Kontingente

Google Cloud legt Kontingente für die Ressourcennutzung fest. Für Cloud KMS werden Kontingente für die Nutzung von Ressourcen wie Schlüsseln, Schlüsselbunden, Schlüsselversionen und Standorten erzwungen. Weitere Informationen zum Verwalten oder Erhöhen Ihrer Kontingente finden Sie unter Cloud KMS-Kontingente überwachen und anpassen.

Cloud KMS-Kontingente ansehen

Es gibt kein Kontingent für die Anzahl der Ressourcen KeyRing, CryptoKey oder CryptoKeyVersion, nur für die Anzahl der Vorgänge.

Einige Kontingente für diese Vorgänge gelten für das aufrufende Projekt, das Google Cloud-Projekt, das Aufrufe an den Cloud KMS-Dienst sendet. Weitere Kontingente gelten für das Hostingprojekt, das Google Cloud-Projekt, das die für den Vorgang verwendeten Schlüssel enthält.

Die aufrufenden Projektkontingente enthalten keine Nutzung, die von Google Cloud-Diensten generiert wird, die Cloud KMS-Schlüssel für die Einbindung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) verwenden. Verschlüsselungs- und Entschlüsselungsanfragen, die direkt aus BigQuery, Bigtable oder Spanner stammen, zählen beispielsweise nicht zu den Kontingenten für kryptografische Anfragen.

In der Google Cloud Console ist das Limit für jedes Kontingent in Abfragen pro Minute (Queries per minute, QPM) aufgeführt. Hostingprojektkontingente werden jedoch sekundengenau erzwungen. Kontingente, die in Abfragen pro Sekunde erzwungen werden, lehnen Anfragen ab, die das Limit für Abfragen pro Sekunde überschreiten, auch wenn die Nutzung pro Minute unter dem aufgeführten Limit für Abfragen pro Minute liegt. Wenn Sie das Limit für die Abfragen pro Sekunde überschreiten, wird der Fehler RESOURCE_EXHAUSTED angezeigt.

Kontingente für die Nutzung von Cloud KMS-Ressourcen

In der folgenden Tabelle sind alle Kontingente aufgeführt, die auf Cloud KMS-Ressourcen angewendet werden. Die Tabelle enthält den Namen und das Limit jedes Kontingents, für das Projekt das Kontingent gilt und die Vorgänge, die auf das Kontingent angerechnet werden. Sie können einen Suchbegriff in das Feld eingeben, um die Tabelle zu filtern. Sie können beispielsweise calling eingeben, um nur Kontingente aufzurufen, die auf das aufrufende Projekt angewendet werden, oder encrypt, um nur Kontingente im Zusammenhang mit Verschlüsselungsvorgängen aufzurufen:

Kontingent Projekt Limit Ressourcen und Vorgänge
Leseanfragen
cloudkms.googleapis.com​/read_requests
Projekt wird angerufen 300 Abfragen pro Minute

cryptoKeys: get, getIamPolicy, list, testIamPermissions

cryptoKeyVersions: get, list

ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity

importJobs: get, getIamPolicy, list, testIamPermissions

keyRings: get, getIamPolicy, list, testIamPermissions

locations: get, list

Ausgenommen: Vorgänge über die Google Cloud Console.

Schreibanfragen
cloudkms.googleapis.com​/write_requests
Projekt wird angerufen 60 Abfragen pro Minute

cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion

cryptoKeyVersions: create, destroy, import, patch, restore

ekmConnections: create, patch, setIamPolicy

importJobs: create, setIamPolicy

keyRings: create, setIamPolicy

Ausgenommen: Vorgänge über die Google Cloud Console.

Kryptografische Anfragen
cloudkms.googleapis.com​/crypto_requests
Projekt wird angerufen 60.000 Abfragen pro Minute

cryptoKeys: encrypt, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt

locations:generateRandomBytes

Ausgenommen: Vorgänge aus CMEK-Integrationen.

Symmetrische kryptografischeHSM-Anfragen pro Region
cloudkms.googleapis.com​/hsm_symmetric_requests
Hostingprojekt 500 QPS

cryptoKeys: encrypt, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt

Asymmetrische kryptografischeHSM-Anfragen pro Region
cloudkms.googleapis.com​/hsm_asymmetric_requests
Hostingprojekt 50 QPS

cryptoKeys: encrypt, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

HSM generieren zufällige Anfragen pro Region
cloudkms.googleapis.com​/hsm_generate_random_requests
Hostingprojekt 50 QPS

locations:generateRandomBytes

Externe kryptografische Anfragen pro Region
cloudkms.googleapis.com​/external_kms_requests
Hostingprojekt 100 QPS

cryptoKeys: encrypt, decrypt

cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Beispiele für Kontingente

Die folgenden Abschnitte enthalten Beispiele für jedes Kontingent mit den folgenden Beispielprojekten:

  • KEY_PROJECT: Ein Google Cloud-Projekt, das Cloud KMS-Schlüssel einschließlich Cloud HSM- und Cloud EKM-Schlüsseln enthält.

  • SPANNER_PROJECT: Ein Google Cloud-Projekt, das eine Spanner-Instanz enthält, die die vom Kunden verwalteten Verschlüsselungsschlüssel (CMEKs) verwendet, die sich in KEY_PROJECT befinden.

  • SERVICE_PROJECT: Ein Google Cloud-Projekt, das ein Dienstkonto enthält, mit dem Sie Cloud KMS-Ressourcen verwalten, die sich in KEY_PROJECT befinden.

