Google Cloud applica le quote sull'utilizzo delle risorse. Per Cloud Key Management Service (Cloud KMS), le quote vengono applicate alla gestione e all'utilizzo di risorse come chiavi e versioni delle chiavi, e località. Non sono previste quote per il numero di keyring, chiavi, versioni delle chiavi o altre risorse Cloud KMS che puoi avere, ma solo per il loro utilizzo.
Visualizzare le quote di Cloud KMS
A partire dal 16 febbraio 2026, Cloud KMS cambierà il modo in cui le quote vengono monitorate e applicate. Questo documento fornisce informazioni su come funzionano le quote prima e dopo la modifica e ti aiuta a identificare eventuali passaggi da intraprendere per prepararti alla modifica.
Cronologia
La seguente tabella fornisce una panoramica della cronologia prevista per le modifiche alle quote di Cloud KMS.
| Data | Cosa cambierà? |
|---|---|
| Cloud KMS ha iniziato a consentire le richieste che superano la quota per le chiavi hardware (Cloud HSM), a condizione che il sistema Cloud KMS non sia sovraccarico. | |
|
|
| Le vecchie metriche sono state ritirate e non possono più essere monitorate. |
Riepilogo delle modifiche
Il sistema di quote rivisto è progettato per semplificare la gestione delle quote per gli utenti di Cloud KMS. La seguente tabella riassume le modifiche principali:
| Prima del 16 febbraio 2026 | Dopo il 16 febbraio 2026 | |
|---|---|---|
| Ambito della posizione | Ambito misto: alcune metriche vengono misurate a livello globale, mentre altre vengono misurate per regione. | Ambito regionale:tutte le metriche vengono misurate per regione. L'utilizzo in più regioni viene conteggiato in base alla quota per la regione specifica che gestisce la richiesta. |
| Limiti di quota | Limiti statici:a ogni progetto vengono applicati i limiti di quota predefiniti. Puoi richiedere aumenti dei limiti di quota. | Limiti dinamici:i limiti di quota vengono inizialmente impostati in base ai limiti e all'utilizzo specifici del progetto prima del 16 febbraio 2026. Ti consigliamo inoltre di attivare il servizio di aggiustamento delle quote, in modo che i limiti vengano regolati automaticamente in base al tuo utilizzo tipico. |
| Applicazione delle norme | Applicazione rigida: quando viene superato un limite di quota, le richieste vengono rifiutate, anche se il sistema può soddisfarle. | Applicazione soft: quando viene superato un limite di quota, le richieste di lettura e la maggior parte delle richieste di scrittura e delle operazioni di crittografia sono consentite se il sistema può soddisfare la richiesta. Tuttavia, i seguenti limiti di quota sono applicati in modo rigido:
|
| Quote di Cloud HSM | Molte quote Cloud HSM:Cloud KMS applica quote separate per le richieste simmetriche, asimmetriche e generateRandomBytes di Cloud HSM. |
Una quota Cloud HSM: Cloud KMS applica una singola quota per tutte le richieste Cloud HSM. Tuttavia, chiavi e operazioni di dimensioni diverse consumano quantità diverse di quota. |
| Cosa viene misurato? | Richieste di monitoraggio:le quote conteggiano il numero di operazioni eseguite, ma non ti aiutano a capire quante risorse di elaborazione stai consumando. | Monitora l'utilizzo delle risorse:le quote conteggiano i token anziché le operazioni; il numero di token per operazione indica il costo di elaborazione relativo di ciascuna operazione. Per saperne di più, consulta Token per operazione in questa pagina. |
| Scala temporale | Scale temporali miste: alcune metriche delle quote vengono registrate al minuto, ma applicate al secondo. | Scale temporali coerenti: tutte le metriche delle quote vengono riportate alla stessa scala temporale in cui vengono applicate. La maggior parte delle metriche viene segnalata e applicata al minuto. L'utilizzo di Cloud EKM viene segnalato e applicato al secondo. |
| Ambito del progetto | Più progetti: alcune quote vengono applicate al progetto che contiene le risorse CryptoKey e CryptoKeyVersion, mentre altre vengono applicate al progetto che effettua la richiesta. |
Progetto singolo:tutte le quote vengono applicate al progetto che contiene le risorse CryptoKey e CryptoKeyVersion. |
| Quote CMEK e Cloud KMS | Utilizzo di CMEK software senza limitazioni:Cloud KMS non applica quote alle chiavi software utilizzate nelle integrazioni CMEK. | Limita solo l'utilizzo eccezionale:l'utilizzo di CMEK viene conteggiato ai fini del limite di utilizzo del software, ma con l'applicazione soft, l'utilizzo che supera il limite viene servito se il sistema non è sovraccarico. |
Quote di Cloud KMS dopo il 16 febbraio 2026
La tabella seguente elenca le metriche e le quote per Cloud KMS.
