割り当て

Google Cloud では、使用できるリソースの割り当て量に上限が設けられています。Cloud KMS では、鍵、鍵リング、鍵バージョン、ロケーションなどのリソースの使用量に割り当てが適用されます。

KeyRingCryptoKeyCryptoKeyVersion リソースの数には上限がありません。オペレーションの数にのみ上限があります。

割り当ての確認

プロジェクト用の現在のリソースの割り当て量は、Google Cloud Console の [割り当て] ページで確認できます。

すべての Cloud KMS リソースの割り当て

Cloud Key Management Service には、以下の割り当てが用意されています。

  • 1 分あたりの読み取りリクエスト数: 読み取りリクエストは、KeyRingCryptoKeyCryptoKeyVersionLocation などの Cloud KMS リソースを読み取るオペレーションです。

    次のオペレーションは読み取りリクエストです。

リソース オペレーション
KeyRing getgetIamPolicylisttestIamPermissions
CryptoKey getgetIamPolicylisttestIamPermissions
CryptoKeyVersion getlist
ロケーション getlist
  • 1 分あたりの書き込みリクエスト数: 書き込みリクエストは、KeyRingCryptoKeyCryptoKeyVersion などの Cloud KMS リソースを作成または変更するオペレーションです。

    次のオペレーションは書き込みリクエストです。

リソース オペレーション
KeyRing createsetIamPolicy
CryptoKey createpatchsetIamPolicyupdatePrimaryVersion
CryptoKeyVersion createdestroypatchrestore
  • 1 分あたりの暗号リクエスト数: 暗号リクエストは暗号化、復号、デジタル署名、公開鍵の取得を実行するオペレーションです。

    次のオペレーションは暗号化リクエストです。

リソース オペレーション
CryptoKey encryptdecrypt
CryptoKeyVersion asymmetricDecryptasymmetricSigngetPublicKeymacSignmacVerify

Cloud HSM の追加割り当て

Cloud KMS サービスを呼び出す Google Cloud プロジェクトは上記の割り当てによって制限され、これはソフトウェア鍵と Cloud HSM 鍵の両方に適用されます。たとえば、サービス アカウントを使用して Cloud KMS を呼び出す場合は、このサービス アカウントを所有する Google Cloud プロジェクトになります。

暗号オペレーションに使用した場合、Cloud HSM の鍵と鍵バージョンによって HSM 秒間クエリ数(QPS)に対する追加の割り当て上限が発生します。デフォルトの HSM の割り当ては、対称暗号オペレーションの場合 500 QPS、非対称暗号オペレーションの場合 50 QPS、GenerateRandomBytes オペレーションの場合は 50 QPS です。HSM 鍵を使用する場合、Cloud HSM 鍵を含む Google Cloud プロジェクトには HSM 割り当てによる上限が適用されます。これは、Cloud KMS を呼び出すプロジェクトで発生した割り当て使用量に加算されます。

たとえば、次の 2 つの Google Cloud プロジェクトがあるとします。

  • プロジェクト A にはお客様のアプリケーションが含まれる
  • プロジェクト K にはお客様が Cloud KMS で管理する鍵が含まれる

プロジェクト K に含まれる HSM 鍵を使用する暗号化リクエストをアプリケーションで行うと、プロジェクト A で暗号リクエストの割り当て使用量が発生し、プロジェクト K で HSM の割り当て使用量が発生します。プロジェクト A とプロジェクト K が同じ Google Cloud プロジェクトである場合、プロジェクトでは暗号リクエスト割り当て使用量と HSM 割り当て使用量の両方が発生します。

Cloud External Key Manager の追加割り当て

Cloud External Key Manager 鍵には、Cloud HSM 鍵と同じタイプの追加の割り当て上限が適用されます。

1 つの Google Cloud ロケーション内のすべての Cloud EKM 鍵には、暗号オペレーション用にプロジェクトあたり 10 QPS の割り当てがあります。Cloud EKM 鍵を使用する場合、Cloud EKM 鍵を含む Google Cloud プロジェクトには Cloud EKM 割り当てによる上限が適用されます。これは、Cloud KMS を呼び出すプロジェクトで発生した割り当て使用量に加算されます。

割り当てエラー情報

割り当て数に達した状態で呼び出しを行うと、そのリクエストは RESOURCE_EXHAUSTED エラーになります。HTTP ステータス コードは 429 です。クライアント ライブラリによって RESOURCE_EXHAUSTED エラーが表示される仕組みについては、クライアント ライブラリ マッピングをご覧ください。

割り当て内でも RESOURCE_EXHAUSTED エラーが発生する場合は、暗号オペレーションのリクエストを 1 秒あたりに過剰に送信している可能性があります。これは、Cloud KMS の割り当ては 1 分ごとに設定されますが、秒単位で適用されるために発生します。指標のモニタリングの詳細については、割り当て指標のモニタリングとアラートをご覧ください。

割り当てを増やす

暗号オペレーション用の割り当てを引き上げるには(上限は 60,000 クエリ/分)、Google Cloud Console の [割り当て] ページに移動します。割り当てをさらに引き上げるようにリクエストすることもできます。リクエストのステータスについては通知されます。マルチリージョンの割り当てとグローバル割り当てはコンソールに表示されません。マルチリージョン ロケーションまたはグローバル ロケーションの割り当てを増やすには、別のリージョンをリクエストし、リクエストの説明にマルチリージョンを記述します。