Kontingente

Google Cloud legt Kontingente für die Ressourcennutzung fest. Für Cloud KMS werden Kontingente für die Nutzung von Ressourcen wie Schlüsseln, Schlüsselbunden, Schlüsselversionen und Standorten definiert.

Es gibt ein Kontingent für die Anzahl der Vorgänge, aber nicht für die Anzahl der Ressourcen KeyRing, CryptoKey und CryptoKeyVersion.

Kontingente prüfen

Die aktuellen Kontingente für Ressourcen in Ihrem Projekt finden Sie in der Google Cloud Console auf der Seite Kontingente.

Kontingente für alle Cloud KMS-Ressourcen

Cloud Key Management Service hat Kontingente für folgende Ressourcen:

  • Leseanfragen pro Minute: Eine Leseanfrage ist ein Vorgang, bei dem eine Cloud KMS-Ressource wie KeyRing, CryptoKey, CryptoKeyVersion oder Location gelesen wird.

    Die folgenden Vorgänge sind Leseanfragen:

Ressource Operations-Suite
KeyRing get, getIamPolicy, list, testIamPermissions
CryptoKey get, getIamPolicy, list, testIamPermissions
CryptoKeyVersion get, list
Standort get, list
  • Schreibanfragen pro Minute: Eine Schreibanfrage ist ein Vorgang, bei dem eine Cloud KMS-Ressource wie KeyRing, CryptoKey oder CryptoKeyVersion erstellt oder geändert wird.

    Die folgenden Vorgänge sind Schreibanfragen:

Ressource Operations-Suite
KeyRing create, setIamPolicy
CryptoKey create, patch, setIamPolicy, updatePrimaryVersion
CryptoKeyVersion create, destroy, patch, restore
  • Kryptografische Anfragen pro Minute: Eine kryptografische Anfrage ist ein Vorgang, bei dem ein öffentlicher Schlüssel verschlüsselt, entschlüsselt, abgerufen oder digital signiert wird.

    Die folgenden Vorgänge sind kryptografische Anfragen:

Ressource Operations-Suite
CryptoKey encrypt, decrypt
CryptoKeyVersion asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify,

Zusätzliche Kontingente für Cloud HSM

Ein Google Cloud-Projekt, das Aufrufe an den Cloud KMS-Dienst sendet, wird durch die zuvor angegebenen Kontingente eingeschränkt, die sowohl für Softwareschlüssel als auch für Cloud HSM-Schlüssel gelten. Wenn Sie beispielsweise Cloud KMS über ein Dienstkonto aufrufen, ist dies das Google Cloud-Projekt, zu dem das Dienstkonto gehört.

Für Cloud HSM-Schlüssel und -Schlüsselversionen, die für kryptografische Vorgänge verwendet werden, gibt es ein zusätzliches Kontingentlimit für HSM-Abfragen pro Sekunde (Queries per Second, QPS). Standardmäßig liegt das HSM-Kontingent bei 500 QPS für symmetrische kryptografische Vorgänge, 50 QPS für asymmetrische kryptografische Vorgänge und 50 QPS für GenerateRandomBytes-Vorgänge. Bei der Verwendung von HSM-Schlüsseln wird das Google Cloud-Projekt, das die Cloud HSM-Schlüssel enthält, durch das HSM-Kontingent beschränkt. Dies gilt zusätzlich zur Kontingentnutzung, die durch das Projekt entsteht, von dem der Aufruf an Cloud KMS gesendet wurde.

Im folgenden Beispiel hat ein Kunde zwei Google Cloud-Projekte:

  • Projekt A enthält die Anwendung des Kunden
  • Projekt K enthält die Schlüssel, mit denen der Kunde Cloud KMS verwaltet

Sollte die Anwendung eine Verschlüsselungsanfrage stellen, bei der ein HSM-Schlüssel in Projekt S verwendet wird, dann wird in Projekt A das Kontingent für kryptografische Anfragen beansprucht und in Projekt S wird das HSM-Kontingent beansprucht. Wenn es sich bei Projekt A und Projekt S um dasselbe Google Cloud-Projekt handelt, werden in diesem Projekt sowohl das Kontingent für kryptografische Anfragen als auch das Kontingent für HSM beansprucht.

Zusätzliche Kontingente für Cloud External Key Manager

Für Cloud External Key Manager-Schlüssel gilt das gleiche zusätzliche Kontingentlimit wie für Cloud HSM-Schlüssel.

Alle Cloud EKM-Schlüssel an einem einzelnen Google Cloud-Standort haben ein Kontingent von 100 QPS pro Projekt für kryptografische Vorgänge. Bei Verwendung von Cloud EKM-Schlüsseln wird das Google Cloud-Projekt, das die Cloud EKM-Schlüssel enthält, durch das Cloud EKM-Kontingent beschränkt. Dies gilt zusätzlich zur Kontingentnutzung, die durch das Projekt entsteht, von dem der Aufruf an Cloud KMS gesendet wurde.

Kontingentfehler

Wenn Ihr Kontingent ausgeschöpft ist und Sie einen Aufruf senden, wird der Fehler RESOURCE_EXHAUSTED ausgeworfen. Der HTTP-Statuscode ist 429. Informationen dazu, wie der Fehler RESOURCE_EXHAUSTED in Clientbibliotheken wiedergegeben wird, finden Sie unter Clientbibliothek-Zuordnung.

Wenn Sie innerhalb Ihres Kontingents liegen, aber den Fehler RESOURCE_EXHAUSTED erhalten, senden Sie möglicherweise zu viele kryptografische Anfragen pro Sekunde. Dies kann vorkommen, weil Cloud KMS-Kontingente pro Minute festgelegt sind, diese jedoch pro Sekunde skaliert werden. Weitere Informationen zum Überwachen von Messwerten finden Sie unter Kontingentmesswerte überwachen und Benachrichtigungen.

Kontingente erhöhen

Wenn Sie das Kontingent für kryptografische Vorgänge (bis zu 60.000 Abfragen pro Minute) erhöhen möchten, rufen Sie in der Google Cloud Console die Seite Kontingente auf. Sie können auch eine darüber hinausgehende Kontingenterhöhung anfordern. In diesem Fall werden Sie über den Status Ihrer Anfrage benachrichtigt. Multiregionale und globale Kontingente werden nicht in der Konsole angezeigt. Wenn Sie das Kontingent für multiregionale Standorte oder für den globalen Standort erhöhen möchten, stellen Sie die Anfrage für eine andere Region und nennen Sie die Multiregion in der Anfragebeschreibung.