Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Kontingente
<a name="limits"></a>

 AWS KMS Wendet zwei Arten von Kontingenten an: Ressourcenkontingente und Anforderungskontingente, um für alle Benutzer AWS KMS reaktionsschnell und performant zu sein. Jedes Kontingent wird unabhängig für jede Region jedes AWS-Konto berechnet.

Alle AWS KMS Kontingente sind anpassbar, mit Ausnahme des [Ressourcenkontingents für die On-Demand-Rotation und des Kontingents](resource-limits.md#on-demand-rotation-resource-quota) für [AWS CloudHSM Key Store-Anfragen](requests-per-second.md#rps-key-stores). Informationen zur Erhöhung eines Kontingents finden Sie unter [Anfordern einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) im *Service-Quotas-Benutzerhandbuch*. Um eine Senkung des Kontingents zu beantragen, ein Kontingent zu ändern, das nicht in Service Quotas aufgeführt ist, oder um ein Kontingent AWS-Region in einem Bereich zu ändern, für AWS KMS den Servicekontingente nicht verfügbar sind, besuchen Sie bitte das [AWS Support Center](https://console.aws.amazon.com/support/home) und erstellen Sie einen Fall. 

**Topics**
+ [

# Ressourcenkontingente
](resource-limits.md)
+ [

# Anforderungskontingente
](requests-per-second.md)
+ [

# Drosselung AWS KMS von Anfragen
](throttling.md)

# Ressourcenkontingente
<a name="resource-limits"></a>

AWS KMS legt Ressourcenkontingente fest, um sicherzustellen, dass all unseren Kunden ein schneller und zuverlässiger Service geboten werden kann. Einige Ressourcenkontingente gelten nur für Ressourcen, die Sie erstellen, nicht jedoch für Ressourcen, die AWS Dienste für Sie erstellen. Ressourcen, die Sie verwenden, die sich jedoch nicht in ihrem AWS-Konto befinden, z. B. [AWS-eigene Schlüssel‭](concepts.md#aws-owned-key), werden auf diese Kontingente nicht angerechnet.

Wenn Sie ein Ressourcenlimit erreicht haben, generieren Anforderungen zum Erstellen einer zusätzlichen Ressource dieses Typs die Fehlermeldung `LimitExceededException`. 

Alle AWS KMS Ressourcenkontingente sind anpassbar, mit Ausnahme des [Ressourcenkontingents für die On-Demand-Rotation](#on-demand-rotation-resource-quota). Informationen zur Erhöhung eines Kontingents finden Sie unter [Anfordern einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) im *Service-Quotas-Benutzerhandbuch*. Um eine Senkung des Kontingents zu beantragen, ein Kontingent zu ändern, das nicht in Service Quotas aufgeführt ist, oder um ein Kontingent AWS-Region in einem Bereich zu ändern, für AWS KMS den Servicekontingente nicht verfügbar sind, besuchen Sie bitte das [AWS Support Center](https://console.aws.amazon.com/support/home) und erstellen Sie einen Fall. 

In der folgenden Tabelle sind die AWS KMS Ressourcenkontingente in den einzelnen Regionen aufgeführt AWS-Konto und beschrieben. 


| Kontingentname | Standardwert | Gilt für | Einstellbar | 
| --- | --- | --- | --- | 
| [AWS KMS keys](#kms-keys-limit) | 100 000 | Kundenseitig verwaltete Schlüssel | Ja | 
| [Aliasse pro KMS-Schlüssel](#aliases-per-key) | 50 | Kundenseitig erstellte Aliasse | Ja | 
| [Erteilungen pro KMS-Schlüssel](#grants-per-key) | 50 000 | Kundenseitig verwaltete Schlüssel | Ja | 
| [Ressourcenkontingent für benutzerdefinierte Schlüsselspeicher](#cks-resource-quota) | 10 | AWS-Konto und Region | Ja | 
| [Rotation auf Anfrage](#on-demand-rotation-resource-quota) | 25 | Kundenseitig verwaltete Schlüssel | Nein | 

 AWS KMS Verwendet zusätzlich zu den Ressourcenkontingenten Anforderungskontingente, um die Reaktionsfähigkeit des Dienstes sicherzustellen. Details hierzu finden Sie unter [Anforderungskontingente](requests-per-second.md).

## AWS KMS keys: 100.000
<a name="kms-keys-limit"></a>

In jeder Region Ihres AWS-Konto sind bis zu 100.000 [kundenverwaltete Schlüssel](concepts.md#customer-mgn-key) zulässig. Dieses Kontingent gilt für alle vom Kunden verwaltete Schlüssel in allen AWS-Regionen , unabhängig von ihrer [Schlüsselspezifikation](create-keys.md#key-spec) oder ihrem [Schlüsselstatus](key-state.md). Jeder KMS-Schlüssel wird als eine Ressource betrachtet. [‬Von AWS verwaltete Schlüssel](concepts.md#aws-managed-key) und [‬AWS-eigene Schlüssel‭](concepts.md#aws-owned-key) werden nicht auf dieses Kontingent angerechnet.

