Google Cloud Aplica quotas à utilização de recursos. Para o Cloud KMS, são aplicadas quotas à utilização de recursos, como chaves, conjuntos de chaves, versões de chaves e localizações. Para ver detalhes sobre como gerir ou aumentar as suas quotas, consulte o artigo Monitorize e ajuste as quotas do Cloud KMS.
Não existe uma quota para o número de recursos KeyRing
, CryptoKey
ou CryptoKeyVersion
, apenas para o número de operações.
Algumas quotas nestas operações aplicam-se ao projeto de chamadas, o Google Cloud projeto que faz chamadas para o serviço Cloud KMS. Outras quotas aplicam-se ao projeto de alojamento, o Google Cloud projeto que contém as chaves usadas para a operação.
As quotas de chamadas de projetos não incluem a utilização gerada por Google Cloud serviços que usam chaves do Cloud KMS para integração de chaves de encriptação geridas pelo cliente (CMEK). Por exemplo, os pedidos de encriptação e desencriptação provenientes diretamente do BigQuery, Bigtable ou Spanner não contribuem para as quotas de pedidos criptográficos.
A Google Cloud consola apresenta o limite de cada quota em consultas por minuto (CPM), mas as quotas do projeto de alojamento são aplicadas por segundo. As quotas aplicadas em consultas por segundo (CPS) rejeitam pedidos que excedam o limite de CPS,
mesmo que a sua utilização por minuto seja inferior ao limite de CPM indicado. Se exceder um limite de QPS, recebe um erro RESOURCE_EXHAUSTED
.
Quotas na utilização de recursos do Cloud KMS
A tabela seguinte apresenta cada quota aplicada aos recursos do Cloud KMS. A tabela indica o nome e o limite de cada quota, o projeto ao qual a quota se aplica e as operações que contam para a quota. Pode introduzir uma palavra-chave no campo para filtrar a tabela. Por exemplo, pode introduzir calling para ver apenas as quotas aplicadas ao projeto de chamadas ou encrypt para ver apenas as quotas relacionadas com operações de encriptação:
Exemplos de quotas
As secções seguintes incluem exemplos de cada quota com os seguintes projetos de exemplo:
KEY_PROJECT
- Um Google Cloud projeto que contém chaves do Cloud KMS, incluindo chaves do Cloud HSM e do Cloud EKM.SPANNER_PROJECT
- Um projeto que contém uma instância do Spanner que usa as chaves de encriptação geridas pelo cliente (CMEKs) que residem emKEY_PROJECT
. Google CloudSERVICE_PROJECT
- Um projeto que contém uma conta de serviço que usa para gerir recursos do Cloud KMS que residem emKEY_PROJECT
. Google Cloud
Pedidos de leitura
A quota de pedidos de leitura limita os pedidos de leitura do
Google Cloud projeto que chama a API Cloud KMS. Por exemplo, ver uma lista de chaves em KEY_PROJECT
a partir de KEY_PROJECT
através da Google Cloud CLI conta para a quota de KEY_PROJECT
pedidos de leitura. Se usar uma conta de serviço no
SERVICE_PROJECT
para ver a sua lista de chaves, os pedidos de leitura contam
para a quota de SERVICE_PROJECT
pedidos de leitura.
A utilização da Google Cloud consola para ver recursos do Cloud KMS não contribui para a quota de pedidos de leitura.
Pedidos de escrita
O limite de quota de pedidos de escrita limita os pedidos de escrita do
Google Cloud projeto que chama a API Cloud KMS. Por exemplo, a criação de chaves no KEY_PROJECT
através da CLI gcloud conta para a quota de KEY_PROJECT
pedidos de gravação. Se usar uma conta de serviço no SERVICE_PROJECT
para criar chaves, o pedido de gravação conta para a quota de SERVICE_PROJECT
pedidos de gravação.
A utilização da Google Cloud consola para criar ou gerir recursos do Cloud KMS não contribui para a quota de pedidos de leitura.
Pedidos criptográficos
A quota de pedidos criptográficos limita as operações criptográficas do
Google Cloud projeto que chama a API Cloud KMS. Por exemplo, a encriptação de dados através de chamadas da API a partir de um recurso de conta de serviço em execução no SERVICE_PROJECT
com chaves do KEY_PROJECT
conta para a quota de pedidos criptográficos do SERVICE_PROJECT
.
A encriptação e a desencriptação de dados num recurso do Spanner em
SPANNER_PROJECT
através da integração da CMEK não contam para a quota de
pedidos criptográficos do SPANNER_PROJECT
.
Pedidos criptográficos simétricos de HSM por região
O limite da quota de pedidos criptográficos simétricos do HSM por região limita as operações criptográficas que usam chaves Cloud HSM no projeto que contém essas chaves. Google CloudPor exemplo, a encriptação de dados num recurso do Spanner com chaves HSM simétricas conta para a quota de KEY_PROJECT
pedidos criptográficos simétricos do HSM por região .
Pedidos criptográficos assimétricos de HSM por região
A quota de pedidos criptográficos assimétricos do HSM por região limita as operações criptográficas que usam chaves Cloud HSM no projeto que contém essas chaves. Google CloudPor exemplo, a encriptação de dados num recurso do Spanner com chaves HSM assimétricas conta para a quota de KEY_PROJECT
pedidos criptográficos assimétricos do HSM por região.
HSM generate random requests per region
Os limites de quota de pedidos aleatórios gerados pelo HSM por região geram operações de bytes aleatórios através do Cloud HSM no projeto especificado na mensagem de pedido. Google Cloud Por exemplo, os pedidos de qualquer origem para gerar bytes aleatórios em KEY_PROJECT
contam para a quota de KEY_PROJECT
pedidos aleatórios gerados pelo HSM por região.
Pedidos criptográficos externos por região
A quota de pedidos criptográficos externos por região limita as operações criptográficas que usam chaves externas (Cloud EKM) no projeto que contém essas chaves. Google Cloud Por exemplo, a encriptação de dados num recurso do Spanner com chaves EKM conta para a quota de KEY_PROJECT
pedidos criptográficos externos por região.
Informações sobre erros de quotas
Se fizer um pedido depois de atingir a sua quota, o pedido resulta num erro RESOURCE_EXHAUSTED
. O código de estado HTTP é 429
. Para ver informações sobre como as bibliotecas de cliente apresentam o erro RESOURCE_EXHAUSTED
, consulte o mapeamento da biblioteca de cliente.
Se receber o erro RESOURCE_EXHAUSTED
, pode estar a enviar demasiados
pedidos de operações criptográficas por segundo. Pode receber o erro
RESOURCE_EXHAUSTED
mesmo que a consola mostre que está
dentro do limite de consultas por minuto. Google Cloud Este problema pode ocorrer porque as quotas do projeto de alojamento do Cloud KMS são apresentadas por minuto, mas são aplicadas à escala de segundos. Para saber mais sobre a monitorização de métricas, consulte o artigo
Configure alertas de quota e monitorização.
Para ver detalhes sobre a resolução de problemas de quotas do Cloud KMS, consulte o artigo Resolva problemas de quotas.
O que se segue?
- Saiba mais sobre a utilização do Cloud Monitoring com o Cloud KMS.
- Saiba como monitorizar e ajustar as quotas do Cloud KMS.