Quotas

Google Cloud impose des quotas sur l'utilisation des ressources. Pour Cloud Key Management Service (Cloud KMS), les quotas s'appliquent à la gestion et à l'utilisation de ressources telles que les clés, les versions de clés et les emplacements. Aucun quota ne s'applique au nombre de trousseaux de clés, de clés, de versions de clé ni d'autres ressources Cloud KMS que vous pouvez avoir. Les quotas concernent uniquement leur utilisation.

Afficher les quotas Cloud KMS

À compter du 16 février 2026, Cloud KMS modifiera la façon dont les quotas sont suivis et appliqués. Ce document fournit des informations sur le fonctionnement des quotas avant et après le changement, et vous aide à identifier les étapes à suivre pour vous y préparer.

Chronologie

Le tableau suivant présente un aperçu du calendrier prévu pour les modifications apportées aux quotas Cloud KMS.

Date	Qu'est-ce qui change ?
28 octobre 2024	Cloud KMS a commencé à autoriser les requêtes dépassant le quota pour les clés matérielles (Cloud HSM), à condition que le système Cloud KMS ne soit pas surchargé.
16 février 2026	Cloud KMS commence à utiliser les nouvelles métriques. Les anciennes métriques restent disponibles à des fins de surveillance, mais ne sont plus utilisées pour l'application des quotas. Vous pouvez choisir d'utiliser le système d'ajustement des quotas pour ajuster automatiquement vos quotas Cloud KMS en fonction de votre utilisation.
31 août 2026	Les anciennes métriques ont été abandonnées et ne peuvent plus être surveillées.

Résumé des modifications

Le système de quotas révisé est conçu pour simplifier la gestion des quotas pour les utilisateurs de Cloud KMS. Le tableau suivant récapitule les principales modifications :

	Avant le 16 février 2026	Après le 16 février 2026
Portée géographique	Portée mixte : certaines métriques sont mesurées au niveau mondial, d'autres au niveau régional.	Champ d'application régional : toutes les métriques sont mesurées par région. L'utilisation multirégionale est comptabilisée dans le quota de la région spécifique qui traite la requête.
Limites de quota	Limites statiques : les limites de quota par défaut sont appliquées à chaque projet. Vous pouvez demander à augmenter les limites de quota.	Limites dynamiques : les limites de quota sont initialement définies en fonction de vos limites et de votre utilisation spécifiques au projet avant le 16 février 2026. Nous vous recommandons également d'activer le service d'ajustement des quotas afin que vos limites soient automatiquement ajustées en fonction de votre utilisation habituelle.
Application	Application stricte : lorsque la limite d'un quota est dépassée, les requêtes sont refusées, même si le système peut les traiter.	Application souple : lorsqu'une limite de quota est dépassée, les requêtes de lecture et la plupart des requêtes d'écriture et d'opérations de chiffrement sont autorisées si le système peut traiter la requête. Toutefois, les limites de quota suivantes sont appliquées de manière stricte : Créer et importer des requêtes pour les clés matérielles (Cloud HSM) Toutes les demandes concernant les clés externes (Cloud EKM)
Quotas Cloud HSM	Nombreux quotas Cloud HSM : Cloud KMS applique des quotas distincts pour les requêtes Cloud HSM symétriques, asymétriques et `generateRandomBytes`.	Un seul quota Cloud HSM : Cloud KMS applique un seul quota pour toutes les requêtes Cloud HSM. Toutefois, différentes tailles et opérations de clés consomment différentes quantités de quota.
Qu'est-ce qui est mesuré ?	Suivre les requêtes : les quotas comptabilisent le nombre d'opérations effectuées, mais ne vous aident pas à comprendre la quantité de ressources de traitement que vous consommez.	Suivez l'utilisation des ressources : les quotas comptabilisent les jetons au lieu des opérations. Le nombre de jetons par opération indique le coût de traitement relatif de chaque opération. Pour en savoir plus, consultez la section Jetons par opération sur cette page.
Échelle temporelle	Échelles de temps mixtes : certaines métriques de quota sont signalées par minute, mais appliquées par seconde.	Échelles de temps cohérentes : toutes les métriques de quota sont signalées à la même échelle de temps que celle à laquelle elles sont appliquées. La plupart des métriques sont signalées et appliquées par minute. L'utilisation de Cloud EKM est signalée et appliquée à la seconde.
Champ d'application du projet	Plusieurs projets : certains quotas sont appliqués au projet qui contient les ressources `CryptoKey` et `CryptoKeyVersion`, tandis que d'autres sont appliqués au projet qui effectue la requête.	Projet unique : tous les quotas sont appliqués au projet qui contient les ressources `CryptoKey` et `CryptoKeyVersion`.
Quotas CMEK et Cloud KMS	Utilisation illimitée des clés logicielles CMEK : Cloud KMS n'applique pas de quotas aux clés logicielles utilisées dans les intégrations CMEK.	Restreindre uniquement l'utilisation exceptionnelle : l'utilisation de CMEK est comptabilisée dans la limite d'utilisation du logiciel, mais avec une application souple. L'utilisation qui dépasse votre limite est autorisée si le système n'est pas surchargé.

