Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS. Pour en savoir plus, consultez Différences par rapport à Google Cloud.

Cette page a été traduite par l'API Cloud Translation.

Quotas

Cloud de Confiance by S3NS impose des quotas sur l'utilisation des ressources. Pour Cloud KMS, ces quotas s'appliquent à l'utilisation de ressources telles que les clés, les trousseaux de clés, les versions de clés, et les emplacements. Pour savoir comment gérer ou augmenter vos quotas, consultez la page Surveiller et ajuster les quotas Cloud KMS.

Afficher les quotas Cloud KMS

Sachez qu'aucun quota n'est appliqué au nombre de KeyRing, CryptoKey, ou CryptoKeyVersion ; les quotas concernent uniquement le nombre d'opérations.

Certains quotas sur ces opérations s'appliquent au projet appelant, c'est-à-dire au Cloud de Confiance projet qui appelle le service Cloud KMS. D'autres quotas s'appliquent au projet d'hébergement, c'est-à-dire au Cloud de Confiance projet qui contient les clés utilisées pour l' opération.

Les quotas du projet appelant n'incluent pas l'utilisation générée par Cloud de Confiance les services qui utilisent des clés Cloud KMS pour l'intégration de clés de chiffrement gérées par le client (CMEK). Par exemple, les requêtes de chiffrement et de déchiffrement provenant directement de BigQuery, Bigtable ou Spanner ne contribuent pas aux quotas de requêtes de chiffrement.

La Cloud de Confiance console affiche la limite de chaque quota en requêtes par minute (RPM), mais les quotas du projet d'hébergement sont appliqués à la seconde. Les quotas appliqués en requêtes par seconde (RPS) refusent les requêtes qui dépassent la limite de RPS, même si votre utilisation par minute est inférieure à la limite de RPM indiquée. Si vous dépassez une limite de RPS, vous recevez une RESOURCE_EXHAUSTED erreur.

Quotas sur l'utilisation des ressources Cloud KMS

Le tableau suivant répertorie chaque quota appliqué aux ressources Cloud KMS. Il indique le nom et la limite de chaque quota, le projet auquel il s'applique et les opérations qui sont comptabilisées dans le quota. Vous pouvez saisir un mot clé dans le champ pour filtrer le tableau. Par exemple, vous pouvez saisir appelant pour n'afficher que les quotas appliqués au projet appelant ou chiffrer pour n'afficher que les quotas liés aux opérations de chiffrement :

Quota	Projet	Limite	Ressources et opérations
Requêtes de lecture `cloudkms.googleapis.com/read_requests`	Projet appelant	300 RPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list Exempté : opérations depuis Cloud de Confiance laconsole.
Requêtes d'écriture `cloudkms.googleapis.com/write_requests`	Projet appelant	60 RPM	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings : create, setIamPolicy Exempté : opérations depuis Cloud de Confiance laconsole.
Requêtes de chiffrement `cloudkms.googleapis.com/crypto_requests`	Projet appelant	60 000 RPM	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Exempté : opérations provenant d'intégrations de CMEK.
Requêtes de chiffrement symétrique HSM par région `cloudkms.googleapis.com/hsm_symmetric_requests`	Projet d'hébergement	500 RPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt
Requêtes de chiffrement asymétrique HSM par région `cloudkms.googleapis.com/hsm_asymmetric_requests`	Projet d'hébergement	50 RPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
Requêtes de génération aléatoire HSM par région `cloudkms.googleapis.com/hsm_generate_random_requests`	Projet d'hébergement	50 RPS	locations: generateRandomBytes
Requêtes de chiffrement externes par région `cloudkms.googleapis.com/external_kms_requests`	Projet d'hébergement	100 RPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Exemples de quotas

Les sections suivantes incluent des exemples de chaque quota à l'aide des exemples de projets suivants :

KEY_PROJECT : projet contenant des clés Cloud KMS, y compris des clés Cloud HSM multilocataire et Cloud EKM. Cloud de Confiance
SPANNER_PROJECT : projet contenant une instance Spanner qui utilise les clés de chiffrement gérées par le client (CMEK) résidant dans KEY_PROJECT. Cloud de Confiance
SERVICE_PROJECT : projet contenant un Cloud de Confiance compte de service que vous utilisez pour gérer les ressources Cloud KMS résidant dans KEY_PROJECT.

Requêtes de lecture

Le quota Requêtes de lecture limite les requêtes de lecture du Cloud de Confiance projet appelant l'API Cloud KMS. Par exemple, l'affichage d'une liste de clés dans KEY_PROJECT à partir de KEY_PROJECT à l'aide de Google Cloud CLI est comptabilisé dans le quota KEY_PROJECT Requêtes de lecture. Si vous utilisez un compte de service dans SERVICE_PROJECT pour afficher votre liste de clés, la requête de lecture est comptabilisée dans le quota SERVICE_PROJECT Requêtes de lecture.

