Kontingente

Google Cloud legt Kontingente für die Ressourcennutzung fest. Für Cloud Key Management Service (Cloud KMS) werden Kontingente für die Verwaltung und Nutzung von Ressourcen wie Schlüsseln und Schlüsselversionen sowie Standorten definiert. Es gibt keine Kontingente für die Anzahl der Schlüsselbunde, Schlüssel, Schlüsselversionen oder anderer Cloud KMS-Ressourcen, die Sie haben können, sondern nur für deren Nutzung.

Cloud KMS-Kontingente ansehen

Ab dem 16. Februar 2026 ändert sich in Cloud KMS die Art und Weise, wie Kontingente erfasst und durchgesetzt werden. In diesem Dokument erfahren Sie, wie die Kontingente vor und nach der Änderung funktionieren, und können ermitteln, welche Schritte Sie möglicherweise unternehmen müssen, um sich auf die Änderung vorzubereiten.

Zeitachse

Die folgende Tabelle bietet einen Überblick über den erwarteten Zeitplan für die Änderungen an Cloud KMS-Kontingenten.

Datum	Was ändert sich?
28. Oktober 2024	Cloud KMS hat begonnen, Anfragen für Hardware- (Cloud HSM-)Schlüssel, die das Kontingent überschreiten, zuzulassen, solange das Cloud KMS-System nicht überlastet ist.
16. Februar 2026	Cloud KMS beginnt mit der Verwendung der neuen Messwerte. Die alten Messwerte sind weiterhin für Monitoring-Zwecke verfügbar, werden aber nicht mehr für die Durchsetzung von Kontingenten verwendet. Sie können das Kontingentanpassungssystem aktivieren, um Ihre Cloud KMS-Kontingente automatisch an Ihre Nutzung anzupassen.
31. August 2026	Die alten Messwerte wurden eingestellt und können nicht mehr beobachtet werden.

Zusammenfassung der Änderungen

Das überarbeitete Kontingentsystem soll die Kontingentverwaltung für Cloud KMS-Nutzer vereinfachen. In der folgenden Tabelle sind die wichtigsten Änderungen zusammengefasst:

	Vor dem 16. Februar 2026	Nach dem 16. Februar 2026
Standortbereich	Gemischter Umfang:Einige Messwerte werden global und andere nach Region gemessen.	Regionaler Umfang:Alle Messwerte werden pro Region gemessen. Die Nutzung mehrerer Regionen wird auf das Kontingent für die jeweilige Region angerechnet, in der die Anfrage bearbeitet wird.
Kontingentlimits	Statische Limits:Für jedes Projekt gelten Standardkontingentlimits. Sie können eine Erhöhung des Kontingentlimits beantragen.	Dynamische Limits:Die Kontingentlimits werden anfangs basierend auf Ihren projektspezifischen Limits und Ihrer Nutzung vor dem 16. Februar 2026 festgelegt. Wir empfehlen, dass Sie auch den Kontingentanpassungsdienst aktivieren, damit Ihre Limits automatisch an Ihre typische Nutzung angepasst werden.
Erzwingung	Harte Durchsetzung:Wenn ein Kontingentlimit überschritten wird, werden Anfragen abgelehnt, auch wenn das System die Anfrage bearbeiten könnte.	Vorläufige Durchsetzung:Wenn ein Kontingentlimit überschritten wird, sind Leseanfragen und die meisten Schreibanfragen und Anfragen für kryptografische Vorgänge zulässig, sofern das System die Anfrage bearbeiten kann. Die folgenden Kontingentlimits werden jedoch strikt durchgesetzt: Anfragen zum Erstellen und Importieren von Hardwareschlüsseln (Cloud HSM) Alle Anfragen für externe (Cloud EKM-)Schlüssel
Cloud HSM-Kontingente	Viele Cloud HSM-Kontingente:Cloud KMS erzwingt separate Kontingente für symmetrische, asymmetrische und generateRandomBytes-Anfragen für Cloud HSM.	Ein Cloud HSM-Kontingent:Cloud KMS erzwingt ein einzelnes Kontingent für alle Cloud HSM-Anfragen. Allerdings verbrauchen unterschiedliche Schlüsselgrößen und ‑vorgänge unterschiedliche Kontingente.
Was wird gemessen?	Anfragen nachverfolgen:Bei Kontingenten wird die Anzahl der ausgeführten Vorgänge gezählt. Sie geben jedoch keinen Aufschluss darüber, wie viele Verarbeitungsressourcen Sie verbrauchen.	Ressourcennutzung im Blick behalten:Bei Kontingenten werden Tokens anstelle von Vorgängen gezählt. Die Anzahl der Tokens pro Vorgang gibt die relativen Verarbeitungskosten der einzelnen Vorgänge an. Weitere Informationen finden Sie auf dieser Seite unter Tokens pro Vorgang.
Zeitskala	Gemischte Zeitskalen:Einige Kontingentmesswerte werden pro Minute gemeldet, aber pro Sekunde erzwungen.	Einheitliche Zeitskalen:Alle Kontingentmesswerte werden auf derselben Zeitskala gemeldet, auf der sie erzwungen werden. Die meisten Messwerte werden pro Minute gemeldet und durchgesetzt. Die Cloud EKM-Nutzung wird pro Sekunde gemeldet und erzwungen.
Projektumfang	Mehrere Projekte:Einige Kontingente werden auf das Projekt angewendet, das die Ressourcen CryptoKey und CryptoKeyVersion enthält, andere auf das Projekt, das die Anfrage stellt.	Einzelnes Projekt:Alle Kontingente werden auf das Projekt angewendet, das die Ressourcen CryptoKey und CryptoKeyVersion enthält.
CMEK- und Cloud KMS-Kontingente	Uneingeschränkte Verwendung von Software-CMEK: Cloud KMS erzwingt keine Kontingente für Softwareschlüssel, die in CMEK-Integrationen verwendet werden.	Nur außergewöhnliche Nutzung einschränken:Die CMEK-Nutzung wird auf das Softwarenutzungslimit angerechnet. Bei der Soft Enforcement wird die Nutzung, die Ihr Limit überschreitet, bereitgestellt, wenn das System nicht überlastet ist.