Quotas Cloud KMS après le 16 février 2026

Le tableau suivant répertorie les métriques et les quotas pour Cloud KMS.

Métrique	Échelle temporelle Par défaut	Application	Opérations
Lire l'utilisation `cloudkms.googleapis.com/read_usage`	Minute 600 TPM	Clés avec support logiciel : logiciel Clés avec support matériel : logiciel Clés externes : difficile	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs : get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations : get, list
Utilisation de l'écriture `cloudkms.googleapis.com/write_usage`	Minute 100 TPM	Clés avec support logiciel : logiciel Clés avec support matériel : logiciel Clés externes : difficile	cryptoKeys : create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions : create, destroy, import, patch, restore ekmConnections : create, patch, setIamPolicy importJobs : create, setIamPolicy keyRings: create, setIamPolicy
Utilisation des logiciels `cloudkms.googleapis.com/software_usage`	Minute 6 000 000 TPM	Douce	cryptoKeys : encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, decapsulate, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes
Utilisation du HSM `cloudkms.googleapis.com/hsm_usage`	Minute 3 000 000 TPM	Douce
Utilisation d'un KMS externe `cloudkms.googleapis.com/external_usage`	Seconde : 10 000 TPS	Difficile

Jetons par opération

Le tableau suivant indique le nombre de jetons de quota consommés par chaque opération pour chaque ressource, taille de clé et opération Cloud KMS. Vous pouvez utiliser ce tableau pour estimer le nombre de jetons de quota qu'une application donnée peut consommer. Les opérations qui nécessitent plus de ressources de traitement utilisent plus de jetons de quota.

