Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Cloud de Confiance von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Diese Seite wurde von der Cloud Translation API übersetzt.

Kontingente

Cloud de Confiance by S3NS erzwingt Kontingente für die Ressourcennutzung. Für Cloud KMS, Kontingente werden für die Nutzung von Ressourcen wie Schlüsseln, Schlüsselbunden, Schlüsselversionen und Standorten definiert. Weitere Informationen zum Verwalten oder Erhöhen Ihrer Kontingente finden Sie unter Cloud KMS-Kontingente überwachen und anpassen.

Cloud KMS-Kontingente ansehen

Es gibt ein Kontingent für die Anzahl der Vorgänge, aber nicht für die Anzahl der Ressourcen KeyRing, CryptoKey und CryptoKeyVersion.

Einige Kontingente für diese Vorgänge gelten für das aufrufende Projekt, das Cloud de Confiance Projekt, das Aufrufe an den Cloud KMS-Dienst sendet. Andere Kontingente gelten für das Hostingprojekt, das Cloud de Confiance Projekt, das die für den Vorgang verwendeten Schlüssel enthält.

Die Kontingente für das aufrufende Projekt umfassen nicht die Nutzung, die von Cloud de Confiance Diensten generiert wird, die Cloud KMS-Schlüssel für die CMEK-Integration (Customer-Managed Encryption Key, kundenverwalteter Verschlüsselungsschlüssel) verwenden. Verschlüsselungs- und Entschlüsselungsanfragen, die direkt von BigQuery, Bigtable oder Spanner kommen, werden beispielsweise nicht auf die Kontingente für kryptografische Anfragen angerechnet.

In der Cloud de Confiance console wird das Limit für jedes Kontingent in Abfragen pro Minute (Queries per minute, QPM) angegeben. Die Kontingente für das Hostingprojekt werden jedoch pro Sekunde erzwungen. Kontingente, die in Abfragen pro Sekunde (Queries per second, QPS) erzwungen werden, lehnen Anfragen ab, die das QPS-Limit überschreiten, auch wenn Ihre Nutzung pro Minute unter dem aufgeführten QPM-Limit liegt. Wenn Sie ein QPS-Limit überschreiten, erhalten Sie den RESOURCE_EXHAUSTEDFehler.

Kontingente für die Nutzung von Cloud KMS-Ressourcen

In der folgenden Tabelle sind die einzelnen Kontingente aufgeführt, die für Cloud KMS-Ressourcen gelten. Die Tabelle enthält den Namen und das Limit jedes Kontingents, das Projekt, für das das Kontingent gilt, und die Vorgänge, die auf das Kontingent angerechnet werden. Sie können ein Keyword in das Feld eingeben, um die Tabelle zu filtern. Geben Sie beispielsweise calling ein, um nur Kontingente anzuzeigen, die für das aufrufende Projekt gelten, oder encrypt , um nur Kontingente für Verschlüsselungsvorgänge zu sehen:

Quota	Projekt	Limit	Ressourcen und Vorgänge
Leseanfragen `cloudkms.googleapis.com/read_requests`	Aufrufendes Projekt	300 QPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list Ausgenommen: Vorgänge aus der Cloud de Confiance console.
Schreibanfragen `cloudkms.googleapis.com/write_requests`	Aufrufendes Projekt	60 QPM	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings:create, setIamPolicy Ausgenommen: Vorgänge aus der Cloud de Confiance console.
Kryptografische Anfragen `cloudkms.googleapis.com/crypto_requests`	Aufrufendes Projekt	60.000 QPM	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Ausgenommen: Vorgänge aus CMEK-Integrationen.
Symmetrische kryptografische HSM-Anfragen pro Region `cloudkms.googleapis.com/hsm_symmetric_requests`	Hostingprojekt	500 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt
Asymmetrische kryptografische HSM-Anfragen pro Region `cloudkms.googleapis.com/hsm_asymmetric_requests`	Hostingprojekt	50 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
Zufällige HSM-Anfragen pro Region generieren `cloudkms.googleapis.com/hsm_generate_random_requests`	Hostingprojekt	50 QPS	locations: generateRandomBytes
Externe kryptografische Anfragen pro Region `cloudkms.googleapis.com/external_kms_requests`	Hostingprojekt	100 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Beispiele für Kontingente

In den folgenden Abschnitten finden Sie Beispiele für die einzelnen Kontingente anhand der folgenden Beispielprojekte:

KEY_PROJECT : Ein Cloud de Confiance Projekt, das Cloud KMS-Schlüssel enthält, einschließlich Multi-Tenant Cloud HSM- und Cloud EKM-Schlüssel.
SPANNER_PROJECT : Ein Cloud de Confiance Projekt, das eine Spanner-Instanz enthält, die die kundenverwalteten Verschlüsselungsschlüssel (CMEKs) verwendet, die sich in KEY_PROJECT befinden.
SERVICE_PROJECT : Ein Cloud de Confiance Projekt, das ein Dienstkonto enthält, mit dem Sie Cloud KMS-Ressourcen verwalten, die sich in KEY_PROJECT befinden.