Cloud KMS-Kontingente nach dem 16. Februar 2026

In der folgenden Tabelle sind die Messwerte und Kontingente für Cloud KMS aufgeführt.

Messwert	Zeitskala Standard	Erzwingung	Vorgänge
Nutzung lesen cloudkms.googleapis.com​/read_usage	Minute 600 TPM	Softwaregestützte Schlüssel: Soft Hardwaregestützte Schlüssel: Software Externe Schlüssel: Hart	cryptoKeys:get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs:get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list
Schreibnutzung cloudkms.googleapis.com​/write_usage	Minute 100 TPM	Softwaregestützte Schlüssel: Soft Hardwaregestützte Schlüssel: Software Externe Schlüssel: Hart	cryptoKeys:create, patch, setIamPolicy, updatePrimaryVersion> cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs:create, setIamPolicy keyRings: create, setIamPolicy
Softwarenutzung cloudkms.googleapis.com​/software_usage	Minute 6.000.000 TPM	Weich	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, decapsulate, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes
HSM-Nutzung cloudkms.googleapis.com​/hsm_usage	Minute 3.000.000 TPM	Weich
Externe KMS-Nutzung cloudkms.googleapis.com​/external_usage	Zweite 10.000 TPS	Schwer

Tokens pro Vorgang

In der folgenden Tabelle ist die Anzahl der Kontingent-Tokens aufgeführt, die von jedem Vorgang für jede Cloud KMS-Ressource, Schlüsselgröße und jeden Vorgang verbraucht werden. Anhand dieser Tabelle können Sie schätzen, wie viele Kontingent-Tokens eine bestimmte Anwendung verbrauchen kann. Für rechenintensivere Vorgänge werden mehr Kontingenttokens verwendet.