## Aliasse pro KMS-Schlüssel: 50
<a name="aliases-per-key"></a>

Sie können jedem [kundenverwalteten Schlüssel](concepts.md#customer-mgn-key) bis zu 50 [Aliasse](kms-alias.md) zuordnen. Aliase, die mit AWS verknüpft sind, werden [Von AWS verwaltete Schlüssel](concepts.md#aws-managed-key)nicht auf dieses Kontingent angerechnet. Dieses Kontingent kann auftreten, wenn Sie ein Alias [erstellen](alias-create.md) oder [aktualisieren](alias-update.md).

**Anmerkung**  
Die ResourceAliases Bedingung [kms:](conditions-kms.md#conditions-kms-resource-aliases) ist nur wirksam, wenn der KMS-Schlüssel diesem Kontingent entspricht. Wenn ein KMS-Schlüssel dieses Kontingent überschreitet, wird auch Prinzipalen, die berechtigt sind, den KMS-Schlüssel zu nutzen, durch die Bedingung `kms:ResourceAliases` der Zugriff auf den KMS-Schlüssel verweigert. Details hierzu finden Sie unter [Zugriff aufgrund eines Aliaskontingents verweigert](troubleshooting-tags-aliases.md#access-denied-alias-quota).

Das Schlüsselkontingent Aliase pro KMS ersetzt das Kontingent Aliase pro Region, das die Gesamtzahl der Aliase in jeder Region eines beschränkte. AWS-Konto AWS KMS hat das Kontingent „Aliase pro Region“ gestrichen.

## Erteilungen pro KMS-Schlüssel: 50 000
<a name="grants-per-key"></a>

Jedem [kundenverwalteten Schlüssel](concepts.md#customer-mgn-key) können bis zu 50 000 [Erteilungen](grants.md) zugewiesen werden, einschließlich der Erteilungen, die von [in AWS KMS integrierten AWS -Services](https://aws.amazon.com/kms/features/#AWS_Service_Integration) erstellt wurden. Dieses Kontingent gilt nicht für [Von AWS verwaltete Schlüssel](concepts.md#aws-managed-key)‬ oder ‭[AWS-eigene Schlüssel](concepts.md#aws-owned-key).

Eine Auswirkung dieses Kontingents besteht darin, dass Sie gleichzeitig nicht mehr als 50 000 per Erteilung autorisierte Operationen durchführen können, die denselben KMS-Schlüssel verwenden. Nachdem Sie das Kontingent erschöpft haben, können Sie neue Erteilungen für den KMS-Schlüssel erst erstellen, nachdem eine aktive Erteilung aufgehoben oder widerrufen wird.

Wenn Sie beispielsweise ein Amazon-Elastic-Block-Store-Volume (Amazon EBS) an eine Amazon-Elastic-Compute-Cloud-Instance (Amazon EC2) anfügen, wird das Volume entschlüsselt, sodass Sie es lesen können. Um die Berechtigung zum Entschlüsseln der Daten zu erhalten, erstellt Amazon EBS für jedes Volume eine Erteilung. Wenn also alle Ihre Amazon-EBS-Volumes denselben KMS-Schlüssel verwenden, können Sie nicht mehr als 50 000 Volumes gleichzeitig anhängen.

## Ressourcenkontingent für benutzerdefinierte Schlüsselspeicher: 10
<a name="cks-resource-quota"></a>

Sie können in jeder AWS-Konto Region bis zu 10 [benutzerdefinierte Schlüsselspeicher](key-store-overview.md#custom-key-store-overview) erstellen. Wenn Sie versuchen, weitere zu erstellen, schlägt der [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)Vorgang fehl.

Dieses Kontingent gilt für die Gesamtzahl der benutzerdefinierten Schlüsselspeicher in jedem Konto und jeder Region, einschließlich aller [AWS CloudHSM -Schlüsselspeicher](keystore-cloudhsm.md) und [externer Schlüsselspeicher](keystore-external.md), unabhängig von ihrem Verbindungsstatus.

## Rotation auf Anfrage: 25
<a name="on-demand-rotation-resource-quota"></a>

Sie können die [Schlüsselrotation bei Bedarf](rotating-keys-on-demand.md) maximal 25 Mal pro KMS-Schlüssel durchführen. Wenn Sie versuchen, mehr Rotationen auf Anforderung durchzuführen, schlägt der [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)Vorgang fehl.

