Google Cloud legt Kontingente für die Ressourcennutzung fest. Für Cloud KMS werden Kontingente für die Nutzung von Ressourcen wie Schlüsseln, Schlüsselbunden, Schlüsselversionen und Standorten definiert. Weitere Informationen zum Verwalten oder Erhöhen Ihrer Kontingente finden Sie unter Cloud KMS-Kontingente überwachen und anpassen.
Es gibt ein Kontingent für die Anzahl der Vorgänge, aber nicht für die Anzahl der Ressourcen KeyRing
, CryptoKey
und CryptoKeyVersion
.
Einige Kontingente für diese Vorgänge gelten für das aufrufende Projekt, dasGoogle Cloud -Projekt, mit dem Aufrufe an den Cloud KMS-Dienst erfolgen. Für das Hosting-Projekt, das Google Cloud -Projekt, das die für den Vorgang verwendeten Schlüssel enthält, gelten andere Kontingente.
Anrufprojektkontingente umfassen keine Nutzung, die vonGoogle Cloud -Diensten generiert wird, die Cloud KMS-Schlüssel für die Integration von vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verwenden. Verschlüsselungs- und Entschlüsselungsanfragen, die direkt von BigQuery, Bigtable oder Spanner stammen, werden beispielsweise nicht auf das Kontingent für kryptografische Anfragen angerechnet.
In der Google Cloud Konsole wird das Limit für jedes Kontingent in Abfragen pro Minute (Queries per minute, QPM) aufgeführt. Kontingente für Hostingprojekte werden jedoch pro Sekunde erzwungen. Kontingente, die in Abfragen pro Sekunde (Queries per Second, QPS) erzwungen werden, lehnen Anfragen ab, die das QPS-Limit überschreiten, auch wenn Ihre Nutzung pro Minute unter dem aufgeführten QPM-Limit liegt. Wenn Sie ein Limit für die maximalen Abfragen pro Sekunde überschreiten, erhalten Sie einen RESOURCE_EXHAUSTED
-Fehler.
Kontingente für die Verwendung von Cloud KMS-Ressourcen
In der folgenden Tabelle sind die einzelnen Kontingente für Cloud KMS-Ressourcen aufgeführt. In der Tabelle sind der Name und das Limit jedes Kontingents, das Projekt, für das das Kontingent gilt, und die Vorgänge aufgeführt, die auf das Kontingent angerechnet werden. Sie können einen Suchbegriff in das Feld eingeben, um die Tabelle zu filtern. Sie können beispielsweise calling eingeben, um nur Kontingente für das Anruferprojekt zu sehen, oder encrypt, um nur Kontingente für Verschlüsselungsvorgänge zu sehen:
Beispiele für Kontingente
Die folgenden Abschnitte enthalten Beispiele für die einzelnen Kontingente mit den folgenden Beispielprojekten:
KEY_PROJECT
: Ein Google Cloud Projekt, das Cloud KMS-Schlüssel, einschließlich Cloud HSM- und Cloud EKM-Schlüssel, enthält.SPANNER_PROJECT
: Ein Google Cloud -Projekt, das eine Spanner-Instanz enthält, in der die vom Kunden verwalteten Verschlüsselungsschlüssel (CMEKs) verwendet werden, die sich inKEY_PROJECT
befinden.SERVICE_PROJECT
: Ein Google Cloud -Projekt, das ein Dienstkonto enthält, mit dem Sie Cloud KMS-Ressourcen verwalten, die sich inKEY_PROJECT
befinden.
Leseanfragen
Die Kontingentlimits für Leseanfragen gelten für Leseanfragen aus demGoogle Cloud -Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise eine Liste von Schlüsseln in KEY_PROJECT
über KEY_PROJECT
mit der Google Cloud CLI aufrufen, wird dies auf das Kontingent für KEY_PROJECT
Leseanfragen angerechnet. Wenn Sie ein Dienstkonto in SERVICE_PROJECT
verwenden, um Ihre Liste der Schlüssel aufzurufen, wird die Leseanfrage auf das Kontingent für Leseanfragen für SERVICE_PROJECT
angerechnet.
Wenn Sie Cloud KMS-Ressourcen in der Google Cloud Console ansehen, wird das Kontingent für Leseanfragen nicht belastet.
Schreibanfragen
Das Kontingent für Schreibanfragen begrenzt Schreibanfragen aus demGoogle Cloud -Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise Schlüssel in KEY_PROJECT
mit der gcloud CLI erstellen, wird dies auf das Kontingent für Schreibanfragen für KEY_PROJECT
angerechnet. Wenn Sie ein Dienstkonto in SERVICE_PROJECT
verwenden, um Schlüssel zu erstellen, wird die Schreibanfrage auf das SERVICE_PROJECT
-Kontingent für Schreibanfragen angerechnet.
