Cotas

O Google Cloud impõe cotas sobre o uso de recursos. Para o Cloud KMS, as cotas são aplicadas na utilização de recursos como chaves, keyrings, versões de chaves e locais.

Não há cotas para o número de recursos KeyRing, CryptoKey ou CryptoKeyVersion, somente para o número de operações.

Como verificar as cotas

Para verificar as cotas atuais dos recursos no seu projeto, acesse a página Cotas no Console do Google Cloud.

Cotas de todos os recursos do Cloud KMS

O Cloud Key Management Service tem cotas para as seguintes operações:

  • Solicitações de leitura por minuto: uma solicitação de leitura é uma operação que lê um recurso do Cloud KMS, como KeyRing, CryptoKey, CryptoKeyVersion ou Location.

    As operações a seguir são solicitações de leitura:

Recurso Operações
KeyRing get, getIamPolicy, list, testIamPermissions
CryptoKey get, getIamPolicy, list, testIamPermissions
CryptoKeyVersion get, list
Local get, list
  • Solicitações de gravação por minuto: uma solicitação de gravação é uma operação que cria um recurso do Cloud KMS, como KeyRing, CryptoKey, CryptoKeyVersion.

    As operações a seguir são solicitações de gravação:

Recurso Operações
KeyRing create, setIamPolicy
CryptoKey create, patch, setIamPolicy, updatePrimaryVersion
CryptoKeyVersion create, destroy, patch, restore
  • Solicitações criptográficas por minuto: uma solicitação criptográfica é uma operação que executa uma criptografia, descriptografia, assinatura digital ou recuperação de uma chave pública.

    As operações a seguir são solicitações criptográficas:

Recurso Operações
CryptoKey encrypt, decrypt
CryptoKeyVersion asymmetricDecrypt, asymmetricSign, getPublicKey

Cotas adicionais para o Cloud HSM

Um projeto do Google Cloud que faz chamadas para o serviço do Cloud KMS está limitado pelas cotas listadas acima, que se aplicam às chaves de software e do Cloud HSM. Por exemplo, se você estiver chamando o Cloud KMS usando uma conta de serviço, ela pertencerá ao projeto do Google Cloud.

Quando usadas em operações criptográficas, as chaves e versões de chave do Cloud HSM geram um limite de cota extra para consultas por segundo (QPS) do HSM. Por padrão, a cota do HSM é de 500 QPS para operações de criptografia simétrica e 50 QPS para operações de criptografia assimétrica. Quando chaves do HSM são usadas, o projeto do Google Cloud que contém as chaves do Cloud HSM é limitado pela cota do HSM. Isso é um acréscimo a qualquer uso de cota pelo projeto que fez a chamada para o Cloud KMS.

Por exemplo, um cliente tem dois projetos do Google Cloud:

  • O projeto A contém o aplicativo do cliente.
  • O projeto K contém as chaves que o cliente gerencia no Cloud KMS

Quando o aplicativo faz uma solicitação de criptografia que usa uma chave do HSM contida no Projeto K, o Projeto A usa a cota de solicitação criptográfica e o Projeto K usa a cota do HSM. Se o Projeto A e o Projeto K forem o mesmo projeto do Google Cloud, o projeto usará a cota da solicitação criptográfica e a cota do HSM.

Cotas adicionais para o gerenciador de chaves externo do Cloud.

A cota em operações criptográficas para todas as chaves do Cloud EKM em um único local do Google Cloud por projeto é 10 QPS.

Informação de erro na cota

Se você fizer uma chamada e sua cota tiver sido alcançada, sua solicitação resultará em um erro de RESOURCE_EXHAUSTED. O código de status HTTP é 429. Para saber como as bibliotecas de cliente exibem o erro RESOURCE_EXHAUSTED, consulte Mapeamento da biblioteca de cliente.

Se você estiver dentro da cota e ainda receber o erro RESOURCE_EXHAUSTED, talvez esteja enviando muitas solicitações de operação criptográfica por segundo. Isso pode acontecer porque as cotas do Cloud KMS são definidas por minuto, mas são aplicadas em uma escala por segundo. A métrica Peak crypto ops ajuda a diagnosticar o problema. Peak crypto ops exibe o número máximo de solicitações criptográficas por segundo em intervalos de um minuto, o que identifica todos os picos nas solicitações que podem ter solicitado o erro RESOURCE_EXHAUSTED. Para mais granularidade, a métrica Peak crypto ops também pode exibir solicitações criptográficas por local e o tipo de operação criptográfica. Para saber mais sobre como monitorar métricas, consulte Como monitorar e alertar sobre métricas de cota.

Como aumentar as cotas

Para aumentar a cota de operações criptográficas (até 60 mil consultas por minuto), acesse a página Cotas do Console do Cloud. Também é possível solicitar um aumento maior de cota e, assim, receber notificações sobre o status da sua solicitação. Cotas multirregionais e globais não aparecem no console. Para aumentar a cota de locais multirregionais ou do local global, faça a solicitação para uma região diferente e mencione a multirregião na descrição.