Cette page a été traduite par l'API Cloud Translation.

Quotas

Google Cloud impose des quotas sur l'utilisation des ressources. Pour Cloud KMS, ces quotas s'appliquent à l'utilisation de ressources telles que les clés, les trousseaux de clés, les versions de clés et les emplacements. Pour savoir comment gérer ou augmenter vos quotas, consultez la page Surveiller et ajuster les quotas Cloud KMS.

Afficher les quotas Cloud KMS

Il n'y a pas de quota sur le nombre de ressources KeyRing, CryptoKey ou CryptoKeyVersion, mais uniquement sur le nombre d'opérations.

Certains quotas sur ces opérations s'appliquent au projet appelant, le projet Google Cloud qui appelle le service Cloud KMS. D'autres quotas s'appliquent au projet d'hébergement, le projet Google Cloud qui contient les clés utilisées pour l'opération.

Les quotas de projets d'appel n'incluent pas l'utilisation générée par les services Google Cloud qui utilisent des clés Cloud KMS pour l'intégration de clés de chiffrement gérées par le client (CMEK). Par exemple, les requêtes de chiffrement et de déchiffrement provenant directement de BigQuery, Bigtable ou Spanner ne contribuent pas aux quotas de requêtes de chiffrement.

La console Google Cloud indique la limite de chaque quota en requêtes par minute (QPM), mais les quotas des projets d'hébergement sont appliqués par seconde. Les quotas appliqués en requêtes par seconde (RPS) refusent les requêtes qui dépassent la limite de RPS, même si votre utilisation par minute est inférieure à la limite de RPM indiquée. Si vous dépassez une limite de RPS, vous recevez une erreur RESOURCE_EXHAUSTED.

Quotas sur l'utilisation des ressources Cloud KMS

Le tableau suivant répertorie chaque quota appliqué aux ressources Cloud KMS. Le tableau indique le nom et la limite de chaque quota, le projet auquel il s'applique et les opérations qui sont comptabilisées dans le quota. Vous pouvez saisir un mot clé dans le champ pour filtrer le tableau. Par exemple, vous pouvez saisir calling (appelant) pour afficher uniquement les quotas appliqués au projet appelant ou encrypt (chiffrement) pour afficher uniquement les quotas liés aux opérations de chiffrement:

Quota	Projet	Limite	Ressources et opérations
Requêtes de lecture `cloudkms.googleapis.com/read_requests`	Projet appelant	300 RPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings:get, getIamPolicy, list, testIamPermissions locations: get, list Exceptions: opérations effectuées depuis la console Google Cloud.
Requêtes d'écriture `cloudkms.googleapis.com/write_requests`	Projet appelant	60 RPM	cryptoKeys:create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings:create, setIamPolicy Exceptions: opérations effectuées depuis la console Google Cloud.
Requêtes cryptographiques `cloudkms.googleapis.com/crypto_requests`	Projet appelant	60 000 RPM	cryptoKeys:encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Exemptées: opérations des intégrations de CMEK.
Requêtes de cryptographie symétrique HSM par région `cloudkms.googleapis.com/hsm_symmetric_requests`	Projet d'hébergement	500 RPS	cryptoKeys:encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt
Requêtes cryptographiques asymétriques du HSM par région `cloudkms.googleapis.com/hsm_asymmetric_requests`	Projet d'hébergement	50 RPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
Le HSM génère des requêtes aléatoires par région. `cloudkms.googleapis.com/hsm_generate_random_requests`	Projet d'hébergement	50 RPS	locations: generateRandomBytes
Requêtes cryptographiques externes par région `cloudkms.googleapis.com/external_kms_requests`	Projet d'hébergement	100 RPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Exemples de quotas

Les sections suivantes incluent des exemples de chaque quota à l'aide des exemples de projets suivants:

KEY_PROJECT : projet Google Cloud contenant des clés Cloud KMS, y compris des clés Cloud HSM et Cloud EKM.
SPANNER_PROJECT : projet Google Cloud contenant une instance Spanner qui utilise les clés de chiffrement gérées par le client (CMEK) situées dans KEY_PROJECT.
SERVICE_PROJECT : projet Google Cloud contenant un compte de service que vous utilisez pour gérer les ressources Cloud KMS qui se trouvent dans KEY_PROJECT.

Requêtes de lecture

Le quota Requêtes en lecture limite les requêtes en lecture du projet Google Cloud qui appelle l'API Cloud KMS. Par exemple, l'affichage d'une liste de clés dans KEY_PROJECT à partir de KEY_PROJECT à l'aide de Google Cloud CLI est décompté du quota KEY_PROJECT Read requests (Requêtes de lecture). Si vous utilisez un compte de service dans SERVICE_PROJECT pour afficher votre liste de clés, la requête de lecture est comptabilisée dans le quota Requêtes de lecture de SERVICE_PROJECT.

