Surveiller et ajuster les quotas Cloud KMS

Cette page explique comment gérer vos quotas Cloud Key Management Service. Pour en savoir plus sur les quotas associés à Cloud KMS, consultez la page Quotas.

Avant de commencer

Les autorisations suivantes sont requises pour afficher les quotas de projets:

• resourcemanager.projects.get
• monitoring.timeSeries.list
• serviceusage.services.list
• serviceusage.quotas.get

L'autorisation serviceusage.quotas.update est requise pour modifier les quotas de projets.

Pour en savoir plus sur les rôles IAM incluant ces autorisations, consultez la documentation de référence sur les autorisations IAM.

Vérifier vos quotas Cloud KMS

1. Dans la console Google Cloud, accédez à la page Détails de l'API/du service de l'API Cloud KMS.

   Accéder à la page "Détails de l'API/du service Cloud KMS"

   Cette page vous permet de consulter les détails des quotas de l'API Cloud KMS.

2. Pour afficher les quotas d'un autre projet, sélectionnez le projet souhaité dans l'en-tête de la console Google Cloud.

3. Pour filtrer par type de quota, cliquez dans la barre Filtre, puis sélectionnez Quota dans la liste des propriétés, puis le quota souhaité.

4. Pour filtrer par région, cliquez dans la barre Filtre, puis sélectionnez Dimensions (par exemple, emplacement) dans la liste des propriétés, puis saisissez le nom de la région souhaitée.

Si vous constatez que vous approchez ou dépassez vos quotas, vous pouvez demander une augmentation de vos quotas Cloud KMS.

Résoudre les problèmes de quota

Si Cloud KMS refuse une requête parce que la limite du quota concerné a été atteinte, il renvoie une erreur RESOURCE_EXHAUSTED. Pour les requêtes effectuées à l'aide de l'API REST Cloud KMS, l'erreur RESOURCE_EXHAUSTED est associée au code d'état HTTP 429. Étant donné que les quotas de projets d'hébergement Cloud KMS sont appliqués sur une base par seconde, les erreurs RESOURCE_EXHAUSTED occasionnelles pour les clés HSM ou EKM peuvent être résolues en réessayant la seconde suivante.

Les erreurs RESOURCE_EXHAUSTED récurrentes indiquent que votre projet dépasse régulièrement un ou plusieurs de ses quotas. Pour résoudre ce problème, vous pouvez essayer l'une des solutions suivantes, ou les deux:

• Réduisez la fréquence à laquelle vos projets envoient des requêtes qui utilisent des ressources Cloud KMS.

• Demandez des quotas Cloud KMS plus élevés.

• Utilisez des projets distincts pour vos ressources, le cas échéant, afin que plusieurs ressources ne partagent pas les mêmes quotas.

  • Appel des quotas de projet : si vous disposez d'un seul projet contenant plusieurs ressources qui utilisent l'API Cloud KMS à des taux de requête élevés, envisagez de déplacer les ressources vers leurs propres projets afin qu'elles ne partagent pas la limite de 60 000 RPM.

  • Quotas de projet d'hébergement : si vous disposez d'un seul projet contenant des clés Cloud HSM ou Cloud EKM compatibles avec des ressources distinctes avec des taux de RPS élevés, envisagez de diviser les clés Cloud KMS en projets distincts en fonction de détails tels que leur priorité ou leur charge de travail. De cette façon, moins de clés partagent les mêmes quotas Cloud HSM et Cloud EKM.

• Ajoutez un mécanisme de délai avant réessai à votre client pour gérer les erreurs RESOURCE_EXHAUSTED.

Demander des quotas Cloud KMS plus élevés

1. Dans la console Google Cloud, accédez à la page Détails de l'API/du service de l'API Cloud KMS.

   Accéder à la page "Détails de l'API/du service Cloud KMS"

   Cette page vous permet de consulter les détails des quotas de l'API Cloud KMS.

2. Pour demander une augmentation de quota pour un autre projet, sélectionnez le projet souhaité dans l'en-tête de la console Google Cloud.

3. Dans la liste des quotas, sélectionnez le quota par défaut ou régional que vous souhaitez augmenter, puis cliquez sur Modifier les quotas.

4. Dans le volet Modifications de quota, saisissez les limites souhaitées pour les quotas sélectionnés.

5. Dans Description de la demande, indiquez le motif de votre demande.

6. Cliquez sur Suivant pour continuer.

7. Indiquez vos coordonnées, y compris votre nom, votre adresse e-mail et votre numéro de téléphone.

8. Pour finaliser votre demande, cliquez sur Envoyer la requête.

   Une fois votre demande envoyée, elle est transmise aux personnes chargées de l'examiner. Vous serez informé de l'état de votre demande une fois qu'elle aura été examinée.

Limiter l'utilisation de Cloud KMS pour un projet spécifique

Si vous souhaitez imposer un quota plus strict sur l'utilisation de vos ressources Cloud KMS, vous pouvez choisir de définir le quota d'un projet donné sur une limite inférieure à la valeur par défaut. Par exemple, si plusieurs projets dont les ressources utilisent des clés Cloud HSM ou Cloud EKM se trouvent dans le même projet, vous pouvez choisir de définir un quota inférieur pour les requêtes de chiffrement sur chaque projet appelant afin de vous assurer de ne pas dépasser un quota tel que les requêtes de chiffrement symétriques HSM par région sur le projet qui héberge ces clés.

1. Dans la console Google Cloud, accédez à la page Détails de l'API/du service de l'API Cloud KMS.

   Accéder à la page "Détails de l'API/du service Cloud KMS"

   Cette page vous permet de consulter les détails des quotas de l'API Cloud KMS.

2. Pour réduire un quota pour un autre projet, sélectionnez le projet souhaité dans l'en-tête de la console Google Cloud.

3. Dans la liste des quotas, sélectionnez le quota par défaut ou régional que vous souhaitez réduire, puis cliquez sur Modifier les quotas.

4. Dans le volet Modifications de quota, saisissez les limites souhaitées pour les quotas sélectionnés.

5. Cliquez sur Suivant pour continuer.

   Si vous réduisez un quota de plus de 10% de la limite actuelle, un avertissement s'affiche. Pour continuer à appliquer un quota inférieur au quota par défaut, cliquez sur Confirmer. Sinon, vous pouvez cliquer sur Annuler pour revenir en arrière et choisir une autre limite.

6. Pour enregistrer vos modifications, cliquez sur Envoyer la requête.

   Votre nouveau plafond est immédiatement actif.

Étape suivante

• Pour en savoir plus, consultez la section Utiliser des quotas.
• Pour en savoir plus sur la manière dont les bibliothèques clientes génèrent l'erreur RESOURCE_EXHAUSTED, consultez la section Mappage avec la bibliothèque cliente.
• Consultez les informations sur les quotas Cloud KMS.