Diese Seite wurde von der Cloud Translation API übersetzt.

Kontingente

Google Cloud legt Kontingente für die Ressourcennutzung fest. Für Cloud KMS werden Kontingente für die Nutzung von Ressourcen wie Schlüsseln, Schlüsselbunden, Schlüsselversionen und Standorten definiert. Weitere Informationen zum Verwalten oder Erhöhen Ihrer Kontingente finden Sie unter Cloud KMS-Kontingente überwachen und anpassen.

Cloud KMS-Kontingente ansehen

Es gibt ein Kontingent für die Anzahl der Vorgänge, aber nicht für die Anzahl der Ressourcen KeyRing, CryptoKey und CryptoKeyVersion.

Einige Kontingente für diese Vorgänge gelten für das aufrufende Projekt, dasGoogle Cloud -Projekt, mit dem Aufrufe an den Cloud KMS-Dienst erfolgen. Für das Hosting-Projekt, das Google Cloud -Projekt, das die für den Vorgang verwendeten Schlüssel enthält, gelten andere Kontingente.

Anrufprojektkontingente umfassen keine Nutzung, die vonGoogle Cloud -Diensten generiert wird, die Cloud KMS-Schlüssel für die Integration von vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verwenden. Verschlüsselungs- und Entschlüsselungsanfragen, die direkt von BigQuery, Bigtable oder Spanner stammen, werden beispielsweise nicht auf das Kontingent für kryptografische Anfragen angerechnet.

In der Google Cloud Konsole wird das Limit für jedes Kontingent in Abfragen pro Minute (Queries per minute, QPM) aufgeführt. Kontingente für Hostingprojekte werden jedoch pro Sekunde erzwungen. Kontingente, die in Abfragen pro Sekunde (Queries per Second, QPS) erzwungen werden, lehnen Anfragen ab, die das QPS-Limit überschreiten, auch wenn Ihre Nutzung pro Minute unter dem aufgeführten QPM-Limit liegt. Wenn Sie ein Limit für die maximalen Abfragen pro Sekunde überschreiten, erhalten Sie einen RESOURCE_EXHAUSTED-Fehler.

Kontingente für die Verwendung von Cloud KMS-Ressourcen

In der folgenden Tabelle sind die einzelnen Kontingente für Cloud KMS-Ressourcen aufgeführt. In der Tabelle sind der Name und das Limit jedes Kontingents, das Projekt, für das das Kontingent gilt, und die Vorgänge aufgeführt, die auf das Kontingent angerechnet werden. Sie können einen Suchbegriff in das Feld eingeben, um die Tabelle zu filtern. Sie können beispielsweise calling eingeben, um nur Kontingente für das Anruferprojekt zu sehen, oder encrypt, um nur Kontingente für Verschlüsselungsvorgänge zu sehen:

Kontingent	Projekt	Limit	Ressourcen und Vorgänge
Leseanfragen `cloudkms.googleapis.com/read_requests`	Projekt wird aufgerufen	300 QPM	cryptoKeys:get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs:get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list Ausgenommen: Vorgänge aus der Google Cloud Console.
Schreibanfragen `cloudkms.googleapis.com/write_requests`	Projekt wird aufgerufen	60 QPM	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs:create, setIamPolicy keyRings: create, setIamPolicy Ausgenommen: Vorgänge aus der Google Cloud Console.
Kryptografische Anfragen `cloudkms.googleapis.com/crypto_requests`	Projekt wird aufgerufen	60.000 Abfragen pro Minute	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Ausgenommen: Vorgänge aus CMEK-Integrationen.
Symmetrische kryptografische HSM-Anfragen pro Region `cloudkms.googleapis.com/hsm_symmetric_requests`	Hostingprojekt	500 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt
Asymmetrische kryptografische HSM-Anfragen pro Region `cloudkms.googleapis.com/hsm_asymmetric_requests`	Hostingprojekt	50 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
HSM-Anfragen zum Generieren von Zufallszahlen pro Region `cloudkms.googleapis.com/hsm_generate_random_requests`	Hostingprojekt	50 QPS	locations: generateRandomBytes
Externe kryptografische Anfragen pro Region `cloudkms.googleapis.com/external_kms_requests`	Hostingprojekt	100 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Beispiele für Kontingente

Die folgenden Abschnitte enthalten Beispiele für die einzelnen Kontingente mit den folgenden Beispielprojekten:

KEY_PROJECT: Ein Google Cloud Projekt, das Cloud KMS-Schlüssel, einschließlich Cloud HSM- und Cloud EKM-Schlüssel, enthält.
SPANNER_PROJECT: Ein Google Cloud -Projekt, das eine Spanner-Instanz enthält, in der die vom Kunden verwalteten Verschlüsselungsschlüssel (CMEKs) verwendet werden, die sich in KEY_PROJECT befinden.
SERVICE_PROJECT: Ein Google Cloud -Projekt, das ein Dienstkonto enthält, mit dem Sie Cloud KMS-Ressourcen verwalten, die sich in KEY_PROJECT befinden.

