配額

Google Cloud 會對資源用量實施配額限制。以 Cloud Key Management Service (Cloud KMS) 而言，資源管理和用量會強制受到配額限制的項目有金鑰、金鑰版本及位置。金鑰環、金鑰、金鑰版本或其他 Cloud KMS 資源的數量沒有配額限制，只有用量限制。

查看 Cloud KMS 配額

自 2026 年 2 月 16 日起，Cloud KMS 將變更配額的追蹤和強制執行方式。這份文件說明配額在異動前後的運作方式，並協助您判斷是否需要採取任何措施，為異動做好準備。

時間軸

下表概略說明 Cloud KMS 配額異動的預期時間表。

日期	異動內容
2024 年 10 月 28 日	只要 Cloud KMS 系統未過載，Cloud KMS 就會開始允許硬體 (Cloud HSM) 金鑰的配額外要求。
2026 年 2 月 16 日	Cloud KMS 會開始使用新指標。舊指標仍可供監控，但配額強制執行作業不再使用這些指標。您可以選擇使用配額調整器系統，根據用量自動調整 Cloud KMS 配額。
2026 年 8 月 31 日	舊指標已停用，無法再監控。

異動內容摘要

修訂後的配額制度旨在簡化 Cloud KMS 使用者的配額管理作業。下表摘要說明主要異動：

	2026 年 2 月 16 日前	2026 年 2 月 16 日後
位置範圍	混合範圍：部分指標是全球性，其他指標則以區域為單位。	區域範圍：所有指標都是以區域為單位進行評估。多地區用量會計入處理要求的特定地區配額。
配額限制	靜態限制：預設配額限制會套用至每個專案。您可以要求增加配額限制。	動態限制：系統會根據 2026 年 2 月 16 日前專案的特定限制和用量，初步設定配額限制。建議您同時啟用配額調整器服務，讓系統根據您的正常用量自動調整限制。
政策施行	強制執行：超過配額上限時，系統會拒絕要求，即使可以處理要求也一樣。	寬鬆強制執行：超過配額上限時，如果系統可以處理要求，則允許讀取要求和大多數的寫入要求與加密作業要求。不過，下列配額限制會強制執行：建立及匯入硬體 (Cloud HSM) 金鑰的要求所有外部 (Cloud EKM) 金鑰要求
Cloud HSM 配額	多項 Cloud HSM 配額：Cloud KMS 會對 Cloud HSM 對稱、非對稱和 `generateRandomBytes` 要求強制執行個別配額。	一個 Cloud HSM 配額：Cloud KMS 會對所有 Cloud HSM 要求強制執行單一配額。不過，不同大小和作業的金鑰會消耗不同配額。
評估內容	追蹤要求：配額會計算執行的作業數量，但無法協助您瞭解耗用的處理資源量。	追蹤資源用量：配額會計算權杖，而非作業；每項作業的權杖數量代表各項作業的相對處理成本。詳情請參閱本頁面的「每個作業的權杖數」部分。
時間刻度	時間尺度不一：部分配額指標是以每分鐘為單位回報，但強制執行時是以每秒為單位。	一致的時間範圍：所有配額指標都會以強制執行的時間範圍回報。大多數指標每分鐘都會回報並強制執行。系統會以秒為單位回報及強制執行 Cloud EKM 用量。
專案範圍	多個專案：部分配額會套用至包含 `CryptoKey` 和 `CryptoKeyVersion` 資源的專案，其他配額則會套用至發出要求的專案。	單一專案：所有配額都會套用至包含 `CryptoKey` 和 `CryptoKeyVersion` 資源的專案。
CMEK 和 Cloud KMS 配額	無限制的軟體 CMEK 使用量：Cloud KMS 不會對 CMEK 整合中使用的軟體金鑰強制執行配額。	僅限制例外用量：CMEK 用量會計入軟體用量限制，但如果系統未超出容量上限，即使用量超過限制，系統仍會提供服務。

