Cotas

O Google Cloud impõe cotas sobre o uso de recursos. No Cloud KMS, as cotas são aplicadas no uso de recursos como chaves, keyrings, versões de chaves e locais. Para mais detalhes sobre como gerenciar ou aumentar as cotas, consulte Monitorar e ajustar as cotas do Cloud KMS.

Visualizar cotas do Cloud KMS

Não há cota para o número de recursos KeyRing, CryptoKey ou CryptoKeyVersion, apenas para o número de operações.

Algumas cotas nessas operações se aplicam ao projeto de chamada, o projeto do Google Cloud que faz chamadas ao serviço do Cloud KMS. Outras cotas se aplicam ao projeto de hospedagem, o projeto do Google Cloud que contém as chaves usadas para a operação.

As cotas do projeto de chamada não incluem o uso gerado pelos serviços do Google Cloud com chaves do Cloud KMS para integração da chave de criptografia gerenciada pelo cliente (CMEK, na sigla em inglês). Por exemplo, as solicitações de criptografia e descriptografia vindas diretamente do BigQuery, Bigtable ou Spanner não contribuem para as cotas de solicitações criptográficas.

O console do Google Cloud lista o limite de cada cota em consultas por minuto (QPM), mas a hospedagem de cotas de projetos é aplicada por segundo. As cotas aplicadas em solicitações de negação de consultas por segundo (QPS) que excedem o limite de QPS, mesmo que o uso por minuto seja menor que o limite de QPM listado. Se você exceder um limite de QPS, receberá um erro RESOURCE_EXHAUSTED.

Cotas de uso dos recursos do Cloud KMS

A tabela a seguir lista cada cota aplicada aos recursos do Cloud KMS. A tabela mostra o nome e o limite de cada cota a que projeto se aplica e as operações que contam para a cota. Você pode inserir uma palavra-chave no campo para filtrar a tabela. Por exemplo, insira calling para ver apenas cotas aplicadas ao projeto que fez a chamada ou criptografar para ver apenas cotas relacionadas a operações de criptografia:

Cota	Projeto	Limite	Recursos e operações
Solicitações de leitura `cloudkms.googleapis.com/read_requests`	Projeto de chamada	300 QPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list Isento: operações do console do Google Cloud.
Solicitações de gravação `cloudkms.googleapis.com/write_requests`	Projeto de chamada	60 QPM	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: criar, destroy, import, corrigir, restaurar ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings: criar, setIamPolicy Isento: operações do console do Google Cloud.
Solicitações criptográficas `cloudkms.googleapis.com/crypto_requests`	Projeto de chamada	60.000 QPM	cryptoKeys: criptografar, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locais: generateRandomBytes Isento: operações de integrações de CMEK.
Solicitações criptográficas simétricas do HSM por região `cloudkms.googleapis.com/hsm_symmetric_requests`	Projeto host	500 QPS	cryptoKeys: criptografar, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt
Solicitações criptográficas assimétricas do HSM por região `cloudkms.googleapis.com/hsm_asymmetric_requests`	Projeto host	50 QPS	cryptoKeys: criptografar, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
O HSM gera solicitações aleatórias por região `cloudkms.googleapis.com/hsm_generate_random_requests`	Projeto host	50 QPS	locais: generateRandomBytes
Solicitações criptográficas externas por região `cloudkms.googleapis.com/external_kms_requests`	Projeto host	100 QPS	cryptoKeys: criptografar, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Exemplos de cota

As seções a seguir incluem exemplos de cada cota usando os seguintes projetos de exemplo:

KEY_PROJECT: um projeto do Google Cloud que contém chaves do Cloud KMS, incluindo chaves do Cloud HSM e do Cloud EKM.
SPANNER_PROJECT: um projeto do Google Cloud que contém uma instância do Spanner que usa as chaves de criptografia gerenciadas pelo cliente (CMEKs, na sigla em inglês) que residem em KEY_PROJECT.
SERVICE_PROJECT: um projeto do Google Cloud que contém uma conta de serviço usada para gerenciar os recursos do Cloud KMS que residem em KEY_PROJECT.

