割り当て

Google Cloud では、使用できるリソースの割り当て量に上限が設けられています。Cloud KMS では、鍵、鍵リング、鍵バージョン、ロケーションなどのリソースの使用量に割り当てが適用されます。

KeyRingCryptoKeyCryptoKeyVersion リソースの数には上限がありません。オペレーションの数にのみ上限があります。

割り当てを確認する

プロジェクト用の現在のリソースの割り当て量は、Google Cloud Console の [割り当て] ページで確認できます。

すべての Cloud KMS リソースの割り当て

Cloud Key Management Service には、以下の割り当てが用意されています。

  • 1 分あたりの読み取りリクエスト数: 読み取りリクエストは、KeyRingCryptoKeyCryptoKeyVersionLocation などの Cloud KMS リソースを読み取るオペレーションです。

    次のオペレーションは読み取りリクエストです。

リソース オペレーション
KeyRing getgetIamPolicylisttestIamPermissions
CryptoKey getgetIamPolicylisttestIamPermissions
CryptoKeyVersion getlist
Location getlist
  • 1 分あたりの書き込みリクエスト数: 書き込みリクエストは、KeyRingCryptoKeyCryptoKeyVersion などの Cloud KMS リソースを作成または変更するオペレーションです。

    次のオペレーションは書き込みリクエストです。

リソース オペレーション
KeyRing createsetIamPolicy
CryptoKey createpatchsetIamPolicyupdatePrimaryVersion
CryptoKeyVersion createdestroypatchrestore
  • 1 分あたりの暗号リクエスト数: 暗号リクエストは暗号化、復号、デジタル署名、公開鍵の取得を実行するオペレーションです。

    次のオペレーションは暗号化リクエストです。

リソース オペレーション
CryptoKey encryptdecrypt
CryptoKeyVersion asymmetricDecryptasymmetricSigngetPublicKey

Cloud HSM の追加割り当て

Cloud KMS サービスを呼び出す Google Cloud プロジェクトは上記の割り当てによる制限を受けます。この割り当てはソフトウェア鍵と Cloud HSM 鍵の両方に適用されます。たとえば、サービス アカウントを使用して Cloud KMS を呼び出す場合は、このサービス アカウントを所有する Google Cloud プロジェクトになります。

暗号オペレーションに使用した場合、Cloud HSM の鍵と鍵バージョンによって 1 秒あたりの HSM クエリ数(QPS)に対する追加の割り当て上限が発生します。デフォルトの HSM の割り当ては、対称暗号オペレーションの場合 500 QPS、非対称対称暗号オペレーションの場合は 50 QPS です。HSM 鍵を使用する場合、Cloud HSM 鍵を持つ Google Cloud プロジェクトは HSM 割り当てによる制限を受けます。これは、Cloud KMS を呼び出すプロジェクトで発生した割り当て使用量とは別に計上されます。

たとえば、次の 2 つの Google Cloud プロジェクトがあるとします。

  • プロジェクト A にはお客様のアプリケーションが含まれる
  • プロジェクト K にはお客様が Cloud KMS で管理する鍵が含まれる

プロジェクト K に含まれる HSM 鍵を使用する暗号化リクエストをアプリケーションで行うと、プロジェクト A で暗号リクエストの割り当て使用量が発生し、プロジェクト K で HSM の割り当て使用量が発生します。プロジェクト A とプロジェクト K が同じ Google Cloud プロジェクトである場合、プロジェクトでは暗号リクエスト割り当て使用量と HSM 割り当て使用量の両方が発生します。

Cloud External Key Manager の追加の割り当て

1 プロジェクトあたり Google Cloud の 1 ロケーションで実行されるすべての Cloud EKM 鍵に関する暗号オペレーションには、10 QPS の割り当てが適用されます。

割り当てエラー情報

割り当て数に達した状態で呼び出しを行うと、そのリクエストは RESOURCE_EXHAUSTED エラーになります。HTTP ステータス コードは 429 です。クライアント ライブラリによって RESOURCE_EXHAUSTED エラーが表示される仕組みについては、クライアント ライブラリ マッピングをご覧ください。

割り当て上限の引き上げ

  • Cloud Console の [割り当て] ページを使用して、割り当て上限を自動的に引き上げることができます(1 分あたり最大 60,000 クエリ)。
  • Cloud KMS の割り当て上限の引き上げを希望される場合は、こちらのフォームに入力してください。
  • Cloud KMS の割り当てについて他にご不明な点がございましたら、cloudkms-feedback@google.com までお問い合わせください。