Quotas

Google Cloud impose des quotas sur l'utilisation des ressources. Pour Cloud KMS, ces quotas s'appliquent à l'utilisation de ressources telles que les clés, les trousseaux de clés, les versions de clés et les emplacements.

Il n'y a pas de quota sur le nombre de ressources KeyRing, CryptoKey ou CryptoKeyVersion, mais uniquement sur le nombre d'opérations.

Vérifier les quotas

Pour vérifier les quotas actuels pour les ressources de votre projet, accédez à la page Quotas de Google Cloud Console.

Quotas pour l'ensemble des ressources Cloud KMS

Cloud Key Management Service applique des quotas pour les opérations suivantes :

  • Requêtes de lecture par minute : une requête de lecture est une opération qui lit une ressource Cloud KMS, par exemple KeyRing, CryptoKey, CryptoKeyVersion, ou Location.

    Les opérations suivantes sont des requêtes de lecture :

Ressource Opérations
KeyRing get, getIamPolicy, list, testIamPermissions
CryptoKey get, getIamPolicy, list, testIamPermissions
CryptoKeyVersion get, list
Location (Emplacement) get, list
  • Requêtes d'écriture par minute : une requête d'écriture est une opération qui crée ou modifie une ressource Cloud KMS, par exemple KeyRing, CryptoKey ou CryptoKeyVersion.

    Les opérations suivantes sont des requêtes d'écriture :

Ressource Opérations
KeyRing create, setIamPolicy
CryptoKey create, patch, setIamPolicy, updatePrimaryVersion
CryptoKeyVersion create, destroy, patch, restore
  • Requêtes de chiffrement par minute : une requête de chiffrement est une opération qui effectue le chiffrement, le déchiffrement, la signature numérique ou la récupération d'une clé publique.

    Les opérations suivantes sont des requêtes de chiffrement :

Ressource Opérations
CryptoKey encrypt, decrypt
CryptoKeyVersion asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify,

Quotas supplémentaires pour Cloud HSM

Un projet GCP qui appelle le service Cloud KMS est limité par les quotas répertoriés ci-dessus. Ceux-ci s'appliquent à la fois aux clés logicielles et aux clés Cloud HSM. Par exemple, si vous appelez Cloud KMS à l'aide d'un compte de service, le projet Google Cloud concerné est le projet propriétaire du compte.

Lorsque les clés et les versions de clé Cloud HSM sont utilisées dans le cadre d'opérations de chiffrement, elles entraînent une limite de quota supplémentaire s'appliquant aux requêtes HSM par seconde (RPS). Le quota HSM par défaut est de 500 RPS pour les opérations de chiffrement symétriques, de 50 RPS pour les opérations de chiffrement asymétriques et de 50 RPS pour les opérations GenerateRandomBytes. En cas d'utilisation de clés HSM, le projet Google Cloud qui contient les clés Cloud HSM est limité par le quota HSM. Ce quota s'ajoute à toute utilisation de quota associée au projet ayant appelé Cloud KMS.

À titre d'exemple, un client dispose de deux projets Google Cloud :

  • Le projet A contient l'application du client.
  • Le projet C contient les clés gérées par le client sur Cloud KMS.

Lorsque l'application effectue une requête de chiffrement qui utilise une clé HSM contenue dans le projet C, le projet A déclenche l'utilisation du quota de requêtes de chiffrement, et le projet C déclenche l'utilisation du quota HSM. Si les projets A et C correspondent au même projet Google Cloud, celui-ci déclenche l'utilisation à la fois du quota de requêtes de chiffrement et du quota HSM.

Quotas supplémentaires pour Cloud External Key Manager

Les clés Cloud External Key Manager sont soumises au même type de limite de quota supplémentaire que les clés Cloud HSM.

Toutes les clés Cloud EKM d'un même emplacement Google Cloud ont un quota de 100 RPS par projet pour les opérations de chiffrement. En cas d'utilisation de clés Cloud EKM, le projet Google Cloud qui contient les clés Cloud EKM est limité par le quota Cloud EKM. Ce quota s'ajoute à toute utilisation de quota associée au projet ayant appelé Cloud KMS.

Informations sur les erreurs de quota

Si vous effectuez un appel alors que vous avez atteint votre quota, votre requête générera une erreur RESOURCE_EXHAUSTED. Le code d'état HTTP correspondant est 429. Pour en savoir plus sur la manière dont les bibliothèques clientes génèrent l'erreur RESOURCE_EXHAUSTED, consultez la section Mappage avec la bibliothèque cliente.

Si vous dépassez votre quota, mais que vous recevez toujours l'erreur RESOURCE_EXHAUSTED, vous envoyez peut-être trop de requêtes d'opérations de chiffrement par seconde. Cela peut arriver car les quotas Cloud KMS sont définis par minute, mais sont appliqués à une échelle par seconde. Pour en savoir plus sur les métriques de surveillance, consultez la page Surveillance des métriques de quota et alertes associées.

Augmenter les quotas

Pour augmenter le quota d'opérations cryptographiques (jusqu'à 60 000 requêtes par minute), accédez à la page Quotas de Cloud Console. Vous pouvez également demander un nombre de quotas plus élevé. Vous recevrez une notification lorsque l'état de votre demande sera mis à jour. Les quotas multirégionaux et globaux n'apparaissent pas dans la console. Pour augmenter le quota des emplacements multirégionaux ou de l'emplacement global, envoyez une requête de région différente et mentionnez l'emplacement multirégional dans la description de la requête.