Diese Seite wurde von der Cloud Translation API übersetzt.

Kontingente

Google Cloud legt Kontingente für die Ressourcennutzung fest. Für Cloud KMS werden Kontingente für die Nutzung von Ressourcen wie Schlüsseln, Schlüsselringen, Schlüsselversionen und Standorten definiert. Weitere Informationen zum Verwalten oder Erhöhen Ihrer Kontingente finden Sie unter Cloud KMS-Kontingente überwachen und anpassen.

Cloud KMS-Kontingente ansehen

Es gibt kein Kontingent für die Anzahl der KeyRing-, CryptoKey- oder CryptoKeyVersion-Ressourcen, nur für die Anzahl der Vorgänge.

Einige Kontingente für diese Vorgänge gelten für das aufrufende Projekt, das Google Cloud-Projekt, das Aufrufe an den Cloud KMS-Dienst sendet. Für das Hostingprojekt, das Google Cloud-Projekt, das die für die Ausführung verwendeten Schlüssel enthält, gelten andere Kontingente.

Die Aufrufquoten für Projekte umfassen nicht die Nutzung, die von Google Cloud-Diensten generiert wird, die Cloud KMS-Schlüssel für die Integration von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verwenden. Anfragen zum Verschlüsseln und Entschlüsseln, die direkt von BigQuery, Bigtable oder Spanner stammen, tragen beispielsweise nicht zum Kontingent für kryptografische Anfragen bei.

In der Google Cloud Console wird das Limit für jedes Kontingent in Abfragen pro Minute (Queries per minute, QPM) angegeben. Die Kontingente für Hostingprojekte werden jedoch pro Sekunde erzwungen. Bei einem in Abfragen pro Sekunde (Queries per Second, QPS) erzwungenen Kontingent werden Anfragen abgelehnt, die das QPS-Limit überschreiten, auch wenn die Nutzung pro Minute unter dem angegebenen QPM-Limit liegt. Wenn Sie ein Limit für die maximale Anzahl von Abfragen pro Sekunde überschreiten, erhalten Sie den Fehler RESOURCE_EXHAUSTED.

Kontingente für die Nutzung von Cloud KMS-Ressourcen

In der folgenden Tabelle sind alle Kontingente aufgeführt, die auf Cloud KMS-Ressourcen angewendet werden. Die Tabelle enthält den Namen und das Limit jedes Kontingents, das Projekt, für das es gilt, und die Vorgänge, die auf das Kontingent angerechnet werden. Sie können einen Suchbegriff in das Feld eingeben, um die Tabelle zu filtern. Sie können beispielsweise calling eingeben, um nur Kontingente zu sehen, die auf das aufrufende Projekt angewendet werden, oder encrypt, um nur Kontingente zu sehen, die sich auf Verschlüsselungsvorgänge beziehen:

Kontingent	Projekt	Limit	Ressourcen und Vorgänge
Leseanfragen `cloudkms.googleapis.com/read_requests`	Aufrufprojekt	300 Abfragen pro Minute	cryptoKeys:get, getIamPolicy, list, testIamPermissions cryptoKeyVersions:get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs:get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list Ausgenommen: Vorgänge über die Google Cloud Console.
Schreibanfragen `cloudkms.googleapis.com/write_requests`	Aufrufprojekt	60 QPM	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions:create, destroy, import, patch, restore ekmConnections:create, patch, setIamPolicy importJobs:create, setIamPolicy keyRings:create, setIamPolicy Ausgenommen: Vorgänge über die Google Cloud Console.
Kryptografische Anfragen `cloudkms.googleapis.com/crypto_requests`	Aufrufprojekt	60.000 Abfragen pro Minute	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Ausgenommen: Vorgänge von CMEK-Integrationen.
HSM-symmetrische kryptografische Anfragen pro Region `cloudkms.googleapis.com/hsm_symmetric_requests`	Hostingprojekt	500 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt
HSM-asymmetrische kryptografische Anfragen pro Region `cloudkms.googleapis.com/hsm_asymmetric_requests`	Hostingprojekt	50 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
HSM generiert zufällige Anfragen pro Region `cloudkms.googleapis.com/hsm_generate_random_requests`	Hostingprojekt	50 QPS	locations: generateRandomBytes
Externe kryptografische Anfragen pro Region `cloudkms.googleapis.com/external_kms_requests`	Hostingprojekt	100 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Beispiele für Kontingente

In den folgenden Abschnitten finden Sie Beispiele für die einzelnen Kontingente anhand der folgenden Beispielprojekte:

KEY_PROJECT: Ein Google Cloud-Projekt, das Cloud KMS-Schlüssel enthält, einschließlich Cloud HSM- und Cloud EKM-Schlüsseln.
SPANNER_PROJECT: Ein Google Cloud-Projekt, das eine Spanner-Instanz enthält, die die vom Kunden verwalteten Verschlüsselungsschlüssel (CMEKs) verwendet, die sich in KEY_PROJECT befinden.
SERVICE_PROJECT: Ein Google Cloud-Projekt mit einem Dienstkonto, mit dem Sie Cloud KMS-Ressourcen in KEY_PROJECT verwalten.