Cloud KMS-Ressource	Vorgang	Tokens pro Vorgang
Alle Cloud KMS-Ressourcen	Alle Lesevorgänge	Lesevorgänge: 1
Alle softwarebasierten und externen Cloud KMS-Ressourcen	Alle Schreibvorgänge	Schreibvorgänge: 1
Hardwaregestützte Schlüssel	Schreibvorgänge, die nicht „create“ und „import“ sind	Schreibvorgänge: 1
Hardwaregestützte symmetrische und MAC-Schlüssel	Vorgänge erstellen und importieren	Schreibvorgänge: 1 HSM-Nutzung: 1.200
Hardwaregestützte asymmetrische Schlüssel	Vorgänge erstellen und importieren	Schreibvorgänge: 1 HSM-Nutzung: 50.000
Softwaregestützte Schlüssel	Alle kryptografischen Vorgänge	Softwarenutzung: 100
Externe (Cloud EKM-)Schlüssel	Alle kryptografischen Vorgänge	Verwendung von externen KMS: 100
Hardwareschlüssel (Cloud HSM)	Symmetrische Verschlüsselung oder Entschlüsselung MAC-Signatur oder ‑Bestätigung getPublicKey	HSM-Nutzung: 100
Hardwareschlüssel (Cloud HSM)	generateRandomBytes	HSM-Nutzung: 1.000
Hardwareschlüssel (Cloud HSM)	Asymmetrisches Signieren mit 2.048-Bit-RSA-Schlüsseln Asymmetrische Entschlüsselung mit 2048-Bit-Schlüsseln	HSM-Nutzung: 1.500
Hardwareschlüssel (Cloud HSM)	Asymmetrisches Signieren mit 3.072-Bit-RSA-Schlüsseln Asymmetrische Entschlüsselung mit 3072-Bit-Schlüsseln	HSM-Nutzung: 3.500
Hardwareschlüssel (Cloud HSM)	Asymmetrisches Signieren mit EC_SIGN_P224_SHA256-Schlüsseln Asymmetrisches Signieren mit EC_SIGN_P256_SHA256-Schlüsseln Asymmetrisches Signieren mit EC_SIGN_SECP256K1_SHA256-Schlüsseln	HSM-Nutzung: 4.500
Hardwareschlüssel (Cloud HSM)	Asymmetrisches Signieren mit EC_SIGN_P384_SHA384-Schlüsseln Asymmetrisches Signieren mit EC_SIGN_P521_SHA512-Schlüsseln	HSM-Nutzung: 7.000
Hardwareschlüssel (Cloud HSM)	Asymmetrische Entschlüsselung mit 4096-Bit-Schlüsseln Asymmetrische Signierung mit 4096-Bit-RSA-Schlüsseln	HSM-Nutzung: 14.000

Vorgeschlagene Aktionen zur Vorbereitung auf Kontingentänderungen

Anwendungsfall	Vorgeschlagene Vorbereitung
Ausreichende Kontingente für bestehende Projekte sicherstellen	Bei bestehenden Projekten werden die Kontingentlimits für die neuen Messwerte automatisch auf Grundlage der tatsächlichen Nutzung des Projekts berechnet. Für bestehende Projekte sind keine Maßnahmen erforderlich.
Ausreichende Kontingente für neue Projekte sicherstellen	Wenn Sie ein neues Projekt erstellen möchten und mit einer hohen Kontingentnutzung rechnen, aktivieren Sie die automatische Kontingentanpassung über den Kontingentanpassungsdienst. Planen Sie ein bis zwei Wochen für eine schrittweise Traffic-Steigerung ein, damit sich die Systeme an Ihre Nutzung anpassen können. Alternativ können Sie die Kontingentlimits, die Sie voraussichtlich benötigen, proaktiv anfordern.
Monitoring für die Verwendung neuer Kontingente aktualisieren	Das Monitoring mit vorhandenen Kontingentmesswerten ist bis zum 31. August 2026 verfügbar. Wir empfehlen, die Überwachung mit den neuen Messwerten einzurichten, nachdem sie am 16. Februar 2026 verfügbar sind, aber vor dem 31. August 2026.
Kontingentanpassung aktivieren	Wir empfehlen, das Kontingentanpassungssystem zu aktivieren, damit Ihre Cloud KMS-Kontingente automatisch an Ihre Nutzung angepasst werden. Für jedes Projekt, das Cloud KMS-Ressourcen enthält, muss der Kontingent-Adjuster separat aktiviert werden.

Cloud KMS-Kontingente vor dem 16. Februar 2026

Einige Kontingente für diese Vorgänge gelten für das aufrufende Projekt, dasGoogle Cloud -Projekt, mit dem Aufrufe an den Cloud KMS-Dienst gesendet werden. Für das Hosting-Projekt, das Google Cloud -Projekt, das die für den Vorgang verwendeten Schlüssel enthält, gelten andere Kontingente.