Dieses Kontingent ist nicht anpassbar. Sie können es nicht erhöhen, indem Sie Servicekontingente verwenden oder einen Fall in erstellen AWS Support. Um zu verhindern, dass das Kontingent für die On-Demand-Rotation erreicht wird, empfehlen wir, wann immer möglich die [automatische Schlüsselrotation](rotating-keys-enable.md) zu verwenden.

# Anforderungskontingente
<a name="requests-per-second"></a>

AWS KMS legt Kontingente für die Anzahl der in jeder Sekunde angeforderten API-Operationen fest. Die Anforderungskontingente unterscheiden sich je nach API-Vorgang AWS-Region, dem und anderen Faktoren, wie dem KMS-Schlüsseltyp. Wenn Sie ein API-Anforderungskontingent überschreiten, wird [die Anfrage AWS KMS gedrosselt](throttling.md).

Alle AWS KMS Anforderungskontingente sind einstellbar, mit Ausnahme des [Anforderungskontingents für AWS CloudHSM Schlüsselspeicher](#rps-key-stores). Informationen zur Erhöhung eines Kontingents finden Sie unter [Anfordern einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) im *Service-Quotas-Benutzerhandbuch*. Um eine Senkung des Kontingents zu beantragen, ein Kontingent zu ändern, das nicht in Service Quotas aufgeführt ist, oder um ein Kontingent AWS-Region in einem Bereich zu ändern, für AWS KMS den Servicekontingente nicht verfügbar sind, besuchen Sie bitte das [AWS Support Center](https://console.aws.amazon.com/support/home) und erstellen Sie einen Fall. 

Wenn Sie das Anforderungskontingent für den [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Vorgang überschreiten, sollten Sie in Erwägung ziehen, die Funktion [zum Zwischenspeichern von Datenschlüsseln](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/data-key-caching.html) zu verwenden. AWS Encryption SDK Durch die Wiederverwendung von Datenschlüsseln kann sich die Häufigkeit Ihrer Anfragen auf verringern. AWS KMS

Zusätzlich zu den Anforderungskontingenten werden Ressourcenkontingente AWS KMS verwendet, um die Kapazität für alle Benutzer sicherzustellen. Details hierzu finden Sie unter [Ressourcenkontingente](resource-limits.md).

Um Trends in Ihren Anforderungsraten anzuzeigen, verwenden Sie die [Service-Quotas-Konsole](https://console.aws.amazon.com/servicequotas). Sie können auch einen [ CloudWatchAmazon-Alarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) einrichten, der Sie benachrichtigt, wenn Ihre Anforderungsrate einen bestimmten Prozentsatz eines Kontingents erreicht. Einzelheiten finden Sie im *AWS Sicherheitsblog* unter [Verwalten Sie Ihre AWS KMS API-Anforderungsraten mithilfe von Service Quotas und Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/).

**Topics**
+ [

## Fordern Sie Kontingente für jeden AWS KMS API-Vorgang an
](#rps-table)
+ [

## Anwenden von Anforderungskontingenten
](#about-rate-limits)
+ [

## Gemeinsame Kontingente für kryptografische Operationen
](#rps-shared-limit)
+ [

## API-Anforderungen in Ihrem Namen
](#rps-from-service)
+ [

## Kontoübergreifende Anforderungen
](#rps-cross-account)
+ [

## Anforderungskontingente für benutzerdefinierte Schlüsselspeicher
](#rps-key-stores)

## Fordern Sie Kontingente für jeden AWS KMS API-Vorgang an
<a name="rps-table"></a>

In dieser Tabelle sind der [Quota-Code für Service-Kontingente](https://docs.aws.amazon.com/servicequotas/latest/userguide/) und der Standardwert für jedes AWS KMS Anforderungskontingent aufgeführt. Alle AWS KMS Anforderungskontingente sind einstellbar, mit Ausnahme des [Anforderungskontingents für AWS CloudHSM Schlüsselspeicher](#rps-key-stores).