2026 年 2 月 16 日後的 Cloud KMS 配額

下表列出 Cloud KMS 的指標和配額。

指標	時間單位預設	強制執行	作業
請參閱 `cloudkms.googleapis.com/read_usage`	每分鐘 600 個 TPM	軟體支援金鑰：軟體硬體支援金鑰：軟體外部金鑰：硬體	cryptoKeys： get、 getIamPolicy、 list、 testIamPermissions cryptoKeyVersions: get, list ekmConnections： get、 getIamPolicy、 list、 testIamPermissions、 verifyConnectivity importJobs： get、 getIamPolicy、 list、 testIamPermissions keyRings： get、 getIamPolicy、 list、 testIamPermissions locations： get, list
撰寫使用情形 `cloudkms.googleapis.com/write_usage`	每分鐘 100 TPM	軟體支援金鑰：軟體硬體支援金鑰：軟體外部金鑰：硬體	cryptoKeys： create、 patch、 setIamPolicy、 updatePrimaryVersion cryptoKeyVersions： create、 destroy、 import、 patch、 restore ekmConnections： create、 patch、 setIamPolicy importJobs： create、 setIamPolicy keyRings： create、 setIamPolicy
軟體使用情況 `cloudkms.googleapis.com/software_usage`	每分鐘 6,000,000 個 TPM	柔化	cryptoKeys： encrypt、 decrypt cryptoKeyVersions： asymmetricDecrypt、 asymmetricSign、 decapsulate、 getPublicKey、 macSign、 macVerify、 rawEncrypt、 rawDecrypt locations: generateRandomBytes
HSM 使用情況 `cloudkms.googleapis.com/hsm_usage`	每分鐘 3,000,000 次	柔化
外部 KMS 使用情形 `cloudkms.googleapis.com/external_usage`	第二個 10,000 TPS	困難

每項作業的權杖數

下表列出各項 Cloud KMS 資源、金鑰大小和作業所消耗的配額權杖數量。您可以根據這份表格，估算特定應用程式可消耗的配額權杖數量。處理量較大的作業會使用更多配額權杖。

Cloud KMS 資源	作業	每項作業的權杖數
所有 Cloud KMS 資源	所有讀取作業	讀取用量：1
所有軟體支援和外部 Cloud KMS 資源	所有寫入作業	寫入用量：1
硬體支援金鑰	建立和匯入以外的寫入作業	寫入用量：1
硬體支援的對稱式和 MAC 金鑰	建立及匯入作業	寫入使用量：1 HSM 使用量：1,200
硬體支援的非對稱金鑰	建立及匯入作業	寫入使用量：1 HSM 使用量：50,000
軟體支援的金鑰	所有密碼編譯作業	軟體用量：100
外部 (Cloud EKM) 金鑰	所有密碼編譯作業	外部 KMS 使用量：100
硬體 (Cloud HSM) 金鑰	對稱式加密或解密 MAC 簽署或驗證 `getPublicKey`	HSM 使用量：100
硬體 (Cloud HSM) 金鑰	`generateRandomBytes`	HSM 使用量：1,000
硬體 (Cloud HSM) 金鑰	使用 2048 位元 RSA 金鑰進行非對稱式簽署使用 2048 位元金鑰進行非對稱解密	HSM 使用量：1,500
硬體 (Cloud HSM) 金鑰	使用 3072 位元 RSA 金鑰進行非對稱式簽署使用 3072 位元金鑰進行非對稱解密	HSM 使用量：3,500
硬體 (Cloud HSM) 金鑰	使用 `EC_SIGN_P224_SHA256` 金鑰進行非對稱式簽署使用 `EC_SIGN_P256_SHA256` 金鑰進行非對稱式簽署使用 `EC_SIGN_SECP256K1_SHA256` 金鑰進行非對稱式簽署	HSM 使用量：4,500
硬體 (Cloud HSM) 金鑰	使用 `EC_SIGN_P384_SHA384` 金鑰進行非對稱式簽署使用 `EC_SIGN_P521_SHA512` 金鑰進行非對稱式簽署	HSM 使用量：7,000
硬體 (Cloud HSM) 金鑰	使用 4096 位元金鑰進行非對稱解密使用 4096 位元 RSA 金鑰進行非對稱簽署	HSM 使用量：14,000

因應配額異動的建議準備措施

用途	建議準備工作
確保現有專案有足夠的配額	對於現有專案，系統會根據專案的實際用量，自動計算新指標的配額限制。現有專案無須採取任何行動。
確保新專案有足夠配額	如果您打算建立新專案，且預期配額用量會很高，請使用配額調整器服務，選擇啟用自動配額調整功能。請允許系統逐漸增加流量，讓系統有 1 到 2 週的時間適應您的用量，或主動要求您認為需要的配額限制。
更新監控功能，以使用新的配額	您可以在 2026 年 8 月 31 日前，使用現有的配額指標進行監控。建議您在 2026 年 2 月 16 日至 2026 年 8 月 31 日期間，使用新指標設定監控。
啟用配額調整工具	建議您選擇使用配額調整器系統，根據用量自動調整 Cloud KMS 配額。含有 Cloud KMS 資源的每個專案都必須個別選擇加入配額調整工具。