Leseanfragen

Mit dem Kontingent für Leseanfragen werden Leseanfragen des Google Cloud-Projekts, das die Cloud KMS API aufruft, begrenzt. Wenn Sie beispielsweise über die Google Cloud CLI eine Liste der Schlüssel in KEY_PROJECT von KEY_PROJECT aufrufen, wird das Kontingent für KEY_PROJECT-Leseanfragen belastet. Wenn Sie in SERVICE_PROJECT ein Dienstkonto verwenden, um die Liste der Schlüssel aufzurufen, wird die Leseanfrage auf das SERVICE_PROJECT-Kontingent für Leseanfragen angerechnet.

Wenn Sie Cloud KMS-Ressourcen in der Google Cloud Console aufrufen, wird das Kontingent für Leseanfragen nicht belastet.

Schreibanfragen

Mit dem Kontingent für Schreibanfragen werden Schreibanfragen des Google Cloud-Projekts begrenzt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise Schlüssel in KEY_PROJECT mit der gcloud CLI erstellen, wird das Kontingent für KEY_PROJECT-Schreibanfragen belastet. Wenn Sie in SERVICE_PROJECT ein Dienstkonto zum Erstellen von Schlüsseln verwenden, wird die Schreibanfrage auf das SERVICE_PROJECT-Kontingent für Schreibanfragen angerechnet.

Wenn Sie Cloud KMS-Ressourcen mit der Google Cloud Console erstellen oder verwalten, wird das Kontingent für Leseanfragen nicht belastet.

Kryptografische Anfragen

Mit dem Kontingent für kryptografische Anfragen werden kryptografische Vorgänge des Google Cloud-Projekts begrenzt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise Daten mit API-Aufrufen aus einer Dienstkontoressource in SERVICE_PROJECT mit Schlüsseln aus KEY_PROJECT verschlüsseln, wird das Kontingent für SERVICE_PROJECT kryptografische Anfragen belastet.

Die Verschlüsselung und Entschlüsselung von Daten in einer Spanner-Ressource in SPANNER_PROJECT mithilfe der CMEK-Integration wird nicht auf das Kontingent für kryptografische Anfragen von SPANNER_PROJECT angerechnet.

HSM-symmetrische kryptografische Anfragen pro Region

Mit dem Kontingent für HSM-symmetrische kryptografische Anfragen pro Region werden kryptografische Vorgänge mithilfe symmetrischer Cloud HSM-Schlüssel im Google Cloud-Projekt, das diese Schlüssel enthält, begrenzt. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mithilfe von symmetrischen HSM-Schlüsseln verschlüsseln, wird das Kontingent von KEY_PROJECT symmetrischen kryptografischen HSM-Anfragen pro Region beansprucht.

HSM-Anfragen mit asymmetrischer Kryptografie pro Region

Mit dem Kontingent für asymmetrische HSM-kryptografische Anfragen pro Region werden kryptografische Vorgänge mit asymmetrischen Cloud HSM-Schlüsseln im Google Cloud-Projekt, das diese Schlüssel enthält, begrenzt. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit asymmetrischen HSM-Schlüsseln verschlüsseln, wird das Kontingent von KEY_PROJECT asymmetrischen kryptografischen HSM-Anfragen pro Region beansprucht.

HSM generiert zufällige Anfragen pro Region

Die Kontingentlimits für HSM-generierte Zufallsanfragen pro Region beziehen sich auf Zufallsbyte-Vorgänge mit Cloud HSM im in der Anfragenachricht angegebenen Google Cloud-Projekt. Anfragen von beliebigen Quellen zum Generieren von Zufallsbytes in KEY_PROJECT werden beispielsweise auf das Kontingent für HSM-generierte Zufallsanfragen pro Region in KEY_PROJECT angerechnet.

Externe kryptografische Anfragen pro Region

Mit dem Kontingent für externe kryptografische Anfragen pro Region werden kryptografische Vorgänge mit externen Schlüsseln (Cloud EKM) im Google Cloud-Projekt, das diese Schlüssel enthält, begrenzt. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit EKM-Schlüsseln verschlüsseln, wird das Kontingent für KEY_PROJECT externe kryptografische Anfragen pro Region angerechnet.

Kontingentfehler

Wenn Ihr Kontingent ausgeschöpft ist und Sie eine Anfrage senden, wird der Fehler RESOURCE_EXHAUSTED ausgegeben. Der HTTP-Statuscode ist 429. Informationen dazu, wie der Fehler RESOURCE_EXHAUSTED in Clientbibliotheken wiedergegeben wird, finden Sie unter Clientbibliothek-Zuordnung.

Wenn Sie den Fehler RESOURCE_EXHAUSTED erhalten, senden Sie möglicherweise zu viele Anfragen für kryptografische Vorgänge pro Sekunde. Der Fehler RESOURCE_EXHAUSTED kann auch dann auftreten, wenn in der Google Cloud Console angezeigt wird, dass Sie die zulässige Anzahl von Abfragen pro Minute nicht überschritten haben. Dies kann vorkommen, weil Cloud KMS-Kontingente pro Minute angezeigt werden, diese jedoch pro Sekunde skaliert werden. Weitere Informationen zum Überwachen von Messwerten finden Sie unter Kontingentmesswerte überwachen und Benachrichtigungen.

Weitere Informationen zur Fehlerbehebung bei Cloud KMS-Kontingentproblemen finden Sie unter Fehlerbehebung bei Kontingentproblemen.