Kuota

Google Cloud memberlakukan kuota pada penggunaan resource. Untuk Cloud Key Management Service (Cloud KMS), kuota diberlakukan pada pengelolaan dan penggunaan resource seperti kunci dan versi kunci, serta lokasi. Tidak ada kuota pada jumlah key ring, kunci, versi kunci, atau resource Cloud KMS lainnya yang dapat Anda miliki; hanya pada penggunaannya.

Melihat kuota Cloud KMS

Mulai 16 Februari 2026, Cloud KMS mengubah cara kuota dilacak dan diterapkan. Dokumen ini memberikan informasi tentang cara kerja kuota sebelum dan setelah perubahan serta membantu Anda mengidentifikasi langkah-langkah yang mungkin perlu Anda lakukan untuk bersiap menghadapi perubahan ini.

Linimasa

Tabel berikut memberikan ringkasan linimasa yang diharapkan untuk perubahan kuota Cloud KMS.

Tanggal	Apa saja yang berubah?
28 Oktober 2024	Cloud KMS mulai mengizinkan permintaan yang melebihi kuota untuk kunci hardware (Cloud HSM) selama sistem Cloud KMS tidak kelebihan beban.
16 Februari 2026	Cloud KMS mulai menggunakan metrik baru. Metrik lama masih tersedia untuk tujuan pemantauan, tetapi tidak lagi digunakan untuk penegakan kuota. Anda dapat memilih untuk menggunakan sistem penyesuai kuota untuk menyesuaikan Cloud KMS Anda secara otomatis berdasarkan penggunaan Anda.
31 Agustus 2026	Metrik lama telah dihentikan dan tidak dapat dipantau lagi.

Ringkasan perubahan

Sistem kuota yang direvisi dirancang untuk menyederhanakan pengelolaan kuota bagi pengguna Cloud KMS. Tabel berikut merangkum perubahan utama:

	Sebelum 16 Februari 2026	Setelah 16 Februari 2026
Cakupan lokasi	Cakupan campuran: Beberapa metrik diukur secara global, dan yang lainnya diukur berdasarkan wilayah.	Cakupan regional: Semua metrik diukur per region. Penggunaan multiregion dihitung berdasarkan kuota untuk region tertentu yang melayani permintaan.
Batas kuota	Batas statis: Batas kuota default diterapkan ke setiap project. Anda dapat meminta penambahan batas kuota.	Batas dinamis: Batas kuota awalnya ditetapkan berdasarkan batas dan penggunaan khusus project Anda sebelum 16 Februari 2026. Sebaiknya Anda juga mengaktifkan layanan penyesuai kuota, sehingga batas Anda disesuaikan secara otomatis berdasarkan penggunaan standar Anda.
Penegakan	Penerapan ketat: Jika batas kuota terlampaui, permintaan akan ditolak, meskipun sistem dapat melayani permintaan tersebut.	Penerapan ringan: Jika batas kuota terlampaui, permintaan baca dan sebagian besar permintaan tulis serta permintaan operasi kriptografi diizinkan jika sistem dapat melayani permintaan. Namun, batas kuota berikut diberlakukan secara ketat: Membuat dan mengimpor permintaan untuk kunci hardware (Cloud HSM) Semua permintaan untuk kunci eksternal (Cloud EKM)
Kuota Cloud HSM	Banyak kuota Cloud HSM: Cloud KMS menerapkan kuota terpisah untuk permintaan simetris, asimetris, dan `generateRandomBytes` Cloud HSM.	Satu kuota Cloud HSM: Cloud KMS menerapkan satu kuota untuk semua permintaan Cloud HSM. Namun, ukuran dan operasi kunci yang berbeda menggunakan kuota dalam jumlah yang berbeda.
Apa yang diukur?	Melacak permintaan: Kuota menghitung jumlah operasi yang dilakukan, tetapi tidak membantu Anda memahami jumlah resource pemrosesan yang Anda gunakan.	Melacak penggunaan resource: Kuota menghitung token, bukan operasi; jumlah token per operasi menunjukkan biaya pemrosesan relatif setiap operasi. Untuk mengetahui informasi selengkapnya, lihat Token per operasi di halaman ini.
Skala waktu	Skala waktu campuran: Beberapa metrik kuota dilaporkan per menit, tetapi diterapkan per detik.	Skala waktu yang konsisten: Semua metrik kuota dilaporkan pada skala waktu yang sama dengan skala waktu saat metrik tersebut diterapkan. Sebagian besar metrik dilaporkan dan diterapkan per menit. Penggunaan Cloud EKM dilaporkan dan diterapkan per detik.
Cakupan project	Beberapa project: Beberapa kuota diterapkan ke project yang berisi resource `CryptoKey` dan `CryptoKeyVersion`, dan yang lainnya diterapkan ke project yang membuat permintaan.	Project tunggal: Semua kuota diterapkan ke project yang berisi resource `CryptoKey` dan `CryptoKeyVersion`.
Kuota CMEK dan Cloud KMS	Penggunaan CMEK software tanpa batasan: Cloud KMS tidak menerapkan kuota pada kunci software yang digunakan dalam integrasi CMEK.	Membatasi hanya penggunaan yang luar biasa: Penggunaan CMEK dihitung terhadap Batas penggunaan software, tetapi dengan penegakan ringan, penggunaan yang melebihi batas Anda akan ditayangkan jika sistem tidak kelebihan kapasitas.

