Kuota

Google Cloud memberlakukan kuota penggunaan resource. Untuk Cloud KMS, kuota diterapkan pada penggunaan resource seperti kunci, key ring, versi kunci, dan lokasi. Untuk mengetahui detail tentang cara mengelola atau meningkatkan kuota, lihat Memantau dan menyesuaikan kuota Cloud KMS.

Melihat kuota Cloud KMS

Tidak ada kuota pada jumlah resource KeyRing, CryptoKey, atau CryptoKeyVersion, hanya pada jumlah operasi.

Beberapa kuota pada operasi ini berlaku untuk project panggilan, yaitu project Google Cloud yang melakukan panggilan ke layanan Cloud KMS. Kuota lainnya berlaku untuk project hosting, yaitu project Google Cloud yang berisi kunci yang digunakan untuk operasi.

Kuota project panggilan tidak mencakup penggunaan yang dihasilkan oleh layanan Google Cloud menggunakan kunci Cloud KMS untuk integrasi kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK). Misalnya, permintaan enkripsi dan dekripsi yang berasal langsung dari BigQuery, Bigtable, atau Spanner tidak berkontribusi pada kuota Permintaan kriptografi.

Konsol Google Cloud mencantumkan batas untuk setiap kuota dalam kueri per menit (QPM), tetapi kuota project hosting diberlakukan per detik. Kuota yang diterapkan dalam permintaan tolak kueri per detik (QPS) yang melebihi batas QPS, meskipun penggunaan per menit Anda kurang dari batas QPM yang tercantum. Jika melebihi batas QPS, Anda akan menerima error RESOURCE_EXHAUSTED.

Kuota pada penggunaan resource Cloud KMS

Tabel berikut mencantumkan setiap kuota yang diterapkan ke resource Cloud KMS. Tabel ini memberikan nama dan batas setiap kuota, project tempat kuota diterapkan, dan operasi yang mengurangi kuota. Anda dapat memasukkan kata kunci di {i>field <i}untuk memfilter tabel. Misalnya, Anda dapat memasukkan calling untuk melihat kuota yang diterapkan ke project panggilan, atau encrypt untuk melihat kuota yang terkait dengan operasi enkripsi saja:

Kuota	Project	Batas	Resource dan operasi
Permintaan baca `cloudkms.googleapis.com/read_requests`	Memanggil project	300 QPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: dapatkan, daftar ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions lokasi: dapatkan, daftar Dikecualikan: operasi dari konsol Google Cloud.
Permintaan tulis `cloudkms.googleapis.com/write_requests`	Memanggil project	60 QPM	cryptoKeys: buat, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: buat, destroy, import, patch, pemulihan ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings: create, setIamPolicy Dikecualikan: operasi dari konsol Google Cloud.
Permintaan kriptografi `cloudkms.googleapis.com/crypto_requests`	Memanggil project	60.000 QPM	cryptoKeys: enkripsi, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Dikecualikan: operasi dari integrasi CMEK.
Permintaan kriptografi simetris HSM per region `cloudkms.googleapis.com/hsm_symmetric_requests`	Project hosting	500 QPS	cryptoKeys: enkripsi, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt
Permintaan kriptografi asimetris HSM per region `cloudkms.googleapis.com/hsm_asymmetric_requests`	Project hosting	50 QPS	cryptoKeys: enkripsi, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
HSM menghasilkan permintaan acak per region `cloudkms.googleapis.com/hsm_generate_random_requests`	Project hosting	50 QPS	locations: generateRandomBytes
Permintaan kriptografi eksternal per region `cloudkms.googleapis.com/external_kms_requests`	Project hosting	100 QPS	cryptoKeys: enkripsi, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Contoh kuota

Bagian berikut menyertakan contoh setiap kuota menggunakan contoh project berikut:

KEY_PROJECT - Project Google Cloud yang berisi kunci Cloud KMS termasuk kunci Cloud HSM dan Cloud EKM.
SPANNER_PROJECT - Project Google Cloud yang berisi instance Spanner yang menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) yang berada di KEY_PROJECT.
SERVICE_PROJECT - Project Google Cloud yang berisi akun layanan yang Anda gunakan untuk mengelola resource Cloud KMS yang ada di KEY_PROJECT.

Permintaan baca

Kuota Permintaan baca membatasi permintaan baca dari project Google Cloud yang memanggil Cloud KMS API. Misalnya, melihat daftar kunci dalam KEY_PROJECT dari KEY_PROJECT menggunakan Google Cloud CLI akan mengurangi kuota KEY_PROJECT Permintaan baca. Jika Anda menggunakan akun layanan di SERVICE_PROJECT untuk melihat daftar kunci, permintaan baca akan mengurangi kuota SERVICE_PROJECT Permintaan baca.

