割り当て

Google Cloud では、使用できるリソースの割り当て量に上限が設けられています。Cloud KMS では、鍵、鍵リング、鍵バージョン、ロケーションなどのリソースの使用量に割り当てが適用されます。

KeyRingCryptoKeyCryptoKeyVersion リソースの数には上限がありません。オペレーションの数にのみ上限があります。

割り当ての確認

プロジェクト用の現在のリソースの割り当て量は、Google Cloud Console の [割り当て] ページで確認できます。

すべての Cloud KMS リソースの割り当て

Cloud Key Management Service には、以下の割り当てが用意されています。

  • 1 分あたりの読み取りリクエスト数: 読み取りリクエストは、KeyRingCryptoKeyCryptoKeyVersionLocation などの Cloud KMS リソースを読み取るオペレーションです。

    次のオペレーションは読み取りリクエストです。

リソース オペレーション
KeyRing getgetIamPolicylisttestIamPermissions
CryptoKey getgetIamPolicylisttestIamPermissions
CryptoKeyVersion getlist
ロケーション getlist
  • 1 分あたりの書き込みリクエスト数: 書き込みリクエストは、KeyRingCryptoKeyCryptoKeyVersion などの Cloud KMS リソースを作成または変更するオペレーションです。

    次のオペレーションは書き込みリクエストです。

リソース オペレーション
KeyRing createsetIamPolicy
CryptoKey createpatchsetIamPolicyupdatePrimaryVersion
CryptoKeyVersion createdestroypatchrestore
  • 1 分あたりの暗号リクエスト数: 暗号リクエストは暗号化、復号、デジタル署名、公開鍵の取得を実行するオペレーションです。

    次のオペレーションは暗号化リクエストです。

リソース オペレーション
CryptoKey encryptdecrypt
CryptoKeyVersion asymmetricDecryptasymmetricSigngetPublicKey

Cloud HSM の追加割り当て

Cloud KMS サービスを呼び出す Google Cloud プロジェクトは上記の割り当てによって制限され、これはソフトウェア鍵と Cloud HSM 鍵の両方に適用されます。たとえば、サービス アカウントを使用して Cloud KMS を呼び出す場合は、このサービス アカウントを所有する Google Cloud プロジェクトになります。

暗号オペレーションに使用した場合、Cloud HSM の鍵と鍵バージョンによって HSM 秒間クエリ数(QPS)に対する追加の割り当て上限が発生します。デフォルトの HSM の割り当ては、対称暗号オペレーションの場合 500 QPS、非対称暗号オペレーションの場合は 50 QPS です。HSM 鍵を使用する場合、Cloud HSM 鍵を持つ Google Cloud プロジェクトは HSM 割り当てによる制限を受けます。これは、Cloud KMS を呼び出すプロジェクトで発生した割り当て使用量とは別に計上されます。

たとえば、次の 2 つの Google Cloud プロジェクトがあるとします。

  • プロジェクト A にはお客様のアプリケーションが含まれる
  • プロジェクト K にはお客様が Cloud KMS で管理する鍵が含まれる

プロジェクト K に含まれる HSM 鍵を使用する暗号化リクエストをアプリケーションで行うと、プロジェクト A で暗号リクエストの割り当て使用量が発生し、プロジェクト K で HSM の割り当て使用量が発生します。プロジェクト A とプロジェクト K が同じ Google Cloud プロジェクトである場合、プロジェクトでは暗号リクエスト割り当て使用量と HSM 割り当て使用量の両方が発生します。

Cloud External Key Manager の追加割り当て

1 プロジェクトあたり Google Cloud の 1 ロケーションで実行されるすべての Cloud EKM 鍵に関する暗号オペレーションには、10 QPS の割り当てが適用されます。

割り当てエラー情報

割り当て数に達した状態で呼び出しを行うと、そのリクエストは RESOURCE_EXHAUSTED エラーになります。HTTP ステータス コードは 429 です。クライアント ライブラリによって RESOURCE_EXHAUSTED エラーが表示される仕組みについては、クライアント ライブラリ マッピングをご覧ください。

割り当ては超過していなくても RESOURCE_EXHAUSTED エラーが返される場合は、1 秒あたりの暗号オペレーション リクエストの送信数が多すぎる可能性があります。これは、Cloud KMS の割り当てが 1 分に設定されていても、秒単位で適用されるためです。Peak crypto ops 指標は問題の診断に役立ちます。Peak crypto ops は 1 分間隔で発生する 1 秒あたりの暗号リクエストの最大数を示します。これは、RESOURCE_EXHAUSTED エラーを引き起こした可能性のあるリクエストの急増を識別します。より細かく知るために、Peak crypto ops 指標は、暗号化オペレーションの場所およびタイプごとに暗号化リクエストを表示することもできます。モニタリング指標の詳細については、割り当て指標のモニタリングとアラートをご覧ください。

割り当てを増やす

暗号オペレーション用の割り当てを引き上げるには(上限は 60,000 クエリ/分)、Google Cloud Console の [割り当て] ページに移動します。割り当てをさらに引き上げるようにリクエストすることもできます。リクエストのステータスについては通知されます。マルチリージョンとグローバルの割り当てはコンソールに表示されません。マルチリージョン ロケーションまたはグローバル ロケーションの割り当てを増やすには、別のリージョンへのリクエストを行い、リクエストの説明にマルチリージョンを記載します。