L'utilisation de la Cloud de Confiance console pour afficher les ressources Cloud KMS ne contribue pas au quota Requêtes de lecture.

Requêtes d'écriture

Le quota Requêtes d'écriture limite les requêtes d'écriture du Cloud de Confiance projet appelant l'API Cloud KMS. Par exemple, la création de clés dans KEY_PROJECT à l'aide de gcloud CLI est comptabilisée dans le quota Requêtes d'écriture de KEY_PROJECT. Si vous utilisez un compte de service dans SERVICE_PROJECT pour créer des clés, la requête d'écriture est comptabilisée dans le quota Requêtes d'écriture de SERVICE_PROJECT.

L'utilisation de la Cloud de Confiance console pour créer ou gérer des ressources Cloud KMS ne contribue pas au quota Requêtes de lecture.

Requêtes de chiffrement

Le quota Requêtes de chiffrement limite les opérations de chiffrement du Cloud de Confiance projet appelant l'API Cloud KMS. Par exemple, le chiffrement de données à l'aide d'appels d'API à partir d'une ressource de compte de service exécutée dans SERVICE_PROJECT à l'aide de clés provenant de KEY_PROJECT est comptabilisé dans le SERVICE_PROJECT quota Requêtes de chiffrement.

Le chiffrement et le déchiffrement des données dans une ressource Spanner dans SPANNER_PROJECT à l'aide de l'intégration de CMEK ne sont pas comptabilisés dans le quota Requêtes de chiffrement de SPANNER_PROJECT.

Requêtes de chiffrement symétrique HSM par région

Le quota Requêtes de chiffrement symétrique HSM par région limite les opérations de chiffrement à l'aide de clés Cloud HSM symétriques sur le Cloud de Confiance projet qui contient ces clés. Par exemple, le chiffrement de données dans une ressource Spanner à l'aide de clés HSM symétriques est comptabilisé dans le quota KEY_PROJECT Requêtes de chiffrement symétrique HSM par région .

Requêtes de chiffrement asymétrique HSM par région

Le quota Requêtes de chiffrement asymétrique HSM par région limite les opérations de chiffrement à l'aide de clés Cloud HSM asymétriques sur le Cloud de Confiance projet qui contient ces clés. Par exemple, le chiffrement de données dans une ressource Spanner à l'aide de clés HSM asymétriques est comptabilisé dans le quota KEY_PROJECT Requêtes de chiffrement asymétrique HSM par région.

Requêtes de génération aléatoire HSM par région

Le quota Requêtes de génération aléatoire HSM par région limite les opérations de génération d'octets aléatoires à l'aide de Cloud HSM dans le Cloud de Confiance projet spécifié dans le message de requête. Par exemple, les requêtes provenant de n'importe quelle source pour générer des octets aléatoires dans KEY_PROJECT sont comptabilisées dans le quota KEY_PROJECT Requêtes de génération aléatoire HSM par région.

Requêtes de chiffrement externes par région

Le quota Requêtes de chiffrement externes par région limite les opérations de chiffrement à l'aide de clés externes (Cloud EKM) sur le Cloud de Confiance projet qui contient ces clés. Par exemple, le chiffrement de données dans une ressource Spanner à l'aide de clés EKM est comptabilisé dans le quota KEY_PROJECT Requêtes de chiffrement externes par région.

Informations sur les erreurs de quota

Si vous effectuez une requête après avoir atteint votre quota, votre requête générera une RESOURCE_EXHAUSTED erreur. Le code d'état HTTP correspondant est 429. Pour en savoir plus sur la manière dont les bibliothèques clientes génèrent l'erreur RESOURCE_EXHAUSTED, consultez la section Mappage avec la bibliothèque cliente.

Si vous recevez l'erreur RESOURCE_EXHAUSTED, vous envoyez peut-être trop de requêtes d'opération de chiffrement par seconde. Vous pouvez recevoir l' RESOURCE_EXHAUSTED erreur même si la Cloud de Confiance console indique que vous respectez la limite de requêtes par minute. Ce problème peut se produire, car les quotas du projet d'hébergement Cloud KMS sont affichés par minute, mais sont appliqués à une échelle par seconde. Pour en savoir plus sur les métriques de surveillance, consultez la page Configurer des alertes et une surveillance de quota.

Pour en savoir plus sur la résolution des problèmes de quota Cloud KMS, consultez la page Résoudre les problèmes de quota.

Étape suivante

Découvrez comment utiliser Cloud Monitoring avec Cloud KMS.
Découvrez comment surveiller et ajuster les quotas Cloud KMS.