Kontingente

Die Google Cloud Platform (GCP) legt Kontingente für die Ressourcennutzung fest. Für Cloud KMS werden Kontingente für die Nutzung von Ressourcen wie Schlüsseln, Schlüsselbunden, Schlüsselversionen und Standorten definiert.

Für die Anzahl der Ressourcen KeyRing, CryptoKey oder CryptoKeyVersion gibt es kein Kontingent, sondern lediglich für die Anzahl der Vorgänge.

Kontingente prüfen

Die aktuell gültigen Kontingente für Ressourcen in Ihrem Projekt finden Sie auf der Google Cloud Platform Console auf der Seite Kontingente.

Kontingente für alle Cloud KMS-Ressourcen

Cloud Key Management Service hat Kontingente für folgende Ressourcen:

  • Leseanfragen pro Minute: Eine Leseanfrage ist ein Vorgang, bei dem eine Cloud KMS-Ressource wie KeyRing, CryptoKey, CryptoKeyVersion oder Location gelesen wird.

    Die folgenden Vorgänge sind Leseanfragen:

Ressource Vorgänge
KeyRing get, getIamPolicy, list, testIamPermissions
CryptoKey get, getIamPolicy, list, testIamPermissions
CryptoKeyVersion get, list
Location get, list
  • Schreibanfragen pro Minute: Eine Schreibanfrage ist ein Vorgang, bei dem eine Cloud KMS-Ressource wie KeyRing, CryptoKey oder CryptoKeyVersion erstellt oder geändert wird.

    Die folgenden Vorgänge sind Schreibanfragen:

Ressource Vorgänge
KeyRing create, setIamPolicy
CryptoKey create, patch, setIamPolicy, updatePrimaryVersion
CryptoKeyVersion create, destroy, patch, restore
  • Kryptografische Anfragen pro Minute: Eine kryptografische Anfrage ist ein Vorgang, bei dem ein öffentlicher Schlüssel verschlüsselt, entschlüsselt, abgerufen oder digital signiert wird.

    Die folgenden Vorgänge sind kryptografische Anfragen:

Ressource Vorgänge
CryptoKey encrypt, decrypt
CryptoKeyVersion asymmetricDecrypt, asymmetricSign, getPublicKey

Zusätzliche Kontingente für Cloud HSM

Ein GCP-Projekt, das Aufrufe an den Cloud KMS-Dienst sendet, wird durch die zuvor angegebenen Kontingente eingeschränkt, die sowohl für Softwareschlüssel als auch für Cloud HSM-Schlüssel gelten. Wenn Cloud KMS beispielsweise über ein Dienstkonto aufgerufen wird, wird dies dem GCP-Projekt zugeordnet, zu dem das Dienstkonto gehört.

Für Cloud HSM-Schlüssel und -Schlüsselversionen gibt es ein zusätzliches Kontingentlimit bei HSM-Abfragen pro Minute (Queries per Minute, QPM), wenn sie für kryptografische Vorgänge verwendet werden. Das HSM-Kontingent beträgt standardmäßig 600 QPM. Wenn HSM-Schlüssel verwendet werden, ist das GCP-Projekt, das die Cloud HSM-Schlüssel enthält, durch das HSM-Kontingent eingeschränkt. Dies gilt zusätzlich zu der Kontingentnutzung, die durch das Projekt entsteht, mit dem der Aufruf an Cloud KMS gesendet wurde.

In einem Beispielszenario besitzt ein Kunde zwei GCP-Projekte:

  • Projekt A enthält die Anwendung des Kunden
  • Projekt K enthält die Schlüssel, mit denen der Kunde Cloud KMS verwaltet

Sollte die Anwendung eine Verschlüsselungsanfrage stellen, bei der ein HSM-Schlüssel in Projekt K verwendet wird, dann wird in Projekt A das Kontingent für kryptografische Anfragen beansprucht und in Projekt K wird das HSM-Kontingent beansprucht. Wenn sich Projekt A und Projekt K in demselben GCP-Projekt befinden, werden in diesem Projekt sowohl das Kontingent für kryptografische Anfragen als auch das Kontingent für HSM beansprucht.

Kontingentfehler

Wenn Ihr Kontingent ausgeschöpft ist und Sie einen Aufruf senden, wird der Fehler RESOURCE_EXHAUSTED ausgeworfen. Der HTTP-Statuscode ist 429. Informationen dazu, wie der Fehler RESOURCE_EXHAUSTED in der Clientbibliothek wiedergegeben wird, finden Sie unter Clientbibliothek-Zuordnung.

Kontingente erhöhen

  • Über die Seite Kontingente in der GCP Console können Sie die Kontingente (bis zu 600 Abfragen pro Minute) automatisch erhöhen.
  • Wenn Sie Ihr Kontingent weiter erhöhen möchten, füllen Sie dieses Formular aus.
  • Wenn Sie weitere Fragen zu Kontingenten in Cloud KMS haben, können Sie uns unter cloudkms-feedback@google.com kontaktieren.
Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...