Google Cloud 는 리소스 사용량에 할당량을 적용합니다. Cloud Key Management Service (Cloud KMS)의 경우 키, 키 버전, 위치와 같은 리소스의 관리 및 사용량에 할당량이 적용됩니다. 사용할 수 있는 키링, 키, 키 버전 또는 기타 Cloud KMS 리소스의 수에는 할당량이 없습니다. 사용량에만 할당량이 있습니다.
2026년 2월 16일부터 Cloud KMS에서 할당량 추적 및 적용 방식이 변경됩니다. 이 문서에서는 변경 전후의 할당량 작동 방식에 관한 정보를 제공하고 변경에 대비하기 위해 취해야 할 단계를 파악하는 데 도움을 줍니다.
타임라인
다음 표에서는 Cloud KMS 할당량 변경의 예상 타임라인을 간략하게 보여줍니다.
| 날짜 | 어떤 점이 달라지나요? |
|---|---|
| Cloud KMS는 Cloud KMS 시스템이 과부하되지 않는 한 할당량 초과 하드웨어(Cloud HSM) 키 요청을 허용하기 시작했습니다. | |
|
|
| 기존 측정항목은 지원이 중단되어 더 이상 모니터링할 수 없습니다. |
변경사항 요약
개정된 할당량 시스템은 Cloud KMS 사용자의 할당량 관리를 간소화하도록 설계되었습니다. 다음 표에는 주요 변경사항이 요약되어 있습니다.
| 2026년 2월 16일 전 | 2026년 2월 16일 이후 | |
|---|---|---|
| 위치 범위 | 혼합 범위: 일부 측정항목은 전역으로 측정되고 다른 측정항목은 지역별로 측정됩니다. | 지역 범위: 모든 측정항목은 지역별로 측정됩니다. 멀티 리전 사용량은 요청을 처리하는 특정 리전의 할당량을 기준으로 계산됩니다. |
| 할당량 한도 | 정적 한도: 기본 할당량 한도가 각 프로젝트에 적용됩니다. 할당량 한도 상향 조정을 요청할 수 있습니다. | 동적 한도: 할당량 한도는 2026년 2월 16일 이전의 프로젝트별 한도 및 사용량을 기준으로 초기 설정됩니다. 일반적인 사용량에 따라 한도가 자동으로 조정되도록 할당량 조정기 서비스도 선택하는 것이 좋습니다. |
| 적용 | 강력한 시행: 할당량 한도를 초과하면 시스템에서 요청을 처리할 수 있더라도 요청이 거부됩니다. | 소프트 적용: 할당량 한도를 초과하는 경우 시스템에서 요청을 처리할 수 있으면 읽기 요청과 대부분의 쓰기 요청 및 암호화 작업 요청이 허용됩니다. 하지만 다음과 같은 할당량 한도는 엄격하게 적용됩니다.
|
| Cloud HSM 할당량 | 다양한 Cloud HSM 할당량: Cloud KMS는 Cloud HSM 대칭, 비대칭, generateRandomBytes 요청에 대해 별도의 할당량을 적용합니다. |
하나의 Cloud HSM 할당량: Cloud KMS는 모든 Cloud HSM 요청에 단일 할당량을 적용합니다. 하지만 키 크기와 작업에 따라 소비되는 할당량은 다릅니다. |
| 무엇이 측정되나요? | 요청 추적: 할당량은 실행된 작업 수를 계산하지만 사용 중인 처리 리소스의 양을 파악하는 데는 도움이 되지 않습니다. | 리소스 사용량 추적: 할당량은 작업이 아닌 토큰을 계산합니다. 작업당 토큰 수는 각 작업의 상대적인 처리 비용을 나타냅니다. 자세한 내용은 이 페이지의 작업당 토큰을 참고하세요. |
| 시간 척도 | 혼합 시간 단위: 일부 할당량 측정항목은 분 단위로 보고되지만 초 단위로 적용됩니다. | 일관된 시간 단위: 모든 할당량 측정항목은 시행되는 것과 동일한 시간 단위로 보고됩니다. 대부분의 측정항목은 분당 보고되고 적용됩니다. Cloud EKM 사용량은 초당 보고되고 적용됩니다. |
| 프로젝트 범위 | 여러 프로젝트: 일부 할당량은 CryptoKey 및 CryptoKeyVersion 리소스가 포함된 프로젝트에 적용되고 다른 할당량은 요청을 하는 프로젝트에 적용됩니다. |
단일 프로젝트: 모든 할당량이 CryptoKey 및 CryptoKeyVersion 리소스가 포함된 프로젝트에 적용됩니다. |
| CMEK 및 Cloud KMS 할당량 | 무제한 소프트웨어 CMEK 사용: Cloud KMS는 CMEK 통합에 사용되는 소프트웨어 키에 할당량을 적용하지 않습니다. | 예외적인 사용만 제한: CMEK 사용량은 소프트웨어 사용량 한도에 포함되지만, 소프트 시행을 사용하면 시스템이 용량을 초과하지 않는 경우 한도를 초과하는 사용량이 제공됩니다. |
2026년 2월 16일 이후의 Cloud KMS 할당량
다음 표에는 Cloud KMS의 측정항목과 할당량이 나와 있습니다.
