Quotas

Google Cloud Aplica quotas à utilização de recursos. Para o Cloud KMS, são aplicadas quotas à utilização de recursos, como chaves, conjuntos de chaves, versões de chaves e localizações. Para ver detalhes sobre como gerir ou aumentar as suas quotas, consulte o artigo Monitorize e ajuste as quotas do Cloud KMS.

Veja as quotas do Cloud KMS

Não existe uma quota para o número de recursos KeyRing, CryptoKey ou CryptoKeyVersion, apenas para o número de operações.

Algumas quotas nestas operações aplicam-se ao projeto de chamadas, o Google Cloud projeto que faz chamadas para o serviço Cloud KMS. Outras quotas aplicam-se ao projeto de alojamento, o Google Cloud projeto que contém as chaves usadas para a operação.

As quotas de chamadas de projetos não incluem a utilização gerada por Google Cloud serviços que usam chaves do Cloud KMS para integração de chaves de encriptação geridas pelo cliente (CMEK). Por exemplo, os pedidos de encriptação e desencriptação provenientes diretamente do BigQuery, Bigtable ou Spanner não contribuem para as quotas de pedidos criptográficos.

A Google Cloud consola apresenta o limite de cada quota em consultas por minuto (CPM), mas as quotas do projeto de alojamento são aplicadas por segundo. As quotas aplicadas em consultas por segundo (CPS) rejeitam pedidos que excedam o limite de CPS, mesmo que a sua utilização por minuto seja inferior ao limite de CPM indicado. Se exceder um limite de QPS, recebe um erro RESOURCE_EXHAUSTED.

Quotas na utilização de recursos do Cloud KMS

A tabela seguinte apresenta cada quota aplicada aos recursos do Cloud KMS. A tabela indica o nome e o limite de cada quota, o projeto ao qual a quota se aplica e as operações que contam para a quota. Pode introduzir uma palavra-chave no campo para filtrar a tabela. Por exemplo, pode introduzir calling para ver apenas as quotas aplicadas ao projeto de chamadas ou encrypt para ver apenas as quotas relacionadas com operações de encriptação:

Quota Projeto Limite Recursos e operações
Ler pedidos
cloudkms.googleapis.com​/read_requests
Projeto de chamadas 300 QPM

cryptoKeys: get, getIamPolicy, list, testIamPermissions

cryptoKeyVersions: get, list

ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity

importJobs: get, getIamPolicy, list, testIamPermissions

keyRings: get, getIamPolicy, list, testIamPermissions

locations: get, list

Isento: operações da Google Cloud consola.

Escrever pedidos
cloudkms.googleapis.com​/write_requests
Projeto de chamadas 60 QPM

cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion

cryptoKeyVersions: create, destroy, import, patch, restore

ekmConnections: create, patch, setIamPolicy

importJobs: create, setIamPolicy

keyRings: create, setIamPolicy

Isento: operações da Google Cloud consola.

Pedidos criptográficos
cloudkms.googleapis.com​/crypto_requests
Projeto de chamadas 60 000 QPM

cryptoKeys: encrypt, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt

locations: generateRandomBytes

Isento: operações de integrações de CMEK.

Pedidos criptográficos simétricos de HSM por região
cloudkms.googleapis.com​/hsm_symmetric_requests
Projeto de alojamento 500 QPS

cryptoKeys: encrypt, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt

Pedidos criptográficos assimétricos de HSM por região
cloudkms.googleapis.com​/hsm_asymmetric_requests
Projeto de alojamento 50 QPS

cryptoKeys: encrypt, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

HSM generate random requests per region
cloudkms.googleapis.com​/hsm_generate_random_requests
Projeto de alojamento 50 QPS

locations: generateRandomBytes

Pedidos criptográficos externos por região
cloudkms.googleapis.com​/external_kms_requests
Projeto de alojamento 100 QPS

cryptoKeys: encrypt, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Exemplos de quotas

As secções seguintes incluem exemplos de cada quota com os seguintes projetos de exemplo:

  • KEY_PROJECT - Um Google Cloud projeto que contém chaves do Cloud KMS, incluindo chaves do Cloud HSM e do Cloud EKM.

