Quote

Google Cloud applica le quote sull'utilizzo delle risorse. Per Cloud KMS, le quote vengono applicate all'utilizzo di risorse come chiavi, keyring, versioni delle chiavi e località. Per maggiori dettagli su come gestire o aumentare le quote, consulta Monitorare e modificare le quote di Cloud KMS.

Visualizza le quote di Cloud KMS

Non è prevista una quota per il numero di risorse KeyRing, CryptoKey o CryptoKeyVersion, ma solo per il numero di operazioni.

Alcune quote per queste operazioni si applicano al progetto di chiamata, il progetto Google Cloud che effettua chiamate al servizio Cloud KMS. Altre quote si applicano al progetto di hosting, il progetto Google Cloud che contiene le chiavi utilizzate per l'operazione.

Le chiamate per le quote dei progetti non includono l'utilizzo generato dai servizi Google Cloud usando chiavi Cloud KMS per l'integrazione della chiave di crittografia gestita dal cliente (CMEK). Ad esempio, le richieste di crittografia e decriptazione provenienti direttamente da BigQuery, Bigtable o Spanner non contribuiscono alle quote per le richieste crittografiche.

La console Google Cloud elenca il limite per ogni quota in query al minuto (QPM), ma le quote dei progetti di hosting vengono applicate al secondo. Le quote applicate alle query al secondo (QPS) negano le richieste che superano il limite QPS, anche se l'utilizzo al minuto è inferiore al limite QPM elencato. Se superi un limite di QPS, riceverai un errore RESOURCE_EXHAUSTED.

Quote per l'utilizzo delle risorse Cloud KMS

La seguente tabella elenca ogni quota applicata alle risorse Cloud KMS. La tabella indica il nome e il limite di ogni quota, a quale progetto si applica la quota e le operazioni incluse nel conteggio della quota. Puoi inserire una parola chiave nel campo per filtrare la tabella. Ad esempio, puoi inserire calling per visualizzare solo le quote applicate al progetto di chiamata oppure criptare per visualizzare solo le quote relative alle operazioni di crittografia:

Quota Progetto Limite Risorse e operazioni
Richieste di lettura
cloudkms.googleapis.com​/read_requests
Chiamata al progetto 300 q/m

cryptoKeys: get, getIamPolicy, list, testIamPermissions

cryptoKeyVersions: get, list

ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity

importJobs: get, getIamPolicy, list, testIamPermissions

keyRings: get, getIamPolicy, list, testIamPermissions

locations: get, list

Esenti: operazioni dalla console Google Cloud.

Richieste di scrittura
cloudkms.googleapis.com​/write_requests
Chiamata al progetto 60 q/m

cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion

cryptoKeyVersions: create, destroy, import, patch, restore

ekmConnections: create, patch, setIamPolicy

importJobs: create, setIamPolicy

keyRings: create, setIamPolicy

Esenti: operazioni dalla console Google Cloud.

Richieste crittografiche
cloudkms.googleapis.com​/crypto_requests
Chiamata al progetto 60.000 Q/M

cryptoKeys: cripta, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt

località: generateRandomBytes

Esenti: operazioni da integrazioni CMEK.

Richieste crittografiche simmetriche HSM per regione
cloudkms.googleapis.com​/hsm_symmetric_requests
Progetto host 500 QPS

cryptoKeys: cripta, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt

Richieste di crittografia asimmetrica HSM per regione
cloudkms.googleapis.com​/hsm_asymmetric_requests
Progetto host 50 QPS

cryptoKeys: cripta, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

HSM genera richieste casuali per regione
cloudkms.googleapis.com​/hsm_generate_random_requests
Progetto host 50 QPS

località: generateRandomBytes

Richieste crittografiche esterne per regione
cloudkms.googleapis.com​/external_kms_requests
Progetto host 100 QPS

cryptoKeys: cripta, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Esempi di quote

Le seguenti sezioni includono esempi di ogni quota utilizzando i seguenti progetti di esempio:

  • KEY_PROJECT - Un progetto Google Cloud che contiene chiavi Cloud KMS, tra cui Cloud HSM e chiavi Cloud EKM.

  • SPANNER_PROJECT - Un progetto Google Cloud contenente un'istanza di Spanner che utilizza le chiavi di crittografia gestite dal cliente (CMEK) che risiedono in KEY_PROJECT.

  • SERVICE_PROJECT: un progetto Google Cloud contenente un account di servizio che puoi utilizzare per gestire le risorse Cloud KMS presenti in KEY_PROJECT.