| 측정항목 | 시간 척도 기본값 |
적용 | 작업 |
|---|---|---|---|
사용량 읽기cloudkms.googleapis.com/read_usage |
분당 600TPM |
|
cryptoKeys: get, getIamPolicy, list, testIamPermissions ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions |
쓰기 사용량cloudkms.googleapis.com/write_usage |
분당 100 TPM |
|
cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy |
소프트웨어 사용량cloudkms.googleapis.com/software_usage |
분당 6,000,000 TPM |
부드럽게 |
cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, decapsulate, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt |
HSM 사용량cloudkms.googleapis.com/hsm_usage |
분당 3,000,000 TPM |
부드럽게 | |
외부 KMS 사용량cloudkms.googleapis.com/external_usage |
두 번째 10,000 TPS |
어려움 |
작업당 토큰 수
다음 표에는 각 Cloud KMS 리소스, 키 크기, 작업에 대해 각 작업에서 사용되는 할당량 토큰 수가 나와 있습니다. 이 표를 사용하여 특정 애플리케이션이 사용할 수 있는 할당량 토큰 수를 추정할 수 있습니다. 처리 집약적인 작업에는 더 많은 할당량 토큰이 사용됩니다.
| Cloud KMS 리소스 | 작업 | 작업당 토큰 수 |
|---|---|---|
| 모든 Cloud KMS 리소스 | 모든 읽기 작업 | 읽기 사용량: 1 |
| 모든 소프트웨어 지원 및 외부 Cloud KMS 리소스 | 모든 쓰기 작업 | 사용량 쓰기: 1 |
| 하드웨어 지원 키 | 생성 및 가져오기 외 쓰기 작업 | 사용량 쓰기: 1 |
| 하드웨어 지원 대칭 및 MAC 키 | 만들기 및 가져오기 작업 | 쓰기 사용량: 1 HSM 사용량: 1,200 |
| 하드웨어 지원 비대칭 키 | 만들기 및 가져오기 작업 | 쓰기 사용량: 1 HSM 사용량: 50,000 |
| 소프트웨어 지원 키 | 모든 암호화 작업 | 소프트웨어 사용량: 100 |
| 외부 (Cloud EKM) 키 | 모든 암호화 작업 | 외부 KMS 사용량: 100 |
| 하드웨어 (Cloud HSM) 키 |
|
HSM 사용량: 100 |
| 하드웨어 (Cloud HSM) 키 | generateRandomBytes |
HSM 사용량: 1,000 |
| 하드웨어 (Cloud HSM) 키 |
|
HSM 사용량: 1,500 |
| 하드웨어 (Cloud HSM) 키 |
|
HSM 사용량: 3,500 |
| 하드웨어 (Cloud HSM) 키 |
|
HSM 사용량: 4,500 |
| 하드웨어 (Cloud HSM) 키 |
|
HSM 사용량: 7,000 |
| 하드웨어 (Cloud HSM) 키 |
|
HSM 사용량: 14,000 |
할당량 변경에 대비하기 위한 권장 작업
| 사용 사례 | 추천 준비 |
|---|---|
| 기존 프로젝트에 충분한 할당량 보장 | 기존 프로젝트의 경우 새 측정항목의 할당량 한도가 프로젝트의 실제 사용량을 기반으로 자동으로 계산됩니다. 기존 프로젝트에 대해서는 별도의 조치가 필요하지 않습니다. |
| 새 프로젝트에 충분한 할당량 보장 | 새 프로젝트를 만들 계획이고 할당량 사용량이 많을 것으로 예상되는 경우 할당량 조정기 서비스를 사용하여 자동 할당량 조정에 참여하세요. 시스템에서 사용량에 맞게 조정할 수 있도록 1~2주 동안 트래픽을 점진적으로 늘리거나, 필요할 것으로 예상되는 할당량 한도를 사전에 요청하세요. |
| 새 할당량을 사용하도록 모니터링 업데이트 | 기존 할당량 측정항목을 사용한 모니터링은 2026년 8월 31일까지 가능합니다. 2026년 2월 16일부터 2026년 8월 31일 사이에 새 측정항목을 사용하여 모니터링을 설정하는 것이 좋습니다. |
| 할당량 조정자 선택 | 할당량 조정기 시스템을 사용하여 사용량에 따라 Cloud KMS 할당량을 자동으로 조정하는 것이 좋습니다. Cloud KMS 리소스가 포함된 각 프로젝트는 할당량 조정기에 별도로 선택해야 합니다. |
2026년 2월 16일 이전 Cloud KMS 할당량
이러한 작업의 일부 할당량은 Cloud KMS 서비스를 호출하는Google Cloud 프로젝트인 호출 프로젝트에 적용됩니다. 다른 할당량은 작업에 사용되는 키가 포함된 Google Cloud 프로젝트인 호스팅 프로젝트에 적용됩니다.