Kuota Cloud KMS setelah 16 Februari 2026

Tabel berikut mencantumkan metrik dan kuota untuk Cloud KMS.

Metrik	Skala waktu Default	Penegakan	Operasi
Baca penggunaan `cloudkms.googleapis.com/read_usage`	Menit 600 TPM	Kunci yang didukung software: Soft Kunci yang didukung hardware: Soft Kunci eksternal: Keras	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list
Penggunaan penulisan `cloudkms.googleapis.com/write_usage`	Menit 100 TPM	Kunci yang didukung software: Soft Kunci yang didukung hardware: Soft Kunci eksternal: Keras	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings: create, setIamPolicy
Penggunaan software `cloudkms.googleapis.com/software_usage`	Menit 6.000.000 TPM	Lembut	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, decapsulate, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes
Penggunaan HSM `cloudkms.googleapis.com/hsm_usage`	Menit 3.000.000 TPM	Lembut
Penggunaan KMS eksternal `cloudkms.googleapis.com/external_usage`	10.000 TPS kedua	Sulit

Token per operasi

Tabel berikut mencantumkan jumlah token kuota yang digunakan oleh setiap operasi untuk setiap resource, ukuran kunci, dan operasi Cloud KMS. Anda dapat menggunakan tabel ini untuk memperkirakan jumlah token kuota yang dapat digunakan oleh aplikasi tertentu. Operasi yang lebih intensif pemrosesannya menggunakan lebih banyak token kuota.