Richieste di lettura

La quota Richieste di lettura limita le richieste di lettura dal progetto Google Cloud che chiama l'API Cloud KMS. Ad esempio, la visualizzazione di un elenco di chiavi in KEY_PROJECT da KEY_PROJECT mediante Google Cloud CLI viene conteggiata nella quota di richieste di lettura KEY_PROJECT. Se utilizzi un account di servizio in SERVICE_PROJECT per visualizzare il tuo elenco di chiavi, le richieste di lettura vengono conteggiate in base alla quota SERVICE_PROJECT Richieste di lettura.

L'utilizzo della console Google Cloud per visualizzare le risorse di Cloud KMS non contribuisce alla quota di richieste di lettura.

Richieste di scrittura

La quota Richieste di scrittura limita le richieste di scrittura provenienti dal progetto Google Cloud che chiama l'API Cloud KMS. Ad esempio, la creazione di chiavi in KEY_PROJECT utilizzando gcloud CLI conta sulla quota di KEY_PROJECT Richieste di scrittura. Se utilizzi un account di servizio in SERVICE_PROJECT per creare chiavi, le richieste di scrittura vengono conteggiate nella quota di richieste di scrittura SERVICE_PROJECT.

L'utilizzo della console Google Cloud per creare o gestire le risorse Cloud KMS non contribuisce alla quota Richieste di lettura.

Richieste crittografiche

La quota Richieste crittografiche limita le operazioni crittografiche provenienti dal progetto Google Cloud che chiama l'API Cloud KMS. Ad esempio, la crittografia dei dati mediante chiamate API da una risorsa dell'account di servizio in esecuzione in SERVICE_PROJECT con le chiavi di KEY_PROJECT viene conteggiata nella quota di Richieste crittografiche di SERVICE_PROJECT.

La crittografia e la decriptazione dei dati in una risorsa Spanner in SPANNER_PROJECT utilizzando l'integrazione CMEK non vengono conteggiate ai fini della quota di Richieste crittografiche di SPANNER_PROJECT.

Richieste crittografiche simmetriche HSM per regione

La quota per le richieste crittografiche simmetriche HSM per regione limita le operazioni crittografiche utilizzando chiavi Cloud HSM simmetriche sul progetto Google Cloud che contiene queste chiavi. Ad esempio, la crittografia dei dati in una risorsa Spanner utilizzando chiavi HSM simmetriche viene conteggiata nel conteggio della quota di KEY_PROJECT richieste di crittografia simmetriche HSM per regione .

Richieste crittografiche asimmetriche HSM per regione

La quota per le richieste di crittografia asimmetriche HSM per regione limita le operazioni crittografiche utilizzando chiavi Cloud HSM asimmetriche nel progetto Google Cloud che contiene queste chiavi. Ad esempio, la crittografia dei dati in una risorsa Spanner utilizzando chiavi HSM asimmetriche viene conteggiata nella quota di KEY_PROJECT richieste di crittografia asimmetriche HSM per regione.

HSM genera richieste casuali per regione

I limiti di quota per le richieste casuali che generano richieste casuali per regione generano operazioni con byte casuali mediante Cloud HSM nel progetto Google Cloud specificato nel messaggio di richiesta. Ad esempio, le richieste da qualsiasi origine per generare byte casuali in KEY_PROJECT vengono conteggiate nella quota KEY_PROJECT HSM genera richieste casuali per regione.

Richieste crittografiche esterne per regione

La quota per le richieste crittografiche esterne per regione limita le operazioni crittografiche che utilizzano chiavi esterne (Cloud EKM) nel progetto Google Cloud che contiene queste chiavi. Ad esempio, la crittografia dei dati in una risorsa Spanner utilizzando le chiavi EKM viene conteggiata nella quota di KEY_PROJECT Richieste crittografiche esterne per regione.

Informazioni sull'errore di quota

Se effettui una richiesta dopo aver raggiunto la quota, la richiesta genera un errore RESOURCE_EXHAUSTED. Il codice di stato HTTP è 429. Per informazioni su come le librerie client visualizzano l'errore RESOURCE_EXHAUSTED, consulta la sezione relativa alla mappatura delle librerie client.

Se ricevi l'errore RESOURCE_EXHAUSTED, è possibile che tu stia inviando troppe richieste di operazioni di crittografia al secondo. Puoi ricevere l'errore RESOURCE_EXHAUSTED anche se la console Google Cloud mostra che rientri nel limite di query al minuto. Questo problema può verificarsi perché le quote dei progetti di hosting di Cloud KMS vengono visualizzate al minuto, ma vengono applicate su scala al secondo. Per saperne di più sul monitoraggio delle metriche, consulta Monitoraggio e avvisi sulle metriche di quota.

Per maggiori dettagli sulla risoluzione dei problemi di quota di Cloud KMS, consulta Risolvere i problemi di quota.

Passaggi successivi