**Anmerkung**  
Möglicherweise müssen Sie horizontal oder vertikal Scrollen, um alle Daten in dieser Tabelle anzuzeigen.


| Kontingentname | Standardwert (Anforderungen pro Sekunde) | 
| --- | --- | 
|  `Cryptographic operations (symmetric) request rate` Gilt für: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html)  |  Diese gemeinsamen Kontingente variieren je nach dem AWS-Region und dem Typ des in der Anfrage verwendeten KMS-Schlüssels. Jedes Kontingent wird separat berechnet. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html)  | 
| `Cryptographic operations (RSA) request rate` Gilt für:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html) |  1.000 (gemeinsam genutzt) für RSA-KMS-Schlüssel  | 
| `Cryptographic operations (ML-DSA) request rate` Gilt für: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html) | 1.000 (gemeinsam genutzt) für ML-DSA-KMS-Schlüssel | 
| `Cryptographic operations (ECC and SM2) request rate` Gilt für:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html) |  1.000 (gemeinsam genutzt) für KMS-Schlüssel mit elliptischen Kurven (ECC) und SM2 (nur Regionen China)  | 
|  `Custom key store request quotas` Gilt für: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html)  | [Anforderungskontingente für benutzerdefinierte Schlüsselspeicher](#rps-key-stores) werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html) | 
| `CancelKeyDeletion request rate` | 5 | 
| `ConnectCustomKeyStore request rate` | 5 | 
| `CreateAlias request rate` | 5 | 
| `CreateCustomKeyStore request rate` | 5 | 
| `CreateGrant request rate` | 50 | 
| `CreateKey request rate` | 5 | 
| `DeleteAlias request rate` | 15 | 
| `DeleteCustomKeyStore request rate` | 5 | 
| `DeleteImportedKeyMaterial request rate` | 15 | 
| `DescribeCustomKeyStores request rate` | 5 | 
| `DescribeKey request rate` | 2000 | 
| `DisableKey request rate` | 5 | 
| `DisableKeyRotation request rate` | 5 | 
| `DisconnectCustomKeyStore request rate` | 5 | 
| `EnableKey request rate` | 5 | 
| `EnableKeyRotation request rate` | 15 | 
|  `GenerateDataKeyPair (ECC_NIST_P256) request rate` Gilt für: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html)  |  100  | 
|  `GenerateDataKeyPair (ECC_NIST_P384) request rate` Gilt für: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html)  |  100  | 
|  `GenerateDataKeyPair (ECC_NIST_P521) request rate` Gilt für: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html)  |  100  | 
|  `GenerateDataKeyPair (ECC_SECG_P256K1) request rate` Gilt für: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html)  |  100  | 
|  `GenerateDataKeyPair (ECC_NIST_EDWARDS25519) request rate` Gilt für: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html)  |  100  | 
|  `GenerateDataKeyPair (RSA_2048) request rate` Gilt für: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html)  |  20  | 
|  `GenerateDataKeyPair (RSA_3072) request rate` Gilt für: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html)  |  4  | 
|  `GenerateDataKeyPair (RSA_4096) request rate` Gilt für: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html)  |  1  | 
|  `GenerateDataKeyPair (SM2 — China Regions only) request rate` Gilt für: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/requests-per-second.html)  |  25  | 
| `GetKeyPolicy request rate` | 1000 | 
| `GetKeyRotationStatus request rate` | 1000 | 
| `GetParametersForImport request rate` | 1 | 
| `GetPublicKey request rate` | 2000 | 
| `ImportKeyMaterial request rate` | 15 | 
| `ListAliases request rate` | 500 | 
| `ListGrants request rate` | 100 | 
| `ListKeyPolicies request rate` | 100 | 
| `ListKeys request rate` | 500 | 
| `ListKeyRotations request rate` | 100 | 
| `ListResourceTags request rate` | 2000 | 
| `ListRetirableGrants request rate` | 100 | 
| `PutKeyPolicy request rate` | 15 | 
| ReplicateKey request rate Eine `ReplicateKey`-Produktion zählt als eine `ReplicateKey`-Anforderung in der Region des Primärschlüssels und zwei `CreateKey`-Anforderungen in der Region des Replikats. Eine der `CreateKey`-Anforderungen ist ein Trockenlauf, um potenzielle Probleme zu erkennen, bevor der Schlüssel erstellt wird.  | 5 | 
| `RetireGrant request rate` | 50 | 
| `RevokeGrant request rate` | 50 | 
| `RotateKeyOnDemand request rate` | 5 | 
| `ScheduleKeyDeletion request rate` | 15 | 
| `TagResource request rate` | 10 | 
| `UntagResource request rate` | 5 | 
| `UpdateAlias request rate` | 5 | 
| `UpdateCustomKeyStore request rate` | 5 | 
| `UpdateKeyDescription request rate` | 5 | 
| `UpdatePrimaryRegion request rate` Eine `UpdatePrimaryRegion`-Produktion zählt als zwei `UpdatePrimaryRegion`-Anforderungen; eine Anforderung in jeder der beiden betroffenen Regionen.  | 5 | 