Resource Cloud KMS	Operasi	Token per operasi
Semua resource Cloud KMS	Semua operasi baca	Penggunaan baca: 1
Semua resource Cloud KMS yang didukung software dan eksternal	Semua operasi tulis	Penggunaan penulisan: 1
Kunci yang didukung hardware	Operasi tulis selain pembuatan dan impor	Penggunaan penulisan: 1
Kunci simetris dan MAC yang didukung hardware	Operasi pembuatan dan impor	Penggunaan penulisan: 1 Penggunaan HSM: 1.200
Kunci asimetris yang didukung hardware	Operasi pembuatan dan impor	Penggunaan penulisan: 1 Penggunaan HSM: 50.000
Kunci yang didukung software	Semua operasi kriptografi	Penggunaan software: 100
Kunci eksternal (Cloud EKM)	Semua operasi kriptografi	Penggunaan KMS eksternal: 100
Kunci hardware (Cloud HSM)	Enkripsi atau dekripsi simetris Menandatangani atau memverifikasi MAC `getPublicKey`	Penggunaan HSM: 100
Kunci hardware (Cloud HSM)	`generateRandomBytes`	Penggunaan HSM: 1.000
Kunci hardware (Cloud HSM)	Penandatanganan asimetris dengan kunci RSA 2048-bit Dekripsi asimetris dengan kunci 2048-bit	Penggunaan HSM: 1.500
Kunci hardware (Cloud HSM)	Penandatanganan asimetris dengan kunci RSA 3072 bit Dekripsi asimetris dengan kunci 3072-bit	Penggunaan HSM: 3.500
Kunci hardware (Cloud HSM)	Penandatanganan asimetris dengan kunci `EC_SIGN_P224_SHA256` Penandatanganan asimetris dengan kunci `EC_SIGN_P256_SHA256` Penandatanganan asimetris dengan kunci `EC_SIGN_SECP256K1_SHA256`	Penggunaan HSM: 4.500
Kunci hardware (Cloud HSM)	Penandatanganan asimetris dengan kunci `EC_SIGN_P384_SHA384` Penandatanganan asimetris dengan kunci `EC_SIGN_P521_SHA512`	Penggunaan HSM: 7.000
Kunci hardware (Cloud HSM)	Dekripsi asimetris dengan kunci 4096-bit Penandatanganan asimetris dengan kunci RSA 4096-bit	Penggunaan HSM: 14.000

Tindakan yang disarankan untuk bersiap menghadapi perubahan kuota

Kasus penggunaan	Persiapan yang disarankan
Memastikan kuota yang memadai untuk project yang ada	Untuk project yang sudah ada, batas kuota untuk metrik baru akan dihitung secara otomatis berdasarkan penggunaan sebenarnya project. Anda tidak perlu melakukan tindakan apa pun untuk project yang ada.
Memastikan kuota yang memadai untuk project baru	Jika Anda berencana membuat project baru dan memperkirakan penggunaan kuota yang tinggi, aktifkan penyesuaian kuota otomatis menggunakan layanan penyesuai kuota. Biarkan peningkatan traffic bertahap selama 1-2 minggu agar sistem dapat menyesuaikan penggunaan Anda, atau secara proaktif minta batas kuota yang menurut Anda akan diperlukan.
Memperbarui pemantauan untuk menggunakan kuota baru	Pemantauan menggunakan metrik kuota yang ada tersedia hingga 31 Agustus 2026. Sebaiknya siapkan pemantauan menggunakan metrik baru setelah tersedia pada 16 Februari 2026, tetapi sebelum 31 Agustus 2026.
Mengaktifkan pengatur kuota	Sebaiknya Anda memilih untuk menggunakan sistem penyesuai kuota untuk menyesuaikan kuota Cloud KMS secara otomatis berdasarkan penggunaan Anda. Setiap project yang berisi resource Cloud KMS harus mengaktifkan penyesuai kuota secara terpisah.

Kuota Cloud KMS sebelum 16 Februari 2026

Beberapa kuota pada operasi ini berlaku untuk project yang melakukan panggilan, yaitu Google Cloud project yang melakukan panggilan ke layanan Cloud KMS. Kuota lain berlaku untuk project hosting, project Google Cloud yang berisi kunci yang digunakan untuk operasi.

Kuota project panggilan tidak mencakup penggunaan yang dihasilkan oleh Google Cloud layanan yang menggunakan kunci Cloud KMS untuk integrasi kunci enkripsi yang dikelola pelanggan (CMEK). Misalnya, permintaan enkripsi dan dekripsi yang berasal langsung dari BigQuery, Bigtable, atau Spanner tidak berkontribusi pada kuota Permintaan kriptografis.

