配额

Google Cloud 对资源用量实施配额限制。Cloud KMS 对密钥、密钥环、密钥版本和位置等资源的用量设有配额限制。

KeyRingCryptoKeyCryptoKeyVersion 资源的数量没有配额限制,但操作次数有配额限制。

查看您的配额

如需查看您项目中的当前资源配额,请转到 Google Cloud Console 中的配额页面。

所有 Cloud KMS 资源的配额

Cloud Key Management Service 针对以下操作设有配额限制:

  • 每分钟读取请求数:读取请求是读取某种 Cloud KMS 资源(例如 KeyRingCryptoKeyCryptoKeyVersionLocation)的操作。

    以下操作属于读取请求:

资源 操作
KeyRing getgetIamPolicylisttestIamPermissions
CryptoKey getgetIamPolicylisttestIamPermissions
CryptoKeyVersion getlist
Location getlist
  • 每分钟写入请求数:写入请求是创建或修改某种 Cloud KMS 资源(例如 KeyRingCryptoKeyCryptoKeyVersion)的操作。

    以下操作属于写入请求:

资源 操作
KeyRing createsetIamPolicy
CryptoKey createpatchsetIamPolicyupdatePrimaryVersion
CryptoKeyVersion createdestroypatchrestore
  • 每分钟加密请求数:加密请求是执行加密、解密、数字签名或公钥检索的操作。

    以下操作属于加密请求:

资源 操作
CryptoKey encryptdecrypt
CryptoKeyVersion asymmetricDecryptasymmetricSigngetPublicKey

针对 Cloud HSM 的额外配额

调用 Cloud KMS 服务的 Google Cloud 项目受到上述配额限制,这些配额同时涵盖软件密钥和 Cloud HSM 密钥。举例来说,如果您使用一个服务帐号调用 Cloud KMS,那么受到限制的项目就是拥有您所用服务帐号的 Google Cloud 项目。

用于加密操作时,Cloud HSM 密钥和密钥版本还会受到针对每秒 HSM 查询数 (QPS) 的额外配额限制。默认情况下,对称加密操作的 HSM 配额为 500 QPS,非对称加密操作的 HSM 配额为 50 QPS。使用 HSM 密钥时,Cloud HSM 密钥所属的 Google Cloud 项目会受到 HSM 配额的限制。此类配额用量与调用 Cloud KMS 的项目的配额用量会累加计算。

以下面的场景为例,在这个场景中,一位客户有两个 Google Cloud 项目:

  • 项目 A 包含客户的应用
  • 项目 K 包含客户在 Cloud KMS 上管理的密钥

在应用发出一项加密请求,并且要用到项目 K 中所包含的某个 HSM 密钥时,项目 A 就会产生加密请求配额用量,而项目 K 则会产生 HSM 配额用量。如果项目 A 和项目 K 是同一个 Google Cloud 项目,则该项目会同时产生加密请求配额用量和 HSM 配额用量。

针对 Cloud External Key Manager 的额外配额

每个项目在单个 Google Cloud 位置中的所有 Cloud EKM 密钥的加密操作配额为 10 QPS。

配额错误信息

如果您在配额已用尽的情况下发出调用,您的请求将导致一个 RESOURCE_EXHAUSTED 错误。HTTP 状态代码为 429。如需了解客户端库如何给出 RESOURCE_EXHAUSTED 错误,请参阅客户端库映射

增加您的配额

要为加密操作增加配额(最高每分钟 60000 次查询),请转至 Cloud Console 中的配额页面。您也可以申请增加更高的配额,并会收到关于申请状态的通知。