## Anwenden von Anforderungskontingenten
<a name="about-rate-limits"></a>

Beachten Sie beim Anzeigen der Anforderungskontingente die folgenden Informationen.
+ Anforderungskontingente gelten sowohl für [kundenverwaltete Schlüssel](concepts.md#customer-mgn-key) als auch für [Von AWS verwaltete Schlüssel](concepts.md#aws-managed-key). Die Verwendung von [AWS-eigene Schlüssel](concepts.md#aws-owned-key)wird nicht auf Ihre Anforderungskontingente angerechnet AWS-Konto, auch wenn sie zum Schutz der Ressourcen in Ihrem Konto verwendet werden.
+ Anforderungskontingente gelten für Anforderungen, die an FIPS-Endpunkte und Nicht-FIPS-Endpunkte gesendet werden. Eine Liste der AWS KMS Dienstendpunkte finden Sie unter [AWS Key Management Service Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/kms.html) in der. Allgemeine AWS-Referenz
+ Die Drosselung basiert auf allen Anforderungen an KMS-Schlüssel aller Typen in der Region. Diese Summe beinhaltet Anfragen von allen Principals in der AWS-Konto, einschließlich Anfragen von AWS Diensten in Ihrem Namen.
+ Jedes Anforderungskontingent wird separat berechnet. Anfragen für den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang haben beispielsweise keine Auswirkung auf das Anforderungskontingent für den [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)Vorgang. Wenn Ihre `CreateAlias`-Anforderungen gedrosselt werden, können Ihre `CreateKey`-Anforderungen weiterhin erfolgreich abgeschlossen werden. 
+ Obwohl für kryptografische Operationen ein gemeinsames Kontingent gilt, wird das gemeinsame Kontingent unabhängig von den Kontingenten für andere Operationen berechnet. Beispielsweise teilen sich Aufrufe der Vorgänge [Verschlüsseln](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) und [Entschlüsseln](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) ein Anforderungskontingent, aber dieses Kontingent ist unabhängig von dem Kontingent für Verwaltungsvorgänge, wie z. [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html) Beispielsweise können Sie in der Region Europa (London) 10 000 kryptografische Operationen für symmetrische KMS-Schlüssel *plus* 5 `EnableKey`-Operationen pro Sekunde ausführen, ohne gedrosselt zu werden.

## Gemeinsame Kontingente für kryptografische Operationen
<a name="rps-shared-limit"></a>

AWS KMS [Bei kryptografischen Vorgängen](kms-cryptography.md#cryptographic-operations) werden Anforderungsquoten gemeinsam genutzt. Sie können eine beliebige Kombination der vom KMS-Schlüssel unterstützten kryptografischen Operationen anfordern. Dabei darf nur die Gesamtzahl der kryptografischen Operationen das Anforderungskontingent für diesen KMS-Schlüsseltyp nicht überschreiten. Die Ausnahmen sind [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)und [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), die sich ein separates Kontingent teilen. 

Die Kontingente für unterschiedliche Schlüsseltypen werden ebenfalls unabhängig berechnet. Jedes Kontingent gilt für alle Anfragen für diese Operationen in der Region AWS-Konto und mit dem angegebenen Schlüsseltyp in jedem Intervall von einer Sekunde.
+ Die *Anforderungsrate für kryptographische Operationen (symmetrisch)* ist das für kryptographische Operationen freigegebene Anforderungskontingent unter Verwendung symmetrischer KMS-Schlüssel in einem Konto und in einer Region. Dieses Kontingent gilt für kryptografische Operationen mit symmetrischen Verschlüsselungsschlüsseln und HMAC-Schlüsseln, die ebenfalls symmetrisch sind.

  Beispielsweise könnten Sie [symmetrische KMS-Schlüssel](symm-asymm-choose-key-spec.md#symmetric-cmks) in einem System AWS-Region mit einem gemeinsamen Kontingent von 10.000 Anfragen pro Sekunde verwenden. Wenn Sie 7.000 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Anfragen pro Sekunde und 2.000 [Decrypt-Anfragen](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) pro Sekunde stellen, werden Ihre Anfragen AWS KMS nicht gedrosselt. Wenn jedoch 9 500 `GenerateDataKey`-Anforderungen und 1 000 [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)-Anforderungen pro Sekunde anfallen, drosselt AWS KMS die Anforderungen, da sie das gemeinsame Kontingent überschreiten.

  Kryptografische Operationen mit den [KMS-Schlüsseln für symmetrische Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks) in einem [benutzerdefinierten Schlüsselspeicher](key-store-overview.md#custom-key-store-overview) werden sowohl auf die *Anforderungsrate kryptografischer Operationen (symmetrisch)* für das Konto als auch auf das [Anforderungskontingent für benutzerdefinierte Schlüsselspeicher](#rps-key-stores) für den benutzerdefinierten Schlüsselspeicher angerechnet. 
+ Die *Anforderungsrate für kryptografische Operationen (RSA)* ist das für kryptografische Operationen freigegebene Anforderungskontingent unter Verwendung von [asymmetrischen RSA-KMS-Schlüssel](symm-asymm-choose-key-spec.md#key-spec-rsa). 

