Google Cloud では、リソースの使用量に割り当てが適用されます。Cloud Key Management Service(Cloud KMS)では、鍵や鍵バージョン、ロケーションなどのリソースの管理と使用に割り当てが適用されます。キーリング、鍵、鍵バージョン、その他の Cloud KMS リソースの数には割り当てはありません。割り当ては使用量に対してのみ適用されます。
2026 年 2 月 16 日より、Cloud KMS で割り当ての追跡と適用方法が変更されます。このドキュメントでは、変更前後の割り当ての仕組みについて説明し、変更に備えて必要な手順を特定するのに役立ちます。
タイムライン
次の表に、Cloud KMS 割り当ての変更の予定タイムラインの概要を示します。
| 日付 | 変更内容 |
|---|---|
| Cloud KMS は、Cloud KMS システムが過負荷状態でない限り、ハードウェア(Cloud HSM)鍵の割り当て超過リクエストを許可するようになりました。 | |
|
|
| 以前の指標は廃止され、モニタリングできなくなります。 |
変更の概要
改訂された割り当てシステムは、Cloud KMS ユーザーの割り当て管理を簡素化するように設計されています。次の表は、主な変更点をまとめたものです。
| 2026 年 2 月 16 日より前 | 2026 年 2 月 16 日以降 | |
|---|---|---|
| 位置情報のスコープ | 混合スコープ: 一部の指標はグローバルに測定され、他の指標はリージョンごとに測定されます。 | リージョン スコープ: すべての指標はリージョンごとに測定されます。マルチリージョンの使用量は、リクエストを処理する特定のリージョンの割り当てに対してカウントされます。 |
| 割り当て上限 | 静的上限: デフォルトの割り当て上限が各プロジェクトに適用されます。割り当て上限の引き上げをリクエストできます。 | 動的上限: 割り当て上限は、プロジェクト固有の上限と 2026 年 2 月 16 日以前の使用量に基づいて初期設定されます。割り当て調整サービスも有効にして、通常の使用量に基づいて上限が自動的に調整されるようにすることをおすすめします。 |
| ポリシー施行 | ハード適用: 割り当て上限を超えると、システムがリクエストを処理できる場合でも、リクエストは拒否されます。 | ソフト適用: 割り当て上限を超えた場合、システムがリクエストを処理できる場合は、読み取りリクエストとほとんどの書き込みリクエストと暗号オペレーション リクエストが許可されます。ただし、次の割り当て上限は厳格に適用されます。
|
| Cloud HSM の割り当て | Cloud HSM の多くの割り当て: Cloud KMS は、Cloud HSM の対称、非対称、generateRandomBytes リクエストに対して個別の割り当てを適用します。 |
1 つの Cloud HSM 割り当て: Cloud KMS は、すべての Cloud HSM リクエストに対して 1 つの割り当てを適用します。ただし、キーサイズとオペレーションによって、消費される割り当ての量が異なります。 |
| 測定対象 | リクエストを追跡する: 割り当ては実行されたオペレーションの数をカウントしますが、使用している処理リソースの量を把握するのに役立ちません。 | リソース使用量を追跡する: 割り当てはオペレーションではなくトークンをカウントします。オペレーションあたりのトークン数は、各オペレーションの相対的な処理コストを示します。詳細については、このページのオペレーションあたりのトークン数をご覧ください。 |
| 時間スケール | 混合時間スケール: 一部の割り当て指標は 1 分ごとに報告されますが、秒単位で適用されます。 | 一貫したタイムスケール: すべての割り当て指標は、適用されるタイムスケールと同じタイムスケールで報告されます。ほとんどの指標は、1 分ごとにレポートされ、適用されます。Cloud EKM の使用量は、秒単位で報告され、適用されます。 |
| プロジェクトのスコープ | 複数のプロジェクト: CryptoKey リソースと CryptoKeyVersion リソースを含むプロジェクトに適用される割り当てと、リクエストを行うプロジェクトに適用される割り当てがあります。 |
単一プロジェクト: すべての割り当ては、CryptoKey リソースと CryptoKeyVersion リソースを含むプロジェクトに適用されます。 |