| Metrica | Scala temporale Predefinita |
Applicazione | Operazioni |
|---|---|---|---|
Leggi l'utilizzocloudkms.googleapis.com/read_usage |
Minuto 600 TPM |
|
cryptoKeys: get, getIamPolicy, list, testIamPermissions ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions |
Utilizzo della scritturacloudkms.googleapis.com/write_usage |
Minuto 100 TPM |
|
cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy |
Utilizzo del softwarecloudkms.googleapis.com/software_usage |
Minuto 6.000.000 TPM |
Tenue |
cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, decapsulate, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt |
Utilizzo di HSMcloudkms.googleapis.com/hsm_usage |
Minuto 3.000.000 TPM |
Tenue | |
Utilizzo di KMS esternocloudkms.googleapis.com/external_usage |
Secondi 10.000 TPS |
Difficile |
Token per operazione
La tabella seguente elenca il numero di token di quota utilizzati da ogni operazione per ogni risorsa, dimensione della chiave e operazione Cloud KMS. Puoi utilizzare questa tabella per stimare quanti token di quota può consumare una determinata applicazione. Le operazioni che richiedono più elaborazione utilizzano più token di quota.
| Risorsa Cloud KMS | Operazione | Token per operazione |
|---|---|---|
| Tutte le risorse Cloud KMS | Tutte le operazioni di lettura | Utilizzo della lettura: 1 |
| Tutte le risorse Cloud KMS supportate da software ed esterne | Tutte le operazioni di scrittura | Write usage: 1 |
| Chiavi con integrazione hardware | Operazioni di scrittura diverse da creazione e importazione | Write usage: 1 |
| Chiavi simmetriche e MAC basate sull'hardware | Creare e importare operazioni | Utilizzo di scrittura: 1 Utilizzo di HSM: 1200 |
| Chiavi asimmetriche basate sull'hardware | Creare e importare operazioni | Scritture: 1 Utilizzo HSM: 50.000 |
| Chiavi basate sul software | Tutte le operazioni crittografiche | Utilizzo del software: 100 |
| Chiavi esterne (Cloud EKM) | Tutte le operazioni crittografiche | Utilizzo di KMS esterno: 100 |
| Chiavi hardware (Cloud HSM) |
|
Utilizzo HSM: 100 |
| Chiavi hardware (Cloud HSM) | generateRandomBytes |
Utilizzo di HSM: 1000 |
| Chiavi hardware (Cloud HSM) |
|
Utilizzo di HSM: 1500 |
| Chiavi hardware (Cloud HSM) |
|
Utilizzo HSM: 3500 |
| Chiavi hardware (Cloud HSM) |
|
Utilizzo HSM: 4500 |
| Chiavi hardware (Cloud HSM) |
|
Utilizzo di HSM: 7000 |
| Chiavi hardware (Cloud HSM) |
|
Utilizzo di HSM: 14.000 |
Azioni suggerite per prepararsi alle modifiche della quota
| Caso d'uso | Preparazione suggerita |
|---|---|
| Garantire quote adeguate per i progetti esistenti | Per i progetti esistenti, i limiti di quota per le nuove metriche verranno calcolati automaticamente in base all'utilizzo effettivo del progetto. Non è richiesta alcuna azione per i progetti esistenti. |
| Garantire quote adeguate per i nuovi progetti | Se prevedi di creare un nuovo progetto e ti aspetti un utilizzo elevato della quota, attiva la regolazione automatica della quota utilizzando il servizio quota adjuster. Consenti un aumento graduale del traffico per 1-2 settimane per consentire ai sistemi di adattarsi al tuo utilizzo oppure richiedi in modo proattivo i limiti di quota che ritieni necessari. |
| Aggiorna il monitoraggio per utilizzare le nuove quote | Il monitoraggio tramite le metriche delle quote esistenti è disponibile fino al 31 agosto 2026. Ti consigliamo di configurare il monitoraggio utilizzando le nuove metriche dopo la loro disponibilità il 16 febbraio 2026, ma prima del 31 agosto 2026. |
| Attivare l'aggiustamento delle quote | Ti consigliamo di attivare l'utilizzo del sistema di aggiustamento delle quote per regolare automaticamente le quote Cloud KMS in base all'utilizzo. Ogni progetto che contiene risorse Cloud KMS deve essere attivato separatamente per l'aggiustamento delle quote. |
Quote di Cloud KMS prima del 16 febbraio 2026
Alcune quote per queste operazioni si applicano al progetto chiamante, il progettoGoogle Cloud che effettua chiamate al servizio Cloud KMS. Altre quote si applicano al progetto host, al Google Cloud progetto che contiene le chiavi utilizzate per l'operazione.
