Google Cloud 会对资源用量实施配额限制。对于 Cloud Key Management Service (Cloud KMS),配额限制适用于密钥、密钥版本和位置等资源的管理和使用。您可以拥有的密钥环、密钥、密钥版本或其他 Cloud KMS 资源数量没有配额限制,只有其用量受到配额限制。
自 2026 年 2 月 16 日起,Cloud KMS 将更改配额的跟踪和强制执行方式。本文档介绍了更改前后的配额运作方式,并帮助您确定可能需要采取哪些步骤来为更改做好准备。
时间轴
下表概述了 Cloud KMS 配额变更的预期时间表。
| 日期 | 有何变化? |
|---|---|
| Cloud KMS 开始允许针对硬件 (Cloud HSM) 密钥的超配额请求,前提是 Cloud KMS 系统未过载。 | |
|
|
| 旧版指标已停用,无法再进行监控。 |
变更摘要
修订后的配额系统旨在简化 Cloud KMS 用户的配额管理。下表总结了主要变化:
| 2026 年 2 月 16 日之前 | 2026 年 2 月 16 日之后 | |
|---|---|---|
| 位置范围 | 混合范围:有些指标是按全球范围衡量的,有些是按区域衡量的。 | 区域范围:所有指标均按区域进行衡量。 多区域位置的用量计入处理相应请求的特定区域的配额。 |
| 配额限制 | 静态限制:默认配额限制适用于每个项目。您可以申请提高配额上限。 | 动态限额:配额限额最初是根据您在 2026 年 2 月 16 日之前的项目特定限额和用量设置的。我们还建议您选择启用配额调整器服务,以便系统根据您的典型用量自动调整限额。 |
| 实施 | 强制执行:当用量超出配额限制时,即使系统可以处理请求,也会拒绝请求。 | 软性限制:如果超出配额限制,只要系统能够处理请求,便允许读取请求以及大多数写入请求和加密操作请求。不过,以下配额限制是强制执行的:
|
| Cloud HSM 配额 | 多项 Cloud HSM 配额:Cloud KMS 会针对 Cloud HSM 对称密钥、非对称密钥和 generateRandomBytes 请求分别强制执行配额。 |
一个 Cloud HSM 配额:Cloud KMS 会针对所有 Cloud HSM 请求强制执行单个配额。不过,不同的密钥大小和操作会消耗不同数量的配额。 |
| 衡量哪些方面? | 跟踪请求:配额会统计执行的操作次数,但无法帮助您了解消耗的处理资源量。 | 跟踪资源使用情况:配额统计的是令牌数,而不是操作数;每个操作的令牌数表示相应操作的相对处理成本。如需了解详情,请参阅本页面上的每次操作的令牌数。 |
| 时间比例 | 混合时间尺度:部分配额指标按分钟报告,但按秒强制执行。 | 一致的时间尺度:所有配额指标都以其强制执行的时间尺度进行报告。大多数指标每分钟报告一次并强制执行。系统会按秒报告和强制执行 Cloud EKM 使用情况。 |
| 项目范围 | 多个项目:有些配额适用于包含 CryptoKey 和 CryptoKeyVersion 资源的项目,而另一些配额适用于发出请求的项目。 |
单个项目:所有配额都应用于包含 CryptoKey 和 CryptoKeyVersion 资源的项目。 |
| CMEK 和 Cloud KMS 配额 | 不受限制的软件 CMEK 使用量:Cloud KMS 不会对 CMEK 集成中使用的软件密钥强制执行配额。 | 仅限制异常使用情况:CMEK 使用量计入软件用量限额,但采用软性强制执行方式,如果系统未超负荷,则即使使用量超出限额,系统也会提供服务。 |
2026 年 2 月 16 日之后的 Cloud KMS 配额
下表列出了 Cloud KMS 的指标和配额。
| 指标 | 时间尺度 默认 |
强制执行 | 运维 |
|---|---|---|---|
阅读使用情况cloudkms.googleapis.com/read_usage |
每分钟 600 TPM |
|
cryptoKeys: get、 getIamPolicy、 list、 testIamPermissions ekmConnections: get、 getIamPolicy、 list、 testIamPermissions、 verifyConnectivity importJobs: get、 getIamPolicy、 list、 testIamPermissions |
写入使用情况cloudkms.googleapis.com/write_usage |
每分钟 100 次交易 |
|
cryptoKeys: create、patch、setIamPolicy、updatePrimaryVersion cryptoKeyVersions: create、 destroy、 import、 patch、 restore ekmConnections: create、 patch、 setIamPolicy |
