本页面介绍如何管理 Cloud Key Management Service 配额。如需详细了解 与 Cloud KMS 关联的配额,请参阅配额。
准备工作
如需查看项目配额,您需要具备以下权限:
resourcemanager.projects.getmonitoring.timeSeries.listserviceusage.services.listserviceusage.quotas.get
如需更改项目
配额,您需要具备 serviceusage.quotas.update 权限。
如需详细了解哪些 IAM 角色包含这些权限,请参阅 IAM 权限参考文档。
检查 Cloud KMS 配额
在 Google Cloud 控制台中,前往Cloud KMS API的 API/服务详情页面。
您可以在此页面中查看 Cloud KMS API 的配额详情。
如需查看其他项目的配额,请在 Google Cloud 控制台标头中选择所需项目。
如需按配额类型进行过滤,请点击过滤条件 栏中的 ,然后从属性列表中选择配额 ,再选择所需的配额。
如需按区域进行过滤,请点击过滤条件 栏中的 ,然后从属性列表中选择维度 (例如位置): ,再输入所需的区域 名称。
如果您发现自己即将达到或已超出配额,可以 申请更高的 Cloud KMS 配额。
排查配额问题
如果 Cloud KMS 因达到相关配额的限制而
拒绝请求,则会返回 RESOURCE_EXHAUSTED 错误。对于使用
Cloud KMS REST API 发出的请求,RESOURCE_EXHAUSTED 错误的 HTTP
状态代码为 429。由于 Cloud KMS 宿主项目
配额是按秒强制执行的,因此对于 HSM 或 EKM 密钥,偶尔出现的 RESOURCE_EXHAUSTED
错误可以通过在下一秒重试来解决。
反复出现 RESOURCE_EXHAUSTED 错误表示您的项目经常
超出其一项或多项配额。如需解决此问题,您可以尝试以下任一或所有
操作:
降低项目发出使用 Cloud KMS 资源的请求的速率。
根据需要为资源使用单独的项目,以便多个 资源不会共享相同的配额。
调用项目配额 - 如果您有一个项目包含 多个以高请求 速率使用 Cloud KMS API 的资源,请考虑将资源移到自己的项目中,以免它们 共享 60,000 QPM 的限制。
宿主项目配额 - 如果您有一个项目包含 支持具有高 QPS 速率的不同资源的多租户 Cloud HSM 或 Cloud EKM 密钥,请考虑根据优先级或工作负载等详细信息将 Cloud KMS 密钥拆分为单独的项目。这样,共享相同 Cloud HSM 和 Cloud EKM 配额的密钥就会更少。
在客户端中添加退避机制,以处理
RESOURCE_EXHAUSTED错误。
申请更高的 Cloud KMS 配额
在 Google Cloud 控制台中,前往Cloud KMS API的 API/服务详情页面。
您可以在此页面中查看 Cloud KMS API 的配额详情。
如需为其他项目申请增加配额,请在 控制台标头中选择所需 Google Cloud 项目。
在配额列表中,选择要 增加的默认配额或区域配额,然后点击修改配额。
在配额更改窗格中,输入所选 配额的所需限制。
在申请说明 中,说明申请的原因。
点击下一步 以继续。
提供您的联系信息,包括姓名、电子邮件地址和 电话号码。
如需完成申请,请点击提交申请。
提交申请后,系统会将其发送给审批者进行评估。审核完毕后,您会收到有关申请状态的通知。
限制特定项目的 Cloud KMS 用量
如果您想对 Cloud KMS 资源的使用施加更严格的配额,可以选择将给定项目的配额设置为低于默认值的限制 。例如,如果您有多个项目,其资源在同一项目中使用 多租户 Cloud HSM 或 Cloud EKM 密钥,您 可以选择降低每个 调用项目的 加密请求 配额,以确保您不会超出托管这些密钥的项目中的 每个区域的 HSM 对称加密请求数 等配额。
在 Google Cloud 控制台中,前往Cloud KMS API的 API/服务详情页面。
您可以在此页面中查看 Cloud KMS API 的配额详情。
如需降低其他项目的配额,请在 控制台标头中选择所需项目。 Google Cloud
在配额列表中,选择要 降低的默认配额或区域配额,然后点击修改配额。
在配额更改窗格中,输入所选 配额的所需限制。
点击下一步 以继续。
如果您要将配额降低的幅度超过当前限制的 10%,系统会显示警告 。如需继续应用低于默认值的配额,请点击 确认。否则,您可以点击取消 返回并选择新的 限制。
如需保存更改,请点击提交申请。
新限制会立即生效。