Le quote del progetto chiamante non includono l'utilizzo generato dai serviziGoogle Cloud che utilizzano le chiavi Cloud KMS per l'integrazione delle chiavi di crittografia gestite dal cliente (CMEK). Ad esempio, le richieste di crittografia e decrittografia provenienti direttamente da BigQuery, Bigtable o Spanner non contribuiscono alle quote di Richieste di crittografia.
La console Google Cloud elenca il limite per ogni quota in query al minuto
(QPM), ma le quote del progetto host vengono applicate al secondo. Le quote
applicate in query al secondo (QPS) negano le richieste che superano il limite QPS,
anche se l'utilizzo al minuto è inferiore al limite QPM elencato. Se superi un limite di QPS, ricevi un RESOURCE_EXHAUSTED errore.
Quote sull'utilizzo delle risorse Cloud KMS
La seguente tabella elenca ogni quota applicata alle risorse Cloud KMS. La tabella indica il nome e il limite di ogni quota, il progetto a cui si applica la quota e le operazioni che vengono conteggiate ai fini della quota. Puoi inserire una parola chiave nel campo per filtrare la tabella. Ad esempio, puoi inserire chiamata per visualizzare solo le quote applicate al progetto di chiamata o crittografia per visualizzare solo le quote relative alle operazioni di crittografia:
Esempi di quote
Le seguenti sezioni includono esempi di ciascuna quota utilizzando i seguenti progetti di esempio:
KEY_PROJECT- Un progetto Google Cloud che contiene chiavi Cloud KMS, incluse le chiavi Multi-tenant Cloud HSM e Cloud EKM.SPANNER_PROJECT: un progetto Google Cloud che contiene un'istanza Spanner che utilizza le chiavi di crittografia gestite dal cliente (CMEK) che si trovano inKEY_PROJECT.SERVICE_PROJECT: un progetto Google Cloud che contiene un account di servizio che utilizzi per gestire le risorse Cloud KMS che si trovano inKEY_PROJECT.
Richieste di lettura
La quota Richieste di lettura limita le richieste di lettura dal
progettoGoogle Cloud che chiama l'API Cloud KMS. Ad esempio, la visualizzazione di un elenco di chiavi in KEY_PROJECT da KEY_PROJECT utilizzando Google Cloud CLI viene conteggiata ai fini della quota Richieste di lettura di KEY_PROJECT. Se utilizzi un account di servizio in
SERVICE_PROJECT per visualizzare l'elenco delle chiavi, la richiesta di lettura viene conteggiata
ai fini della quota Richieste di lettura di SERVICE_PROJECT.
L'utilizzo della console Google Cloud per visualizzare le risorse Cloud KMS non contribuisce alla quota Richieste di lettura.
