Quotas

Google Cloud impose des quotas sur l'utilisation des ressources. Pour Cloud KMS, ces quotas s'appliquent à l'utilisation de ressources telles que les clés, les trousseaux de clés, les versions de clés et les emplacements.

Il n'y a pas de quota sur le nombre de ressources KeyRing, CryptoKey ou CryptoKeyVersion, mais uniquement sur le nombre d'opérations.

Vérifier les quotas

Pour vérifier les quotas actuels associés aux ressources de votre projet, accédez à la page Quotas de Google Cloud Console.

Quotas pour l'ensemble des ressources Cloud KMS

Cloud Key Management Service applique des quotas pour les opérations suivantes :

  • Requêtes de lecture par minute : une requête de lecture est une opération qui lit une ressource Cloud KMS, par exemple KeyRing, CryptoKey, CryptoKeyVersion ou Location.

    Les opérations suivantes sont des requêtes de lecture :

Ressource Opérations
KeyRing get, getIamPolicy, list, testIamPermissions
CryptoKey get, getIamPolicy, list, testIamPermissions
CryptoKeyVersion get, list
Location (Emplacement) get, list
  • Requêtes d'écriture par minute : une requête d'écriture est une opération qui crée ou modifie une ressource Cloud KMS, par exemple KeyRing, CryptoKey ou CryptoKeyVersion.

    Les opérations suivantes sont des requêtes d'écriture :

Ressource Opérations
KeyRing create, setIamPolicy
CryptoKey create, patch, setIamPolicy, updatePrimaryVersion
CryptoKeyVersion create, destroy, patch, restore
  • Requêtes de chiffrement par minute : une requête de chiffrement est une opération qui effectue le chiffrement, le déchiffrement, la signature numérique ou la récupération d'une clé publique.

    Les opérations suivantes sont des requêtes de chiffrement :

Ressource Opérations
CryptoKey encrypt, decrypt
CryptoKeyVersion asymmetricDecrypt, asymmetricSign, getPublicKey

Quotas supplémentaires pour Cloud HSM

Un projet GCP qui appelle le service Cloud KMS est limité par les quotas répertoriés ci-dessus. Ceux-ci s'appliquent à la fois aux clés logicielles et aux clés Cloud HSM. Par exemple, si vous appelez Cloud KMS à l'aide d'un compte de service, le projet Google Cloud concerné est le projet propriétaire du compte.

Lorsque les clés et les versions de clé Cloud HSM sont utilisées dans le cadre d'opérations de chiffrement, elles entraînent une limite de quota supplémentaire s'appliquant aux requêtes HSM par seconde (RPS). Le quota HSM par défaut est de 500 RPS pour les opérations de chiffrement symétriques et de 50 RPS pour les opérations de chiffrement asymétriques. En cas d'utilisation de clés HSM, le projet Google Cloud qui contient les clés Cloud HSM est limité par le quota HSM. Ce quota s'ajoute à toute utilisation de quota associée au projet ayant appelé Cloud KMS.

À titre d'exemple, un client dispose de deux projets Google Cloud :

  • Le projet A contient l'application du client.
  • Le projet C contient les clés gérées par le client sur Cloud KMS.

Lorsque l'application effectue une requête de chiffrement qui utilise une clé HSM contenue dans le projet C, le projet A déclenche l'utilisation du quota de requêtes de chiffrement, et le projet C déclenche l'utilisation du quota HSM. Si les projets A et C correspondent au même projet Google Cloud, celui-ci déclenche l'utilisation à la fois du quota de requêtes de chiffrement et du quota HSM.

Quotas supplémentaires pour Cloud External Key Manager

Le quota attribué aux opérations de chiffrement pour toutes les clés Cloud EKM situées à un seul emplacement Google Cloud est de 10 RPS par projet.

Informations sur les erreurs de quota

Si vous effectuez un appel alors que vous avez atteint votre quota, votre requête générera une erreur RESOURCE_EXHAUSTED. Le code d'état HTTP correspondant est 429. Pour en savoir plus sur la manière dont les bibliothèques clientes génèrent l'erreur RESOURCE_EXHAUSTED, consultez la section Mappage avec la bibliothèque cliente.

Augmenter les quotas

Vous pouvez augmenter vos quotas pour les opérations de chiffrement (jusqu'à 60 000 requêtes par minute) sur la page Quotas de Cloud Console. Vous pouvez également demander un nombre de quotas plus élevé. Vous recevrez une notification lorsque l'état de votre demande sera mis à jour.