| CMEK と Cloud KMS の割り当て | ソフトウェア CMEK の使用制限なし: Cloud KMS は、CMEK 統合で使用されるソフトウェア鍵に割り当てを適用しません。 | 例外的な使用のみを制限する: CMEK の使用量はソフトウェアの使用量上限にカウントされますが、ソフト適用では、システムが容量を超えていない場合、上限を超える使用量も処理されます。 |
2026 年 2 月 16 日以降の Cloud KMS の割り当て
次の表に、Cloud KMS の指標と割り当てを示します。
| 指標 | タイムスケール デフォルト |
適用 | 運用 |
|---|---|---|---|
使用状況の読み取りcloudkms.googleapis.com/read_usage |
Minute 600 TPM |
|
cryptoKeys: get、 getIamPolicy、 list、 testIamPermissions ekmConnections: get、 getIamPolicy、 list、 testIamPermissions、 verifyConnectivity importJobs: get、 getIamPolicy、 list、 testIamPermissions |
書き込み使用量cloudkms.googleapis.com/write_usage |
Minute 100 TPM |
|
cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create、 patch、 setIamPolicy |
ソフトウェアの使用状況cloudkms.googleapis.com/software_usage |
Minute 6,000,000 TPM |
ソフト |
cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, decapsulate, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt |
HSM の使用量cloudkms.googleapis.com/hsm_usage |
Minute 3,000,000 TPM |
ソフト | |
外部 KMS の使用状況cloudkms.googleapis.com/external_usage |
2 番目 10,000 TPS |
高 |
オペレーションあたりのトークン数
次の表に、各 Cloud KMS リソース、鍵サイズ、オペレーションの各オペレーションで使用される割り当てトークンの数を示します。この表を使用して、特定のアプリケーションが消費できる割り当てトークンの数を推定できます。処理負荷の高いオペレーションほど、割り当てトークンを多く使用します。
| Cloud KMS リソース | オペレーション | オペレーションあたりのトークン数 |
|---|---|---|
| すべての Cloud KMS リソース | すべての読み取りオペレーション | 読み取り使用量: 1 |
| すべてのソフトウェア格納型および外部 Cloud KMS リソース | すべての書き込みオペレーション | 書き込み使用量: 1 |
| ハードウェア格納型キー | 作成とインポート以外の書き込みオペレーション | 書き込み使用量: 1 |
| ハードウェア格納型の対称鍵と MAC 鍵 | 作成オペレーションとインポート オペレーション | 書き込み使用量: 1 HSM 使用量: 1,200 |
| ハードウェア格納型の非対称鍵 | 作成オペレーションとインポート オペレーション | 書き込み使用量: 1 HSM 使用量: 50,000 |
| ソフトウェア格納型キー | すべての暗号オペレーション | ソフトウェアの使用: 100 |
| 外部(Cloud EKM)鍵 | すべての暗号オペレーション | 外部 KMS の使用量: 100 |
| ハードウェア(Cloud HSM)鍵 |
|
HSM 使用量: 100 |
| ハードウェア(Cloud HSM)鍵 | generateRandomBytes |
HSM 使用量: 1,000 |
| ハードウェア(Cloud HSM)鍵 |
|
HSM 使用量: 1,500 |
| ハードウェア(Cloud HSM)鍵 |
|
HSM 使用量: 3,500 |
| ハードウェア(Cloud HSM)鍵 |
|
HSM 使用量: 4,500 |
| ハードウェア(Cloud HSM)鍵 |
|
HSM 使用量: 7,000 |
| ハードウェア(Cloud HSM)鍵 |
|
HSM 使用量: 14,000 |
割り当ての変更に備えるための推奨アクション
| ユースケース | 推奨される準備 |
|---|---|
