Cotas

OGoogle Cloud impõe cotas sobre o uso de recursos. Para o Cloud Key Management Service (Cloud KMS), as cotas são aplicadas no gerenciamento e uso de recursos como chaves e versões de chaves, e locais. Não há cotas para o número de keyrings, chaves, versões de chaves ou outros recursos do Cloud KMS que você pode ter, apenas para o uso deles.

Ver cotas do Cloud KMS

A partir de 16 de fevereiro de 2026, o Cloud KMS vai mudar a forma como as cotas são rastreadas e aplicadas. Este documento fornece informações sobre como as cotas funcionam antes e depois da mudança e ajuda você a identificar as etapas necessárias para se preparar para a mudança.

Cronograma

A tabela a seguir oferece uma visão geral do cronograma esperado para as mudanças nas cotas do Cloud KMS.

Data	O que vai mudar?
28 de outubro de 2024	O Cloud KMS começou a permitir solicitações acima da cota para chaves de hardware (Cloud HSM), desde que o sistema do Cloud KMS não esteja sobrecarregado.
16 de fevereiro de 2026	O Cloud KMS começa a usar as novas métricas. As métricas antigas ainda estão disponíveis para fins de monitoramento, mas não são mais usadas para aplicação de cotas. Você pode ativar o uso do sistema ajustador de cota para ajustar automaticamente o Cloud KMS com base no seu uso.
31 de agosto de 2026	As métricas antigas foram desativadas e não podem mais ser monitoradas.

Resumo das mudanças

O sistema de cotas revisado foi criado para simplificar o gerenciamento de cotas para usuários do Cloud KMS. A tabela a seguir resume as principais mudanças:

	Antes de 16 de fevereiro de 2026	Depois de 16 de fevereiro de 2026
Escopo de local	Escopo misto:algumas métricas são medidas globalmente, e outras, por região.	Escopo regional:todas as métricas são medidas por região. O uso multirregional é contado na cota da região específica que atende à solicitação.
Limites de cota	Limites estáticos:os limites de cota padrão são aplicados a cada projeto. É possível solicitar aumentos no limite da cota.	Limites dinâmicos:os limites de cota são definidos inicialmente com base nos seus limites específicos do projeto e no uso antes de 16 de fevereiro de 2026. Recomendamos que você também ative o serviço de ajuste de cota para que seus limites sejam ajustados automaticamente com base no uso típico.
Aplicação	Aplicação rígida:quando um limite de cota é excedido, as solicitações são negadas, mesmo que o sistema possa atender à solicitação.	Aplicação flexível:quando um limite de cota é excedido, as solicitações de leitura e a maioria das solicitações de gravação e de operação criptográfica são permitidas se o sistema puder atender à solicitação. No entanto, os seguintes limites de cota são aplicados de forma rígida: Criar e importar solicitações de chaves de hardware (Cloud HSM) Todas as solicitações de chaves externas (Cloud EKM)
Cotas do Cloud HSM	Muitas cotas do Cloud HSM:o Cloud KMS aplica cotas separadas para solicitações simétricas, assimétricas e `generateRandomBytes` do Cloud HSM.	Uma cota do Cloud HSM:o Cloud KMS impõe uma única cota para todas as solicitações do Cloud HSM. No entanto, diferentes tamanhos e operações de chave consomem quantidades diferentes de cota.
O que é medido?	Rastrear solicitações:as cotas contam o número de operações realizadas, mas não ajudam a entender quantos recursos de processamento você está consumindo.	Acompanhar o uso de recursos:as cotas contam tokens em vez de operações. O número de tokens por operação indica o custo relativo de processamento de cada operação. Para mais informações, consulte Tokens por operação nesta página.
Escala de tempo	Escalas de tempo mistas:algumas métricas de cota são informadas por minuto, mas aplicadas por segundo.	Escalas de tempo consistentes:todas as métricas de cota são informadas na mesma escala de tempo em que são aplicadas. A maioria das métricas é informada e aplicada por minuto. O uso do Cloud EKM é informado e aplicado por segundo.
Escopo do projeto	Vários projetos:algumas cotas são aplicadas ao projeto que contém os recursos `CryptoKey` e `CryptoKeyVersion`, e outras são aplicadas ao projeto que faz a solicitação.	Projeto único:todas as cotas são aplicadas ao projeto que contém os recursos `CryptoKey` e `CryptoKeyVersion`.
Cotas do CMEK e do Cloud KMS	Uso irrestrito de CMEK de software:o Cloud KMS não impõe cotas em chaves de software usadas em integrações de CMEK.	Restrinja apenas o uso excepcional:o uso da CMEK conta para o limite de uso de software, mas, com a aplicação flexível, o uso que excede o limite é atendido se o sistema não estiver com capacidade excessiva.

