Questa pagina è stata tradotta dall'API Cloud Translation.

Quote

Google Cloud applica le quote sull'utilizzo delle risorse. Per Cloud KMS, le quote vengono applicate all'utilizzo di risorse come chiavi, keyring, versioni delle chiavi e località. Per informazioni dettagliate su come gestire o aumentare le quote, consulta Monitorare e modificare le quote di Cloud KMS.

Visualizza le quote di Cloud KMS

Non è prevista una quota per il numero di risorse KeyRing, CryptoKey o CryptoKeyVersion, ma solo per il numero di operazioni.

Alcune quote su queste operazioni si applicano al progetto di chiamata, il progetto Google Cloud che esegue chiamate al servizio Cloud KMS. Le altre quote si applicano al progetto host, il progetto Google Cloud che contiene le chiavi utilizzate per l'operazione.

Le quote del progetto di chiamata non includono l'utilizzo generato dai servizi Google Cloud utilizzando chiavi Cloud KMS per l'integrazione della chiave di crittografia gestita dal cliente (CMEK). Ad esempio, le richieste di crittografia e decriptazione provenienti direttamente da BigQuery, Cloud Bigtable o Cloud Spanner non contribuiscono alle quote delle Richieste di crittografia.

La console Google Cloud elenca il limite per ogni quota al minuto per query (QPM), ma le quote dell'hosting del progetto vengono applicate in base al secondo. Le quote applicate nelle query al secondo (QPS) negano le richieste che superano il limite di QPS, anche se il tuo utilizzo al minuto è inferiore al limite QPM indicato. Se superi un limite QPS, ricevi un errore RESOURCE_EXHAUSTED.

Quote sull'utilizzo delle risorse Cloud KMS

La tabella seguente elenca ogni quota applicata alle risorse Cloud KMS. La tabella indica il nome e il limite di ciascuna quota, a quale progetto si applica la quota e le operazioni che vengono conteggiate nella quota. Puoi inserire una parola chiave nel campo per filtrare la tabella. Ad esempio, puoi inserire calling per visualizzare solo le quote applicate al progetto di chiamata o criptare per visualizzare solo le quote relative alle operazioni di crittografia:

Quota	Progetto	Limite	Risorse e operazioni
Richieste di lettura `cloudkms.googleapis.com/read_requests`	Chiamata al progetto in corso...	300 b/m	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list Esenzione: operazioni dalla console Google Cloud.
Richieste di scrittura `cloudkms.googleapis.com/write_requests`	Chiamata al progetto in corso...	60 b/m	cryptoKeys: create, patch, setIamPolicy, updateprimaryVersion cryptoKeyVersions: create, delete, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings: create, setIamPolicy Esenzione: operazioni dalla console Google Cloud.
Richieste di crittografia `cloudkms.googleapis.com/crypto_requests`	Chiamata al progetto in corso...	60.000 QPM	cryptoKeys: crittografia, decriptazione cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify locations: generateRandomBytes Esente: operazioni dalle integrazioni CMEK.
Richieste di crittografia simmetriche HHS per regione `cloudkms.googleapis.com/hsm_symmetric_requests`	Progetto di hosting	500 QPS	cryptoKeys: crittografia, decriptazione cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
Richieste di crittografia asimmetriche HSM per regione `cloudkms.googleapis.com/hsm_asymmetric_requests`	Progetto di hosting	50 QPS	cryptoKeys: crittografia, decriptazione cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
HSM genera richieste casuali per regione `cloudkms.googleapis.com/hsm_generate_random_requests`	Progetto di hosting	50 QPS	locations: generateRandomBytes
Richieste crittografiche esterne per regione `cloudkms.googleapis.com/external_kms_requests`	Progetto di hosting	100 QPS	cryptoKeys: crittografia, decriptazione cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Esempi di quota

Le seguenti sezioni includono esempi di ciascuna quota utilizzando i seguenti progetti di esempio:

KEY_PROJECT: un progetto Google Cloud contenente chiavi Cloud KMS, tra cui Cloud HSM e Cloud EKM.
SPANNER_PROJECT: un progetto Google Cloud contenente un'istanza di Spanner che utilizza chiavi di crittografia gestite dal cliente (CMEK) che risiedono in KEY_PROJECT.
SERVICE_PROJECT: un progetto Google Cloud contenente un account di servizio che utilizzi per gestire le risorse Cloud KMS che fanno parte di KEY_PROJECT.

Richieste di lettura

La quota Richieste di lettura limita le richieste di lettura dal progetto Google Cloud che chiama l'API Cloud KMS. Ad esempio, la visualizzazione di un elenco di chiavi in KEY_PROJECT da KEY_PROJECT utilizzando Google Cloud CLI incide sulla quota KEY_PROJECT Richieste di lettura. Se utilizzi un account di servizio in SERVICE_PROJECT per visualizzare l'elenco delle chiavi, la richiesta di lettura viene conteggiata nella quota di SERVICE_PROJECT richieste di lettura.