Anrufprojektkontingente umfassen keine Nutzung, die durchGoogle Cloud -Dienste mit Cloud KMS-Schlüsseln für die Integration von vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) generiert wird. Verschlüsselungs- und Entschlüsselungsanfragen, die direkt von BigQuery, Bigtable oder Spanner stammen, werden beispielsweise nicht auf die Kontingente für kryptografische Anfragen angerechnet.

In der Google Cloud Console wird das Limit für jedes Kontingent in Abfragen pro Minute (Queries per minute, QPM) aufgeführt. Kontingente für Hostingprojekte werden jedoch pro Sekunde erzwungen. Kontingente, die in Abfragen pro Sekunde (Queries per Second, QPS) erzwungen werden, lehnen Anfragen ab, die das QPS-Limit überschreiten, auch wenn Ihre Nutzung pro Minute unter dem aufgeführten QPM-Limit liegt. Wenn Sie ein Limit für die maximalen Abfragen pro Sekunde überschreiten, erhalten Sie einen RESOURCE_EXHAUSTED-Fehler.

Kontingente für die Verwendung von Cloud KMS-Ressourcen

In der folgenden Tabelle sind die einzelnen Kontingente aufgeführt, die auf Cloud KMS-Ressourcen angewendet werden. In der Tabelle sind der Name und das Limit jedes Kontingents, das Projekt, für das das Kontingent gilt, und die Vorgänge aufgeführt, die auf das Kontingent angerechnet werden. Sie können ein Keyword in das Feld eingeben, um die Tabelle zu filtern. Sie können beispielsweise calling eingeben, um nur die Kontingente für das Anrufprojekt aufzurufen, oder encrypt, um nur die Kontingente für Verschlüsselungsvorgänge aufzurufen:

Beispiele für Kontingente

Die folgenden Abschnitte enthalten Beispiele für die einzelnen Kontingente mit den folgenden Beispielprojekten:

• KEY_PROJECT: Ein Google Cloud Projekt, das Cloud KMS-Schlüssel enthält, einschließlich Multi-Tenant Cloud HSM- und Cloud EKM-Schlüssel.

• SPANNER_PROJECT: Ein Google Cloud -Projekt, das eine Spanner-Instanz enthält, in der die kundenverwalteten Verschlüsselungsschlüssel (CMEKs) verwendet werden, die sich in KEY_PROJECT befinden.

• SERVICE_PROJECT: Ein Google Cloud -Projekt, das ein Dienstkonto enthält, mit dem Sie Cloud KMS-Ressourcen verwalten, die sich in KEY_PROJECT befinden.

Leseanfragen

Die Kontingentlimits für Leseanfragen gelten für Leseanfragen aus demGoogle Cloud -Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise eine Liste von Schlüsseln in KEY_PROJECT über KEY_PROJECT mit der Google Cloud CLI aufrufen, wird dies auf das Kontingent für KEY_PROJECT-Leseanfragen angerechnet. Wenn Sie ein Dienstkonto in SERVICE_PROJECT verwenden, um Ihre Liste der Schlüssel aufzurufen, wird die Leseanfrage auf das Kontingent für Leseanfragen für SERVICE_PROJECT angerechnet.

Wenn Sie Cloud KMS-Ressourcen in der Google Cloud Console aufrufen, wird das Kontingent für Leseanfragen nicht belastet.

Schreibanfragen

Das Kontingent für Schreibanfragen begrenzt Schreibanfragen aus demGoogle Cloud -Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise Schlüssel in KEY_PROJECT mit der gcloud CLI erstellen, wird dies auf das Kontingent für Schreibanfragen für KEY_PROJECT angerechnet. Wenn Sie ein Dienstkonto in SERVICE_PROJECT verwenden, um Schlüssel zu erstellen, wird die Schreibanfrage auf das SERVICE_PROJECT-Kontingent für Schreibanfragen angerechnet.

Wenn Sie die Google Cloud -Konsole zum Erstellen oder Verwalten von Cloud KMS-Ressourcen verwenden, wird das Kontingent für Leseanfragen nicht belastet.

