Cette page a été traduite par l'API Cloud Translation.

Quotas

Google Cloud impose des quotas sur l'utilisation des ressources. Pour Cloud KMS, les quotas s'appliquent à l'utilisation de ressources telles que les clés, les trousseaux de clés, les versions de clés et les emplacements. Pour savoir comment gérer ou augmenter vos quotas, consultez Surveiller et ajuster les quotas Cloud KMS.

Afficher les quotas Cloud KMS

Il n'y a pas de quota sur le nombre de ressources KeyRing, CryptoKey ou CryptoKeyVersion, mais uniquement sur le nombre d'opérations.

Certains quotas sur ces opérations s'appliquent au projet appelant, le projetGoogle Cloud qui appelle le service Cloud KMS. D'autres quotas s'appliquent au projet hôte, le projet Google Cloud qui contient les clés utilisées pour l'opération.

Les quotas de projets d'appel n'incluent pas l'utilisation générée par les servicesGoogle Cloud utilisant des clés Cloud KMS pour l'intégration des clés de chiffrement gérées par le client (CMEK). Par exemple, les requêtes de chiffrement et de déchiffrement provenant directement de BigQuery, Bigtable ou Spanner ne sont pas comptabilisées dans les quotas de requêtes de chiffrement.

La console Google Cloud indique la limite de chaque quota en requêtes par minute (RPM), mais les quotas des projets hôtes sont appliqués à la seconde. Les quotas appliqués en requêtes par seconde (RPS) refusent les requêtes qui dépassent la limite de RPS, même si votre utilisation par minute est inférieure à la limite de RPM indiquée. Si vous dépassez une limite de RPS, vous recevez une erreur RESOURCE_EXHAUSTED.

Quotas sur l'utilisation des ressources Cloud KMS

Le tableau suivant répertorie chaque quota appliqué aux ressources Cloud KMS. Le tableau indique le nom et la limite de chaque quota, le projet auquel il s'applique et les opérations qui sont comptabilisées dans le quota. Vous pouvez saisir un mot clé dans le champ pour filtrer le tableau. Par exemple, vous pouvez saisir calling pour n'afficher que les quotas appliqués au projet appelant ou encrypt pour n'afficher que les quotas liés aux opérations de chiffrement :

Quota	Projet	Limite	Ressources et opérations
Requêtes de lecture `cloudkms.googleapis.com/read_requests`	Projet appelant	300 RPM	cryptoKeys : get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations : get, list Exempté : opérations depuis la console Google Cloud .
Requêtes d'écriture `cloudkms.googleapis.com/write_requests`	Projet appelant	60 RPM	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions : create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs : create, setIamPolicy keyRings: create, setIamPolicy Exempté : opérations depuis la console Google Cloud .
Requêtes de chiffrement `cloudkms.googleapis.com/crypto_requests`	Projet appelant	60 000 RPM	cryptoKeys: encrypt, decrypt cryptoKeyVersions : asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Exemptées : opérations issues des intégrations de CMEK.
Requêtes de chiffrement symétrique HSM par région `cloudkms.googleapis.com/hsm_symmetric_requests`	Projet d'hébergement	500 RPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions : asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt
Requêtes de chiffrement asymétrique HSM par région `cloudkms.googleapis.com/hsm_asymmetric_requests`	Projet d'hébergement	50 RPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
Requêtes de génération aléatoire HSM par région `cloudkms.googleapis.com/hsm_generate_random_requests`	Projet d'hébergement	50 RPS	locations : generateRandomBytes
Requêtes de chiffrement externes par région `cloudkms.googleapis.com/external_kms_requests`	Projet d'hébergement	100 RPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Exemples de quotas

Les sections suivantes incluent des exemples de chaque quota à l'aide des exemples de projets suivants :

KEY_PROJECT : projet Google Cloud contenant des clés Cloud KMS, y compris des clés Cloud HSM et Cloud EKM.
SPANNER_PROJECT : projet Google Cloud contenant une instance Spanner qui utilise les clés de chiffrement gérées par le client (CMEK) résidant dans KEY_PROJECT.
SERVICE_PROJECT : projet Google Cloud contenant un compte de service que vous utilisez pour gérer les ressources Cloud KMS résidant dans KEY_PROJECT.

Requêtes de lecture

Le quota Requêtes en lecture limite les requêtes en lecture du projetGoogle Cloud appelant l'API Cloud KMS. Par exemple, l'affichage d'une liste de clés dans KEY_PROJECT à partir de KEY_PROJECT à l'aide de Google Cloud CLI est comptabilisé dans le quota de KEY_PROJECT demandes de lecture. Si vous utilisez un compte de service dans SERVICE_PROJECT pour afficher la liste de vos clés, la requête de lecture est comptabilisée dans le quota Requêtes de lecture de SERVICE_PROJECT.