Ressource Cloud KMS	Opération	Jetons par opération
Toutes les ressources Cloud KMS	Toutes les opérations de lecture	Utilisation de la lecture : 1
Toutes les ressources Cloud KMS logicielles et externes	Toutes les opérations d'écriture	Utilisation de l'écriture : 1
Clés avec support matériel	Opérations d'écriture autres que la création et l'importation	Utilisation de l'écriture : 1
Clés MAC et symétriques avec support matériel	Créer et importer des opérations	Utilisation de l'écriture : 1 Utilisation du HSM : 1 200
Clés asymétriques avec support matériel	Créer et importer des opérations	Utilisation de l'écriture : 1 Utilisation de HSM : 50 000
Clés avec support logiciel	Toutes les opérations de chiffrement	Utilisation de logiciels : 100
Clés externes (Cloud EKM)	Toutes les opérations de chiffrement	Utilisation de KMS externe : 100
Clés matérielles (Cloud HSM)	Chiffrement ou déchiffrement symétrique Signer ou valider un MAC `getPublicKey`	Utilisation du HSM : 100
Clés matérielles (Cloud HSM)	`generateRandomBytes`	Utilisation de HSM : 1 000
Clés matérielles (Cloud HSM)	Signature asymétrique avec des clés RSA de 2 048 bits Déchiffrement asymétrique avec des clés de 2 048 bits	Utilisation du HSM : 1 500
Clés matérielles (Cloud HSM)	Signature asymétrique avec des clés RSA de 3 072 bits Déchiffrement asymétrique avec des clés de 3 072 bits	Utilisation du HSM : 3 500
Clés matérielles (Cloud HSM)	Signature asymétrique avec des clés `EC_SIGN_P224_SHA256` Signature asymétrique avec des clés `EC_SIGN_P256_SHA256` Signature asymétrique avec des clés `EC_SIGN_SECP256K1_SHA256`	Utilisation du HSM : 4 500
Clés matérielles (Cloud HSM)	Signature asymétrique avec des clés `EC_SIGN_P384_SHA384` Signature asymétrique avec des clés `EC_SIGN_P521_SHA512`	Utilisation du HSM : 7 000
Clés matérielles (Cloud HSM)	Déchiffrement asymétrique avec des clés de 4 096 bits Signature asymétrique avec des clés RSA de 4 096 bits	Utilisation du HSM : 14 000

Actions suggérées pour vous préparer aux modifications de quota

Cas d'utilisation	Préparation suggérée
S'assurer que les quotas sont suffisants pour les projets existants	Pour les projets existants, les limites de quota pour les nouvelles métriques seront calculées automatiquement en fonction de l'utilisation réelle du projet. Aucune action n'est requise pour les projets existants.
S'assurer de disposer de quotas suffisants pour les nouveaux projets	Si vous prévoyez de créer un projet et que vous vous attendez à une utilisation élevée des quotas, activez l'ajustement automatique des quotas à l'aide du service d'ajustement des quotas. Augmentez progressivement le trafic sur une à deux semaines pour permettre aux systèmes de s'adapter à votre utilisation, ou demandez de manière proactive les limites de quota dont vous pensez avoir besoin.
Mettre à jour la surveillance pour utiliser les nouveaux quotas	La surveillance à l'aide des métriques de quota existantes est disponible jusqu'au 31 août 2026. Nous vous recommandons de configurer la surveillance à l'aide des nouvelles métriques après leur disponibilité le 16 février 2026, mais avant le 31 août 2026.
Activer l'outil d'ajustement de quota	Nous vous recommandons d'activer le système d'ajustement des quotas pour ajuster automatiquement vos quotas Cloud KMS en fonction de votre utilisation. Chaque projet contenant des ressources Cloud KMS doit être activé séparément dans l'outil d'ajustement des quotas.

Quotas Cloud KMS avant le 16 février 2026

Certains quotas sur ces opérations s'appliquent au projet appelant, le projetGoogle Cloud qui appelle le service Cloud KMS. D'autres quotas s'appliquent au projet hôte, le projet Google Cloud qui contient les clés utilisées pour l'opération.

Les quotas d'appels de projet n'incluent pas l'utilisation générée par les servicesGoogle Cloud utilisant des clés Cloud KMS pour l'intégration des clés de chiffrement gérées par le client (CMEK). Par exemple, les requêtes de chiffrement et de déchiffrement provenant directement de BigQuery, Bigtable ou Spanner ne sont pas comptabilisées dans les quotas de requêtes de chiffrement.

La console Google Cloud indique la limite de chaque quota en requêtes par minute (RPM), mais les quotas des projets hôtes sont appliqués à la seconde. Les quotas appliqués en requêtes par seconde (RPS) refusent les requêtes qui dépassent la limite de RPS, même si votre utilisation par minute est inférieure à la limite de RPM indiquée. Si vous dépassez une limite de RPS, vous recevez une erreur RESOURCE_EXHAUSTED.