호출 프로젝트 할당량에는 고객 관리 암호화 키 (CMEK) 통합을 위해 Cloud KMS 키를 사용하는Google Cloud 서비스에서 생성된 사용량이 포함되지 않습니다. 예를 들어 BigQuery, Bigtable 또는 Spanner에서 직접 전송된 암호화 및 복호화 요청은 암호화 요청 할당량에 포함되지 않습니다.
Google Cloud 콘솔은 분당 쿼리 수(QPM)의 각 할당량 한도를 나열하지만 호스팅 프로젝트 할당량은 초 단위로 적용됩니다. 초당 쿼리 수(QPS)에 적용되는 할당량은 QPS 한도를 초과하는 요청을 거부하며, 이는 분당 사용량이 나열된 QPM 한도 미만인 경우에도 마찬가지입니다. QPS 한도를 초과하면 RESOURCE_EXHAUSTED 오류가 수신됩니다.
Cloud KMS 리소스 사용량 할당량
다음 표에는 Cloud KMS 리소스에 적용되는 각 할당량이 나와 있습니다. 이 표에는 할당량이 적용되는 프로젝트 및 할당량에 포함되는 작업의 이름과 각 할당량 한도가 나와 있습니다. 이 필드에 키워드를 입력하여 테이블을 필터링할 수 있습니다. 예를 들어 호출을 입력하면 호출 프로젝트에 적용되는 할당량만 확인할 수 있고 암호화를 입력하면 암호화 작업과 관련된 할당량만 확인할 수 있습니다.
할당량 예시
다음 섹션에서는 다음 예시 프로젝트를 사용하는 각 할당량의 예시를 보여줍니다.
KEY_PROJECT- 멀티 테넌트 Cloud HSM 및 Cloud EKM 키를 비롯해 Cloud KMS 키가 포함된 Google Cloud 프로젝트입니다.SPANNER_PROJECT-KEY_PROJECT에 있는 고객 관리 암호화 키(CMEK)를 사용하는 Spanner 인스턴스가 포함된 Google Cloud 프로젝트입니다.SERVICE_PROJECT-KEY_PROJECT에 있는 Cloud KMS 리소스를 관리하는 데 사용하는 서비스 계정이 포함된 Google Cloud 프로젝트입니다.
읽기 요청
읽기 요청 할당량은 Cloud KMS API를 호출하는Google Cloud 프로젝트의 읽기 요청을 제한합니다. 예를 들어 Google Cloud CLI를 사용하여 KEY_PROJECT에서 KEY_PROJECT의 키 목록을 보는 것은 KEY_PROJECT
읽기 요청 할당량에 대해 계산됩니다. SERVICE_PROJECT의 서비스 계정을 사용하여 키 목록을 보는 경우 읽기 요청은 SERVICE_PROJECT 읽기 요청 할당량에 대해 계산됩니다.
Google Cloud 콘솔을 사용하여 Cloud KMS 리소스를 보는 것은 읽기 요청 할당량에 반영되지 않습니다.
