Quotas

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Google Cloud impose des quotas sur l'utilisation des ressources. Pour Cloud KMS, l'application des quotas s'applique à l'utilisation des ressources telles que les clés, les trousseaux de clés, les versions de clé et les emplacements. Pour savoir comment gérer ou augmenter vos quotas, consultez Contrôler et ajuster les quotas Cloud KMS.

Afficher les quotas Cloud KMS

Il n'y a pas de quota sur le nombre de ressources KeyRing, CryptoKey ou CryptoKeyVersion, mais uniquement sur le nombre d'opérations.

Certains quotas sur ces opérations s'appliquent au projet appelant, le projet Google Cloud qui appelle le service Cloud KMS. D'autres quotas s'appliquent au projet hôte, à savoir le projet Google Cloud qui contient les clés utilisées pour l'opération.

Les quotas de projet d'appel n'incluent pas l'utilisation générée par les services Google Cloud à l'aide de clés Cloud KMS pour l'intégration de la clé de chiffrement gérée par le client (CMEK). Par exemple, les requêtes de chiffrement et de déchiffrement provenant directement de BigQuery, Cloud Bigtable ou Cloud Spanner ne sont pas prises en compte dans les quotas de requêtes de chiffrement.

Google Cloud Console répertorie la limite pour chaque quota de requêtes par minute (QPM), mais l'hébergement des quotas des projets est appliqué à la seconde. Les quotas appliqués dans les requêtes par seconde (RPS) refusent les requêtes qui dépassent la limite de RPS, même si votre utilisation par minute est inférieure à la limite de QPM indiquée. Si vous dépassez une limite de RPS, vous recevez une erreur RESOURCE_EXHAUSTED.

Quotas sur l'utilisation des ressources Cloud KMS

Le tableau suivant répertorie tous les quotas appliqués aux ressources Cloud KMS. Le tableau indique le nom et la limite de chaque quota, le projet auquel il s'applique, ainsi que les opérations qui sont prises en compte. Vous pouvez saisir un mot clé dans le champ pour filtrer le tableau. Par exemple, vous pouvez saisir calling pour n'afficher que les quotas appliqués au projet appelant ou encrypt pour n'afficher que les quotas liés aux opérations de chiffrement:

Quotas Projet Limite Ressources et opérations
Requêtes de lecture
cloudkms.googleapis.com​/read_requests
Appeler le projet 300 RPM

cryptoKeys:get, getIamPolicy, list, testIamPermissions

cryptoKeyVersions:get et list

ekmConnections : get, getIamPolicy, list, testIamPermissions

importJobs : get, getIamPolicy, list, testIamPermissions

keyRings:get, getIamPolicy, list et testIamPermissions

locations: get, list

Exclues: opérations de Google Cloud Console.

Requêtes d'écriture
cloudkms.googleapis.com​/write_requests
Appeler le projet 60 RPM

cryptoKeys : create, patch, setIamPolicy, updatePrimaryVersion

cryptoKeyVersions: create, destroy, import, patch, restore

ekmConnections : create, patch, setIamPolicy

importJobs:create et setIamPolicy

keyRings:create et setIamPolicy

Exclues: opérations de Google Cloud Console.

Requêtes de chiffrement
cloudkms.googleapis.com​/crypto_requests
Appeler le projet 60 000 RPM

cryptoKeys : encrypt, decrypt

cryptoKeyVersions: Decrypt, AsSign, getPublicKey, macSign ou macVerify

locations: generateRandomBytes

Exonéré: les opérations des intégrations CMEK.

Requêtes cryptographiques symétriques HSM par région
cloudkms.googleapis.com​/hsm_symmetric_requests
Projet d'hébergement 500 RPS

cryptoKeys : encrypt, decrypt

cryptoKeyVersions: Decrypt, AsSign, getPublicKey, macSign ou macVerify

Requêtes cryptographiques asymétriques HSM par région
cloudkms.googleapis.com​/hsm_asymmetric_requests
Projet d'hébergement 50 RPS

cryptoKeys : encrypt, decrypt

cryptoKeyVersions: Decrypt, AsSign, getPublicKey, macSign ou macVerify

Les requêtes HSM génèrent des requêtes aléatoires par région
cloudkms.googleapis.com​/hsm_generate_random_requests
Projet d'hébergement 50 RPS

locations : generateRandomBytes

Requêtes cryptographiques externes par région
cloudkms.googleapis.com​/external_kms_requests
Projet d'hébergement 100 RPS

cryptoKeys:encrypt, decrypt

cryptoKeyVersions: Decrypt, AsSign, getPublicKey, macSign ou macVerify

Exemples de quotas

Les sections suivantes incluent des exemples de chaque quota à l'aide des exemples de projets suivants:

  • KEY_PROJECT : projet Google Cloud contenant des clés Cloud KMS, y compris des clés Cloud HSM et des clés Cloud EKM.

  • SPANNER_PROJECT : projet Google Cloud contenant une instance Spanner qui utilise les clés de chiffrement gérées par le client (CMEK) situées dans KEY_PROJECT.