L'utilisation de la console Google Cloud pour afficher les ressources Cloud KMS ne contribue pas au quota de requêtes de lecture.

Requêtes d'écriture

Le quota Requêtes en écriture limite les requêtes en écriture du projetGoogle Cloud appelant l'API Cloud KMS. Par exemple, la création de clés dans KEY_PROJECT à l'aide de gcloud CLI est comptabilisée dans le quota de requêtes d'écriture de KEY_PROJECT. Si vous utilisez un compte de service dans SERVICE_PROJECT pour créer des clés, la requête d'écriture est comptabilisée dans le quota Requêtes d'écriture de SERVICE_PROJECT.

L'utilisation de la console Google Cloud pour créer ou gérer des ressources Cloud KMS ne contribue pas au quota de requêtes de lecture.

Requêtes de chiffrement

Le quota Requêtes de chiffrement limite les opérations de chiffrement du projetGoogle Cloud qui appelle l'API Cloud KMS. Par exemple, le chiffrement de données à l'aide d'appels d'API à partir d'une ressource de compte de service exécutée dans SERVICE_PROJECT à l'aide de clés provenant de KEY_PROJECT est comptabilisé dans le quota de requêtes de chiffrement de SERVICE_PROJECT.

Le chiffrement et le déchiffrement des données dans une ressource Spanner dans SPANNER_PROJECT à l'aide de l'intégration CMEK ne sont pas comptabilisés dans le quota de requêtes de chiffrement de SPANNER_PROJECT.

Requêtes de cryptographie symétrique HSM par région

Le quota Requêtes de chiffrement symétrique HSM par région limite les opérations de chiffrement à l'aide de clés Cloud HSM symétriques dans le projet Google Cloudqui contient ces clés. Par exemple, le chiffrement de données dans une ressource Spanner à l'aide de clés HSM symétriques est décompté du quota KEY_PROJECT Requêtes de chiffrement symétriques HSM par région .

Requêtes de chiffrement asymétrique HSM par région

Le quota Requêtes de chiffrement asymétrique HSM par région limite les opérations de chiffrement à l'aide de clés Cloud HSM asymétriques dans le projet Google Cloudqui contient ces clés. Par exemple, le chiffrement de données dans une ressource Spanner à l'aide de clés HSM asymétriques est décompté du quota KEY_PROJECT Requêtes de chiffrement asymétriques HSM par région.

Requêtes de génération aléatoire HSM par région

Les limites de quota Requêtes de génération de nombres aléatoires HSM par région génèrent des opérations de génération d'octets aléatoires à l'aide de Cloud HSM dans le projet Google Cloud spécifié dans le message de la requête. Par exemple, les requêtes provenant de n'importe quelle source pour générer des octets aléatoires dans KEY_PROJECT sont comptabilisées dans le quota Requêtes de génération aléatoire HSM par région de KEY_PROJECT.

Requêtes de chiffrement externes par région

Le quota Requêtes cryptographiques externes par région limite les opérations cryptographiques utilisant des clés externes (Cloud EKM) sur le projet Google Cloud qui contient ces clés. Par exemple, le chiffrement des données dans une ressource Spanner à l'aide de clés EKM est comptabilisé dans le quota Requêtes cryptographiques externes par région de KEY_PROJECT.

Informations sur les erreurs de quota

Si vous effectuez une requête après avoir atteint votre quota, elle générera une erreur RESOURCE_EXHAUSTED. Le code d'état HTTP correspondant est 429. Pour en savoir plus sur la manière dont les bibliothèques clientes génèrent l'erreur RESOURCE_EXHAUSTED, consultez la section Mappage avec la bibliothèque cliente.

Si vous recevez l'erreur RESOURCE_EXHAUSTED, vous envoyez peut-être trop de requêtes d'opérations de chiffrement par seconde. Vous pouvez recevoir l'erreur RESOURCE_EXHAUSTED même si la console Google Cloud indique que vous n'avez pas dépassé la limite de requêtes par minute. Ce problème peut se produire, car les quotas du projet hôte Cloud KMS sont affichés par minute, mais sont appliqués à une échelle par seconde. Pour en savoir plus sur les métriques de surveillance, consultez Configurer des alertes et la surveillance de quotas.

Pour savoir comment résoudre les problèmes de quota Cloud KMS, consultez Résoudre les problèmes de quota.

Étapes suivantes

Découvrez comment utiliser Cloud Monitoring avec Cloud KMS.
Découvrez comment surveiller et ajuster les quotas Cloud KMS.

Quotas Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.