Kontingente

Google Cloud legt Kontingente für die Ressourcennutzung fest. Für Cloud KMS werden Kontingente für die Nutzung von Ressourcen wie Schlüsseln, Schlüsselbunden, Schlüsselversionen und Standorten definiert.

Es gibt ein Kontingent für die Anzahl der Vorgänge, aber nicht für die Anzahl der Ressourcen KeyRing, CryptoKey und CryptoKeyVersion.

Kontingente prüfen

Die aktuell gültigen Kontingente für Ressourcen in Ihrem Projekt finden Sie in der Google Cloud Console auf der Seite Kontingente.

Kontingente für alle Cloud KMS-Ressourcen

Cloud Key Management Service hat Kontingente für folgende Ressourcen:

  • Leseanfragen pro Minute: Eine Leseanfrage ist ein Vorgang, bei dem eine Cloud KMS-Ressource wie KeyRing, CryptoKey, CryptoKeyVersion oder Location gelesen wird.

    Die folgenden Vorgänge sind Leseanfragen:

Ressource Vorgänge
KeyRing get, getIamPolicy, list, testIamPermissions
CryptoKey get, getIamPolicy, list, testIamPermissions
CryptoKeyVersion get, list
Standort get, list
  • Schreibanfragen pro Minute: Eine Schreibanfrage ist ein Vorgang, bei dem eine Cloud KMS-Ressource wie KeyRing, CryptoKey oder CryptoKeyVersion erstellt oder geändert wird.

    Die folgenden Vorgänge sind Schreibanfragen:

Ressource Vorgänge
KeyRing create, setIamPolicy
CryptoKey create, patch, setIamPolicy, updatePrimaryVersion
CryptoKeyVersion create, destroy, patch, restore
  • Kryptografische Anfragen pro Minute: Eine kryptografische Anfrage ist ein Vorgang, bei dem ein öffentlicher Schlüssel verschlüsselt, entschlüsselt, abgerufen oder digital signiert wird.

    Die folgenden Vorgänge sind kryptografische Anfragen:

Ressource Vorgänge
CryptoKey encrypt, decrypt
CryptoKeyVersion asymmetricDecrypt, asymmetricSign, getPublicKey

Zusätzliche Kontingente für Cloud HSM

Ein Google Cloud-Projekt, das Aufrufe an den Cloud KMS-Dienst sendet, wird durch die zuvor angegebenen Kontingente eingeschränkt, die sowohl für Softwareschlüssel als auch für Cloud HSM-Schlüssel gelten. Wenn Sie beispielsweise Cloud KMS über ein Dienstkonto aufrufen, ist dies das Google Cloud-Projekt, zu dem das Dienstkonto gehört.

Für Cloud HSM-Schlüssel und -Schlüsselversionen, die für kryptografische Vorgänge verwendet werden, gibt es ein zusätzliches Kontingentlimit für HSM-Abfragen pro Sekunde (Queries per Second, QPS). Standardmäßig liegt das HSM-Kontingent bei 500 QPS für symmetrische kryptografische Vorgänge und 50 QPS für asymmetrische kryptografische Vorgänge. Bei der Verwendung von HSM-Schlüsseln wird das Google Cloud-Projekt, das die Cloud HSM-Schlüssel enthält, durch das HSM-Kontingent beschränkt. Dies gilt zusätzlich zur Kontingentnutzung, die durch das Projekt entsteht, von dem der Aufruf an Cloud KMS gesendet wurde.

Im folgenden Beispiel hat ein Kunde zwei Google Cloud-Projekte:

  • Projekt A enthält die Anwendung des Kunden
  • Projekt S enthält die Schlüssel, mit denen der Kunde Cloud KMS verwaltet

Sollte die Anwendung eine Verschlüsselungsanfrage stellen, bei der ein HSM-Schlüssel in Projekt S verwendet wird, dann wird in Projekt A das Kontingent für kryptografische Anfragen beansprucht und in Projekt S wird das HSM-Kontingent beansprucht. Wenn es sich bei Projekt A und Projekt S um dasselbe Google Cloud-Projekt handelt, werden in diesem Projekt sowohl das Kontingent für kryptografische Anfragen als auch das Kontingent für HSM beansprucht.

Zusätzliche Kontingente für Cloud External Key Manager

Das Kontingent für kryptografische Vorgänge für alle Cloud EKM-Schlüssel an einem einzelnen Google Cloud-Standort beträgt pro Projekt 10 Abfragen pro Sekunde.

Kontingentfehler

Wenn Ihr Kontingent ausgeschöpft ist und Sie einen Aufruf senden, wird der Fehler RESOURCE_EXHAUSTED ausgeworfen. Der HTTP-Statuscode ist 429. Informationen dazu, wie der Fehler RESOURCE_EXHAUSTED in Clientbibliotheken wiedergegeben wird, finden Sie unter Clientbibliothek-Zuordnung.

Kontingente erhöhen

Gehen Sie zum Erhöhen des Kontingents für kryptografische Vorgänge (bis zu 60.000 Abfragen pro Minute) zur Seite Kontingente in der Cloud Console. Sie können auch eine darüber hinausgehende Kontingenterhöhung anfordern. In diesem Fall werden Sie über den Status Ihrer Anfrage benachrichtigt.