Konsol Google Cloud mencantumkan batas untuk setiap kuota dalam kueri per menit (QPM), tetapi kuota project hosting diterapkan per detik. Kouta yang diterapkan dalam kueri per detik (QPS) menolak permintaan yang melebihi batas QPS, meskipun penggunaan per menit Anda kurang dari batas QPM yang tercantum. Jika melebihi batas QPS, Anda akan menerima error RESOURCE_EXHAUSTED.

Kuota penggunaan resource Cloud KMS

Tabel berikut mencantumkan setiap kuota yang diterapkan ke resource Cloud KMS. Tabel ini memberikan nama dan batas setiap kuota, project yang menerapkan kuota, dan operasi yang dihitung dalam kuota. Anda dapat memasukkan kata kunci di kolom untuk memfilter tabel. Misalnya, Anda dapat memasukkan calling untuk hanya melihat kuota yang diterapkan pada project panggilan atau encrypt untuk hanya melihat kuota yang terkait dengan operasi enkripsi:

Kuota	Project	Batas	Resource dan operasi
Membaca permintaan `cloudkms.googleapis.com/read_requests`	Project panggilan	300 QPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list Dikecualikan: operasi dari konsol Google Cloud .
Permintaan tulis `cloudkms.googleapis.com/write_requests`	Project panggilan	60 QPM	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings: create, setIamPolicy Dikecualikan: operasi dari konsol Google Cloud .
Permintaan kriptografi `cloudkms.googleapis.com/crypto_requests`	Project panggilan	60.000 QPM	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Dikecualikan: operasi dari integrasi CMEK.
Permintaan kriptografi simetris HSM per region `cloudkms.googleapis.com/hsm_symmetric_requests`	Project hosting	500 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt Dikecualikan: Kunci Cloud HSM tenant tunggal.
Permintaan kriptografi asimetris HSM per region `cloudkms.googleapis.com/hsm_asymmetric_requests`	Project hosting	50 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify Dikecualikan: Kunci Cloud HSM tenant tunggal.
Permintaan pembuatan angka acak HSM per region `cloudkms.googleapis.com/hsm_generate_random_requests`	Project hosting	50 QPS	locations: generateRandomBytes Dikecualikan: Kunci Cloud HSM tenant tunggal.
Permintaan kriptografi eksternal per region `cloudkms.googleapis.com/external_kms_requests`	Project hosting	100 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Contoh kuota

Bagian berikut menyertakan contoh setiap kuota menggunakan contoh project berikut:

KEY_PROJECT - Project Google Cloud yang berisi kunci Cloud KMS, termasuk kunci Multi-tenant Cloud HSM dan Cloud EKM.
SPANNER_PROJECT - Project Google Cloud yang berisi instance Spanner yang menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) yang berada di KEY_PROJECT.
SERVICE_PROJECT - Project Google Cloud yang berisi akun layanan yang Anda gunakan untuk mengelola resource Cloud KMS yang berada di KEY_PROJECT.

Permintaan baca

Kuota Permintaan baca membatasi permintaan baca dari projectGoogle Cloud yang memanggil Cloud KMS API. Misalnya, melihat daftar kunci di KEY_PROJECT dari KEY_PROJECT menggunakan Google Cloud CLI dihitung dalam kuota Permintaan baca.KEY_PROJECT Jika Anda menggunakan akun layanan di SERVICE_PROJECT untuk melihat daftar kunci, permintaan baca akan dihitung terhadap kuota Permintaan baca SERVICE_PROJECT.

Penggunaan konsol Google Cloud untuk melihat resource Cloud KMS tidak berkontribusi pada kuota Permintaan baca.

Permintaan tulis

Kuota Permintaan tulis membatasi permintaan tulis dari projectGoogle Cloud yang memanggil Cloud KMS API. Misalnya, membuat kunci di KEY_PROJECT menggunakan gcloud CLI akan dihitung dalam kuota Permintaan tulis KEY_PROJECT. Jika Anda menggunakan akun layanan di SERVICE_PROJECT untuk membuat kunci, permintaan tulis akan dihitung dalam kuota Permintaan tulis SERVICE_PROJECT.