Leseanfragen

Die Kontingentlimits für Leseanfragen gelten für Leseanfragen aus demGoogle Cloud -Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise eine Liste von Schlüsseln in KEY_PROJECT über KEY_PROJECT mit der Google Cloud CLI aufrufen, wird dies auf das Kontingent für KEY_PROJECT Leseanfragen angerechnet. Wenn Sie ein Dienstkonto in SERVICE_PROJECT verwenden, um Ihre Liste der Schlüssel aufzurufen, wird die Leseanfrage auf das Kontingent für Leseanfragen für SERVICE_PROJECT angerechnet.

Wenn Sie Cloud KMS-Ressourcen in der Google Cloud Console ansehen, wird das Kontingent für Leseanfragen nicht belastet.

Schreibanfragen

Das Kontingent für Schreibanfragen begrenzt Schreibanfragen aus demGoogle Cloud -Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise Schlüssel in KEY_PROJECT mit der gcloud CLI erstellen, wird dies auf das Kontingent für Schreibanfragen für KEY_PROJECT angerechnet. Wenn Sie ein Dienstkonto in SERVICE_PROJECT verwenden, um Schlüssel zu erstellen, wird die Schreibanfrage auf das SERVICE_PROJECT-Kontingent für Schreibanfragen angerechnet.

Wenn Sie die Google Cloud -Konsole zum Erstellen oder Verwalten von Cloud KMS-Ressourcen verwenden, wird das Kontingent für Leseanfragen nicht belastet.

Kryptografische Anfragen

Das Kontingent für kryptografische Anfragen begrenzt kryptografische Vorgänge aus demGoogle Cloud -Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise Daten mit API-Aufrufen von einer Dienstkontoressource verschlüsseln, die in SERVICE_PROJECT ausgeführt wird, werden Schlüssel aus KEY_PROJECT auf das Kontingent für kryptografische Anfragen von SERVICE_PROJECT angerechnet.

Die Ver- und Entschlüsselung von Daten in einer Spanner-Ressource in SPANNER_PROJECT mithilfe der CMEK-Integration wird nicht auf das Kontingent für kryptografische Anfragen von SPANNER_PROJECT angerechnet.

HSM-Anfragen für symmetrische Verschlüsselung pro Region

Die Kontingentlimits für symmetrische kryptografische HSM-Anfragen pro Region gelten für kryptografische Vorgänge mit symmetrischen Cloud HSM-Schlüsseln im Google Cloud-Projekt, das diese Schlüssel enthält. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit symmetrischen HSM-Schlüsseln verschlüsseln, wird das Kontingent KEY_PROJECT Symmetrische kryptografische HSM-Anfragen pro Region verwendet.

Asymmetrische kryptografische HSM-Anfragen pro Region

Das Kontingent für asymmetrische kryptografische HSM-Anfragen pro Region begrenzt kryptografische Vorgänge mit asymmetrischen Cloud HSM-Schlüsseln für das Google Cloud-Projekt, das diese Schlüssel enthält. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit asymmetrischen HSM-Schlüsseln verschlüsseln, wird das Kontingent KEY_PROJECT Asymmetrische HSM-Verschlüsselungsanfragen pro Region verwendet.

HSM-Anfragen zum Generieren von Zufallszahlen pro Region

Die Kontingentlimits für HSM-Anfragen zum Generieren von Zufallszahlen pro Region gelten für Vorgänge zum Generieren von Zufallsbytes mit Cloud HSM im Google Cloud Projekt, das in der Anfragenachricht angegeben ist. Anfragen von einer beliebigen Quelle zum Generieren von zufälligen Byte in KEY_PROJECT werden beispielsweise auf das Kontingent KEY_PROJECT HSM-Anfragen zum Generieren von Zufallszahlen pro Region angerechnet.

Externe kryptografische Anfragen pro Region

Das Kontingent für externe kryptografische Anfragen pro Region begrenzt kryptografische Vorgänge mit externen (Cloud EKM-)Schlüsseln für das Google Cloud Projekt, das diese Schlüssel enthält. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit EKM-Schlüsseln verschlüsseln, wird dies auf das Kontingent KEY_PROJECT Externe kryptografische Anfragen pro Region angerechnet.

Kontingentfehler

Wenn Sie eine Anfrage senden, nachdem Ihr Kontingent erreicht wurde, wird der Fehler RESOURCE_EXHAUSTED ausgegeben. Der HTTP-Statuscode ist 429. Informationen dazu, wie der Fehler RESOURCE_EXHAUSTED in Clientbibliotheken wiedergegeben wird, finden Sie unter Clientbibliothek-Zuordnung.

Wenn Sie den Fehler RESOURCE_EXHAUSTED erhalten, senden Sie möglicherweise zu viele kryptografische Anfragen pro Sekunde. Sie können den Fehler RESOURCE_EXHAUSTED auch dann erhalten, wenn in der Google Cloud -Konsole angezeigt wird, dass Sie das Limit für Anfragen pro Minute nicht überschritten haben. Dieses Problem kann auftreten, weil Kontingente für Cloud KMS-Hostingprojekte pro Minute angezeigt, aber pro Sekunde skaliert werden. Weitere Informationen zum Überwachen von Messwerten finden Sie unter Kontingentbenachrichtigungen und ‑monitoring einrichten.

Weitere Informationen zur Fehlerbehebung bei Cloud KMS-Kontingentproblemen finden Sie unter Fehlerbehebung bei Kontingentproblemen.

Kontingente Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.