Quotas

Google Cloud impose des quotas sur l'utilisation des ressources. Pour Cloud KMS, des quotas sont appliqués à l'utilisation de ressources telles que des clés, des trousseaux de clés, des versions de clé et des emplacements. Pour en savoir plus sur la gestion ou l'augmentation des quotas, consultez la page Surveiller et ajuster les quotas Cloud KMS.

Afficher les quotas Cloud KMS

Aucun quota n'est appliqué au nombre de ressources KeyRing, CryptoKey ou CryptoKeyVersion, mais uniquement au nombre d'opérations.

Certains quotas définis pour ces opérations s'appliquent au projet appelant, à savoir le projet Google Cloud qui appelle le service Cloud KMS. D'autres quotas s'appliquent au projet d'hébergement, c'est-à-dire au projet Google Cloud qui contient les clés utilisées pour l'opération.

Les quotas de projets d'appels n'incluent pas l'utilisation générée par les services Google Cloud utilisant des clés Cloud KMS pour l'intégration des clés de chiffrement gérées par le client (CMEK). Par exemple, les requêtes de chiffrement et de déchiffrement provenant directement de BigQuery, Bigtable ou Spanner ne sont pas prises en compte dans les quotas des requêtes cryptographiques.

La console Google Cloud indique la limite de chaque quota en requêtes par minute (RPM), mais les quotas d'hébergement de projets sont appliqués à la seconde. Les quotas appliqués dans les requêtes par seconde (RPS) refusent les requêtes qui dépassent la limite de RPS, même si votre utilisation par minute est inférieure à la limite de RPM indiquée. Si vous dépassez une limite de RPS, vous recevez une erreur RESOURCE_EXHAUSTED.

Quotas sur l'utilisation des ressources Cloud KMS

Le tableau suivant répertorie tous les quotas appliqués aux ressources Cloud KMS. Le tableau indique le nom et la limite de chaque quota, le projet auquel il s'applique et les opérations prises en compte. Vous pouvez saisir un mot clé dans le champ pour filtrer le tableau. Par exemple, vous pouvez saisir calling pour afficher uniquement les quotas appliqués au projet appelant ou encrypt pour n'afficher que les quotas liés aux opérations de chiffrement:

Quota	Projet	Limite	Ressources et opérations
Requêtes de lecture `cloudkms.googleapis.com/read_requests`	Projet en cours d'appel	300 RPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions:get, list ekmConnections:get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs:get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list Exemptées: opérations de la console Google Cloud.
Requêtes d'écriture `cloudkms.googleapis.com/write_requests`	Projet en cours d'appel	60 RPM	cryptoKeys:create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions:create, destroy, import, patch, restore ekmConnections:create, patch, setIamPolicy importJobs:create, setIamPolicy keyRings:create, setIamPolicy Exemptées: opérations de la console Google Cloud.
Requêtes cryptographiques `cloudkms.googleapis.com/crypto_requests`	Projet en cours d'appel	60 000 RPM	cryptoKeys:encrypt, decrypt cryptoKeyVersions:asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Exemptées: opérations issues d'intégrations CMEK.
Requêtes cryptographiques symétriques HSM par région `cloudkms.googleapis.com/hsm_symmetric_requests`	Projet d'hébergement	500 RPS	cryptoKeys:encrypt, decrypt cryptoKeyVersions:asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt
Requêtes cryptographiques asymétriques HSM par région `cloudkms.googleapis.com/hsm_asymmetric_requests`	Projet d'hébergement	50 RPS	cryptoKeys:encrypt, decrypt cryptoKeyVersions:asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
HSM génère des requêtes aléatoires par région `cloudkms.googleapis.com/hsm_generate_random_requests`	Projet d'hébergement	50 RPS	locations: generateRandomBytes
Requêtes cryptographiques externes par région `cloudkms.googleapis.com/external_kms_requests`	Projet d'hébergement	100 RPS	cryptoKeys:encrypt, decrypt cryptoKeyVersions:asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Exemples de quotas

Les sections suivantes incluent des exemples de chaque quota à l'aide des exemples de projets suivants:

KEY_PROJECT : projet Google Cloud contenant des clés Cloud KMS, y compris des clés Cloud HSM et Cloud EKM.
SPANNER_PROJECT : projet Google Cloud contenant une instance Spanner qui utilise des clés de chiffrement gérées par le client (CMEK) hébergées dans KEY_PROJECT.
SERVICE_PROJECT : projet Google Cloud contenant un compte de service que vous utilisez pour gérer les ressources Cloud KMS situées dans KEY_PROJECT.

