Cotas

Google Cloud O impõe cotas sobre o uso de recursos. Para o Cloud KMS, as cotas são aplicadas na utilização de recursos como chaves, keyrings, versões de chaves, e locais. Para detalhes sobre como gerenciar ou aumentar suas cotas, consulte Monitorar e ajustar as cotas do Cloud KMS.

Conferir as cotas do Cloud KMS

Não há cotas para o número de KeyRing, CryptoKey, ou CryptoKeyVersion recursos, somente para o número de operações.

Algumas cotas dessas operações se aplicam ao projeto de chamada, o Google Cloud projeto que faz chamadas para o serviço do Cloud KMS. Outras cotas se aplicam ao projeto host, o Google Cloud projeto que contém as chaves usadas para a operação.

As cotas do projeto de chamada não incluem o uso gerado por Google Cloud serviços que usam chaves do Cloud KMS para integração de chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Por exemplo, as solicitações de criptografia e descriptografia que vêm diretamente do BigQuery, Bigtable ou Spanner não contribuem para as cotas de solicitações criptográficas.

O Google Cloud console lista o limite de cada cota em consultas por minuto (QPM), mas as cotas do projeto host são aplicadas por segundo. As cotas aplicadas em consultas por segundo (QPS) negam solicitações que excedem o limite de QPS, mesmo que o uso por minuto seja menor que o limite de QPM listado. Se você exceder um limite de QPS, vai receber um RESOURCE_EXHAUSTED erro.

Cotas sobre o uso de recursos do Cloud KMS

A tabela a seguir lista cada cota aplicada aos recursos do Cloud KMS. A tabela informa o nome e o limite de cada cota, o projeto a que a cota se aplica e as operações que são contabilizadas na cota. É possível inserir uma palavra-chave no campo para filtrar a tabela. Por exemplo, é possível inserir calling para conferir apenas as cotas aplicadas ao projeto de chamada ou encrypt para conferir apenas as cotas relacionadas a operações de criptografia:

Quota	Projeto	Limite	Recursos e operações
Solicitações de leitura `cloudkms.googleapis.com/read_requests`	Projeto de chamada	300 QPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list Isentas: operações do Google Cloud console.
Solicitações de gravação `cloudkms.googleapis.com/write_requests`	Projeto de chamada	60 QPM	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings:create, setIamPolicy Isentas: operações do Google Cloud console.
Solicitações criptográficas `cloudkms.googleapis.com/crypto_requests`	Projeto de chamada	60.000 QPM	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Isentas: operações de integrações de CMEK.
Solicitações criptográficas simétricas de HSM por região `cloudkms.googleapis.com/hsm_symmetric_requests`	Projeto host	500 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt Isentas: chaves de HSM de locatário único do Cloud.
Solicitações criptográficas assimétricas de HSM por região `cloudkms.googleapis.com/hsm_asymmetric_requests`	Projeto host	50 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify Isentas: chaves de HSM de locatário único do Cloud.
Solicitações aleatórias de HSM por região `cloudkms.googleapis.com/hsm_generate_random_requests`	Projeto host	50 QPS	locations: generateRandomBytes Isentas: chaves de HSM de locatário único do Cloud.
Solicitações criptográficas externas por região `cloudkms.googleapis.com/external_kms_requests`	Projeto host	100 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Exemplos de cota

As seções a seguir incluem exemplos de cada cota usando os seguintes projetos de exemplo:

KEY_PROJECT - Um Google Cloud projeto que contém chaves do Cloud KMS, incluindo chaves de HSM de locatário único do Cloud e do Cloud EKM.
SPANNER_PROJECT - Um Google Cloud projeto que contém uma instância do Spanner que usa as chaves de criptografia gerenciadas pelo cliente (CMEKs) que residem em KEY_PROJECT.
SERVICE_PROJECT - Um Google Cloud projeto que contém uma conta de serviço usada para gerenciar recursos do Cloud KMS que residem em KEY_PROJECT.

Solicitações de leitura

A cota de solicitações de leitura limita as solicitações de leitura do Google Cloud projeto que chama a API Cloud KMS. Por exemplo, a visualização de uma lista de chaves em KEY_PROJECT de KEY_PROJECT usando a Google Cloud CLI é contabilizada na cota de KEY_PROJECT solicitações de leitura. Se você usar uma conta de serviço em SERVICE_PROJECT para conferir sua lista de chaves, a solicitação de leitura será contabilizada na cota de SERVICE_PROJECT solicitações de leitura.

