Kontingente

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Google Cloud legt Kontingente für die Ressourcennutzung fest. Für Cloud KMS gelten Kontingente für die Nutzung von Ressourcen wie Schlüsseln, Schlüsselbunden, Schlüsselversionen und Standorten. Weitere Informationen zum Verwalten oder Erhöhen Ihrer Kontingente finden Sie unter Cloud KMS-Kontingente überwachen und anpassen.

Cloud KMS-Kontingente ansehen

Für die Anzahl der Ressourcen KeyRing, CryptoKey oder CryptoKeyVersion gibt es kein Kontingent, sondern nur für die Anzahl der Vorgänge.

Einige Kontingente für diese Vorgänge gelten für das Aufrufprojekt, das Google Cloud-Projekt, das den Cloud KMS-Dienst aufruft. Für das Hostingprojekt, das Google Cloud-Projekt, das die für den Vorgang verwendeten Schlüssel enthält, gelten andere Kontingente.

Die Anrufprojektkontingente beinhalten keine Nutzung, die von Google Cloud-Diensten mithilfe von Cloud KMS-Schlüsseln für die Integration des vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) generiert wurde. Beispielsweise tragen Verschlüsselungs- und Entschlüsselungsanfragen, die direkt von BigQuery, Cloud Bigtable oder Cloud Spanner stammen, nicht zu Kontingenten für kryptografische Anfragen bei.

Die Google Cloud Console listet das Limit für jedes Kontingent in Abfragen pro Minute (QPM) auf. Hosting-Projektkontingente werden jedoch pro Sekunde erzwungen. Kontingente, die in Abfragen pro Sekunde erzwungen werden, lehnen Anfragen ab, die das Limit für Abfragen pro Sekunde überschreiten, auch wenn Ihre Nutzung pro Minute unter dem aufgeführten Limit für die Abfragen pro Minute liegt. Wenn Sie ein Limit für Abfragen pro Sekunde überschreiten, erhalten Sie einen RESOURCE_EXHAUSTED-Fehler.

Kontingente für die Nutzung von Cloud KMS-Ressourcen

In der folgenden Tabelle sind alle Kontingente aufgeführt, die auf Cloud KMS-Ressourcen angewendet werden. Die Tabelle enthält den Namen und das Limit jedes Kontingents, für welches Projekt das Kontingent gilt und für welche Vorgänge das Kontingent angerechnet wird. Sie können ein Keyword in das Feld eingeben, um die Tabelle zu filtern. Sie können beispielsweise calling eingeben, um nur die Kontingente aufzurufen, die auf das aufrufende Projekt angewendet wurden, oder encrypt, um nur die Kontingente für Verschlüsselungsvorgänge anzeigen zu lassen:

Kontingent Projekt Limit Ressourcen und Vorgänge
Leseanfragen
cloudkms.googleapis.com​/read_requests
Projekt wird aufgerufen 300 QPM

kryptografische Schlüssel: get, getIamPolicy, list, testIamPermissions

CryptoKeyVersions: get, list

ekmConnections: get, getIamPolicy, list, testIamPermissions

importJobs: get, getIamPolicy, list, testIamPermissions

keyRings: get, getIamPolicy, list, testIamPermissions

locations: get, list

Ausgenommen: Vorgänge von der Google Cloud Console.

Schreibanfragen
cloudkms.googleapis.com​/write_requests
Projekt wird aufgerufen 60 QPM

kryptografische Schlüssel: create, patch, setIamPolicy, updatePrimaryVersion

kryptografische SchlüsselVersions: erstellen, zerstören, import, Patch, wiederherzustellen

ekmConnections: erstellen, patch, setIamPolicy

importJobs: erstellen, setIamPolicy

keyRings: Erstellen, setIamPolicy

Ausgenommen: Vorgänge von der Google Cloud Console.

Kryptografische Anfragen
cloudkms.googleapis.com​/crypto_requests
Projekt wird aufgerufen 60.000 QPM

CryptoKeys: encrypt, decrypt

CryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

locations: generateRandomBytes

Ausgenommen: Vorgänge aus CMEK-Integrationen.

Symmetrische kryptographische HSM-Anfragen pro Region
cloudkms.googleapis.com​/hsm_symmetric_requests
Hostingprojekt 500 QPS

CryptoKeys: encrypt, decrypt

CryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

HSM-Asymmetrische kryptografische Anfragen pro Region
cloudkms.googleapis.com​/hsm_asymmetric_requests
Hostingprojekt 50 QPS

CryptoKeys: encrypt, decrypt

CryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

HSM generiert zufällige Anfragen pro Region
cloudkms.googleapis.com​/hsm_generate_random_requests
Hostingprojekt 50 QPS

locations: generateRandomBytes

Externe kryptografische Anfragen pro Region
cloudkms.googleapis.com​/external_kms_requests
Hostingprojekt 100 QPS

CryptoKeys: encrypt, decrypt

CryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Beispiele für Kontingente

Die folgenden Abschnitte enthalten Beispiele für jedes Kontingent anhand der folgenden Beispielprojekte:

  • KEY_PROJECT: Ein Google Cloud-Projekt, das Cloud KMS-Schlüssel enthält, einschließlich Cloud HSM- und Cloud EKM-Schlüssel.

  • SPANNER_PROJECT: Ein Google Cloud-Projekt, das eine Spanner-Instanz enthält, die die vom Kunden verwalteten Verschlüsselungsschlüssel (CMEKs) in KEY_PROJECT verwendet.

  • SERVICE_PROJECT: Ein Google Cloud-Projekt, das ein Dienstkonto enthält, mit dem Sie Cloud KMS-Ressourcen verwalten, die sich in KEY_PROJECT befinden.