  Bei einem Anforderungskontingent von 1.000 Vorgängen pro Sekunde können Sie beispielsweise 400 [Verschlüsselungsanforderungen und 200 Entschlüsselungsanforderungen mit RSA-KMS-Schlüsseln](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)[, die verschlüsseln und entschlüsseln](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) können, sowie 250 [Signieranfragen und 150 Verify-Anfragen mit RSA-KMS-Schlüsseln, die signieren](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) und [verifizieren](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) können, stellen.
+ [Die *Anforderungsrate für kryptografische Operationen (ECC) ist das gemeinsame Anforderungskontingent* für kryptografische Operationen, bei denen asymmetrische KMS-Schlüssel mit [elliptischen Kurven (ECC](symm-asymm-choose-key-spec.md#key-spec-ecc)) und asymmetrische SM-KMS-Schlüssel verwendet werden.](symm-asymm-choose-key-spec.md#key-spec-sm) 

  Bei einem Anforderungskontingent von 1.000 Vorgängen pro Sekunde können Sie beispielsweise 400 Signieranfragen und 200 Verify-Anfragen mit ECC-KMS-Schlüsseln stellen, die signieren und verifizieren können, sowie 250 Signieranfragen und 150 Verifizierungsanfragen mit SM2 KMS-Schlüsseln, die [signieren](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) und [verifizieren](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) können.
+ Das *Anforderungskontingent für KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher* ist das gemeinsame Anforderungskontingent für kryptografische Operationen mit KMS-Schlüsseln in einem benutzerdefinierten Schlüsselspeicher. Dieses Kontingent wird für jeden benutzerdefinierten Schlüsselspeicher separat berechnet. 

  Kryptografische Operationen mit den [KMS-Schlüsseln für symmetrische Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks) in einem [benutzerdefinierten Schlüsselspeicher](key-store-overview.md#custom-key-store-overview) werden sowohl auf die *Anforderungsrate kryptografischer Operationen (symmetrisch)* für das Konto als auch auf das [Anforderungskontingent für benutzerdefinierte Schlüsselspeicher](#rps-key-stores) für den benutzerdefinierten Schlüsselspeicher angerechnet. 

Die Kontingente für unterschiedliche Schlüsseltypen werden ebenfalls unabhängig berechnet. Wenn Sie in der Region Asien-Pazifik (Singapur) beispielsweise symmetrische und asymmetrische KMS-Schlüssel verwenden, können Sie bis zu 10 000 Aufrufe pro Sekunde mit symmetrischen KMS-Schlüsseln (einschließlich HMAC-Schlüsseln) *plus* bis zu 500 zusätzliche Aufrufe pro Sekunde mit Ihren asymmetrischen RSA-KMS-Schlüsseln *plus* bis zu 300 zusätzliche Anforderungen pro Sekunde mit Ihren ECC-basierten KMS-Schlüsseln ausgeben.

## API-Anforderungen in Ihrem Namen
<a name="rps-from-service"></a>

Sie können API-Anfragen direkt oder mithilfe eines integrierten AWS Dienstes stellen, an den API-Anfragen in AWS KMS Ihrem Namen gestellt werden. Das Kontingent gilt für beide Arten von Anforderungen.

Sie speichern Daten beispielsweise in Simple Storage Service (Amazon S3) und verwenden serverseitige Verschlüsselung mit einem KMS-Schlüssel (SSE-KMS). Jedes Mal, wenn Sie ein mit SSE-KMS verschlüsseltes S3-Objekt hoch- oder herunterladen, stellt Amazon S3 in Ihrem `GenerateDataKey` Namen eine Anfrage (für Uploads) oder `Decrypt` (für Downloads) AWS KMS an. Diese Anfragen werden auf Ihr Kontingent angerechnet. Das bedeutet, dass die Anfragen AWS KMS gedrosselt werden, wenn Sie insgesamt 5.500 (oder 10.000 oder 50.000, je nach Ihren Anforderungen AWS-Region) Uploads oder Downloads von mit SSE-KMS verschlüsselten S3-Objekten pro Sekunde überschreiten.

## Kontoübergreifende Anforderungen
<a name="rps-cross-account"></a>

*Wenn eine Anwendung in einer Anwendung einen KMS-Schlüssel AWS-Konto verwendet, der einem anderen Konto gehört, spricht man von einer kontoübergreifenden Anfrage.* Bei kontoübergreifenden Anforderungen drosselt AWS KMS das Konto, das die Anforderungen sendet, nicht das Konto, das den KMS-Schlüssel besitzt. Wenn beispielsweise eine Anwendung in Konto A einen KMS-Schlüssel in Konto B verwendet, wird die KMS-Schlüsselnutzung nur auf die Kontingente in Konto A angerechnet.