| 既存のプロジェクトに十分な割り当てがあることを確認する | 既存のプロジェクトの場合、新しい指標の割り当て上限は、プロジェクトの実際の使用状況に基づいて自動的に計算されます。既存のプロジェクトに対して対応は必要ありません。 |
| 新しいプロジェクトに十分な割り当てを確保する | 新しいプロジェクトを作成し、割り当ての使用量が多くなることが予想される場合は、割り当て調整サービスを使用して割り当ての自動調整を有効にします。システムが使用量に合わせて調整できるように、トラフィックを 1 ~ 2 週間かけて徐々に増やすか、必要と思われる割り当て上限を事前にリクエストします。 |
| 新しい割り当てを使用するようにモニタリングを更新する | 既存の割り当て指標を使用したモニタリングは、2026 年 8 月 31 日までご利用いただけます。2026 年 2 月 16 日から 2026 年 8 月 31 日までの間に、新しい指標を使用してモニタリングを設定することをおすすめします。 |
| 割り当ての調整を有効にする | 割り当て調整ツール システムを使用して、使用量に基づいて Cloud KMS 割り当てを自動的に調整することをおすすめします。Cloud KMS リソースを含む各プロジェクトで、割り当て調整ツールを個別に有効にする必要があります。 |
2026 年 2 月 16 日より前の Cloud KMS の割り当て
これらのオペレーションに対する割り当てには、呼び出し側のプロジェクト、つまり Cloud KMS サービスを呼び出すGoogle Cloud プロジェクトに適用されるものがあります。他の割り当てには、オペレーションに使用されるキーを含む Google Cloud プロジェクトであるホスティング プロジェクトに適用されるものがあります。
呼び出しプロジェクトの割り当てには、顧客管理の暗号鍵(CMEK)統合に Cloud KMS 鍵を使用するGoogle Cloud サービスによって生成された使用量は含まれません。たとえば、BigQuery、Bigtable、または Spanner から直接送信される暗号リクエストと復号リクエストは、暗号リクエストの割り当てに影響しません。
Google Cloud コンソールには、分間クエリ数(QPM)における各割り当ての上限が一覧表示されますが、ホスティング プロジェクトの割り当ては秒単位で適用されます。秒間クエリ数(QPS)で適用される割り当てでは、1 分あたりの使用量が上記の QPM の上限より低い場合でも QPS 上限を超えるリクエストが拒否されます。QPS の上限を超えると、RESOURCE_EXHAUSTED エラーが発生します。
Cloud KMS リソースの使用量の割り当て
次の表では、Cloud KMS リソースに適用される各割り当てを示します。次の表では、各割り当ての名前と上限、割り当てが適用されるプロジェクト、割り当てにカウントされるオペレーションを示します。テーブルは、フィールドにキーワードを入力してフィルタできます。たとえば、calling と入力すると、呼び出し元のプロジェクトに適用された割り当てのみが表示されます。encrypt と入力すると、暗号化オペレーションに関連する割り当てのみが表示されます。
割り当ての例
以降のセクションでは、次のサンプル プロジェクトを使用して、各割り当ての例を示します。
KEY_PROJECT- マルチテナント Cloud HSM 鍵と Cloud EKM 鍵など、Cloud KMS 鍵を含む Google Cloud プロジェクト。SPANNER_PROJECT-KEY_PROJECTに存在する顧客管理の暗号鍵(CMEK)を使用する Spanner インスタンスを含む Google Cloud プロジェクト。SERVICE_PROJECT-KEY_PROJECTに存在する Cloud KMS リソースの管理に使用するサービス アカウントを含む Google Cloud プロジェクト。
読み取りリクエスト
読み取りリクエストの割り当てにより、Cloud KMS API を呼び出すGoogle Cloud プロジェクトからの読み取りリクエストが制限されます。たとえば、Google Cloud CLI を使用して KEY_PROJECT から KEY_PROJECT の鍵のリストを表示すると、KEY_PROJECT
読み取りリクエストの割り当てにカウントされます。SERVICE_PROJECT でサービス アカウントを使用してキーのリストを表示する場合、読み取りリクエストは SERVICE_PROJECT の読み取りリクエストの割り当てにカウントされます。
Google Cloud コンソールを使用して Cloud KMS リソースを表示することは、読み取りリクエストの割り当てに影響しません。
書き込みリクエスト