Kryptografische Anfragen

Das Kontingent für kryptografische Anfragen begrenzt kryptografische Vorgänge aus demGoogle Cloud -Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise Daten mit API-Aufrufen über eine Dienstkontoressource verschlüsseln, die in SERVICE_PROJECT ausgeführt wird, und dabei Schlüssel aus KEY_PROJECT verwenden, wird dies auf das Kontingent für kryptografische Anfragen von SERVICE_PROJECT angerechnet.

Die Ver- und Entschlüsselung von Daten in einer Spanner-Ressource in SPANNER_PROJECT mithilfe der CMEK-Integration wird nicht auf das Kontingent für kryptografische Anfragen von SPANNER_PROJECT angerechnet.

HSM-Anfragen für symmetrische Verschlüsselung pro Region

Die Kontingentlimits für symmetrische kryptografische HSM-Anfragen pro Region gelten für kryptografische Vorgänge mit symmetrischen Cloud HSM-Schlüsseln im Google Cloud-Projekt, das diese Schlüssel enthält. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit symmetrischen HSM-Schlüsseln verschlüsseln, wird das Kontingent KEY_PROJECT Symmetrische kryptografische HSM-Anfragen pro Region verwendet.

Asymmetrische kryptografische HSM-Anfragen pro Region

Das Kontingent Asymmetrische kryptografische HSM-Anfragen pro Region begrenzt kryptografische Vorgänge mit asymmetrischen Cloud HSM-Schlüsseln im Projekt Google Cloud, das diese Schlüssel enthält. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit asymmetrischen HSM-Schlüsseln verschlüsseln, wird das Kontingent KEY_PROJECT Asymmetrische HSM-Verschlüsselungsanfragen pro Region verwendet.

HSM-Anfragen zum Generieren von Zufallszahlen pro Region

Die Kontingentlimits für HSM-Anfragen zum Generieren von Zufallszahlen pro Region gelten für Vorgänge zum Generieren von Zufallsbytes mit Cloud HSM im Google Cloud Projekt, das in der Anfragenachricht angegeben ist. Anfragen von einer beliebigen Quelle zum Generieren von Zufallsbytes in KEY_PROJECT werden beispielsweise auf das Kontingent KEY_PROJECT HSM-Anfragen zum Generieren von Zufallszahlen pro Region angerechnet.

Externe kryptografische Anfragen pro Region

Das Kontingent für externe kryptografische Anfragen pro Region begrenzt kryptografische Vorgänge mit externen (Cloud EKM-)Schlüsseln für das Google Cloud Projekt, das diese Schlüssel enthält. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit EKM-Schlüsseln verschlüsseln, wird dies auf das Kontingent KEY_PROJECT Externe kryptografische Anfragen pro Region angerechnet.

Kontingentfehler

Wenn Sie eine Anfrage senden, nachdem Ihr Kontingent erreicht wurde, wird der Fehler RESOURCE_EXHAUSTED ausgegeben. Der HTTP-Statuscode ist 429. Informationen dazu, wie der Fehler RESOURCE_EXHAUSTED in Clientbibliotheken wiedergegeben wird, finden Sie unter Clientbibliothek-Zuordnung.

Wenn Sie den Fehler RESOURCE_EXHAUSTED erhalten, senden Sie möglicherweise zu viele kryptografische Anfragen pro Sekunde. Sie können den Fehler RESOURCE_EXHAUSTED auch dann erhalten, wenn in der Google Cloud Konsole angezeigt wird, dass Sie das Limit für Anfragen pro Minute nicht überschritten haben. Dieses Problem kann auftreten, weil Kontingente für Cloud KMS-Hostingprojekte pro Minute angezeigt, aber pro Sekunde skaliert werden. Weitere Informationen zum Überwachen von Messwerten finden Sie unter Kontingentbenachrichtigungen und ‑monitoring einrichten.

Weitere Informationen zur Fehlerbehebung bei Cloud KMS-Kontingentproblemen finden Sie unter Fehlerbehebung bei Kontingentproblemen.

Nächste Schritte

• Cloud Monitoring mit Cloud KMS verwenden
• Informationen zum Überwachen und Anpassen von Cloud KMS-Kontingenten