Esta página foi traduzida pela API Cloud Translation.

Cotas

OGoogle Cloud impõe cotas sobre o uso de recursos. Para o Cloud KMS, as cotas são aplicadas na utilização de recursos como chaves, keyrings, versões de chaves e locais. Para detalhes sobre como gerenciar ou aumentar suas cotas, consulte Monitorar e ajustar as cotas do Cloud KMS.

Ver cotas do Cloud KMS

Não há cota no número de recursos KeyRing, CryptoKey ou CryptoKeyVersion, apenas no número de operações.

Algumas cotas nessas operações se aplicam ao projeto de chamada, o Google Cloud projeto que faz chamadas para o serviço do Cloud KMS. Outras cotas se aplicam ao projeto de hospedagem, o projeto Google Cloud que contém as chaves usadas na operação.

As cotas de projetos de chamadas não incluem o uso gerado por serviçosGoogle Cloud que usam chaves do Cloud KMS para integração de chaves de criptografia gerenciadas pelo cliente (CMEK). Por exemplo, as solicitações de criptografia e descriptografia vindas diretamente do BigQuery, do Bigtable ou do Spanner não contribuem para as cotas de solicitações criptográficas.

O console Google Cloud lista o limite de cada cota em consultas por minuto (QPM), mas as cotas do projeto de hospedagem são aplicadas por segundo. As cotas aplicadas em consultas por segundo (QPS) negam solicitações que excedem o limite de QPS, mesmo que o uso por minuto seja menor do que o limite de QPM listado. Se você exceder um limite de QPS, vai receber um erro RESOURCE_EXHAUSTED.

Cotas sobre o uso de recursos do Cloud KMS

A tabela a seguir lista cada cota aplicada aos recursos do Cloud KMS. A tabela informa o nome e o limite de cada cota, o projeto a que ela se aplica e as operações que são contabilizadas na cota. É possível inserir uma palavra-chave no campo para filtrar a tabela. Por exemplo, digite calling para ver apenas as cotas aplicadas ao projeto de chamada ou encrypt para ver apenas as cotas relacionadas a operações de criptografia:

Cota	Projeto	Limite	Recursos e operações
Solicitações de leitura `cloudkms.googleapis.com/read_requests`	Projeto de chamada	300 QPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list Isentas: operações do console Google Cloud .
Solicitações de gravação `cloudkms.googleapis.com/write_requests`	Projeto de chamada	60 QPM	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings: create, setIamPolicy Isentas: operações do console Google Cloud .
Solicitações de criptografia `cloudkms.googleapis.com/crypto_requests`	Projeto de chamada	60.000 QPM	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Isentas: operações de integrações com CMEK.
Solicitações de criptografia simétrica do HSM por região `cloudkms.googleapis.com/hsm_symmetric_requests`	Projeto host	500 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt
Solicitações criptográficas assimétricas de HSM por região `cloudkms.googleapis.com/hsm_asymmetric_requests`	Projeto host	50 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
Solicitações aleatórias de geração de HSM por região `cloudkms.googleapis.com/hsm_generate_random_requests`	Projeto host	50 QPS	locations: generateRandomBytes
Solicitações criptográficas externas por região `cloudkms.googleapis.com/external_kms_requests`	Projeto host	100 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Exemplos de cota

As seções a seguir incluem exemplos de cada cota usando os seguintes projetos de exemplo:

KEY_PROJECT: um projeto do Google Cloud que contém chaves do Cloud KMS, incluindo chaves do Cloud HSM e do Cloud EKM.
SPANNER_PROJECT: um projeto do Google Cloud que contém uma instância do Spanner que usa as chaves de criptografia gerenciadas pelo cliente (CMEKs) localizadas em KEY_PROJECT.
SERVICE_PROJECT: um projeto do Google Cloud que contém uma conta de serviço usada para gerenciar recursos do Cloud KMS que estão em KEY_PROJECT.

Solicitações de leitura

A cota de Solicitações de leitura limita as solicitações de leitura do projetoGoogle Cloud que chama a API Cloud KMS. Por exemplo, visualizar uma lista de chaves em KEY_PROJECT de KEY_PROJECT usando a Google Cloud CLI conta para a cota de solicitações de leitura do KEY_PROJECT. Se você usar uma conta de serviço em SERVICE_PROJECT para ver sua lista de chaves, a solicitação de leitura será contabilizada na cota de solicitações de leitura do SERVICE_PROJECT.