L'utilisation de la console Google Cloud pour afficher les ressources Cloud KMS n'est pas comptabilisée dans le quota Requêtes de lecture.

Requêtes d'écriture

Le quota Requêtes en écriture limite les requêtes en écriture du projet Google Cloud qui appelle l'API Cloud KMS. Par exemple, la création de clés dans KEY_PROJECT à l'aide de la gcloud CLI est comptabilisée dans le quota KEY_PROJECT Write requests (Requêtes d'écriture). Si vous utilisez un compte de service dans SERVICE_PROJECT pour créer des clés, la requête d'écriture est comptabilisée dans le quota Requêtes d'écriture de SERVICE_PROJECT.

L'utilisation de la console Google Cloud pour créer ou gérer des ressources Cloud KMS n'est pas comptabilisée dans le quota de requêtes de lecture.

Requêtes de chiffrement

Le quota Requêtes de chiffrement limite les opérations de chiffrement du projet Google Cloud qui appelle l'API Cloud KMS. Par exemple, le chiffrement des données à l'aide d'appels d'API à partir d'une ressource de compte de service exécutée dans SERVICE_PROJECT à l'aide de clés de KEY_PROJECT est décompté du quota de requêtes cryptographiques de SERVICE_PROJECT.

Le chiffrement et le déchiffrement des données dans une ressource Spanner dans SPANNER_PROJECT à l'aide de l'intégration CMEK ne sont pas comptabilisés dans le quota de requêtes cryptographiques de SPANNER_PROJECT.

Requêtes de cryptographie symétrique HSM par région

Le quota Requêtes cryptographiques symétriques HSM par région limite les opérations cryptographiques à l'aide de clés Cloud HSM symétriques sur le projet Google Cloud qui contient ces clés. Par exemple, le chiffrement des données dans une ressource Spanner à l'aide de clés HSM symétriques est décompté du quota KEY_PROJECT requêtes cryptographiques symétriques HSM par région .

Requêtes de cryptographie asymétrique HSM par région

Le quota Requêtes cryptographiques asymétriques HSM par région limite les opérations cryptographiques à l'aide de clés Cloud HSM asymétriques sur le projet Google Cloud qui les contient. Par exemple, le chiffrement de données dans une ressource Spanner à l'aide de clés HSM asymétriques est décompté du quota KEY_PROJECT requêtes cryptographiques asymétriques HSM par région.

Le HSM génère des requêtes aléatoires par région

Les limites de quota HSM générer des requêtes aléatoires par région limitent les opérations d'octets aléatoires à l'aide de Cloud HSM dans le projet Google Cloud spécifié dans le message de requête. Par exemple, les requêtes provenant de n'importe quelle source pour générer des octets aléatoires dans KEY_PROJECT sont comptabilisées dans le quota HSM générer des requêtes aléatoires par région de KEY_PROJECT.

Requêtes cryptographiques externes par région

Le quota Requêtes cryptographiques externes par région limite les opérations cryptographiques à l'aide de clés externes (Cloud EKM) sur le projet Google Cloud qui les contient. Par exemple, le chiffrement des données dans une ressource Spanner à l'aide de clés EKM est comptabilisé dans le quota Requêtes cryptographiques externes par région de KEY_PROJECT.

Informations sur les erreurs de quota

Si vous effectuez une requête après avoir atteint votre quota, votre requête générera une erreur RESOURCE_EXHAUSTED. Le code d'état HTTP correspondant est 429. Pour en savoir plus sur la manière dont les bibliothèques clientes génèrent l'erreur RESOURCE_EXHAUSTED, consultez la section Mappage avec la bibliothèque cliente.

Si vous recevez l'erreur RESOURCE_EXHAUSTED, vous envoyez peut-être trop de requêtes d'opérations de chiffrement par seconde. Vous pouvez recevoir l'erreur RESOURCE_EXHAUSTED même si la console Google Cloud indique que vous respectez la limite de requêtes par minute. Cela peut arriver car les quotas des projets d'hébergement Cloud KMS sont affichés par minute, mais sont appliqués à une échelle par seconde. Pour en savoir plus sur les métriques de surveillance, consultez la page Surveillance des métriques de quota et alertes associées.

Pour en savoir plus sur la résolution des problèmes de quota Cloud KMS, consultez la page Résoudre les problèmes de quota.

Étape suivante

Découvrez comment utiliser Cloud Monitoring avec Cloud KMS.
Découvrez comment surveiller et ajuster les quotas Cloud KMS.