## Anforderungskontingente für benutzerdefinierte Schlüsselspeicher
<a name="rps-key-stores"></a>

AWS KMS verwaltet Anforderungskontingente für [kryptografische Operationen](kms-cryptography.md#cryptographic-operations) mit den KMS-Schlüsseln in einem [benutzerdefinierten Schlüsselspeicher](key-store-overview.md#custom-key-store-overview). Diese Anforderungskontingente werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet.


| Anforderungskontingent für benutzerdefinierte Schlüsselspeicher | Standardwert (Anforderungen pro Sekunde) für jeden benutzerdefinierten Schlüsselspeicher | Einstellbar | 
| --- | --- | --- | 
| [AWS CloudHSM Kontingent für Schlüsselspeicher-Anfragen](keystore-cloudhsm.md) | 1800 | Nein | 
| Anforderungskontingent für [externen Schlüsselspeicher](keystore-external.md) | 1800 | Nein | 

**Anmerkung**  
AWS KMS [benutzerdefinierte Schlüsselspeicher-Anforderungskontingente](#rps-key-stores) werden nicht in der Service Quotas Quotas-Konsole angezeigt. Sie können diese Kontingente nicht mithilfe von Service-Quotas-API-Vorgängen anzeigen oder verwalten.  
Wenn der einem AWS CloudHSM Schlüsselspeicher zugeordnete AWS CloudHSM Cluster zahlreiche Befehle verarbeitet, auch solche, die nichts mit dem benutzerdefinierten Schlüsselspeicher zu tun haben, erhalten Sie möglicherweise einen AWS KMS `ThrottlingException` lower-than-expected AT-Schlüssel. Wenn dies der Fall ist, reduzieren Sie Ihre Anforderungsrate auf AWS KMS, reduzieren Sie die damit verbundene Last oder verwenden Sie einen dedizierten AWS CloudHSM Cluster für Ihren AWS CloudHSM Schlüsselspeicher.  
AWS KMS meldet die Drosselung von externen Schlüsselspeicher-Anfragen in der Metrik. [`ExternalKeyStoreThrottle`](monitoring-cloudwatch.md#metric-throttling) CloudWatch Sie können diese Metrik verwenden, um Drosselungsmuster anzuzeigen, Alarme zu erstellen und Ihr Kontingent für externe Schlüsselspeicheranforderungen anzupassen.

Eine Anforderung einer [kryptografischen Operation](kms-cryptography.md#cryptographic-operations) zu einem KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher wird auf zwei Kontingente angerechnet: 
+ Anforderungsrate für kryptografische Operationen (symmetrisch. pro Konto)

  Anfragen für kryptografische Operationen mit KMS-Schlüsseln in einem benutzerdefinierten Schlüsselspeicher werden auf das `Cryptographic operations (symmetric) request rate`-Kontingent für jedes AWS-Konto und jede Region angerechnet. In USA Ost (Nord-Virginia) (us-east-1) AWS-Konto können beispielsweise jeweils bis zu 100.000 Anfragen pro Sekunde für KMS-Schlüssel mit symmetrischer Verschlüsselung vorliegen, einschließlich Anfragen, die einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden.
+ Anforderungskontingent für benutzerdefinierte Schlüsselspeicher (pro benutzerdefiniertem Schlüsselspeicher)

  Anforderungen für kryptografische Operationen an KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher werden ebenfalls auf ein `Custom key store request quota` von 1 800 Operationen pro Sekunde. Diese Kontingente werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet. Sie können Anfragen von mehreren Personen enthalten AWS-Konten , die KMS-Schlüssel im benutzerdefinierten Schlüsselspeicher verwenden.

Beispielsweise wird ein [Verschlüsselungsvorgang](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) für einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher (jeder Typ) in der Region USA Ost (Nord-Virginia) (US-East-1) auf das Kontingent auf `Cryptographic operations (symmetric) request rate` Kontoebene (100.000 Anfragen pro Sekunde) für sein Konto und seine Region und auf `Custom key store request quota` (1.800 Anfragen pro Sekunde) für seinen benutzerdefinierten Schlüsselspeicher angerechnet. Eine Anforderung für einen Verwaltungsvorgang, z. B. für einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html), gilt jedoch nur für das Kontingent auf Kontoebene (15 Anfragen pro Sekunde).

# Drosselung AWS KMS von Anfragen
<a name="throttling"></a>

Um sicherzustellen, dass API-Anfragen aller Kunden schnell und zuverlässig beantwortet werden AWS KMS können, werden API-Anfragen, die bestimmte Grenzen überschreiten, gedrosselt. 