Penggunaan konsol Google Cloud untuk melihat resource Cloud KMS tidak berkontribusi terhadap kuota Permintaan baca.

Permintaan tulis

Kuota Permintaan tulis membatasi permintaan tulis dari project Google Cloud yang memanggil Cloud KMS API. Misalnya, membuat kunci di KEY_PROJECT menggunakan gcloud CLI mengurangi kuota KEY_PROJECT Permintaan tulis. Jika Anda menggunakan akun layanan di SERVICE_PROJECT untuk membuat kunci, permintaan tulis akan mengurangi kuota SERVICE_PROJECT Permintaan tulis.

Penggunaan konsol Google Cloud untuk membuat atau mengelola resource Cloud KMS tidak berkontribusi terhadap kuota Permintaan baca.

Permintaan kriptografi

Kuota Permintaan kriptografi membatasi operasi kriptografi dari project Google Cloud yang memanggil Cloud KMS API. Misalnya, mengenkripsi data menggunakan panggilan API dari resource akun layanan yang berjalan di SERVICE_PROJECT menggunakan kunci dari KEY_PROJECT akan mengurangi kuota Permintaan kriptografi SERVICE_PROJECT.

Enkripsi dan dekripsi data dalam resource Spanner di SPANNER_PROJECT menggunakan integrasi CMEK tidak mengurangi kuota Permintaan kriptografi sebesar SPANNER_PROJECT.

Permintaan kriptografi simetris HSM per region

Kuota Permintaan kriptografi simetris HSM per region membatasi operasi kriptografi menggunakan kunci Cloud HSM simetris di project Google Cloud yang berisi kunci tersebut. Misalnya, mengenkripsi data di resource Spanner menggunakan kunci HSM simetris akan mengurangi kuota KEY_PROJECT permintaan kriptografi simetris HSM per region .

Permintaan kriptografi asimetris HSM per region

Kuota Permintaan kriptografi asimetris HSM per region membatasi operasi kriptografi menggunakan kunci Cloud HSM asimetris di project Google Cloud yang berisi kunci tersebut. Misalnya, mengenkripsi data di resource Spanner menggunakan kunci HSM asimetris akan mengurangi kuota KEY_PROJECT Permintaan kriptografi asimetris HSM per region.

HSM menghasilkan permintaan acak per region

Batas kuota HSM menghasilkan permintaan acak per region menghasilkan operasi byte acak menggunakan Cloud HSM di project Google Cloud yang ditentukan dalam pesan permintaan. Misalnya, permintaan dari sumber mana pun untuk menghasilkan byte acak dalam KEY_PROJECT dihitung dalam kuota KEY_PROJECT HSM menghasilkan permintaan acak per region.

Permintaan kriptografi eksternal per region

Kuota Permintaan kriptografi eksternal per region membatasi operasi kriptografi menggunakan kunci eksternal (Cloud EKM) di project Google Cloud yang berisi kunci tersebut. Misalnya, mengenkripsi data di resource Spanner menggunakan kunci EKM akan mengurangi kuota KEY_PROJECT Permintaan kriptografi eksternal per region.

Informasi error kuota

Jika Anda membuat permintaan setelah kuota tercapai, permintaan Anda akan menghasilkan error RESOURCE_EXHAUSTED. Kode status HTTP adalah 429. Untuk mengetahui informasi tentang cara library klien menampilkan error RESOURCE_EXHAUSTED, lihat Pemetaan library klien.

Jika menerima error RESOURCE_EXHAUSTED, Anda mungkin mengirim terlalu banyak permintaan operasi kriptografi per detik. Anda dapat menerima error RESOURCE_EXHAUSTED meskipun Konsol Google Cloud menunjukkan bahwa Anda berada dalam batas kueri per menit. Masalah ini dapat terjadi karena kuota project hosting Cloud KMS ditampilkan per menit, tetapi diterapkan dalam skala per detik. Untuk mempelajari metrik pemantauan lebih lanjut, lihat Pemantauan dan pemberitahuan tentang metrik kuota.

Untuk mengetahui detail tentang cara memecahkan masalah kuota Cloud KMS, lihat Memecahkan masalah kuota.

Langkah selanjutnya

Pelajari cara menggunakan Cloud Monitoring dengan Cloud KMS.
Pelajari cara memantau dan menyesuaikan kuota Cloud KMS.