软件使用情况cloudkms.googleapis.com/software_usage |
分钟 6,000,000 TPM |
柔和 |
cryptoKeyVersions: asymmetricDecrypt、asymmetricSign、decapsulate、getPublicKey、macSign、macVerify、rawEncrypt、rawDecrypt |
HSM 用量cloudkms.googleapis.com/hsm_usage |
Minute 3,000,000 TPM |
柔和 | |
外部 KMS 使用情况cloudkms.googleapis.com/external_usage |
第二名 10,000 TPS |
困难 |
每次操作的 token 数
下表列出了每项操作针对每个 Cloud KMS 资源、密钥大小和操作消耗的配额令牌数量。您可以使用此表来估算特定应用可以消耗多少配额令牌。需要更多处理资源的操作会消耗更多配额 token。
| Cloud KMS 资源 | 操作 | 每次操作的 token 数 |
|---|---|---|
| 所有 Cloud KMS 资源 | 所有读取操作 | 读取使用情况:1 |
| 所有由软件支持的 Cloud KMS 资源和外部 Cloud KMS 资源 | 所有写入操作 | 写入使用情况:1 |
| 由硬件支持的密钥 | 除创建和导入之外的写入操作 | 写入使用情况:1 |
| 硬件支持的对称密钥和 MAC 密钥 | 创建和导入操作 | 写入使用量:1 HSM 使用量:1,200 |
| 由硬件支持的非对称密钥 | 创建和导入操作 | 写入使用量:1 HSM 使用量:50,000 |
| 由软件支持的密钥 | 所有加密操作 | 软件使用情况:100 |
| 外部 (Cloud EKM) 密钥 | 所有加密操作 | 外部 KMS 使用情况:100 |
| 硬件 (Cloud HSM) 密钥 |
|
HSM 使用量:100 |
| 硬件 (Cloud HSM) 密钥 | generateRandomBytes |
HSM 使用量:1,000 |
| 硬件 (Cloud HSM) 密钥 |
|
HSM 使用量:1,500 |
| 硬件 (Cloud HSM) 密钥 |
|
HSM 使用量:3,500 |
| 硬件 (Cloud HSM) 密钥 |
|
HSM 用量:4,500 |
| 硬件 (Cloud HSM) 密钥 |
|
HSM 使用量:7,000 |
| 硬件 (Cloud HSM) 密钥 |
|
HSM 用量:14,000 |
为配额变更做好准备的建议操作
| 使用场景 | 建议的准备工作 |
|---|---|
| 确保现有项目有足够的配额 | 对于现有项目,系统会根据项目的实际用量自动计算新指标的配额限额。现有项目无需执行任何操作。 |
| 确保新项目有足够的配额 | 如果您计划创建新项目,并且预计配额用量会很高,请使用配额调整器服务选择启用自动配额调整。允许流量在 1-2 周内逐渐增加,以便系统根据您的用量进行调整;或者主动申请您认为需要的配额限额。 |
| 更新了监控以使用新配额 | 您可以在 2026 年 8 月 31 日之前使用现有配额指标进行监控。我们建议您在 2026 年 2 月 16 日之后但在 2026 年 8 月 31 日之前,使用新指标设置监控。 |
| 选择启用配额调整工具 | 我们建议您选择使用配额调整器系统,以便根据您的用量自动调整 Cloud KMS 配额。包含 Cloud KMS 资源的每个项目都必须单独选择启用配额调整器。 |
2026 年 2 月 16 日之前的 Cloud KMS 配额
这些操作的某些配额适用于调用项目,即调用 Cloud KMS 服务的项目Google Cloud 。其他配额适用于宿主项目,即包含用于操作的密钥的项目 Google Cloud 。
调用项目配额不包括因Google Cloud 使用 Cloud KMS 密钥进行客户管理的加密密钥 (CMEK) 集成的服务而产生的用量。例如,直接来自 BigQuery、Bigtable 或 Spanner 的加密和解密请求不会计入加密请求配额。
Google Cloud 控制台会以每分钟查询次数 (QPM) 列出每项配额的限制,但宿主项目配额是按秒强制执行的。以每秒查询次数 (QPS) 为单位强制执行的配额会拒绝超出 QPS 限额的请求,即使您的每分钟用量低于列出的 QPM 限额也是如此。如果超出 QPS 限制,您会收到 RESOURCE_EXHAUSTED 错误。
Cloud KMS 资源使用配额