Cotas do Cloud KMS após 16 de fevereiro de 2026

A tabela a seguir lista as métricas e cotas do Cloud KMS.

Métrica	Escala de tempo Padrão	Aplicação	Operações
Ler uso `cloudkms.googleapis.com/read_usage`	Minuto 600 TPM	Chaves protegidas por software: Soft Chaves protegidas por hardware: Soft Chaves externas: difícil	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list
Uso de gravação `cloudkms.googleapis.com/write_usage`	Minuto 100 TPM	Chaves protegidas por software: Soft Chaves protegidas por hardware: Soft Chaves externas: difícil	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings: create, setIamPolicy
Uso de software `cloudkms.googleapis.com/software_usage`	Minuto 6.000.000 TPM	Suave	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, decapsulate, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes
Uso do HSM `cloudkms.googleapis.com/hsm_usage`	Minuto 3.000.000 TPM	Suave
Uso do KMS externo `cloudkms.googleapis.com/external_usage`	Segunda 10.000 TPS	Difícil

Tokens por operação

A tabela a seguir lista o número de tokens de cota consumidos por cada operação para cada recurso, tamanho de chave e operação do Cloud KMS. Use esta tabela para estimar quantos tokens de cota um determinado aplicativo pode consumir. Operações que exigem mais processamento usam mais tokens de cota.

Recurso do Cloud KMS	Operação	Tokens por operação
Todos os recursos do Cloud KMS	Todas as operações de leitura	Uso de leitura: 1
Todos os recursos externos e baseados em software do Cloud KMS	Todas as operações de gravação	Uso de gravação: 1
Chaves protegidas por hardware	Operações de gravação que não sejam de criação e importação	Uso de gravação: 1
Chaves simétricas e MAC protegidas por hardware	Criar e importar operações	Uso de gravação: 1 Uso de HSM: 1.200
Chaves assimétricas protegidas por hardware	Criar e importar operações	Uso de gravação: 1 Uso de HSM: 50.000
Chaves protegidas por software	Todas as operações criptográficas	Uso de software: 100
Chaves externas (Cloud EKM)	Todas as operações criptográficas	Uso do KMS externo: 100
Chaves de hardware (Cloud HSM)	Criptografia ou descriptografia simétrica Assinar ou verificar MAC `getPublicKey`	Uso do HSM: 100
Chaves de hardware (Cloud HSM)	`generateRandomBytes`	Uso do HSM: 1.000
Chaves de hardware (Cloud HSM)	Assinatura assimétrica com chaves RSA de 2.048 bits Descriptografia assimétrica com chaves de 2048 bits	Uso do HSM: 1.500
Chaves de hardware (Cloud HSM)	Assinatura assimétrica com chaves RSA de 3072 bits Descriptografia assimétrica com chaves de 3.072 bits	Uso do HSM: 3.500
Chaves de hardware (Cloud HSM)	Assinatura assimétrica com chaves `EC_SIGN_P224_SHA256` Assinatura assimétrica com chaves `EC_SIGN_P256_SHA256` Assinatura assimétrica com chaves `EC_SIGN_SECP256K1_SHA256`	Uso do HSM: 4.500
Chaves de hardware (Cloud HSM)	Assinatura assimétrica com chaves `EC_SIGN_P384_SHA384` Assinatura assimétrica com chaves `EC_SIGN_P521_SHA512`	Uso do HSM: 7.000
Chaves de hardware (Cloud HSM)	Descriptografia assimétrica com chaves de 4.096 bits Assinatura assimétrica com chaves RSA de 4.096 bits	Uso do HSM: 14.000