Eine *Drosselung* erfolgt, wenn eine Anfrage, die andernfalls gültig sein könnte, AWS KMS zurückgewiesen wird und ein `ThrottlingException` Fehler wie der folgende zurückgegeben wird. 

```
You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls. 
(Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID: <ID>
```

AWS KMS drosselt Anfragen für die folgenden Bedingungen.
+ Die Rate der Anfragen pro Sekunde überschreitet das AWS KMS [Anforderungskontingent](requests-per-second.md) für ein Konto und eine Region. 

  Wenn Benutzer in Ihrem Konto beispielsweise 1000 `DescribeKey` Anfragen in einer Sekunde einreichen, werden alle nachfolgenden `DescribeKey` Anfragen in dieser Sekunde AWS KMS gedrosselt.

  Um auf Drosselung zu reagieren, verwenden Sie eine [Backoff- und Wiederholungsstrategie](https://docs.aws.amazon.com/general/latest/gr/api-retries.html). In einigen Fällen wird diese Strategie automatisch für HTTP 400-Fehler implementiert. AWS SDKs
+ Ein Stoß oder eine anhaltende hohe Rate von Anforderungen, um den Status desselben KMS-Schlüssels zu ändern. Diese Bedingung wird oft als „Hotkey“ bezeichnet.

  Wenn beispielsweise eine Anwendung in Ihrem Konto ständig eine Vielzahl von `EnableKey` und `DisableKey` Anfragen nach demselben KMS-Schlüssel sendet, werden die Anfragen AWS KMS gedrosselt. Diese Drosselung erfolgt auch dann, wenn die Anfragen das request-per-second Anforderungslimit für die Operationen und nicht überschreiten. `EnableKey` `DisableKey`

  Um auf Drosselung zu reagieren, passen Sie Ihre Anwendungslogik so an, dass nur erforderliche Anforderungen ausgeführt werden, oder es konsolidiert die Anforderungen mehrerer Funktionen. 
+ Anfragen für Operationen mit KMS-Schlüsseln in einem [AWS CloudHSM Schlüsselspeicher](requests-per-second.md#rps-key-stores) werden möglicherweise mit einer lower-than-expected Geschwindigkeit gedrosselt, wenn der dem AWS CloudHSM Schlüsselspeicher zugeordnete AWS CloudHSM Cluster zahlreiche Befehle verarbeitet, auch solche, die nichts mit dem Schlüsselspeicher zu tun haben. AWS CloudHSM 

  (AWS KMS Drosselt Anfragen für Operationen mit KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher nicht mehr, wenn keine PKCS \$111 -Sitzungen für den Cluster verfügbar sind. AWS CloudHSM Stattdessen wird eine Meldung ausgelöst `KMSInternalException` und es wird empfohlen, dass Sie Ihre Anfrage erneut versuchen.)

Um Trends in Ihren Anforderungsraten anzuzeigen, verwenden Sie die [Service-Quotas-Konsole](https://console.aws.amazon.com/servicequotas). Sie können auch einen [ CloudWatchAmazon-Alarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) einrichten, der Sie benachrichtigt, wenn Ihre Anforderungsrate einen bestimmten Prozentsatz eines Kontingents erreicht. Einzelheiten finden Sie im *AWS Sicherheitsblog* unter [Verwalten Sie Ihre AWS KMS API-Anforderungsraten mithilfe von Service Quotas und Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/).

Alle AWS KMS Kontingente sind anpassbar, mit Ausnahme des [Ressourcenkontingents für die On-Demand-Rotation](resource-limits.md#on-demand-rotation-resource-quota) und des [Kontingents für AWS CloudHSM wichtige Store-Anfragen](requests-per-second.md#rps-key-stores). Informationen zur Erhöhung eines Kontingents finden Sie unter [Anfordern einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) im *Service-Quotas-Benutzerhandbuch*. Um eine Senkung des Kontingents zu beantragen, ein Kontingent zu ändern, das nicht in Service Quotas aufgeführt ist, oder um ein Kontingent AWS-Region in einem Bereich zu ändern, für AWS KMS den Servicekontingente nicht verfügbar sind, besuchen Sie bitte das [AWS Support Center](https://console.aws.amazon.com/support/home) und erstellen Sie einen Fall. 

**Anmerkung**  
AWS KMS [benutzerdefinierte Schlüsselspeicher-Anforderungskontingente](requests-per-second.md#rps-key-stores) werden nicht in der Service Quotas Quotas-Konsole angezeigt. Sie können diese Kontingente nicht mithilfe von Service-Quotas-API-Vorgängen anzeigen oder verwalten.