O uso do Google Cloud console para conferir recursos do Cloud KMS não contribui para a cota de solicitações de leitura.

Solicitações de gravação

A cota de solicitações de gravação limita as solicitações de gravação do Google Cloud projeto que chama a API Cloud KMS. Por exemplo, a criação de chaves em KEY_PROJECT usando a CLI gcloud é contabilizada na cota de KEY_PROJECT solicitações de gravação. Se você usar uma conta de serviço em SERVICE_PROJECT para criar chaves, a solicitação de gravação será contabilizada na cota de solicitações de gravação de SERVICE_PROJECT.

O uso do Google Cloud console para criar ou gerenciar recursos do Cloud KMS não contribui para a cota de solicitações de leitura.

Solicitações criptográficas

A cota de solicitações criptográficas limita as operações criptográficas do Google Cloud projeto que chama a API Cloud KMS. Por exemplo, a criptografia de dados usando chamadas de API de um recurso de conta de serviço em execução em SERVICE_PROJECT usando chaves de KEY_PROJECT é contabilizada na cota de SERVICE_PROJECT solicitações criptográficas.

A criptografia e a descriptografia de dados em um recurso do Spanner em SPANNER_PROJECT usando a integração de CMEK não são contabilizadas na cota de solicitações criptográficas de SPANNER_PROJECT.

Solicitações criptográficas simétricas de HSM por região

A cota de solicitações criptográficas simétricas de HSM por região limita as operações criptográficas usando chaves simétricas do Cloud HSM no Google Cloud projeto que contém essas chaves. Por exemplo, a criptografia de dados em um recurso do Spanner usando chaves simétricas de HSM é contabilizada na cota de KEY_PROJECT solicitações criptográficas simétricas de HSM por região .

Solicitações criptográficas assimétricas de HSM por região

A cota de solicitações criptográficas assimétricas de HSM por região limita as operações criptográficas usando chaves assimétricas do Cloud HSM no Google Cloud projeto que contém essas chaves. Por exemplo, a criptografia de dados em um recurso do Spanner usando chaves assimétricas de HSM é contabilizada na cota de KEY_PROJECT solicitações criptográficas assimétricas de HSM por região.

Solicitações aleatórias de HSM por região

A cota de solicitações aleatórias de HSM por região limita as operações de geração de bytes aleatórios usando Cloud HSM no Google Cloud projeto especificado na mensagem de solicitação. Por exemplo, as solicitações de qualquer origem para gerar bytes aleatórios em KEY_PROJECT são contabilizadas na cota de KEY_PROJECT solicitações aleatórias de HSM por região.

Solicitações criptográficas externas por região

A cota de solicitações criptográficas externas por região limita as operações criptográficas usando chaves externas (Cloud EKM) no Google Cloud projeto que contém essas chaves. Por exemplo, a criptografia de dados em um recurso do Spanner usando chaves EKM é contabilizada na cota de KEY_PROJECT solicitações criptográficas externas por região.

Informação de erro na cota

Se você fizer uma solicitação depois que a cota for atingida, ela vai resultar em um erro RESOURCE_EXHAUSTED. O código de status HTTP é 429. Para saber como as bibliotecas de cliente exibem o RESOURCE_EXHAUSTED erro, consulte Mapeamento da biblioteca de cliente.

Se você receber o RESOURCE_EXHAUSTED erro, talvez esteja enviando muitas solicitações de operação criptográfica por segundo. Você pode receber o RESOURCE_EXHAUSTED erro mesmo que o Google Cloud console mostre que você está dentro do limite de consultas por minuto. Esse problema pode acontecer porque as cotas do projeto host do Cloud KMS são exibidas por minuto, mas são aplicadas em uma escala por segundo. Para saber mais sobre métricas de monitoramento, consulte Configurar alertas e monitoramento de cotas.

Para detalhes sobre como solucionar problemas de cota do Cloud KMS, consulte Resolver problemas de cota.

A seguir

Saiba como usar o Cloud Monitoring com o Cloud KMS.
Saiba como monitorar e ajustar as cotas do Cloud KMS.

Cotas Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.