Leseanfragen

Das Kontingent Leseanfragen begrenzt die Leseanfragen aus dem Google Cloud-Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise eine Liste von Schlüsseln in KEY_PROJECT aus KEY_PROJECT mit der Google Cloud CLI aufrufen, wird dies auf das Kontingent von KEY_PROJECT Leseanfragen angerechnet. Wenn Sie ein Dienstkonto in SERVICE_PROJECT verwenden, um Ihre Liste der Schlüssel anzusehen, wird die Leseanfrage auf das Kontingent von SERVICE_PROJECT Leseanfragen angerechnet.

In der Google Cloud Console zum Ansehen von Cloud KMS-Ressourcen wird das Kontingent für Leseanfragen nicht berücksichtigt.

Schreibanfragen

Das Kontingent Schreibanfragen begrenzt Schreibanfragen aus dem Google Cloud-Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise Schlüssel mit der gcloud CLI in KEY_PROJECT erstellen, wird dies auf das Kontingent von KEY_PROJECT Schreibanfragen angerechnet. Wenn Sie in SERVICE_PROJECT ein Dienstkonto zum Erstellen von Schlüsseln verwenden, wird die Schreibanfrage auf das Kontingent von Schreibanfragen SERVICE_PROJECT angerechnet.

Die Nutzung der Google Cloud Console zum Erstellen oder Verwalten von Cloud KMS-Ressourcen trägt nicht zum Kontingent für Leseanfragen bei.

Kryptografische Anfragen

Das Kontingent für kryptografische Anfragen begrenzt die kryptografischen Vorgänge aus dem Google Cloud-Projekt, das die Cloud KMS API aufruft. Beispielsweise werden Daten, die mit API-Aufrufen von einer in SERVICE_PROJECT ausgeführten Dienstkontoressource mit Schlüsseln aus KEY_PROJECT verschlüsselt werden, auf das Kontingent SERVICE_PROJECT für kryptografische Anfragen angerechnet.

Die Ver- und Entschlüsselung von Daten in einer Spanner-Ressource in SPANNER_PROJECT mit CMEK-Integration wird nicht auf das Kontingent für kryptografische Anfragen von SPANNER_PROJECT angerechnet.

Symmetrische kryptografische Anfragen von HSM pro Region

Das Kontingent HSM-symmetrische kryptografische Anfragen pro Region begrenzt kryptografische Vorgänge mit symmetrischen Cloud HSM-Schlüsseln für das Google Cloud-Projekt, das diese Schlüssel enthält. Beispielsweise wird die Verschlüsselung von Daten in einer Spanner-Ressource mit symmetrischen HSM-Schlüsseln auf das Kontingent KEY_PROJECT symmetrische kryptografische HSM-Anfragen pro Region angerechnet.

Asymmetrische HSM-Anfragen pro Region

Das Kontingent HSM-Asymmetrische kryptografische Anfragen pro Region begrenzt kryptografische Vorgänge mit asymmetrischen Cloud HSM-Schlüsseln für das Google Cloud-Projekt, das diese Schlüssel enthält. Zum Beispiel wird die Verschlüsselung von Daten in einer Spanner-Ressource mit asymmetrischen HSM-Schlüsseln auf das Kontingent KEY_PROJECT HSM asymmetrische kryptografische Anfragen pro Region angerechnet.

HSM generiert zufällige Anfragen pro Region

Die Kontingentlimits HSM generieren zufällige Anfragen pro Region generieren zufällige Bytevorgänge mit Cloud HSM im Google Cloud-Projekt, das in der Anfragenachricht angegeben ist. Beispielsweise zählen Anfragen von einer beliebigen Quelle, um zufällige Byte in KEY_PROJECT zu generieren, auf das Kontingent KEY_PROJECT. HSM generiert zufällige Anfragen pro Region.

Externe kryptografische Anfragen pro Region

Das Kontingent für externe kryptografische Anfragen pro Region begrenzt kryptografische Vorgänge mit externen (Cloud EKM-Schlüsseln) des Google Cloud-Projekts, das diese Schlüssel enthält. Beispielsweise wird die Verschlüsselung von Daten in einer Spanner-Ressource mit EKM-Schlüsseln auf das Kontingent von KEY_PROJECT Externe kryptografische Anfragen pro Region angerechnet.

Kontingentfehler

Wenn Sie eine Anfrage stellen, nachdem das Kontingent erreicht wurde, wird der Fehler RESOURCE_EXHAUSTED ausgegeben. Der HTTP-Statuscode ist 429. Informationen dazu, wie der Fehler RESOURCE_EXHAUSTED in Clientbibliotheken wiedergegeben wird, finden Sie unter Clientbibliothek-Zuordnung.

Wenn Sie den Fehler RESOURCE_EXHAUSTED erhalten, senden Sie möglicherweise zu viele kryptografische Vorgängeanfragen pro Sekunde. Der Fehler RESOURCE_EXHAUSTED kann auch dann angezeigt werden, wenn in der Google Cloud Console angezeigt wird, dass Sie das Limit für Abfragen pro Minute einhalten. Dieses Problem kann auftreten, weil Cloud KMS-Hostingprojektkontingente pro Minute angezeigt, aber im Sekundentakt erzwungen werden. Weitere Informationen zu Monitoring-Messwerten finden Sie unter Monitoring und Benachrichtigungen zu Kontingentmesswerten.

Weitere Informationen zur Fehlerbehebung bei Problemen mit Cloud KMS-Kontingenten finden Sie unter Kontingentprobleme beheben.

Nächste Schritte