Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Quotas

Cloud de Confiance by S3NS aplica quotas à utilização de recursos. Para o Cloud KMS, as cotas são aplicadas à utilização de recursos, como chaves, conjuntos de chaves, versões de chaves e localizações. Para ver detalhes sobre como gerir ou aumentar as suas quotas, consulte o artigo Monitorize e ajuste as quotas do Cloud KMS.

Veja as quotas do Cloud KMS

Não existe uma quota para o número de recursos KeyRing, CryptoKey ou CryptoKeyVersion, apenas para o número de operações.

Algumas quotas nestas operações aplicam-se ao projeto de chamadas, o Cloud de Confiance projeto que faz chamadas para o serviço Cloud KMS. Outras quotas aplicam-se ao projeto de alojamento, o Cloud de Confiance projeto que contém as chaves usadas para a operação.

As quotas de projetos de chamadas não incluem a utilização gerada por Cloud de Confiance serviços que usam chaves do Cloud KMS para integração de chaves de encriptação geridas pelo cliente (CMEK). Por exemplo, os pedidos de encriptação e desencriptação provenientes diretamente do BigQuery, Bigtable ou Spanner não contribuem para as quotas de pedidos criptográficos.

A Cloud de Confiance consola apresenta o limite de cada quota em consultas por minuto (CPM), mas as quotas do projeto de alojamento são aplicadas por segundo. As quotas aplicadas em consultas por segundo (CPS) rejeitam pedidos que excedam o limite de CPS, mesmo que a sua utilização por minuto seja inferior ao limite de CPM indicado. Se exceder um limite de QPS, recebe um erro RESOURCE_EXHAUSTED.

Quotas na utilização de recursos do Cloud KMS

A tabela seguinte apresenta cada quota aplicada aos recursos do Cloud KMS. A tabela indica o nome e o limite de cada quota, o projeto ao qual a quota se aplica e as operações que contam para a quota. Pode introduzir uma palavra-chave no campo para filtrar a tabela. Por exemplo, pode introduzir calling para ver apenas as quotas aplicadas ao projeto de chamadas ou encrypt para ver apenas as quotas relacionadas com operações de encriptação:

Quota	Projeto	Limite	Recursos e operações
Ler pedidos `cloudkms.googleapis.com/read_requests`	Projeto de chamadas	300 QPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list Isento: operações da Cloud de Confiance consola.
Escrever pedidos `cloudkms.googleapis.com/write_requests`	Projeto de chamadas	60 QPM	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions: create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings: create, setIamPolicy Isento: operações da Cloud de Confiance consola.
Pedidos criptográficos `cloudkms.googleapis.com/crypto_requests`	Projeto de chamadas	60 000 QPM	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Isento: operações de integrações de CMEK.
Pedidos criptográficos simétricos de HSM por região `cloudkms.googleapis.com/hsm_symmetric_requests`	Projeto de alojamento	500 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt
Pedidos criptográficos assimétricos de HSM por região `cloudkms.googleapis.com/hsm_asymmetric_requests`	Projeto de alojamento	50 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
HSM generate random requests per region `cloudkms.googleapis.com/hsm_generate_random_requests`	Projeto de alojamento	50 QPS	locations: generateRandomBytes
Pedidos criptográficos externos por região `cloudkms.googleapis.com/external_kms_requests`	Projeto de alojamento	100 QPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Exemplos de quotas

As secções seguintes incluem exemplos de cada quota com os seguintes projetos de exemplo:

KEY_PROJECT - Um projeto que contém chaves do Cloud KMS, incluindo o Cloud HSM multiinquilino e chaves do Cloud EKM. Cloud de Confiance
SPANNER_PROJECT - Um projeto que contém uma instância do Spanner que usa as chaves de encriptação geridas pelo cliente (CMEKs) que residem em KEY_PROJECT. Cloud de Confiance
SERVICE_PROJECT - Um Cloud de Confiance projeto que contém uma conta de serviço que usa para gerir recursos do Cloud KMS que residem em KEY_PROJECT.

Pedidos de leitura

A quota de pedidos de leitura limita os pedidos de leitura do Cloud de Confiance projeto que chama a API Cloud KMS. Por exemplo, ver uma lista de chaves em KEY_PROJECT a partir de KEY_PROJECT através da CLI Google Cloud conta para a quota de KEY_PROJECT pedidos de leitura. Se usar uma conta de serviço no SERVICE_PROJECT para ver a sua lista de chaves, os pedidos de leitura contam para a quota de SERVICE_PROJECT pedidos de leitura.