下表列出了应用于 Cloud KMS 资源的各项配额。该表格列出了每项配额的名称和限额、配额适用的项目,以及计入配额的操作。您可以在该字段中输入关键字来过滤表格。例如,您可以输入 calling,仅查看应用于调用项目的配额;也可以输入 encrypt,仅查看与加密操作相关的配额:
配额示例
以下部分包含每种配额的示例,这些示例使用以下示例项目:
KEY_PROJECT- 包含 Cloud KMS 密钥(包括多租户 Cloud HSM 和 Cloud EKM 密钥)的 Google Cloud 项目。SPANNER_PROJECT- 包含 Spanner 实例的项目,该实例使用位于KEY_PROJECT中的客户管理的加密密钥 (CMEK)。 Google CloudSERVICE_PROJECT- 包含服务账号的项目,您可以使用该服务账号来管理位于KEY_PROJECT中的 Cloud KMS 资源。 Google Cloud
读请求次数
读取请求配额限制了Google Cloud 调用 Cloud KMS API 的项目发出的读取请求。例如,使用 Google Cloud CLI 查看 KEY_PROJECT 中来自 KEY_PROJECT 的密钥列表会占用 KEY_PROJECT 的读取请求配额。如果您在 SERVICE_PROJECT 中使用服务账号查看密钥列表,则读取请求会计入 SERVICE_PROJECT 读取请求配额。
使用 Google Cloud 控制台查看 Cloud KMS 资源不会计入读取请求配额。
写请求次数
写入请求配额限制来自调用 Cloud KMS API 的Google Cloud 项目的写入请求。例如,在 KEY_PROJECT 中使用 gcloud CLI 创建键会占用 KEY_PROJECT 写入请求配额。如果您在 SERVICE_PROJECT 中使用服务账号创建密钥,则写入请求会计入 SERVICE_PROJECT 的写入请求配额。
使用 Google Cloud 控制台创建或管理 Cloud KMS 资源不会计入读取请求配额。
加密请求数
加密请求配额限制了Google Cloud 项目调用 Cloud KMS API 的加密操作。例如,使用在 SERVICE_PROJECT 中运行的服务账号资源通过 API 调用加密数据时,使用 KEY_PROJECT 中的密钥会占用 SERVICE_PROJECT 的加密请求配额。
在 SPANNER_PROJECT 中使用 CMEK 集成加密和解密 Spanner 资源中的数据不会计入 SPANNER_PROJECT 的加密请求配额。
每个区域的 HSM 对称加密请求数
每个区域的 HSM 对称加密请求数 配额限制了在包含对称 Cloud HSM 密钥的 Google Cloud项目中使用这些密钥的加密操作。例如,使用对称 HSM 密钥加密 Spanner 资源中的数据会占用KEY_PROJECT 每个区域的 HSM 对称加密请求数 配额。
每个区域的 HSM 非对称加密请求数
每个区域的 HSM 非对称加密请求数配额限制了在包含非对称 Cloud HSM 密钥的 Google Cloud项目中使用这些密钥进行的加密操作。例如,使用非对称 HSM 密钥加密 Spanner 资源中的数据会占用KEY_PROJECT 每个区域的 HSM 非对称加密请求数配额。
每个区域的 HSM 生成随机请求数
每个区域的 HSM 生成随机请求数配额限制使用 Cloud HSM 在请求消息中指定的 Google Cloud 项目内生成随机字节的操作。例如,来自任何来源的在 KEY_PROJECT 中生成随机字节的请求都会计入 KEY_PROJECT
HSM 每个区域的随机生成请求数配额。
每个区域的外部加密请求数
每个区域的外部加密请求数配额限制了 Google Cloud 包含外部 (Cloud EKM) 密钥的项目中使用这些密钥的加密操作。例如,使用 EKM 密钥加密 Spanner 资源中的数据会占用 KEY_PROJECT 每个区域的外部加密请求数配额。
配额错误信息
如果您在配额已用尽的情况下发出请求,您的请求将导致一个 RESOURCE_EXHAUSTED 错误。HTTP 状态代码为 429。如需了解客户端库如何给出 RESOURCE_EXHAUSTED 错误,请参阅客户端库映射。
如果您收到 RESOURCE_EXHAUSTED 错误,则可能表示每秒发送的加密操作请求过多。即使 Google Cloud 控制台显示您未超出每分钟查询次数限制,您也可能会收到 RESOURCE_EXHAUSTED 错误。发生这种情况的原因是 Cloud KMS 宿主项目配额按分钟显示,但按秒实施。如需详细了解如何监控指标,请参阅设置配额提醒和监控。
如需详细了解如何排查 Cloud KMS 配额问题,请参阅排查配额问题。