Richieste di scrittura
La quota Richieste di scrittura limita le richieste di scrittura dal
progettoGoogle Cloud che chiama l'API Cloud KMS. Ad esempio, la creazione di chiavi in KEY_PROJECT utilizzando gcloud CLI viene conteggiata ai fini della quota di richieste di scrittura di KEY_PROJECT. Se utilizzi un
account di servizio in SERVICE_PROJECT per creare chiavi, la richiesta di scrittura
viene conteggiata ai fini della quota Richieste di scrittura di SERVICE_PROJECT.
L'utilizzo della console Google Cloud per creare o gestire le risorse Cloud KMS non contribuisce alla quota di richieste di lettura.
Richieste crittografiche
La quota Richieste crittografiche limita le operazioni crittografiche dal
progettoGoogle Cloud che chiama l'API Cloud KMS. Ad esempio, la crittografia dei dati utilizzando chiamate API da una risorsa account di servizio in esecuzione in SERVICE_PROJECT utilizzando chiavi di KEY_PROJECT viene conteggiata ai fini della quota Richieste crittografiche di SERVICE_PROJECT.
La crittografia e la decrittografia dei dati in una risorsa Spanner in
SPANNER_PROJECT utilizzando l'integrazione di CMEK non vengono conteggiate ai fini della quota di
richieste crittografiche di SPANNER_PROJECT.
Richieste di crittografia simmetrica HSM per regione
La quota Richieste di crittografia simmetrica HSM per regione limita le operazioni di crittografia che utilizzano chiavi Cloud HSM simmetriche nel progetto che contiene queste chiavi. Google CloudAd esempio, la crittografia dei dati in una risorsa Spanner utilizzando chiavi HSM simmetriche viene conteggiata ai fini della quota KEY_PROJECT richieste crittografiche simmetriche HSM per regione .
Richieste di crittografia asimmetrica HSM per regione
La quota Richieste crittografiche asimmetriche HSM per regione limita le operazioni di crittografia che utilizzano chiavi Cloud HSM asimmetriche nel progetto Google Cloudche contiene queste chiavi. Ad esempio, la crittografia dei dati in una risorsa Spanner utilizzando chiavi HSM asimmetriche viene conteggiata ai fini della quota KEY_PROJECT richieste crittografiche asimmetriche HSM per regione.
Richieste di generazione casuale HSM per regione
I limiti di quota HSM generate random requests per
region generano operazioni di byte casuali utilizzando
Cloud HSM nel progetto Google Cloud specificato nel
messaggio di richiesta. Ad esempio, le richieste da qualsiasi origine per generare byte casuali in KEY_PROJECT vengono conteggiate ai fini della quota KEY_PROJECT
HSM generate random requests per
region.
Richieste crittografiche esterne per regione
La quota Richieste crittografiche esterne per regione limita le operazioni crittografiche che utilizzano chiavi esterne (Cloud EKM) nel progetto Google Cloud che contiene queste chiavi. Ad esempio, la crittografia dei dati in una risorsa Spanner
utilizzando le chiavi EKM viene conteggiata ai fini della quota KEY_PROJECT Richieste crittografiche esterne per
regione.
Informazioni sull'errore di quota
Se effettui una richiesta dopo aver raggiunto la quota, la richiesta genera un errore RESOURCE_EXHAUSTED. Il codice di stato HTTP è 429. Per informazioni su come le librerie client visualizzano l'errore RESOURCE_EXHAUSTED, consulta la sezione relativa alla mappatura delle librerie client.
Se ricevi l'errore RESOURCE_EXHAUSTED, potresti inviare troppe
richieste di operazioni di crittografia al secondo. Puoi ricevere l'errore
RESOURCE_EXHAUSTED anche se la console Google Cloud mostra che rientri
nel limite di query al minuto. Questo problema può verificarsi perché
le quote del progetto di hosting Cloud KMS vengono visualizzate al minuto, ma vengono
applicate su una scala al secondo. Per scoprire di più sulle metriche di monitoraggio, consulta
Configura il monitoraggio e gli avvisi relativi alla quota.
Per informazioni dettagliate sulla risoluzione dei problemi relativi alle quote di Cloud KMS, consulta la sezione Risoluzione dei problemi relativi alle quote.
Passaggi successivi
- Scopri di più sull'utilizzo di Cloud Monitoring con Cloud KMS.
- Scopri come monitorare e modificare le quote di Cloud KMS.