Ações sugeridas para se preparar para mudanças de cota

Caso de uso	Preparação sugerida
Verificar se há cotas adequadas para projetos atuais	Para projetos atuais, os limites de cota das novas métricas serão calculados automaticamente com base no uso real do projeto. Nenhuma ação é necessária para projetos atuais.
Verificar se há cotas adequadas para novos projetos	Se você planeja criar um novo projeto e espera um uso alto de cota, ative o ajuste automático de cota usando o serviço de ajuste de cota. Aguarde de uma a duas semanas para que o tráfego aumente gradualmente e os sistemas se ajustem ao seu uso. Ou solicite proativamente os limites de cota que você acha que vai precisar.
Atualizar o monitoramento para usar novas cotas	O monitoramento usando as métricas de cota atuais está disponível até 31 de agosto de 2026. Recomendamos configurar o monitoramento usando as novas métricas depois que elas estiverem disponíveis em 16 de fevereiro de 2026, mas antes de 31 de agosto de 2026.
Ativar o ajustador de cotas	Recomendamos que você ative o uso do sistema ajustador de cota para ajustar automaticamente as cotas do Cloud KMS com base no seu uso. Cada projeto que contém recursos do Cloud KMS precisa ser ativado no ajuste de cota separadamente.

Cotas do Cloud KMS antes de 16 de fevereiro de 2026

Algumas cotas nessas operações se aplicam ao projeto de chamada, o Google Cloud projeto que faz chamadas para o serviço do Cloud KMS. Outras cotas se aplicam ao projeto de hospedagem, o projeto Google Cloud que contém as chaves usadas na operação.

As cotas de projetos de chamadas não incluem o uso gerado por serviçosGoogle Cloud que usam chaves do Cloud KMS para integração de chaves de criptografia gerenciadas pelo cliente (CMEK). Por exemplo, as solicitações de criptografia e descriptografia que vêm diretamente do BigQuery, do Bigtable ou do Spanner não contribuem para as cotas de solicitações criptográficas.

O console Google Cloud lista o limite de cada cota em consultas por minuto (QPM), mas as cotas de projetos de hospedagem são aplicadas por segundo. As cotas aplicadas em consultas por segundo (QPS) negam solicitações que excedem o limite de QPS, mesmo que o uso por minuto seja menor do que o limite de QPM listado. Se você exceder um limite de QPS, vai receber um erro RESOURCE_EXHAUSTED.

Cotas sobre o uso de recursos do Cloud KMS

A tabela a seguir lista cada cota aplicada aos recursos do Cloud KMS. A tabela informa o nome e o limite de cada cota, o projeto a que ela se aplica e as operações que são contabilizadas. Você pode inserir uma palavra-chave no campo para filtrar a tabela. Por exemplo, insira calling para ver apenas as cotas aplicadas ao projeto de chamada ou encrypt para ver apenas as cotas relacionadas a operações de criptografia:

Cota	Projeto	Limite	Recursos e operações
Solicitações de leitura `cloudkms.googleapis.com/read_requests`	Projeto de chamada	300 QPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list Isentas: operações do console Google Cloud .
Solicitações de gravação `cloudkms.googleapis.com/write_requests`	Projeto de chamada	60 QPM	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings: create, setIamPolicy Isentas: operações do console Google Cloud .
Solicitações de criptografia `cloudkms.googleapis.com/crypto_requests`	Projeto de chamada	60.000 QPM	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Isentas: operações de integrações com CMEK.
Solicitações de criptografia simétrica de HSM por região `cloudkms.googleapis.com/hsm_symmetric_requests`	Projeto host	500 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt Exceção: chaves do Cloud HSM de locatário único.
Solicitações de criptografia assimétrica de HSM por região `cloudkms.googleapis.com/hsm_asymmetric_requests`	Projeto host	50 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify Exceção: chaves do Cloud HSM de locatário único.
Solicitações aleatórias de geração de HSM por região `cloudkms.googleapis.com/hsm_generate_random_requests`	Projeto host	50 QPS	locations: generateRandomBytes Exceção: chaves do Cloud HSM de locatário único.
Solicitações criptográficas externas por região `cloudkms.googleapis.com/external_kms_requests`	Projeto host	100 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Exemplos de cota

As seções a seguir incluem exemplos de cada cota usando os seguintes projetos de exemplo:

KEY_PROJECT: um projeto do Google Cloud que contém chaves do Cloud KMS, incluindo chaves do Cloud HSM multitenant e do Cloud EKM.
SPANNER_PROJECT: um projeto do Google Cloud que contém uma instância do Spanner que usa as chaves de criptografia gerenciadas pelo cliente (CMEKs) localizadas em KEY_PROJECT.
SERVICE_PROJECT: um projeto do Google Cloud que contém uma conta de serviço usada para gerenciar recursos do Cloud KMS que estão em KEY_PROJECT.