Penggunaan konsol Google Cloud untuk membuat atau mengelola resource Cloud KMS tidak berkontribusi pada kuota Permintaan baca.

Permintaan kriptografi

Kuota Permintaan kriptografis membatasi operasi kriptografis dari Google Cloud project yang memanggil Cloud KMS API. Misalnya, mengenkripsi data menggunakan panggilan API dari resource akun layanan yang berjalan di SERVICE_PROJECT menggunakan kunci dari KEY_PROJECT akan mengurangi kuota Permintaan kriptografi SERVICE_PROJECT.

Enkripsi dan dekripsi data dalam resource Spanner di SPANNER_PROJECT menggunakan integrasi CMEK tidak dihitung dalam kuota Permintaan kriptografi SPANNER_PROJECT.

Permintaan kriptografi simetris HSM per region

Kuota permintaan kriptografi simetris HSM per region membatasi operasi kriptografi menggunakan kunci Cloud HSM simetris di Google Cloud project yang berisi kunci tersebut. Misalnya, mengenkripsi data di resource Spanner menggunakan kunci HSM simetris akan dihitung dalam kuota permintaan kriptografi simetris HSM per region KEY_PROJECT.

Permintaan kriptografi asimetris HSM per region

Kuota permintaan kriptografi asimetris HSM per region membatasi operasi kriptografi menggunakan kunci Cloud HSM asimetris pada project yang berisi kunci tersebut. Google CloudMisalnya, mengenkripsi data dalam resource Spanner menggunakan kunci HSM asimetris dihitung dalam kuota KEY_PROJECT permintaan kriptografi asimetris HSM per region.

Permintaan pembuatan acak HSM per region

Batas kuota permintaan pembuatan angka acak HSM per region membatasi operasi pembuatan byte acak menggunakan Cloud HSM di project yang ditentukan dalam pesan permintaan. Google Cloud Misalnya, permintaan dari sumber mana pun untuk membuat byte acak di KEY_PROJECT dihitung dalam kuota permintaan pembuatan angka acak HSM per region KEY_PROJECT.

Permintaan kriptografi eksternal per region

Kuota Permintaan kriptografi eksternal per region membatasi operasi kriptografi menggunakan kunci eksternal (Cloud EKM) di project Google Cloud yang berisi kunci tersebut. Misalnya, mengenkripsi data di resource Spanner menggunakan kunci EKM akan dihitung dalam kuota Permintaan kriptografi eksternal per region KEY_PROJECT.

Informasi error kuota

Jika Anda membuat permintaan setelah kuota Anda tercapai, permintaan Anda akan menghasilkan error RESOURCE_EXHAUSTED. Kode status HTTP adalah 429. Untuk mengetahui informasi tentang cara library klien menampilkan error RESOURCE_EXHAUSTED, lihat Pemetaan library klien.

Jika Anda menerima error RESOURCE_EXHAUSTED, Anda mungkin mengirim terlalu banyak permintaan operasi kriptografi per detik. Anda dapat menerima error RESOURCE_EXHAUSTED meskipun konsol Google Cloud menunjukkan bahwa Anda berada dalam batas kueri per menit. Masalah ini dapat terjadi karena kuota project hosting Cloud KMS ditampilkan per menit, tetapi diterapkan dalam skala per detik. Untuk mempelajari lebih lanjut metrik pemantauan, lihat Menyiapkan pemberitahuan dan pemantauan kuota.

Untuk mengetahui detail tentang pemecahan masalah kuota Cloud KMS, lihat Memecahkan masalah kuota.

Langkah berikutnya

Pelajari cara menggunakan Cloud Monitoring dengan Cloud KMS.
Pelajari cara memantau dan menyesuaikan kuota Cloud KMS.