Kontingente

Google Cloud legt Kontingente für die Ressourcennutzung fest. Für Cloud KMS werden Kontingente für die Nutzung von Ressourcen wie Schlüsseln, Schlüsselbunden, Schlüsselversionen und Standorten definiert.

Es gibt ein Kontingent für die Anzahl der Vorgänge, aber nicht für die Anzahl der Ressourcen KeyRing, CryptoKey und CryptoKeyVersion.

Kontingente prüfen

Die aktuell gültigen Kontingente für Ressourcen in Ihrem Projekt finden Sie in der Google Cloud Console auf der Seite Kontingente.

Kontingente für alle Cloud KMS-Ressourcen

Cloud Key Management Service hat Kontingente für folgende Ressourcen:

  • Leseanfragen pro Minute: Eine Leseanfrage ist ein Vorgang, bei dem eine Cloud KMS-Ressource wie KeyRing, CryptoKey, CryptoKeyVersion oder Location gelesen wird.

    Die folgenden Vorgänge sind Leseanfragen:

Ressource Vorgänge
KeyRing get, getIamPolicy, list, testIamPermissions
CryptoKey get, getIamPolicy, list, testIamPermissions
CryptoKeyVersion get, list
Standort get, list
  • Schreibanfragen pro Minute: Eine Schreibanfrage ist ein Vorgang, bei dem eine Cloud KMS-Ressource wie KeyRing, CryptoKey oder CryptoKeyVersion erstellt oder geändert wird.

    Die folgenden Vorgänge sind Schreibanfragen:

Ressource Vorgänge
KeyRing create, setIamPolicy
CryptoKey create, patch, setIamPolicy, updatePrimaryVersion
CryptoKeyVersion create, destroy, patch, restore
  • Kryptografische Anfragen pro Minute: Eine kryptografische Anfrage ist ein Vorgang, bei dem ein öffentlicher Schlüssel verschlüsselt, entschlüsselt, abgerufen oder digital signiert wird.

    Die folgenden Vorgänge sind kryptografische Anfragen:

Ressource Vorgänge
CryptoKey encrypt, decrypt
CryptoKeyVersion symDecrypt, symmetrische, getPublicKey, macSign, macVerify,

Zusätzliche Kontingente für Cloud HSM

Ein Google Cloud-Projekt, das Aufrufe an den Cloud KMS-Dienst sendet, wird durch die zuvor angegebenen Kontingente eingeschränkt, die sowohl für Softwareschlüssel als auch für Cloud HSM-Schlüssel gelten. Wenn Sie beispielsweise Cloud KMS über ein Dienstkonto aufrufen, ist dies das Google Cloud-Projekt, zu dem das Dienstkonto gehört.

Für Cloud HSM-Schlüssel und -Schlüsselversionen, die für kryptografische Vorgänge verwendet werden, gibt es ein zusätzliches Kontingentlimit für HSM-Abfragen pro Sekunde (Queries per Second, QPS). Das HSM-Kontingent beträgt standardmäßig 500 Abfragen pro Sekunde für symmetrische kryptografische Vorgänge, 50 Abfragen pro Sekunde für asymmetrische kryptografische Vorgänge und 50 Abfragen pro Sekunde für Generierung von zufälligen Byte. Bei der Verwendung von HSM-Schlüsseln wird das Google Cloud-Projekt, das die Cloud HSM-Schlüssel enthält, durch das HSM-Kontingent beschränkt. Dies gilt zusätzlich zur Kontingentnutzung, die durch das Projekt entsteht, von dem der Aufruf an Cloud KMS gesendet wurde.

Im folgenden Beispiel hat ein Kunde zwei Google Cloud-Projekte:

  • Projekt A enthält die Anwendung des Kunden
  • Projekt K enthält die Schlüssel, mit denen der Kunde Cloud KMS verwaltet

Sollte die Anwendung eine Verschlüsselungsanfrage stellen, bei der ein HSM-Schlüssel in Projekt S verwendet wird, dann wird in Projekt A das Kontingent für kryptografische Anfragen beansprucht und in Projekt S wird das HSM-Kontingent beansprucht. Wenn es sich bei Projekt A und Projekt S um dasselbe Google Cloud-Projekt handelt, werden in diesem Projekt sowohl das Kontingent für kryptografische Anfragen als auch das Kontingent für HSM beansprucht.

Zusätzliche Kontingente für Cloud External Key Manager

Das Kontingent für kryptografische Vorgänge für alle Cloud EKM-Schlüssel an einem einzelnen Google Cloud-Standort beträgt pro Projekt 10 Abfragen pro Sekunde.

Kontingentfehler

Wenn Ihr Kontingent ausgeschöpft ist und Sie einen Aufruf senden, wird der Fehler RESOURCE_EXHAUSTED ausgeworfen. Der HTTP-Statuscode ist 429. Informationen dazu, wie der Fehler RESOURCE_EXHAUSTED in Clientbibliotheken wiedergegeben wird, finden Sie unter Clientbibliothek-Zuordnung.

Wenn Sie Ihr Kontingent erreicht haben, jedoch die Fehlermeldung RESOURCE_EXHAUSTED erhalten, senden Sie möglicherweise zu viele kryptografische Anfragen pro Sekunde. Dies kann passieren, da Cloud KMS-Kontingente pro Minute festgelegt werden, die jedoch pro Sekunde erzwungen werden. Weitere Informationen zu Monitoring-Messwerten finden Sie unter Monitoring und Benachrichtigungen zu Kontingentmesswerten.

Kontingente erhöhen

Gehen Sie zum Erhöhen des Kontingents für kryptografische Vorgänge (bis zu 60.000 Abfragen pro Minute) zur Seite Kontingente in der Cloud Console. Sie können auch eine darüber hinausgehende Kontingenterhöhung anfordern. In diesem Fall werden Sie über den Status Ihrer Anfrage benachrichtigt. Multiregionale und globale Kontingente werden nicht in der Console angezeigt. Wenn Sie das Kontingent für multiregionale Standorte oder den globalen Standort erhöhen möchten, senden Sie eine Anfrage für eine andere Region und geben Sie in der Anfragebeschreibung den multiregionalen Standort an.