2026 年 2 月 16 日前的 Cloud KMS 配額

這些作業的部分配額適用於呼叫專案，也就是Google Cloud 呼叫 Cloud KMS 服務的專案。其他配額適用於託管專案，也就是 Google Cloud 包含用於作業的金鑰的專案。

呼叫專案配額不包括使用 Cloud KMS 金鑰的服務所產生的用量，以進行客戶管理加密金鑰 (CMEK) 整合。Google Cloud 舉例來說，直接來自 BigQuery、Bigtable 或 Spanner 的加密和解密要求，不會計入「加密要求」配額。

Google Cloud 主控台會列出每項配額的限制 (以每分鐘查詢次數 (QPM) 為單位)，但主機專案配額是以秒為單位強制執行。系統會以每秒查詢次數 (QPS) 為單位強制執行配額，因此即使每分鐘用量低於列出的每分鐘查詢次數 (QPM) 限制，只要超過每秒查詢次數限制，系統就會拒絕要求。如果超過每秒查詢次數限制，您會收到 RESOURCE_EXHAUSTED 錯誤。

Cloud KMS 資源使用配額

下表列出適用於 Cloud KMS 資源的各項配額。表格會列出各項配額的名稱和限制、配額適用的專案，以及計入配額的作業。您可以在欄位中輸入關鍵字來篩選資料表。舉例來說，您可以輸入「calling」，只查看套用至呼叫專案的配額，或輸入「encrypt」，只查看與加密作業相關的配額：

配額	專案	限制	資源和作業
讀取要求 `cloudkms.googleapis.com/read_requests`	呼叫專案	每分鐘 300 次查詢	cryptoKeys： get、 getIamPolicy、 list、 testIamPermissions cryptoKeyVersions: get, list ekmConnections： get、 getIamPolicy、 list、 testIamPermissions、 verifyConnectivity importJobs： get、 getIamPolicy、 list、 testIamPermissions keyRings： get、 getIamPolicy、 list、 testIamPermissions locations： get, list 豁免：從 Google Cloud 控制台執行的作業。
寫入要求 `cloudkms.googleapis.com/write_requests`	呼叫專案	每分鐘 60 次查詢	cryptoKeys： create、 patch、 setIamPolicy、 updatePrimaryVersion cryptoKeyVersions： create、 destroy、 import、 patch、 restore ekmConnections： create、 patch、 setIamPolicy importJobs： create、 setIamPolicy keyRings： create、 setIamPolicy 豁免：從 Google Cloud 控制台執行的作業。
密碼編譯要求 `cloudkms.googleapis.com/crypto_requests`	呼叫專案	每分鐘 60,000 次查詢	cryptoKeys： encrypt、 decrypt cryptoKeyVersions： asymmetricDecrypt、 asymmetricSign、 getPublicKey、 macSign、 macVerify、 rawEncrypt、 rawDecrypt locations： generateRandomBytes 豁免：CMEK 整合作業。
每個區域的 HSM 對稱式加密要求 `cloudkms.googleapis.com/hsm_symmetric_requests`	託管專案	500 QPS	cryptoKeys： encrypt、 decrypt cryptoKeyVersions： asymmetricDecrypt、 asymmetricSign、 getPublicKey、 macSign、 macVerify、 rawEncrypt、 rawDecrypt 例外狀況：單一租戶 Cloud HSM 金鑰。
每個區域的 HSM 非對稱式加密要求 `cloudkms.googleapis.com/hsm_asymmetric_requests`	託管專案	50 QPS	cryptoKeys： encrypt、 decrypt cryptoKeyVersions： asymmetricDecrypt、 asymmetricSign、 getPublicKey、 macSign、 macVerify 例外狀況：單一租戶 Cloud HSM 金鑰。
每個區域的 HSM 產生隨機要求 `cloudkms.googleapis.com/hsm_generate_random_requests`	託管專案	50 QPS	locations: generateRandomBytes 例外狀況：單一租戶 Cloud HSM 金鑰。
每個區域的外部加密編譯要求 `cloudkms.googleapis.com/external_kms_requests`	託管專案	100 QPS	cryptoKeys： encrypt、 decrypt cryptoKeyVersions： asymmetricDecrypt、 asymmetricSign、 getPublicKey、 macSign、 macVerify

配額範例

以下各節將使用下列範例專案，說明各項配額：

KEY_PROJECT - 包含 Cloud KMS 金鑰的專案，包括多租戶 Cloud HSM 和 Cloud EKM 金鑰。 Google Cloud
SPANNER_PROJECT - Google Cloud 專案，內含使用客戶自行管理的加密金鑰 (CMEK) 的 Spanner 執行個體，這些金鑰位於 KEY_PROJECT 中。
SERVICE_PROJECT - 包含服務帳戶的 Google Cloud 專案，您可以使用該服務帳戶管理位於 KEY_PROJECT 中的 Cloud KMS 資源。