  • SERVICE_PROJECT : projet Google Cloud contenant un compte de service que vous utilisez pour gérer des ressources Cloud KMS résidant dans KEY_PROJECT.

Requêtes de lecture

Le quota de requêtes de lecture limite les requêtes de lecture du projet Google Cloud qui appelle l'API Cloud KMS. Par exemple, l'affichage d'une liste de clés dans KEY_PROJECT à partir de KEY_PROJECT à l'aide de Google Cloud CLI est comptabilisé dans le quota Requêtes de lecture de KEY_PROJECT. Si vous utilisez un compte de service dans SERVICE_PROJECT pour afficher votre liste de clés, la requête de lecture est comptabilisée dans le quota des requêtes de lecture de SERVICE_PROJECT.

L'utilisation de la console Google Cloud pour afficher les ressources Cloud KMS ne contribue pas au quota de requêtes de lecture.

Requêtes d'écriture

Le quota de requêtes d'écriture limite les requêtes d'écriture du projet Google Cloud appelant l'API Cloud KMS. Par exemple, la création de clés dans KEY_PROJECT à l'aide de gcloud CLI est comptabilisée dans le quota KEY_PROJECT des requêtes d'écriture. Si vous utilisez un compte de service dans SERVICE_PROJECT pour créer des clés, la requête d'écriture est comptabilisée dans le quota de SERVICE_PROJECTrequêtes d'écriture.

L'utilisation de la console Google Cloud pour créer ou gérer des ressources Cloud KMS n'est pas comptabilisée dans le quota Requêtes de lecture.

Requêtes de chiffrement

Le quota de requêtes de chiffrement limite les opérations de chiffrement du projet Google Cloud appelant l'API Cloud KMS. Par exemple, le chiffrement des données à l'aide d'appels d'API à partir d'une ressource de compte de service exécutée dans SERVICE_PROJECT à l'aide de clés provenant de KEY_PROJECT est comptabilisé dans le quota des requêtes de chiffrement SERVICE_PROJECT.

Le chiffrement et le déchiffrement des données dans une ressource Spanner dans SPANNER_PROJECT à l'aide de l'intégration CMEK ne sont pas pris en compte dans le quota des requêtes de chiffrement de SPANNER_PROJECT.

Requêtes cryptographiques symétriques HSM par région

Le quota de requêtes cryptographiques symétriques HSM par région limite les opérations cryptographiques à l'aide de clés Cloud HSM symétriques sur le projet Google Cloud qui contient ces clés. Par exemple, le chiffrement des données d'une ressource Spanner à l'aide de clés HSM symétriques est comptabilisé dans le quota des requêtes cryptographiques symétriques HSM par région KEY_PROJECT.

Requêtes cryptographiques asymétriques HSM par région

Le quota de requêtes cryptographiques asymétriques HSM par région limite les opérations cryptographiques à l'aide de clés Cloud HSM asymétriques sur le projet Google Cloud qui contient ces clés. Par exemple, le chiffrement des données d'une ressource Spanner à l'aide de clés HSM asymétriques est comptabilisé dans le quota de KEY_PROJECTrequêtes cryptographiques asymétriques HSM par région.

HSM génère des requêtes aléatoires par région

Les limites de quota de HSM génèrent des requêtes aléatoires par région génèrent des opérations d'octets aléatoires à l'aide de Cloud HSM dans le projet Google Cloud spécifié dans le message de requête. Par exemple, les requêtes de n'importe quelle source pour générer des octets aléatoires dans KEY_PROJECT sont comptabilisées dans le quota KEY_PROJECT HSM génère des requêtes aléatoires par région.

Requêtes cryptographiques externes par région

Le quota de requêtes cryptographiques externes par région limite les opérations de chiffrement à l'aide de clés externes (Cloud EKM) sur le projet Google Cloud qui contient ces clés. Par exemple, le chiffrement des données d'une ressource Spanner à l'aide de clés EKM est comptabilisé dans le quota KEY_PROJECT Requêtes cryptographiques externes par région.

Informations sur les erreurs de quota

Si vous effectuez une requête après avoir atteint votre quota, une erreur RESOURCE_EXHAUSTED est générée. Le code d'état HTTP correspondant est 429. Pour en savoir plus sur la manière dont les bibliothèques clientes génèrent l'erreur RESOURCE_EXHAUSTED, consultez la section Mappage avec la bibliothèque cliente.

Si vous recevez l'erreur RESOURCE_EXHAUSTED, cela signifie peut-être que vous envoyez trop de requêtes d'opérations cryptographiques par seconde. Vous pouvez recevoir l'erreur RESOURCE_EXHAUSTED même si Google Cloud Console indique que vous vous situez dans la limite de requêtes par minute. Ce problème peut survenir du fait que les quotas de projet d'hébergement Cloud KMS sont affichés par minute, mais sont appliqués à l'échelle de la seconde. Pour en savoir plus sur la surveillance des métriques, consultez la page Surveillance et alertes sur les métriques de quota.

Pour en savoir plus sur la résolution des problèmes de quota Cloud KMS, consultez la page Résoudre les problèmes de quota.

Étapes suivantes