Leseanfragen

Das Kontingent Leseanfragen begrenzt Leseanfragen aus dem Cloud de Confiance Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise mit der Google Cloud CLI eine Liste der Schlüssel in KEY_PROJECT aus KEY_PROJECT aufrufen, wird dies auf das Kontingent KEY_PROJECT Leseanfragen angerechnet. Wenn Sie ein Dienstkonto in SERVICE_PROJECT verwenden, um die Liste der Schlüssel aufzurufen, wird die Leseanfrage auf das Kontingent SERVICE_PROJECT Leseanfragen angerechnet.

Wenn Sie die Cloud de Confiance console verwenden, um Cloud KMS-Ressourcen aufzurufen, wird dies nicht auf das Kontingent Leseanfragen angerechnet.

Schreibanfragen

Das Kontingent Schreibanfragen begrenzt Schreibanfragen aus dem Cloud de Confiance Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise mit der gcloud CLI Schlüssel in KEY_PROJECT erstellen, wird dies auf das Kontingent KEY_PROJECT Schreibanfragen angerechnet. Wenn Sie ein Dienstkonto in SERVICE_PROJECT verwenden, um Schlüssel zu erstellen, wird die Schreib anfrage auf das Kontingent Schreibanfragen von SERVICE_PROJECT angerechnet.

Wenn Sie die Cloud de Confiance console verwenden, um Cloud KMS Ressourcen zu erstellen oder zu verwalten, wird dies nicht auf das Kontingent Leseanfragen angerechnet.

Kryptografische Anfragen

Das Kontingent Kryptografische Anfragen begrenzt kryptografische Vorgänge aus dem Cloud de Confiance Projekt, das die Cloud KMS API aufruft. Wenn Sie beispielsweise Daten mit API-Aufrufen von einer Dienstkontoressource verschlüsseln, die in SERVICE_PROJECT ausgeführt wird und Schlüssel aus KEY_PROJECT verwendet, wird dies auf das SERVICE_PROJECT Kontingent Kryptografische Anfragen angerechnet.

Die Ver- und Entschlüsselung von Daten in einer Spanner-Ressource in SPANNER_PROJECT mit CMEK-Integration wird nicht auf das Kontingent „Kryptografische Anfragen“ von SPANNER_PROJECT angerechnet.

Symmetrische kryptografische HSM-Anfragen pro Region

Das Kontingent Symmetrische kryptografische HSM-Anfragen pro Region begrenzt kryptografische Vorgänge mit symmetrischen Cloud HSM-Schlüsseln für das Cloud de Confiance Projekt, das diese Schlüssel enthält. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit symmetrischen HSM-Schlüsseln verschlüsseln, wird dies auf das Kontingent KEY_PROJECT Symmetrische kryptografische HSM-Anfragen pro Region von angerechnet.

Asymmetrische kryptografische HSM-Anfragen pro Region

Das Kontingent Asymmetrische kryptografische HSM-Anfragen pro Region begrenzt kryptografische Vorgänge mit asymmetrischen Cloud HSM-Schlüsseln für das Cloud de Confiance Projekt, das diese Schlüssel enthält. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit asymmetrischen HSM-Schlüsseln verschlüsseln, wird dies auf das Kontingent KEY_PROJECT Asymmetrische kryptografische HSM-Anfragen pro Region angerechnet.

Zufällige HSM-Anfragen pro Region generieren

Das Kontingent Zufällige HSM-Anfragen pro Region begrenzt Vorgänge zum Generieren zufälliger Byte mit Cloud HSM im Cloud de Confiance Projekt, das in der Anfragenachricht angegeben ist. Wenn Sie beispielsweise aus einer beliebigen Quelle zufällige Byte in KEY_PROJECT generieren, wird dies auf das Kontingent KEY_PROJECT Zufällige HSM-Anfragen pro Region angerechnet.

Externe kryptografische Anfragen pro Region

Das Kontingent Externe kryptografische Anfragen pro Region begrenzt kryptografische Vorgänge mit externen (Cloud EKM) Schlüsseln für das Cloud de Confiance Projekt, das diese Schlüssel enthält. Wenn Sie beispielsweise Daten in einer Spanner-Ressource mit EKM-Schlüsseln verschlüsseln, wird dies auf das Kontingent KEY_PROJECT Externe kryptografische Anfragen pro Region angerechnet.

Kontingentfehler

Wenn Sie eine Anfrage senden, nachdem Ihr Kontingent erreicht wurde, wird der Fehler RESOURCE_EXHAUSTED ausgegeben. Der HTTP-Statuscode ist 429. Informationen dazu, wie der Fehler RESOURCE_EXHAUSTED in Clientbibliotheken wiedergegeben wird, finden Sie unter Clientbibliothek Zuordnung.

Wenn Sie den RESOURCE_EXHAUSTED Fehler erhalten, senden Sie möglicherweise zu viele kryptografische Anfragen pro Sekunde. Sie können den RESOURCE_EXHAUSTED Fehler auch dann erhalten, wenn in der Cloud de Confiance console angezeigt wird, dass Sie das Limit für Abfragen pro Minute nicht überschritten haben. Dieses Problem kann auftreten, weil die Kontingente für das Hostingprojekt von Cloud KMS pro Minute angezeigt werden, aber pro Sekunde erzwungen werden. Weitere Informationen zum Überwachen von Messwerten finden Sie unter Kontingentbenachrichtigungen und -monitoring einrichten.

Weitere Informationen zur Fehlerbehebung bei Cloud KMS-Kontingenten finden Sie unter Probleme mit Kontingenten beheben.