  • SPANNER_PROJECT - Um projeto que contém uma instância do Spanner que usa as chaves de encriptação geridas pelo cliente (CMEKs) que residem em KEY_PROJECT. Google Cloud

  • SERVICE_PROJECT - Um projeto que contém uma conta de serviço que usa para gerir recursos do Cloud KMS que residem em KEY_PROJECT. Google Cloud

Pedidos de leitura

A quota de pedidos de leitura limita os pedidos de leitura do Google Cloud projeto que chama a API Cloud KMS. Por exemplo, ver uma lista de chaves em KEY_PROJECT a partir de KEY_PROJECT através da Google Cloud CLI conta para a quota de KEY_PROJECT pedidos de leitura. Se usar uma conta de serviço no SERVICE_PROJECT para ver a sua lista de chaves, os pedidos de leitura contam para a quota de SERVICE_PROJECT pedidos de leitura.

A utilização da Google Cloud consola para ver recursos do Cloud KMS não contribui para a quota de pedidos de leitura.

Pedidos de escrita

O limite de quota de pedidos de escrita limita os pedidos de escrita do Google Cloud projeto que chama a API Cloud KMS. Por exemplo, a criação de chaves no KEY_PROJECT através da CLI gcloud conta para a quota de KEY_PROJECT pedidos de gravação. Se usar uma conta de serviço no SERVICE_PROJECT para criar chaves, o pedido de gravação conta para a quota de SERVICE_PROJECT pedidos de gravação.

A utilização da Google Cloud consola para criar ou gerir recursos do Cloud KMS não contribui para a quota de pedidos de leitura.

Pedidos criptográficos

A quota de pedidos criptográficos limita as operações criptográficas do Google Cloud projeto que chama a API Cloud KMS. Por exemplo, a encriptação de dados através de chamadas da API a partir de um recurso de conta de serviço em execução no SERVICE_PROJECT com chaves do KEY_PROJECT conta para a quota de pedidos criptográficos do SERVICE_PROJECT.

A encriptação e a desencriptação de dados num recurso do Spanner em SPANNER_PROJECT através da integração da CMEK não contam para a quota de pedidos criptográficos do SPANNER_PROJECT.

Pedidos criptográficos simétricos de HSM por região

O limite da quota de pedidos criptográficos simétricos do HSM por região limita as operações criptográficas que usam chaves Cloud HSM no projeto que contém essas chaves. Google CloudPor exemplo, a encriptação de dados num recurso do Spanner com chaves HSM simétricas conta para a quota de KEY_PROJECT pedidos criptográficos simétricos do HSM por região .

Pedidos criptográficos assimétricos de HSM por região

A quota de pedidos criptográficos assimétricos do HSM por região limita as operações criptográficas que usam chaves Cloud HSM no projeto que contém essas chaves. Google CloudPor exemplo, a encriptação de dados num recurso do Spanner com chaves HSM assimétricas conta para a quota de KEY_PROJECT pedidos criptográficos assimétricos do HSM por região.

HSM generate random requests per region

Os limites de quota de pedidos aleatórios gerados pelo HSM por região geram operações de bytes aleatórios através do Cloud HSM no projeto especificado na mensagem de pedido. Google Cloud Por exemplo, os pedidos de qualquer origem para gerar bytes aleatórios em KEY_PROJECT contam para a quota de KEY_PROJECT pedidos aleatórios gerados pelo HSM por região.

Pedidos criptográficos externos por região

A quota de pedidos criptográficos externos por região limita as operações criptográficas que usam chaves externas (Cloud EKM) no projeto que contém essas chaves. Google Cloud Por exemplo, a encriptação de dados num recurso do Spanner com chaves EKM conta para a quota de KEY_PROJECT pedidos criptográficos externos por região.

Informações sobre erros de quotas

Se fizer um pedido depois de atingir a sua quota, o pedido resulta num erro RESOURCE_EXHAUSTED. O código de estado HTTP é 429. Para ver informações sobre como as bibliotecas de cliente apresentam o erro RESOURCE_EXHAUSTED, consulte o mapeamento da biblioteca de cliente.

Se receber o erro RESOURCE_EXHAUSTED, pode estar a enviar demasiados pedidos de operações criptográficas por segundo. Pode receber o erro RESOURCE_EXHAUSTED mesmo que a consola mostre que está dentro do limite de consultas por minuto. Google Cloud Este problema pode ocorrer porque as quotas do projeto de alojamento do Cloud KMS são apresentadas por minuto, mas são aplicadas à escala de segundos. Para saber mais sobre a monitorização de métricas, consulte o artigo Configure alertas de quota e monitorização.

Para ver detalhes sobre a resolução de problemas de quotas do Cloud KMS, consulte o artigo Resolva problemas de quotas.

O que se segue?