Wenn Sie die Google Cloud -Konsole zum Erstellen oder Verwalten von Cloud KMS-Ressourcen verwenden, wird das Kontingent für Leseanfragen nicht belastet.
Kryptografische Anfragen
Das Kontingent für kryptografische Anfragen begrenzt kryptografische Vorgänge aus demGoogle Cloud -Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise Daten mit API-Aufrufen von einer Dienstkontoressource verschlüsseln, die in SERVICE_PROJECT
ausgeführt wird, werden Schlüssel aus KEY_PROJECT
auf das Kontingent für kryptografische Anfragen von SERVICE_PROJECT
angerechnet.
Die Ver- und Entschlüsselung von Daten in einer Spanner-Ressource in SPANNER_PROJECT
mithilfe der CMEK-Integration wird nicht auf das Kontingent für kryptografische Anfragen von SPANNER_PROJECT
angerechnet.
HSM-Anfragen für symmetrische Verschlüsselung pro Region
Die Kontingentlimits für symmetrische kryptografische HSM-Anfragen pro Region gelten für kryptografische Vorgänge mit symmetrischen Cloud HSM-Schlüsseln im Google Cloud-Projekt, das diese Schlüssel enthält. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit symmetrischen HSM-Schlüsseln verschlüsseln, wird das Kontingent KEY_PROJECT
Symmetrische kryptografische HSM-Anfragen pro Region verwendet.
Asymmetrische kryptografische HSM-Anfragen pro Region
Das Kontingent für asymmetrische kryptografische HSM-Anfragen pro Region begrenzt kryptografische Vorgänge mit asymmetrischen Cloud HSM-Schlüsseln für das Google Cloud-Projekt, das diese Schlüssel enthält. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit asymmetrischen HSM-Schlüsseln verschlüsseln, wird das Kontingent KEY_PROJECT
Asymmetrische HSM-Verschlüsselungsanfragen pro Region verwendet.
HSM-Anfragen zum Generieren von Zufallszahlen pro Region
Die Kontingentlimits für HSM-Anfragen zum Generieren von Zufallszahlen pro Region gelten für Vorgänge zum Generieren von Zufallsbytes mit Cloud HSM im Google Cloud Projekt, das in der Anfragenachricht angegeben ist. Anfragen von einer beliebigen Quelle zum Generieren von zufälligen Byte in KEY_PROJECT
werden beispielsweise auf das Kontingent KEY_PROJECT
HSM-Anfragen zum Generieren von Zufallszahlen pro Region angerechnet.
Externe kryptografische Anfragen pro Region
Das Kontingent für externe kryptografische Anfragen pro Region begrenzt kryptografische Vorgänge mit externen (Cloud EKM-)Schlüsseln für das Google Cloud Projekt, das diese Schlüssel enthält. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit EKM-Schlüsseln verschlüsseln, wird dies auf das Kontingent KEY_PROJECT
Externe kryptografische Anfragen pro Region angerechnet.
Kontingentfehler
Wenn Sie eine Anfrage senden, nachdem Ihr Kontingent erreicht wurde, wird der Fehler RESOURCE_EXHAUSTED
ausgegeben. Der HTTP-Statuscode ist 429
. Informationen dazu, wie der Fehler RESOURCE_EXHAUSTED
in Clientbibliotheken wiedergegeben wird, finden Sie unter Clientbibliothek-Zuordnung.
Wenn Sie den Fehler RESOURCE_EXHAUSTED
erhalten, senden Sie möglicherweise zu viele kryptografische Anfragen pro Sekunde. Sie können den Fehler RESOURCE_EXHAUSTED
auch dann erhalten, wenn in der Google Cloud -Konsole angezeigt wird, dass Sie das Limit für Anfragen pro Minute nicht überschritten haben. Dieses Problem kann auftreten, weil Kontingente für Cloud KMS-Hostingprojekte pro Minute angezeigt, aber pro Sekunde skaliert werden. Weitere Informationen zum Überwachen von Messwerten finden Sie unter Kontingentbenachrichtigungen und ‑monitoring einrichten.
Weitere Informationen zur Fehlerbehebung bei Cloud KMS-Kontingentproblemen finden Sie unter Fehlerbehebung bei Kontingentproblemen.
Nächste Schritte
- Cloud Monitoring mit Cloud KMS verwenden
- Informationen zum Überwachen und Anpassen von Cloud KMS-Kontingenten