Solicitações de leitura

A cota de solicitações de leitura limita essas solicitações do projeto do Google Cloud que chama a API Cloud KMS. Por exemplo, visualizar uma lista de chaves em KEY_PROJECT de KEY_PROJECT usando a Google Cloud CLI é deduzida da cota de solicitações de leitura do KEY_PROJECT. Se você usar uma conta de serviço em SERVICE_PROJECT para visualizar a lista de chaves, a solicitação de leitura será contabilizada na cota SERVICE_PROJECT de solicitações de leitura.

O uso do console do Google Cloud para visualizar os recursos do Cloud KMS não contribui para a cota de solicitações de leitura.

Solicitações de gravação

A cota de Solicitações de gravação limita as solicitações de gravação do projeto do Google Cloud que chama a API Cloud KMS. Por exemplo, a criação de chaves em KEY_PROJECT usando a CLI gcloud é considerada em relação à cota KEY_PROJECT de solicitações de gravação. Se você usar uma conta de serviço em SERVICE_PROJECT para criar chaves, a solicitação de gravação vai ser deduzida da cota SERVICE_PROJECT de solicitações de gravação.

O uso do console do Google Cloud para criar ou gerenciar recursos do Cloud KMS não contribui para a cota de solicitações de leitura.

Solicitações de criptografia

A cota de Solicitações criptográficas limita as operações criptográficas do projeto do Google Cloud que chama a API Cloud KMS. Por exemplo, a criptografia de dados por chamadas de API de um recurso de conta de serviço em execução em SERVICE_PROJECT com chaves de KEY_PROJECT conta na cota de Solicitações criptográficas de SERVICE_PROJECT.

A criptografia e a descriptografia de dados em um recurso do Spanner em SPANNER_PROJECT usando a integração CMEK não são contabilizadas na cota de Solicitações criptográficas de SPANNER_PROJECT.

Solicitações de criptografia simétrica do HSM por região

A cota de solicitações criptográficas simétricas do HSM por região limita as operações criptográficas usando chaves simétricas do Cloud HSM no projeto do Google Cloud que contém essas chaves. Por exemplo, criptografar dados em um recurso do Spanner usando chaves HSM simétricas conta para a cota de KEY_PROJECT solicitações de criptografia simétrica do HSM por região .

Solicitações de criptografia assimétrica do HSM por região

A cota de solicitações criptográficas assimétricas do HSM por região limita as operações criptográficas usando chaves assimétricas do Cloud HSM no projeto do Google Cloud que contém essas chaves. Por exemplo, criptografar dados em um recurso do Spanner usando chaves HSM assimétricas é contabilizado na cota de KEY_PROJECT solicitações criptográficas assimétricas de HSM por região.

O HSM gera solicitações aleatórias por região

Os limites de cota do HSM geram solicitações aleatórias por região geram operações de bytes aleatórias usando o Cloud HSM no projeto do Google Cloud especificado na mensagem de solicitação. Por exemplo, as solicitações de qualquer origem para gerar bytes aleatórios em KEY_PROJECT são contabilizadas na cota KEY_PROJECT do HSM que geram solicitações aleatórias por região.

Solicitações criptográficas externas por região

A cota de Solicitações criptográficas externas por região limita operações criptográficas usando chaves externas (Cloud EKM) no projeto do Google Cloud que contém essas chaves. Por exemplo, criptografar dados em um recurso do Spanner usando chaves EKM é contabilizado na cota KEY_PROJECT de Solicitações criptográficas externas por região.

Informação de erro na cota

Se você fizer uma solicitação depois que sua cota for atingida, a solicitação resultará em um erro RESOURCE_EXHAUSTED. O código de status HTTP é 429. Para saber como as bibliotecas de cliente exibem o erro RESOURCE_EXHAUSTED, consulte Mapeamento da biblioteca de cliente.

Se você receber o erro RESOURCE_EXHAUSTED, talvez esteja enviando muitas solicitações de operações criptográficas por segundo. É possível receber o erro RESOURCE_EXHAUSTED mesmo que o console do Google Cloud mostre que você está dentro do limite de consultas por minuto. Esse problema pode acontecer porque as cotas do projeto de hospedagem do Cloud KMS são exibidas por minuto, mas são aplicadas em uma escala por segundo. Para saber mais sobre métricas de monitoramento, consulte Monitoramento e alertas sobre métricas de cotas.

Saiba como solucionar problemas de cota do Cloud KMS em Resolver problemas de cota.

A seguir

Saiba como usar o Cloud Monitoring com o Cloud KMS.
Saiba como monitorar e ajustar as cotas do Cloud KMS.