Usar o console Google Cloud para ver recursos do Cloud KMS não contribui para a cota de solicitações de leitura.

Solicitações de gravação

A cota de Solicitações de gravação limita as solicitações de gravação do projetoGoogle Cloud que chama a API Cloud KMS. Por exemplo, a criação de chaves em KEY_PROJECT usando a CLI gcloud conta na cota de solicitações de gravação do KEY_PROJECT. Se você usar uma conta de serviço em SERVICE_PROJECT para criar chaves, a solicitação de gravação será contabilizada na cota de Solicitações de gravação do SERVICE_PROJECT.

Usar o console Google Cloud para criar ou gerenciar recursos do Cloud KMS não contribui para a cota de solicitações de leitura.

Solicitações de criptografia

A cota de Solicitações criptográficas limita as operações criptográficas do projetoGoogle Cloud que chama a API Cloud KMS. Por exemplo, a criptografia de dados usando chamadas de API de um recurso de conta de serviço em execução em SERVICE_PROJECT com chaves de KEY_PROJECT conta para a cota de solicitações criptográficas de SERVICE_PROJECT.

A criptografia e a descriptografia de dados em um recurso do Spanner em SPANNER_PROJECT usando a integração da CMEK não contam para a cota de Solicitações criptográficas do SPANNER_PROJECT.

Solicitações de criptografia simétrica de HSM por região

A cota de solicitações criptográficas simétricas do HSM por região limita as operações criptográficas usando chaves simétricas do Cloud HSM no projeto Google Cloudque contém essas chaves. Por exemplo, a criptografia de dados em um recurso do Spanner usando chaves simétricas do HSM conta para a cota de KEY_PROJECT solicitações criptográficas simétricas do HSM por região .

Solicitações de criptografia assimétrica de HSM por região

A cota de solicitações criptográficas assimétricas do HSM por região limita as operações criptográficas usando chaves assimétricas do Cloud HSM no projeto Google Cloudque contém essas chaves. Por exemplo, a criptografia de dados em um recurso do Spanner usando chaves assimétricas do HSM conta para a cota de KEY_PROJECT solicitações criptográficas assimétricas do HSM por região.

Solicitações de geração aleatória de HSM por região

A cota HSM generate random requests per region limita as operações de geração de bytes aleatórios usando o Cloud HSM no projeto Google Cloud especificado na mensagem de solicitação. Por exemplo, solicitações de qualquer origem para gerar bytes aleatórios em KEY_PROJECT são contabilizadas na cota de solicitações aleatórias de geração de HSM por região de KEY_PROJECT.

Solicitações criptográficas externas por região

A cota de Solicitações criptográficas externas por região limita as operações criptográficas usando chaves externas (Cloud EKM) no projeto Google Cloud que contém essas chaves. Por exemplo, a criptografia de dados em um recurso do Spanner usando chaves EKM é contabilizada na cota de solicitações criptográficas externas por região de KEY_PROJECT.

Informação de erro na cota

Se você fizer uma solicitação depois que a cota for atingida, ela vai resultar em um erro de RESOURCE_EXHAUSTED. O código de status HTTP é 429. Para saber como as bibliotecas de cliente exibem o erro RESOURCE_EXHAUSTED, consulte Mapeamento da biblioteca de cliente.

Se você receber o erro RESOURCE_EXHAUSTED, talvez esteja enviando muitas solicitações de operações criptográficas por segundo. Você pode receber o erro RESOURCE_EXHAUSTED mesmo que o console Google Cloud mostre que você está dentro do limite de consultas por minuto. Isso pode acontecer porque as cotas do projeto de hospedagem do Cloud KMS são mostradas por minuto, mas são aplicadas em uma escala por segundo. Para saber mais sobre métricas de monitoramento, consulte Configurar alertas e monitoramento de cota.

Para detalhes sobre como solucionar problemas de cota do Cloud KMS, consulte Resolver problemas de cota.

A seguir

Saiba como usar o Cloud Monitoring com o Cloud KMS.
Saiba como monitorar e ajustar as cotas do Cloud KMS.

Cotas Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.