Solicitações de leitura

A cota de Solicitações de leitura limita as solicitações de leitura do projetoGoogle Cloud que chama a API Cloud KMS. Por exemplo, visualizar uma lista de chaves em KEY_PROJECT de KEY_PROJECT usando a Google Cloud CLI conta para a cota de solicitações de leitura do KEY_PROJECT. Se você usar uma conta de serviço em SERVICE_PROJECT para ver sua lista de chaves, a solicitação de leitura será contabilizada na cota de solicitações de leitura do SERVICE_PROJECT.

Usar o console Google Cloud para ver recursos do Cloud KMS não contribui para a cota de solicitações de leitura.

Solicitações de gravação

A cota de Solicitações de gravação limita as solicitações de gravação do projetoGoogle Cloud que chama a API Cloud KMS. Por exemplo, a criação de chaves em KEY_PROJECT usando a CLI gcloud conta para a cota de solicitações de gravação do KEY_PROJECT. Se você usar uma conta de serviço em SERVICE_PROJECT para criar chaves, a solicitação de gravação será contabilizada na cota de Solicitações de gravação do SERVICE_PROJECT.

Usar o console Google Cloud para criar ou gerenciar recursos do Cloud KMS não contribui para a cota de solicitações de leitura.

Solicitações de criptografia

A cota de Solicitações criptográficas limita as operações criptográficas do projetoGoogle Cloud que chama a API Cloud KMS. Por exemplo, a criptografia de dados usando chamadas de API de um recurso de conta de serviço em execução em SERVICE_PROJECT com chaves de KEY_PROJECT conta para a cota de Solicitações criptográficas de SERVICE_PROJECT.

A criptografia e a descriptografia de dados em um recurso do Spanner em SPANNER_PROJECT usando a integração da CMEK não contam para a cota de Solicitações criptográficas do SPANNER_PROJECT.

Solicitações de criptografia simétrica de HSM por região

A cota de solicitações criptográficas simétricas do HSM por região limita as operações criptográficas usando chaves simétricas do Cloud HSM no projeto Google Cloudque contém essas chaves. Por exemplo, a criptografia de dados em um recurso do Spanner usando chaves simétricas do HSM conta para a cota de KEY_PROJECT solicitações criptográficas simétricas do HSM por região .

Solicitações de criptografia assimétrica de HSM por região

A cota de solicitações criptográficas assimétricas do HSM por região limita as operações criptográficas usando chaves assimétricas do Cloud HSM no projeto Google Cloudque contém essas chaves. Por exemplo, a criptografia de dados em um recurso do Spanner usando chaves assimétricas do HSM conta para a cota de KEY_PROJECT solicitações criptográficas assimétricas do HSM por região.

Solicitações de geração aleatória de HSM por região

A cota HSM generate random requests per region limita as operações de geração de bytes aleatórios usando o Cloud HSM no projeto Google Cloud especificado na mensagem de solicitação. Por exemplo, solicitações de qualquer origem para gerar bytes aleatórios em KEY_PROJECT são contabilizadas na cota de solicitações aleatórias de geração de HSM por região de KEY_PROJECT.

Solicitações de criptografia externas por região

A cota de Solicitações criptográficas externas por região limita as operações criptográficas usando chaves externas (Cloud EKM) no projeto Google Cloud que contém essas chaves. Por exemplo, a criptografia de dados em um recurso do Spanner usando chaves EKM é contabilizada na cota de solicitações criptográficas externas por região de KEY_PROJECT.

Informação de erro na cota

Se você fizer uma solicitação depois que a cota for atingida, ela vai resultar em um erro de RESOURCE_EXHAUSTED. O código de status HTTP é 429. Para saber como as bibliotecas de cliente exibem o erro RESOURCE_EXHAUSTED, consulte Mapeamento da biblioteca de cliente.

Se você receber o erro RESOURCE_EXHAUSTED, talvez esteja enviando muitas solicitações de operações criptográficas por segundo. Você pode receber o erro RESOURCE_EXHAUSTED mesmo que o console do Google Cloud mostre que você está dentro do limite de consultas por minuto. Isso pode acontecer porque as cotas do projeto de hospedagem do Cloud KMS são mostradas por minuto, mas são aplicadas em uma escala por segundo. Para saber mais sobre métricas de monitoramento, consulte Configurar alertas e monitoramento de cota.

Para detalhes sobre como solucionar problemas de cota do Cloud KMS, consulte Resolver problemas de cota.

A seguir

Saiba como usar o Cloud Monitoring com o Cloud KMS.
Saiba como monitorar e ajustar as cotas do Cloud KMS.