Quote

Google Cloud applica le quote sull'utilizzo delle risorse. Per Cloud KMS, le quote vengono applicate all'uso di risorse come chiavi, keyring, versioni delle chiavi e località.

Per il numero di risorse KeyRing, CryptoKey o CryptoKeyVersion non è prevista una quota, che invece è prevista per il numero di operazioni.

Verifica delle quote

Per verificare le quote attuali per le risorse nel progetto, vai alla pagina Quote nella console Google Cloud. Nella pagina Quote, puoi filtrare in base a kms per visualizzare solo le quote relative a Cloud KMS, tra cui Cloud HSM e Cloud EKM. Se ti stai avvicinando o hai superato le quote, puoi aumentare le quote.

Quote per tutte le risorse di Cloud KMS

Cloud Key Management Service prevede quote per quanto segue:

  • Richieste di lettura al minuto: una richiesta di lettura è un'operazione che legge una risorsa di Cloud KMS, come KeyRing, CryptoKey, CryptoKeyVersion o Location.

    Le seguenti operazioni sono richieste di lettura:

Risorsa Operazioni
KeyRing get, getIamPolicy, list, testIamPermissions
CryptoKey get, getIamPolicy, list, testIamPermissions
CryptoKeyVersion get, list
Location get, list
  • Richieste di scrittura al minuto: una richiesta di scrittura è un'operazione che crea o modifica una risorsa di Cloud KMS, come KeyRing, CryptoKey, CryptoKeyVersion.

    Le seguenti operazioni sono richieste di scrittura:

Risorsa Operazioni
KeyRing create, setIamPolicy
CryptoKey create, patch, setIamPolicy, updatePrimaryVersion
CryptoKeyVersion create, destroy, patch, restore
  • Richieste crittografiche al minuto: una richiesta crittografica è un'operazione che esegue una crittografia, una decriptazione, una firma digitale o il recupero di una chiave pubblica.

    Le seguenti operazioni sono richieste crittografiche:

Risorsa Operazioni
CryptoKey encrypt, decrypt
CryptoKeyVersion asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify,

Quote aggiuntive per Cloud HSM

Un progetto Google Cloud che effettua chiamate al servizio Cloud KMS è limitato dalle quote elencate sopra, che si applicano sia alle chiavi software sia alle chiavi Cloud HSM. Ad esempio, se chiami Cloud KMS utilizzando un account di servizio, questo è il progetto Google Cloud che possiede l'account di servizio.

Se utilizzate per operazioni di crittografia, le chiavi e le versioni delle chiavi di Cloud HSM prevedono un limite di quota aggiuntivo per le query al secondo (QPS) di HSM. La quota HSM per impostazione predefinita è 500 QPS per operazioni crittografiche simmetriche, 50 QPS per operazioni crittografiche asimmetriche e 50 QPS per operazioni casuali. Quando si utilizzano le chiavi HSM, il progetto Google Cloud che contiene le chiavi Cloud HSM è limitato dalla quota HSM. A questo si aggiunge l'eventuale utilizzo di quota sostenuto dal progetto che ha effettuato la chiamata a Cloud KMS.

Come scenario di esempio, un cliente ha due progetti Google Cloud:

  • Il progetto A contiene l'applicazione del cliente
  • Il progetto K contiene le chiavi gestite dal cliente su Cloud KMS

Quando l'applicazione effettua una richiesta di crittografia che utilizza una chiave HSM contenuta nel progetto K, il progetto A comporta l'utilizzo della quota di richieste crittografiche e il progetto K ricorre all'utilizzo della quota HSM. Se il progetto A e il progetto K sono lo stesso progetto Google Cloud, il progetto comporta sia l'utilizzo della quota per le richieste crittografiche che l'utilizzo della quota HSM.

Quote aggiuntive per Cloud External Key Manager

Le chiavi di Cloud External Key Manager sono soggette allo stesso tipo di limite di quota aggiuntivo delle chiavi Cloud HSM.

Tutte le chiavi Cloud EKM in una singola località di Google Cloud hanno una quota di 100 QPS per progetto per le operazioni crittografiche. Quando vengono utilizzate le chiavi Cloud EKM, il progetto Google Cloud che contiene le chiavi Cloud EKM è limitato dalla quota di Cloud EKM. A questo si aggiunge l'eventuale utilizzo di quota sostenuto dal progetto che ha effettuato la chiamata a Cloud KMS.

Informazioni sull'errore di quota

Se effettui una chiamata dopo aver raggiunto la quota, la richiesta genera un errore RESOURCE_EXHAUSTED. Il codice di stato HTTP è 429. Per informazioni su come le librerie client visualizzano l'errore RESOURCE_EXHAUSTED, consulta la sezione relativa alla mappatura delle librerie client.

Se rientri nella quota, ma continui a ricevere l'errore RESOURCE_EXHAUSTED, potresti inviare troppe richieste di operazioni crittografiche al secondo. Questo può accadere perché le quote di Cloud KMS vengono impostate al minuto, ma vengono applicate su scala al secondo. Per ulteriori informazioni sul monitoraggio delle metriche, consulta Monitoraggio e avvisi sulle metriche delle quote.

Aumento delle quote

Per aumentare le quote, inclusa quella per le operazioni crittografiche (fino a 60.000 query al minuto), vai alla pagina Quote nella console e filtra per kms. Seleziona la quota desiderata o la quota a livello di area geografica, quindi fai clic su Modifica quote per inserire il limite desiderato. Puoi anche richiedere un aumento della quota maggiore e riceverai una notifica sullo stato della tua richiesta. Le quote a livello di più aree geografiche e globali non vengono visualizzate nella console. Per aumentare la quota per le località a più aree geografiche o la località globale, effettua la richiesta per un'area geografica diversa e menzionala nella descrizione della richiesta.