書き込みリクエストの割り当てにより、Cloud KMS API を呼び出すGoogle Cloud プロジェクトからの書き込みリクエストが制限されます。たとえば、gcloud CLI を使用して KEY_PROJECT に鍵を作成すると、KEY_PROJECT 書き込みリクエストの割り当てにカウントされます。SERVICE_PROJECT でサービス アカウントを使用してキーを作成する場合、書き込みリクエストは SERVICE_PROJECT の書き込みリクエストの割り当てにカウントされます。
Google Cloud コンソールを使用して Cloud KMS リソースを作成または管理しても、読み取りリクエストの割り当てに影響はありません。
暗号リクエスト
暗号リクエストの割り当てにより、Cloud KMS API を呼び出すGoogle Cloud プロジェクトからの暗号オペレーションが制限されます。たとえば、KEY_PROJECT のキーを使用して SERVICE_PROJECT で実行されているサービス アカウント リソースから API 呼び出しを使用してデータを暗号化すると、SERVICE_PROJECT 暗号化リクエストの割り当てにカウントされます。
CMEK インテグレーションを使用する SPANNER_PROJECT の Spanner リソース内のデータの暗号化と復号は、SPANNER_PROJECT の暗号リクエストの割り当てにカウントされません。
リージョンあたりの HSM 対称暗号リクエスト
リージョンあたりの HSM 対称暗号リクエスト の割り当てでは、これらの鍵を含む Google Cloudプロジェクトで対称 Cloud HSM 鍵を使用する暗号オペレーションが制限されます。たとえば、対称 HSM 鍵を使用して Spanner リソース内のデータを暗号化すると、KEY_PROJECT の リージョンあたりの HSM 対称暗号リクエスト の割り当てにカウントされます。
リージョンあたりの HSM 非対称暗号リクエスト
リージョンあたりの HSM 非対称暗号リクエストの割り当てでは、これらの鍵を含む Google Cloudプロジェクトで非対称 Cloud HSM 鍵を使用する暗号オペレーションが制限されます。たとえば、非対称 HSM 鍵を使用して Spanner リソース内のデータを暗号化すると、KEY_PROJECT の リージョンあたりの HSM 非対称暗号リクエストの割り当てにカウントされます。
HSM によるリージョンあたりのランダムなリクエストの生成
リージョンあたりの HSM ランダム リクエストの生成の割り当てでは、リクエスト メッセージで指定された Google Cloud プロジェクトで Cloud HSM を使用してランダム バイト オペレーションを生成します。たとえば、KEY_PROJECT でランダム バイトを生成する送信元からのリクエストは、KEY_PROJECT
HSM がリージョンごとにランダム リクエストを生成する割り当てにカウントされます。
リージョンあたりの外部暗号リクエスト
リージョンあたりの外部暗号リクエストの割り当てでは、それらの鍵を含む Google Cloud プロジェクトで外部(Cloud EKM)鍵を使用する暗号オペレーションが制限されます。たとえば、EKM 鍵を使用して Spanner リソース内のデータを暗号化すると、KEY_PROJECT リージョンあたりの外部暗号リクエストの割り当てにカウントされます。
割り当てエラー情報
割り当て数に達した状態でリクエストを行うと、そのリクエストは RESOURCE_EXHAUSTED エラーになります。HTTP ステータス コードは 429 です。クライアント ライブラリによって RESOURCE_EXHAUSTED エラーが表示される仕組みについては、クライアント ライブラリ マッピングをご覧ください。
RESOURCE_EXHAUSTED エラーが発生した場合は、1 秒あたりに暗号オペレーションのリクエストを過剰に送信している可能性があります。 Google Cloud コンソールで 1 分あたりのクエリ数の上限を超えていないことが示されていても、RESOURCE_EXHAUSTED エラーが発生することがあります。この問題は、Cloud KMS のホスティング プロジェクトの割り当てが 1 分あたりで表示されるものの、1 秒ごとに適用されるために発生することがあります。指標のモニタリングの詳細については、割り当てアラートとモニタリングの設定をご覧ください。
Cloud KMS の割り当てに関する問題のトラブルシューティングの詳細については、割り当てに関する問題のトラブルシューティングをご覧ください。