Cotas

O Google Cloud impõe cotas sobre o uso de recursos. Para o Cloud KMS, as cotas são aplicadas na utilização de recursos como chaves, keyrings, versões de chaves e locais.

Não há cotas para o número de recursos KeyRing, CryptoKey ou CryptoKeyVersion, somente para o número de operações.

Como verificar suas cotas

Para verificar as cotas atuais dos recursos no seu projeto, acesse a página Cotas no Console do Google Cloud.

Cotas de todos os recursos do Cloud KMS

O Cloud Key Management Service tem cotas para as seguintes operações:

  • Solicitações de leitura por minuto: uma solicitação de leitura é uma operação que lê um recurso do Cloud KMS, como KeyRing, CryptoKey, CryptoKeyVersion ou Location.

    As operações a seguir são solicitações de leitura:

Recurso Operações
KeyRing get, getIamPolicy, list, testIamPermissions
CryptoKey get, getIamPolicy, list, testIamPermissions
CryptoKeyVersion get, list
Local get, list
  • Solicitações de gravação por minuto: uma solicitação de gravação é uma operação que cria um recurso do Cloud KMS, como KeyRing, CryptoKey, CryptoKeyVersion.

    As operações a seguir são solicitações de gravação:

Recurso Operações
KeyRing create, setIamPolicy
CryptoKey create, patch, setIamPolicy, updatePrimaryVersion
CryptoKeyVersion create, destroy, patch, restore
  • Solicitações criptográficas por minuto: uma solicitação criptográfica é uma operação que executa uma criptografia, descriptografia, assinatura digital ou recuperação de uma chave pública.

    As operações a seguir são solicitações criptográficas:

Recurso Operações
CryptoKey encrypt, decrypt
CryptoKeyVersion asymmetricDecrypt, asymmetricSign, getPublicKey

Cotas adicionais para o Cloud HSM

Um projeto do Google Cloud que faz chamadas para o serviço do Cloud KMS está limitado pelas cotas listadas acima, que se aplicam às chaves de software e do Cloud HSM. Por exemplo, se você estiver chamando o Cloud KMS usando uma conta de serviço, ela pertencerá ao projeto do Google Cloud.

Quando usadas em operações criptográficas, as chaves e versões de chave do Cloud HSM geram um limite de cota extra para consultas por segundo (QPS) do HSM. Por padrão, a cota do HSM é de 500 QPS para operações de criptografia simétrica e 50 QPS para operações de criptografia assimétrica. Quando chaves do HSM são usadas, o projeto do Google Cloud que contém as chaves do Cloud HSM é limitado pela cota do HSM. Isso é um acréscimo a qualquer uso de cota pelo projeto que fez a chamada para o Cloud KMS.

Por exemplo, um cliente tem dois projetos do Google Cloud:

  • O projeto A contém o aplicativo do cliente
  • O projeto K contém as chaves que o cliente gerencia no Cloud KMS

Quando o aplicativo faz uma solicitação de criptografia que usa uma chave do HSM contida no Projeto K, o Projeto A usa a cota de solicitação criptográfica e o Projeto K usa a cota do HSM. Se o Projeto A e o Projeto K forem o mesmo projeto do Google Cloud, ele usará a cota da solicitação criptográfica e a cota do HSM.

Cotas adicionais para o gerenciador de chaves externo da nuvem

A cota em operações criptográficas para todas as chaves do Cloud EKM em um único local do Google Cloud por projeto é 10 QPS.

Informação de erro na cota

Se você fizer uma chamada e sua cota tiver sido alcançada, sua solicitação resultará em um erro de RESOURCE_EXHAUSTED. O código de status HTTP é 429. Para saber como as bibliotecas de cliente exibem o erro RESOURCE_EXHAUSTED, consulte Mapeamento da biblioteca de cliente.

Como aumentar as cotas

  • Você pode aumentar automaticamente suas cotas (até 60.000 consultas por minuto) na página Cotas no Console do Cloud.
  • Se você quiser aumentar ainda mais sua cota do Cloud KMS, preencha este formulário.
  • Se você tiver outras dúvidas relacionadas a cotas no Cloud KMS, entre em contato por cloudkms-feedback@google.com.