Leseanfragen

Das Kontingent für Leseanfragen beschränkt Leseanfragen aus dem Google Cloud-Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise mit der Google Cloud CLI eine Liste der Schlüssel in KEY_PROJECT von KEY_PROJECT aufrufen, wird dies auf das Kontingent für Leseanfragen von KEY_PROJECT angerechnet. Wenn Sie ein Dienstkonto in SERVICE_PROJECT verwenden, um die Liste der Schlüssel aufzurufen, wird die Leseanfrage auf das Kontingent für Leseanfragen von SERVICE_PROJECT angerechnet.

Die Verwendung der Google Cloud Console zum Aufrufen von Cloud KMS-Ressourcen trägt nicht zum Kontingent für Leseanfragen bei.

Schreibanfragen

Das Kontingent für Schreibanfragen beschränkt Schreibanfragen aus dem Google Cloud-Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise Schlüssel in KEY_PROJECT mit der gcloud CLI erstellen, wird das Kontingent für Schreibanfragen in KEY_PROJECT auf das Kontingent angerechnet. Wenn Sie ein Dienstkonto in SERVICE_PROJECT zum Erstellen von Schlüsseln verwenden, wird die Schreibanfrage auf das SERVICE_PROJECT-Kontingent für Schreibanfragen angerechnet.

Wenn Sie Cloud KMS-Ressourcen mit der Google Cloud Console erstellen oder verwalten, wird das Kontingent für Leseanfragen nicht angerechnet.

Kryptografische Anfragen

Das Kontingent für kryptografische Anfragen begrenzt kryptografische Vorgänge aus dem Google Cloud-Projekt, in dem die Cloud KMS API aufgerufen wird. Beispielsweise wird die Verschlüsselung von Daten mit API-Aufrufen von einer Dienstkontoressource, die in SERVICE_PROJECT ausgeführt wird, mit Schlüsseln aus KEY_PROJECT auf das Kontingent für kryptografische Anfragen von SERVICE_PROJECT angerechnet.

Die Ver- und Entschlüsselung von Daten in einer Spanner-Ressource in SPANNER_PROJECT mithilfe einer CMEK-Integration wird nicht auf das Kontingent für kryptografische Anfragen von SPANNER_PROJECT angerechnet.

Symmetrische kryptografische HSM-Anfragen pro Region

Das Kontingent für symmetrische kryptografische Anfragen pro Region begrenzt kryptografische Vorgänge mit symmetrischen Cloud HSM-Schlüsseln im Google Cloud-Projekt, das diese Schlüssel enthält. Beispielsweise wird das Verschlüsseln von Daten in einer Spanner-Ressource mit symmetrischen HSM-Schlüsseln auf das Kontingent KEY_PROJECT symmetrische kryptografischeHSM-Anfragen pro Region angerechnet.

Asymmetrische kryptografische HSM-Anfragen pro Region

Das Kontingent für asymmetrische kryptografische Anfragen pro Region beschränkt kryptografische Vorgänge mit asymmetrischen Cloud HSM-Schlüsseln im Google Cloud-Projekt, das diese Schlüssel enthält. Beispielsweise wird das Verschlüsseln von Daten in einer Spanner-Ressource mit asymmetrischen HSM-Schlüsseln auf das Kontingent KEY_PROJECT asymmetrischer kryptografischer HSM-Anfragen pro Region angerechnet.

HSM generiert zufällige Anfragen pro Region

Die Kontingentlimits HSM generieren zufällige Anfragen pro Region generieren Vorgänge zu zufälligen Byte mit Cloud HSM im Google Cloud-Projekt, das in der Anfragenachricht angegeben ist. Beispielsweise werden Anfragen von einer beliebigen Quelle zum Generieren zufälliger Byte in KEY_PROJECT auf das HSM-Kontingent zum Generieren zufälliger Anfragen pro Region KEY_PROJECT angerechnet.

Externe kryptografische Anfragen pro Region

Das Kontingent für externe kryptografische Anfragen pro Region begrenzt kryptografische Vorgänge mit externen Schlüsseln (Cloud EKM) im Google Cloud-Projekt, das diese Schlüssel enthält. Beispielsweise wird das Verschlüsseln von Daten in einer Spanner-Ressource mit EKM-Schlüsseln auf das Kontingent KEY_PROJECT Externe kryptografische Anfragen pro Region angerechnet.

Kontingentfehler

Wenn Sie eine Anfrage senden, nachdem Ihr Kontingent erreicht ist, wird der Fehler RESOURCE_EXHAUSTED zurückgegeben. Der HTTP-Statuscode ist 429. Informationen dazu, wie der Fehler RESOURCE_EXHAUSTED in Clientbibliotheken wiedergegeben wird, finden Sie unter Clientbibliothek-Zuordnung.

Wenn Sie den Fehler RESOURCE_EXHAUSTED erhalten, senden Sie möglicherweise zu viele Anfragen für kryptografische Vorgänge pro Sekunde. Der Fehler RESOURCE_EXHAUSTED kann auch dann angezeigt werden, wenn die Google Cloud Console anzeigt, dass Sie das Limit für Abfragen pro Minute nicht überschreiten. Dieses Problem kann auftreten, wenn Kontingente für Cloud KMS-Hostingprojekte pro Minute angezeigt, aber pro Sekunde erzwungen werden. Weitere Informationen zu Monitoring-Messwerten finden Sie unter Monitoring und Benachrichtigungen zu Kontingentmesswerten.

Weitere Informationen zur Behebung von Problemen mit Cloud KMS-Kontingenten finden Sie unter Kontingentprobleme beheben.

Nächste Schritte