di crittografia:
Esempi di quote
Le seguenti sezioni includono esempi di ogni quota utilizzando i seguenti progetti di esempio:
KEY_PROJECT
: un progetto Google Cloud che contiene chiavi Cloud KMS, tra cui chiavi Cloud HSM e Cloud EKM.SPANNER_PROJECT
: un progetto Google Cloud contenente un'istanza Spanner che utilizza le chiavi di crittografia gestite dal cliente (CMEK) presenti inKEY_PROJECT
.SERVICE_PROJECT
: un progetto Google Cloud contenente un account di servizio che utilizzi per gestire le risorse Cloud KMS che si trovano inKEY_PROJECT
.
Richieste di lettura
La quota Richieste di lettura limita le richieste di lettura del progetto Google Cloud che chiama l'API Cloud KMS. Ad esempio, la visualizzazione di un elenco di chiavi in KEY_PROJECT
da KEY_PROJECT
utilizzando Google Cloud CLI viene conteggiata ai fini della quota KEY_PROJECT
Richieste di lettura. Se utilizzi un account di servizio in SERVICE_PROJECT
per visualizzare l'elenco delle chiavi, la richiesta di lettura viene conteggiata ai fini della quota SERVICE_PROJECT
Richieste di lettura.
L'utilizzo della console Google Cloud per visualizzare le risorse Cloud KMS non contribuisce alla quota Richieste di lettura.
Richieste di scrittura
La quota Richieste di scrittura limita le richieste di scrittura del progetto Google Cloud che chiama l'API Cloud KMS. Ad esempio, la creazione di chiavi in KEY_PROJECT
utilizzando gcloud CLI viene conteggiata ai fini della quota Richieste di scrittura di KEY_PROJECT
. Se utilizzi un account di servizio in SERVICE_PROJECT
per creare chiavi, la richiesta di scrittura viene conteggiata ai fini della quota Richieste di scrittura di SERVICE_PROJECT
.
L'utilizzo della console Google Cloud per creare o gestire le risorse Cloud KMS non contribuisce alla quota Richieste di lettura.
Richieste crittografiche
La quota Richieste crittografiche limita le operazioni crittografiche del progetto Google Cloud che chiama l'API Cloud KMS. Ad esempio, la crittografia dei dati tramite chiamate API da una risorsa dell'account di servizio in esecuzione in SERVICE_PROJECT
utilizzando le chiavi di KEY_PROJECT
viene conteggiata ai fini della quota SERVICE_PROJECT
Richieste crittografiche.
La crittografia e la decrittografia dei dati in una risorsa Spanner in SPANNER_PROJECT
che utilizza l'integrazione CMEK non vengono conteggiate ai fini della quota di richieste crittografiche di SPANNER_PROJECT
.
Richieste di crittografia simmetrica HSM per regione
La quota Richieste di crittografia simmetrica HSM per regione limita le operazioni di crittografia che utilizzano chiavi Cloud HSM simmetriche nel progetto Google Cloud che le contiene. Ad esempio, la crittografia dei dati in una risorsa Spanner che utilizza chiavi HSM simmetriche viene conteggiata ai fini della quota di KEY_PROJECT
richieste di crittografia simmetrica HSM per regione .
Richieste di crittografia asimmetrica HSM per regione
La quota Richieste crittografiche asimmetriche HSM per regione limita le operazioni crittografiche che utilizzano chiavi Cloud HSM asimmetriche nel progetto Google Cloud che le contiene. Ad esempio, la crittografia dei dati in una risorsa Spanner che utilizza chiavi HSM asimmetriche viene conteggiata ai fini della quota di KEY_PROJECT
richieste crittografiche asimmetriche HSM per regione.
L'HSM genera richieste casuali per regione
I limiti di quota per le richieste generate in modo casuale dall'HSM per regione generano operazioni con byte casuali utilizzando Cloud HSM nel progetto Google Cloud specificato nel messaggio di richiesta. Ad esempio, le richieste da qualsiasi origine per generare
byte casuali in KEY_PROJECT
vengono conteggiate ai fini della quota KEY_PROJECT
HSM genera richieste casuali per
regione.
Richieste crittografiche esterne per regione
La quota Richieste di crittografia esterna per regione limita le operazioni di crittografia che utilizzano chiavi esterne (Cloud EKM) nel progetto Google Cloud che le contiene. Ad esempio, la crittografia dei dati in una risorsa Spanner
con chiavi EKM viene conteggiata ai fini della quota KEY_PROJECT
Richieste crittografiche esterne per
regione.
Informazioni sull'errore di quota
Se effettui una richiesta dopo aver raggiunto la quota, la richiesta genera un errore RESOURCE_EXHAUSTED
. Il codice di stato HTTP è 429
. Per informazioni su come le librerie client visualizzano l'errore RESOURCE_EXHAUSTED
, consulta la sezione relativa alla mappatura delle librerie client.
Se ricevi l'errore RESOURCE_EXHAUSTED
, potresti inviare troppe
richieste di operazioni di crittografia al secondo. Puoi ricevere l'errore RESOURCE_EXHAUSTED
anche se la console Google Cloud indica che non hai superato il limite di query al minuto. Questo problema può verificarsi perché le quote dei progetti di hosting Cloud KMS vengono visualizzate ogni minuto, ma vengono applicate su una scala di un secondo. Per scoprire di più sulle metriche di monitoraggio, consulta
Monitoraggio e avvisi sulle metriche delle quote.
Per informazioni dettagliate sulla risoluzione dei problemi relativi alle quote di Cloud KMS, consulta Risolvere i problemi relativi alle quote.
Passaggi successivi
- Scopri come utilizzare Cloud Monitoring con Cloud KMS.
- Scopri come monitorare e modificare le quote di Cloud KMS.