L'utilizzo della console Google Cloud per visualizzare le risorse Cloud KMS non contribuisce alla quota Richieste di lettura.

Richieste di scrittura

La quota Richieste di scrittura limita le richieste di scrittura del progetto Google Cloud che chiama l'API Cloud KMS. Ad esempio, la creazione di chiavi in KEY_PROJECT utilizzando l'interfaccia a riga di comando gcloud contro la quota KEY_PROJECT Scrivi richieste. Se utilizzi un account di servizio in SERVICE_PROJECT per creare le chiavi, la richiesta di scrittura viene conteggiata ai fini della quota di richieste di scrittura SERVICE_PROJECT.

L'utilizzo della console Google Cloud per creare o gestire le risorse Cloud KMS non contribuisce alla quota Richieste di lettura.

Richieste crittografiche

La quota Richieste di crittografia limita le operazioni crittografiche dal progetto Google Cloud che chiama l'API Cloud KMS. Ad esempio, la crittografia dei dati utilizzando le chiamate API da una risorsa dell'account di servizio in esecuzione in SERVICE_PROJECT utilizzando chiavi da KEY_PROJECT viene conteggiata nella quota di SERVICE_PROJECT richieste di crittografia.

La crittografia e la decriptazione dei dati in una risorsa Spanner in SPANNER_PROJECT che utilizza l'integrazione CMEK non vengono conteggiate nella quota per le richieste di crittografia di SPANNER_PROJECT.

Richieste crittografiche simmetriche HSM per regione

La quota per le richieste crittografiche simmetriche HSM per area geografica limita le operazioni crittografiche utilizzando chiavi Cloud HSM simmetriche sul progetto Google Cloud che le contiene. Ad esempio, la crittografia dei dati in una risorsa Spanner utilizzando chiavi HSM simmetriche viene conteggiata ai fini delle quote di crittografia simmetrica KEY_PROJECT HSM per regione .

Richieste crittografiche asimmetriche HSM per regione

La quota HSM asimmetrica delle richieste crittografiche per regione limita le operazioni crittografiche utilizzando le chiavi asimmetriche Cloud HSM nel progetto Google Cloud che le contiene. Ad esempio, la crittografia dei dati in una risorsa Spanner utilizzando chiavi HSM asimmetriche viene conteggiata ai fini delle quote di crittografia asimmetriche KEY_PROJECT HSM per regione.

HSM genera richieste casuali per regione

I limiti di quota HSM generano richieste casuali per regione generano operazioni di byte casuali utilizzando Cloud HSM nel progetto Google Cloud specificato nel messaggio di richiesta. Ad esempio, le richieste da qualsiasi origine per generare byte casuali in KEY_PROJECT conteggiano rispetto alla quota KEY_PROJECT HSM genera richieste casuali per regione.

Richieste crittografiche esterne per regione

La quota Richieste di crittografia esterna per area geografica limita le operazioni di crittografia utilizzando chiavi esterne (Cloud EKM) nel progetto Google Cloud che le contiene. Ad esempio, la crittografia dei dati in una risorsa Spanner che utilizza chiavi EKM viene conteggiata nella quota KEY_PROJECT Richieste crittografiche esterne per regione.

Informazioni sull'errore di quota

Se esegui una richiesta dopo aver raggiunto la quota, la tua richiesta genera un errore RESOURCE_EXHAUSTED. Il codice di stato HTTP è 429. Per informazioni su come le librerie client visualizzano l'errore RESOURCE_EXHAUSTED, consulta la sezione relativa alla mappatura delle librerie client.

Se ricevi l'errore RESOURCE_EXHAUSTED, è possibile che tu stia inviando troppe richieste di operazione crittografiche al secondo. Puoi visualizzare l'errore RESOURCE_EXHAUSTED anche se la console Google Cloud indica che rientri nel limite di query al minuto. Questo problema può verificarsi perché le quote del progetto di hosting di Cloud KMS sono visualizzate al minuto, ma sono applicate su scala al secondo. Per ulteriori informazioni sul monitoraggio delle metriche, consulta Monitoraggio e avvisi sulle metriche delle quote.

Per informazioni dettagliate sulla risoluzione dei problemi relativi alla quota di Cloud KMS, consulta Risoluzione dei problemi di quota.

Passaggi successivi

Scopri di più sull'utilizzo di Cloud Monitoring con Cloud KMS.
Scopri come monitorare e modificare le quote di Cloud KMS.