讀取要求數

讀取要求配額會限制Google Cloud 專案呼叫 Cloud KMS API 的讀取要求。舉例來說，透過 Google Cloud CLI 在 KEY_PROJECT 中查看 KEY_PROJECT 的金鑰清單，會計入 KEY_PROJECT 的讀取要求配額。如果您在 SERVICE_PROJECT 中使用服務帳戶查看金鑰清單，讀取要求會計入 SERVICE_PROJECT 的讀取要求配額。

使用 Google Cloud 控制台查看 Cloud KMS 資源不會計入「讀取要求」配額。

寫入要求數

寫入要求配額會限制Google Cloud 專案呼叫 Cloud KMS API 的寫入要求。舉例來說，在 KEY_PROJECT 中使用 gcloud CLI 建立金鑰，會計入 KEY_PROJECT 的寫入要求配額。如果您在 SERVICE_PROJECT 中使用服務帳戶建立金鑰，寫入要求會計入 SERVICE_PROJECT Write requests 配額。

使用 Google Cloud 控制台建立或管理 Cloud KMS 資源時，不會計入「讀取要求」配額。

密碼編譯要求

密碼編譯要求配額會限制Google Cloud 專案呼叫 Cloud KMS API 時的密碼編譯作業。舉例來說，如果使用 KEY_PROJECT 中的金鑰，透過在 SERVICE_PROJECT 中執行的服務帳戶資源發出 API 呼叫來加密資料，則會計入 SERVICE_PROJECT 的密碼編譯要求配額。

使用 CMEK 整合功能加密及解密 SPANNER_PROJECT 中 Spanner 資源的資料時，不會計入 SPANNER_PROJECT 的密碼編譯要求配額。

每個區域的 HSM 對稱密碼編譯要求數

每個區域的 HSM 對稱加密編譯要求 配額，會限制使用Cloud HSM 對稱金鑰的加密編譯作業，這些金鑰位於 Google Cloud專案中。舉例來說，使用對稱 HSM 金鑰加密 Spanner 資源中的資料，會計入KEY_PROJECT 每個區域的 HSM 對稱密碼編譯要求 配額。

每個區域的 HSM 非對稱密碼編譯要求

每個區域的 HSM 非對稱加密要求配額，會限制使用非對稱 Cloud HSM 金鑰的加密作業，這些金鑰位於 Google Cloud專案中。舉例來說，使用非對稱 HSM 金鑰加密 Spanner 資源中的資料，會計入KEY_PROJECT 每個區域的 HSM 非對稱密碼編譯要求配額。

每個區域的 HSM 產生隨機要求數

每個地區的 HSM 產生隨機要求配額限制，會使用要求訊息中指定的 Google Cloud 專案，透過 Cloud HSM 產生隨機位元組作業。舉例來說，從任何來源發出的要求，在 KEY_PROJECT 中產生隨機位元組，都會計入 KEY_PROJECT HSM 每區域產生隨機要求配額。

每個區域的外部密碼編譯要求

每個區域的外部加密要求配額會限制使用外部 (Cloud EKM) 金鑰的加密作業，這些金鑰位於 Google Cloud 包含這些金鑰的專案中。舉例來說，使用 EKM 金鑰加密 Spanner 資源中的資料，會計入KEY_PROJECT「每個區域的外部密碼編譯要求」配額。

配額錯誤資訊

如果您在達到配額上限之後傳送要求，該項要求會產生 RESOURCE_EXHAUSTED 錯誤，並傳回 429 的 HTTP 狀態碼。如要瞭解用戶端程式庫如何顯示 RESOURCE_EXHAUSTED 錯誤，請參閱用戶端程式庫對應。

如果收到 RESOURCE_EXHAUSTED 錯誤，可能是因為每秒傳送的加密作業要求過多。即使 Google Cloud 控制台顯示您未超出每分鐘查詢次數限制，仍可能收到 RESOURCE_EXHAUSTED 錯誤。這個問題可能是因為 Cloud KMS 主機專案配額是以每分鐘為單位顯示，但實際是以每秒為單位強制執行。如要進一步瞭解如何監控指標，請參閱「設定配額快訊和監控」。

如要瞭解如何排解 Cloud KMS 配額問題，請參閱「排解配額問題」。

後續步驟

瞭解如何搭配使用 Cloud Monitoring 與 Cloud KMS。
瞭解如何監控及調整 Cloud KMS 配額。