Requêtes de lecture

Le quota de requêtes de lecture limite les requêtes de lecture du projet Google Cloud appelant l'API Cloud KMS. Par exemple, l'affichage d'une liste de clés dans KEY_PROJECT à partir de KEY_PROJECT à l'aide de Google Cloud CLI est comptabilisé dans le quota de requêtes de lecture KEY_PROJECT. Si vous utilisez un compte de service dans SERVICE_PROJECT pour afficher votre liste de clés, la requête de lecture est comptabilisée dans le quota de requêtes de lecture SERVICE_PROJECT.

L'affichage des ressources Cloud KMS à l'aide de la console Google Cloud ne contribue pas au quota Requêtes de lecture.

Requêtes d'écriture

Le quota de requêtes d'écriture limite les requêtes d'écriture du projet Google Cloud appelant l'API Cloud KMS. Par exemple, la création de clés dans KEY_PROJECT à l'aide de gcloud CLI est comptabilisée dans le quota de requêtes d'écriture de KEY_PROJECT. Si vous utilisez un compte de service dans SERVICE_PROJECT pour créer des clés, la requête d'écriture est comptabilisée dans le quota de requêtes d'écriture de SERVICE_PROJECT.

L'utilisation de la console Google Cloud pour créer ou gérer des ressources Cloud KMS n'est pas prise en compte dans le quota des requêtes de lecture.

Requêtes de chiffrement

Le quota des requêtes de chiffrement limite les opérations de chiffrement du projet Google Cloud appelant l'API Cloud KMS. Par exemple, le chiffrement de données à l'aide d'appels d'API à partir d'une ressource de compte de service exécutée dans SERVICE_PROJECT à l'aide de clés provenant de KEY_PROJECT est comptabilisé dans le quota de requêtes cryptographiques SERVICE_PROJECT.

Le chiffrement et le déchiffrement des données dans une ressource Spanner dans SPANNER_PROJECT à l'aide de l'intégration CMEK ne sont pas comptabilisés dans le quota de Requêtes cryptographiques de SPANNER_PROJECT.

Requêtes cryptographiques symétriques HSM par région

Le quota de requêtes de chiffrement symétrique HSM par région limite les opérations de chiffrement à l'aide de clés Cloud HSM symétriques sur le projet Google Cloud contenant ces clés. Par exemple, le chiffrement de données dans une ressource Spanner à l'aide de clés HSM symétriques est comptabilisé dans le quota KEY_PROJECT de requêtes cryptographiques symétriques HSM par région .

Requêtes cryptographiques asymétriques HSM par région

Le quota de requêtes cryptographiques asymétriques HSM par région limite les opérations de chiffrement utilisant des clés Cloud HSM asymétriques sur le projet Google Cloud contenant ces clés. Par exemple, le chiffrement de données dans une ressource Spanner à l'aide de clés HSM asymétriques est comptabilisé dans le quota KEY_PROJECT de requêtes cryptographiques asymétriques HSM par région.

HSM génère des requêtes aléatoires par région

Les limites de quota HSM génèrent des requêtes aléatoires par région génèrent des opérations d'octets aléatoires à l'aide de Cloud HSM dans le projet Google Cloud spécifié dans le message de requête. Par exemple, les requêtes provenant de n'importe quelle source pour générer des octets aléatoires dans KEY_PROJECT sont comptabilisées dans le quota KEY_PROJECT HSM génère des requêtes aléatoires par région.

Requêtes cryptographiques externes par région

Le quota des requêtes cryptographiques externes par région limite les opérations de chiffrement à l'aide de clés externes (Cloud EKM) sur le projet Google Cloud qui contient ces clés. Par exemple, le chiffrement de données dans une ressource Spanner à l'aide de clés EKM est comptabilisé dans le quota KEY_PROJECT de requêtes cryptographiques externes par région.

Informations sur les erreurs de quota

Si vous effectuez une requête alors que vous avez atteint votre quota, elle génère une erreur RESOURCE_EXHAUSTED. Le code d'état HTTP correspondant est 429. Pour en savoir plus sur la manière dont les bibliothèques clientes génèrent l'erreur RESOURCE_EXHAUSTED, consultez la section Mappage avec la bibliothèque cliente.

Si vous recevez l'erreur RESOURCE_EXHAUSTED, vous envoyez peut-être trop de requêtes d'opérations cryptographiques par seconde. Vous pouvez recevoir l'erreur RESOURCE_EXHAUSTED même si la console Google Cloud indique que vous respectez la limite de requêtes par minute. Ce problème peut se produire parce que les quotas de projets d'hébergement Cloud KMS sont affichés par minute, mais sont appliqués sur une échelle par seconde. Pour en savoir plus sur les métriques de surveillance, consultez la page Surveillance et alertes sur les métriques de quota.

Pour plus d'informations sur la résolution des problèmes de quota Cloud KMS, consultez la page Résoudre les problèmes de quotas.

Étapes suivantes

Découvrez comment utiliser Cloud Monitoring avec Cloud KMS.
Découvrez comment surveiller et ajuster les quotas Cloud KMS.