Quotas sur l'utilisation des ressources Cloud KMS

Le tableau suivant liste chaque quota appliqué aux ressources Cloud KMS. Le tableau indique le nom et la limite de chaque quota, le projet auquel il s'applique et les opérations qui sont comptabilisées dans le quota. Vous pouvez saisir un mot clé dans le champ pour filtrer le tableau. Par exemple, vous pouvez saisir calling pour n'afficher que les quotas appliqués au projet d'appel ou encrypt pour n'afficher que les quotas liés aux opérations de chiffrement :

Quota	Projet	Limite	Ressources et opérations
Requêtes de lecture `cloudkms.googleapis.com/read_requests`	Projet appelant	300 RPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations : get, list Exempté : opérations depuis la console Google Cloud .
Requêtes d'écriture `cloudkms.googleapis.com/write_requests`	Projet appelant	60 RPM	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections : create, patch, setIamPolicy importJobs : create, setIamPolicy keyRings: create, setIamPolicy Exempté : opérations depuis la console Google Cloud .
Requêtes de chiffrement `cloudkms.googleapis.com/crypto_requests`	Projet appelant	60 000 RPM	cryptoKeys : encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Exemptées : opérations issues des intégrations de CMEK.
Requêtes de chiffrement symétrique HSM par région `cloudkms.googleapis.com/hsm_symmetric_requests`	Projet d'hébergement	500 RPS	cryptoKeys : encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt Exemptées : clés Cloud HSM à locataire unique.
Requêtes de chiffrement asymétrique HSM par région `cloudkms.googleapis.com/hsm_asymmetric_requests`	Projet d'hébergement	50 RPS	cryptoKeys : encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify Exemptées : clés Cloud HSM à locataire unique.
Requêtes de génération aléatoire HSM par région `cloudkms.googleapis.com/hsm_generate_random_requests`	Projet d'hébergement	50 RPS	locations: generateRandomBytes Exemptées : clés Cloud HSM à locataire unique.
Requêtes de chiffrement externes par région `cloudkms.googleapis.com/external_kms_requests`	Projet d'hébergement	100 RPS	cryptoKeys : encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Exemples de quotas

Les sections suivantes incluent des exemples de chaque quota à l'aide des exemples de projets suivants :

KEY_PROJECT : projet Google Cloud contenant des clés Cloud KMS, y compris des clés Cloud HSM multitenant et Cloud EKM.
SPANNER_PROJECT : projet Google Cloud contenant une instance Spanner qui utilise les clés de chiffrement gérées par le client (CMEK) résidant dans KEY_PROJECT.
SERVICE_PROJECT : projet Google Cloud contenant un compte de service que vous utilisez pour gérer les ressources Cloud KMS résidant dans KEY_PROJECT.

Requêtes de lecture

Le quota Requêtes en lecture limite les requêtes en lecture du projetGoogle Cloud appelant l'API Cloud KMS. Par exemple, l'affichage d'une liste de clés dans KEY_PROJECT à partir de KEY_PROJECT à l'aide de Google Cloud CLI est comptabilisé dans le quota de KEY_PROJECT demandes de lecture. Si vous utilisez un compte de service dans SERVICE_PROJECT pour afficher la liste de vos clés, la requête de lecture est comptabilisée dans le quota Requêtes de lecture de SERVICE_PROJECT.

L'utilisation de la console Google Cloud pour afficher les ressources Cloud KMS ne contribue pas au quota de requêtes de lecture.

Requêtes d'écriture

Le quota Requêtes en écriture limite les requêtes en écriture du projetGoogle Cloud appelant l'API Cloud KMS. Par exemple, la création de clés dans KEY_PROJECT à l'aide de la gcloud CLI est comptabilisée dans le quota de requêtes d'écriture de KEY_PROJECT. Si vous utilisez un compte de service dans SERVICE_PROJECT pour créer des clés, la requête d'écriture est comptabilisée dans le quota Requêtes d'écriture de SERVICE_PROJECT.