A utilização da Cloud de Confiance consola para ver recursos do Cloud KMS não contribui para a quota de pedidos de leitura.

Pedidos de escrita

O limite de quota de pedidos de escrita limita os pedidos de escrita do Cloud de Confiance projeto que chama a API Cloud KMS. Por exemplo, a criação de chaves no KEY_PROJECT através da CLI gcloud conta para a quota de KEY_PROJECT pedidos de gravação. Se usar uma conta de serviço no SERVICE_PROJECT para criar chaves, o pedido de gravação conta para a quota de SERVICE_PROJECT pedidos de gravação.

A utilização da Cloud de Confiance consola para criar ou gerir recursos do Cloud KMS não contribui para a quota de pedidos de leitura.

Pedidos criptográficos

A quota de pedidos criptográficos limita as operações criptográficas do Cloud de Confiance projeto que chama a API Cloud KMS. Por exemplo, a encriptação de dados através de chamadas da API a partir de um recurso de conta de serviço em execução no SERVICE_PROJECT com chaves do KEY_PROJECT conta para a quota de pedidos criptográficos do SERVICE_PROJECT.

A encriptação e a desencriptação de dados num recurso do Spanner em SPANNER_PROJECT através da integração da CMEK não contam para a quota de pedidos criptográficos do SPANNER_PROJECT.

Pedidos criptográficos simétricos de HSM por região

O limite da quota de pedidos criptográficos simétricos do HSM por região limita as operações criptográficas que usam chaves Cloud HSM no projeto que contém essas chaves. Cloud de ConfiancePor exemplo, a encriptação de dados num recurso do Spanner com chaves HSM simétricas é contabilizada para a quota de KEY_PROJECT pedidos criptográficos simétricos de HSM por região .

Pedidos criptográficos assimétricos de HSM por região

A quota de pedidos criptográficos assimétricos do HSM por região limita as operações criptográficas que usam chaves Cloud HSM no projeto que contém essas chaves. Cloud de ConfiancePor exemplo, a encriptação de dados num recurso do Spanner com chaves HSM assimétricas conta para a quota de KEY_PROJECT pedidos criptográficos assimétricos do HSM por região.

HSM generate random requests per region

Os limites da quota de pedidos aleatórios gerados pelo HSM por região geram operações de bytes aleatórios através do Cloud HSM no projeto especificado na mensagem de pedido. Cloud de Confiance Por exemplo, os pedidos de qualquer origem para gerar bytes aleatórios em KEY_PROJECT são contabilizados para a quota de KEY_PROJECT pedidos aleatórios gerados pelo HSM por região.

Pedidos criptográficos externos por região

A quota de pedidos criptográficos externos por região limita as operações criptográficas que usam chaves externas (Cloud EKM) no projeto que contém essas chaves. Cloud de Confiance Por exemplo, a encriptação de dados num recurso do Spanner usando chaves do EKM conta para a quota de KEY_PROJECT pedidos criptográficos externos por região.

Informações sobre erros de quotas

Se fizer um pedido depois de atingir a sua quota, o pedido resulta num erro RESOURCE_EXHAUSTED. O código de estado HTTP é 429. Para ver informações sobre como as bibliotecas de cliente apresentam o erro RESOURCE_EXHAUSTED, consulte o mapeamento da biblioteca de cliente.

Se receber o erro RESOURCE_EXHAUSTED, pode estar a enviar demasiados pedidos de operações criptográficas por segundo. Pode receber o erro RESOURCE_EXHAUSTED mesmo que a consola mostre que está dentro do limite de consultas por minuto. Cloud de Confiance Este problema pode ocorrer porque as quotas do projeto de alojamento do Cloud KMS são apresentadas por minuto, mas são aplicadas à escala de segundos. Para saber mais sobre a monitorização de métricas, consulte o artigo Configure alertas e monitorização de quotas.

Para ver detalhes sobre a resolução de problemas de quotas do Cloud KMS, consulte o artigo Resolva problemas de quotas.

O que se segue?

Saiba mais sobre a utilização do Cloud Monitoring com o Cloud KMS.
Saiba como monitorizar e ajustar as quotas do Cloud KMS.