쓰기 요청
쓰기 요청 할당량은 Cloud KMS API를 호출하는Google Cloud 프로젝트의 쓰기 요청을 제한합니다. 예를 들어 gcloud CLI를 사용하여 KEY_PROJECT에 키를 만들면 KEY_PROJECT 쓰기 요청 할당량에 대해 계산됩니다. SERVICE_PROJECT의 서비스 계정을 사용하여 키를 만들면 쓰기 요청은 SERVICE_PROJECT 쓰기 요청 할당량에 대해 계산됩니다.
Google Cloud 콘솔을 사용하여 Cloud KMS 리소스를 만들거나 관리하는 것은 읽기 요청 할당량에 반영되지 않습니다.
암호화 요청
암호화 요청 할당량은 Cloud KMS API를 호출하는Google Cloud 프로젝트의 암호화 작업을 제한합니다. 예를 들어 KEY_PROJECT의 키를 사용하여 SERVICE_PROJECT에서 실행되는 서비스 계정 리소스의 API 호출을 통해 데이터를 암호화하면 SERVICE_PROJECT 암호화 요청 할당량에 대해 계산됩니다.
CMEK 통합을 사용하는 SPANNER_PROJECT의 Spanner 리소스에 있는 데이터의 암호화 및 복호화는 SPANNER_PROJECT의 암호화 요청 할당량에 포함되지 않습니다.
리전당 HSM 대칭 암호화 요청
리전당 HSM 대칭 암호화 요청 할당량은 이러한 키가 포함된 프로젝트에서 대칭 Cloud HSM 키를 사용하는 암호화 작업을 제한합니다. Google Cloud예를 들어 대칭 HSM 키를 사용하여 Spanner 리소스의 데이터를 암호화하면 KEY_PROJECT 리전당 HSM 대칭 암호화 요청 할당량에 대해 계산됩니다.
리전당 HSM 비대칭 암호화 요청
리전당 HSM 비대칭 암호화 요청 할당량은 이러한 키가 포함된 Google Cloud프로젝트에서 비대칭 Cloud HSM 키를 사용하여 암호화 작업을 제한합니다. 예를 들어 비대칭 HSM 키를 사용하여 Spanner 리소스의 데이터를 암호화하면 KEY_PROJECT 리전별 HSM 비대칭 암호화 요청 할당량에 대해 계산됩니다.
리전당 HSM 무작위 생성 요청
리전당 HSM 무작위 생성 요청 할당량은 요청 메시지에 지정된 Google Cloud 프로젝트의 Cloud HSM을 사용하여 무작위 생성 바이트 작업을 제한합니다. 예를 들어 KEY_PROJECT에서 임의의 바이트를 생성하는 모든 소스의 요청은 KEY_PROJECT
리전당 HSM 무작위 요청 생성 할당량에 대해 계산됩니다.
리전당 외부 암호화 요청
리전당 외부 암호화 요청 할당량은 이러한 키가 포함된 Google Cloud 프로젝트에서 외부(Cloud EKM) 키를 사용하여 암호화 작업을 제한합니다. 예를 들어 EKM 키를 사용하여 Spanner 리소스의 데이터를 암호화하면 KEY_PROJECT 리전당 외부 암호화 요청 할당량에 대해 계산됩니다.
할당량 오류 정보
할당량에 도달한 후에 요청하면 RESOURCE_EXHAUSTED 오류가 발생합니다. HTTP 상태 코드는 429입니다. 클라이언트 라이브러리에 RESOURCE_EXHAUSTED 오류가 표시되는 방식에 대한 자세한 내용은 클라이언트 라이브러리 매핑을 참조하세요.
RESOURCE_EXHAUSTED 오류가 발생하는 경우 초당 암호화 작업 요청을 너무 많이 보내고 있을 수 있습니다. Google Cloud 콘솔에 분당 쿼리 수 한도 내에 있는 것으로 표시되더라도 RESOURCE_EXHAUSTED 오류가 발생할 수 있습니다. 이 문제는 Cloud KMS 호스팅 프로젝트 할당량이 분 단위로 표시되지만 초당 확장을 기준으로 적용되기 때문에 발생할 수 있습니다. 측정항목 모니터링에 대한 자세한 내용은 할당량 알림 및 모니터링 설정을 참고하세요.
Cloud KMS 할당량 문제 해결에 대한 자세한 내용은 할당량 문제 해결을 참조하세요.
다음 단계
- Cloud KMS에서 Cloud Monitoring 사용 자세히 알아보기
- Cloud KMS 할당량 모니터링 및 조정 방법 자세히 알아보기