L'utilisation de la console Google Cloud pour créer ou gérer des ressources Cloud KMS ne contribue pas au quota de requêtes de lecture.

Requêtes de chiffrement

Le quota Requêtes de chiffrement limite les opérations de chiffrement du projetGoogle Cloud qui appelle l'API Cloud KMS. Par exemple, le chiffrement de données à l'aide d'appels d'API à partir d'une ressource de compte de service exécutée dans SERVICE_PROJECT à l'aide de clés provenant de KEY_PROJECT est comptabilisé dans le quota de requêtes de chiffrement de SERVICE_PROJECT.

Le chiffrement et le déchiffrement des données dans une ressource Spanner dans SPANNER_PROJECT à l'aide de l'intégration CMEK ne sont pas comptabilisés dans le quota de requêtes de chiffrement de SPANNER_PROJECT.

Requêtes de cryptographie symétrique HSM par région

Le quota Requêtes de chiffrement symétrique HSM par région limite les opérations de chiffrement à l'aide de clés Cloud HSM symétriques dans le projet Google Cloudqui contient ces clés. Par exemple, le chiffrement de données dans une ressource Spanner à l'aide de clés HSM symétriques est décompté du quota KEY_PROJECT Requêtes de chiffrement HSM symétriques par région .

Requêtes de chiffrement asymétrique HSM par région

Le quota Requêtes de chiffrement asymétrique HSM par région limite les opérations de chiffrement à l'aide de clés Cloud HSM asymétriques dans le projet Google Cloudqui contient ces clés. Par exemple, le chiffrement de données dans une ressource Spanner à l'aide de clés HSM asymétriques est décompté du quota KEY_PROJECT Requêtes de chiffrement asymétriques HSM par région.

Requêtes de génération aléatoire HSM par région

Les limites de quota Requêtes de génération aléatoire HSM par région génèrent des opérations d'octets aléatoires à l'aide de Cloud HSM dans le projet Google Cloud spécifié dans le message de la requête. Par exemple, les requêtes provenant de n'importe quelle source pour générer des octets aléatoires dans KEY_PROJECT sont comptabilisées dans le quota Requêtes de génération aléatoire HSM par région de KEY_PROJECT.

Requêtes de chiffrement externes par région

Le quota Requêtes cryptographiques externes par région limite les opérations cryptographiques utilisant des clés externes (Cloud EKM) sur le projet Google Cloud qui contient ces clés. Par exemple, le chiffrement des données dans une ressource Spanner à l'aide de clés EKM est comptabilisé dans le quota Requêtes cryptographiques externes par région de KEY_PROJECT.

Informations sur les erreurs de quota

Si vous effectuez une requête après avoir atteint votre quota, elle générera une erreur RESOURCE_EXHAUSTED. Le code d'état HTTP correspondant est 429. Pour en savoir plus sur la manière dont les bibliothèques clientes génèrent l'erreur RESOURCE_EXHAUSTED, consultez la section Mappage avec la bibliothèque cliente.

Si vous recevez l'erreur RESOURCE_EXHAUSTED, vous envoyez peut-être trop de requêtes d'opérations de chiffrement par seconde. Vous pouvez recevoir l'erreur RESOURCE_EXHAUSTED même si la console Google Cloud indique que vous respectez la limite de requêtes par minute. Ce problème peut se produire, car les quotas du projet hôte Cloud KMS sont affichés par minute, mais sont appliqués à une échelle par seconde. Pour en savoir plus sur les métriques de surveillance, consultez Configurer des alertes et la surveillance des quotas.

Pour savoir comment résoudre les problèmes de quota Cloud KMS, consultez Résoudre les problèmes de quota.

Étapes suivantes

Découvrez comment utiliser Cloud Monitoring avec Cloud KMS.
Découvrez comment surveiller et ajuster les quotas Cloud KMS.