Fordern Sie Kontingente für jeden AWS KMS API-Vorgang an Anwenden von Anforderungskontingenten Gemeinsame Kontingente für kryptografische Operationen API-Anforderungen in Ihrem Namen Kontoübergreifende Anforderungen Anforderungskontingente für benutzerdefinierte Schlüsselspeicher

Anforderungskontingente

AWS KMS legt Kontingente für die Anzahl der in jeder Sekunde angeforderten API-Operationen fest. Die Anforderungskontingente unterscheiden sich je nach API-Vorgang AWS-Region, dem und anderen Faktoren, wie dem KMS-Schlüsseltyp. Wenn Sie ein API-Anforderungskontingent überschreiten, wird die Anfrage AWS KMS gedrosselt.

Alle AWS KMS Anforderungskontingente sind einstellbar, mit Ausnahme des Anforderungskontingents für AWS CloudHSM Schlüsselspeicher. Informationen zur Erhöhung eines Kontingents finden Sie unter Anfordern einer Kontingenterhöhung im Service-Quotas-Benutzerhandbuch. Um eine Senkung des Kontingents zu beantragen, ein Kontingent zu ändern, das nicht in Service Quotas aufgeführt ist, oder um ein Kontingent AWS-Region in einem Bereich zu ändern, für AWS KMS den Servicekontingente nicht verfügbar sind, besuchen Sie bitte das AWS -Support Center und erstellen Sie einen Fall.

Wenn Sie das Anforderungskontingent für den GenerateDataKeyVorgang überschreiten, sollten Sie in Erwägung ziehen, die Funktion zum Zwischenspeichern von Datenschlüsseln zu verwenden. AWS Encryption SDK Durch die Wiederverwendung von Datenschlüsseln kann sich die Häufigkeit Ihrer Anfragen auf verringern. AWS KMS

Zusätzlich zu den Anforderungskontingenten werden Ressourcenkontingente AWS KMS verwendet, um die Kapazität für alle Benutzer sicherzustellen. Details hierzu finden Sie unter Ressourcenkontingente.

Um Trends in Ihren Anforderungsraten anzuzeigen, verwenden Sie die Service-Quotas-Konsole. Sie können auch einen CloudWatchAmazon-Alarm einrichten, der Sie benachrichtigt, wenn Ihre Anforderungsrate einen bestimmten Prozentsatz eines Kontingents erreicht. Einzelheiten finden Sie im AWS Sicherheitsblog unter Verwalten Sie Ihre AWS KMS API-Anforderungsraten mithilfe von Service Quotas und Amazon CloudWatch.

Themen

Fordern Sie Kontingente für jeden AWS KMS API-Vorgang an
Anwenden von Anforderungskontingenten
Gemeinsame Kontingente für kryptografische Operationen
API-Anforderungen in Ihrem Namen
Kontoübergreifende Anforderungen
Anforderungskontingente für benutzerdefinierte Schlüsselspeicher

Fordern Sie Kontingente für jeden AWS KMS API-Vorgang an

In dieser Tabelle sind der Quota-Code für Service-Kontingente und der Standardwert für jedes AWS KMS Anforderungskontingent aufgeführt. Alle AWS KMS Anforderungskontingente sind einstellbar, mit Ausnahme des Anforderungskontingents für AWS CloudHSM Schlüsselspeicher.

Anmerkung

Möglicherweise müssen Sie horizontal oder vertikal Scrollen, um alle Daten in dieser Tabelle anzuzeigen.

Kontingentname	Standardwert (Anforderungen pro Sekunde)
`Cryptographic operations (symmetric) request rate` Gilt für: `Decrypt` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateMac` `GenerateRandom` `ReEncrypt` `VerifyMac`	Diese gemeinsamen Kontingente variieren je nach dem AWS-Region und dem Typ des in der Anfrage verwendeten KMS-Schlüssels. Jedes Kontingent wird separat berechnet. 10.000 (gemeinsam genutzt) 20.000 (gemeinsam genutzt) in den folgenden Regionen: USA Ost (Ohio), us-east-2 Asien-Pazifik (Singapur), ap-southeast-1 Asien-Pazifik (Sydney), ap-southeast-2 Asien-Pazifik (Tokio), ap-northeast-1 Europa (Frankfurt) eu-central-1 Europa (London) eu-west-2 100.000 (gemeinsam genutzt) in den folgenden Regionen: USA Ost (Nord-Virginia), us-east-1 USA West (Oregon), us-west-2 Europa (Irland), eu-west-1
`Cryptographic operations (RSA) request rate` Gilt für: `Decrypt` `Encrypt` `ReEncrypt` `Sign` `Verify`	1.000 (gemeinsam genutzt) für RSA-KMS-Schlüssel
`Cryptographic operations (ECC and SM2) request rate` Gilt für: `Decrypt`— nur für SM2 KMS-Schlüssel (nur Regionen China) unterstützt `DeriveSharedSecret` `Encrypt`— nur für SM2 KMS-Schlüssel (nur Regionen China) unterstützt `ReEncrypt`— nur für SM2 KMS-Schlüssel (nur Regionen China) unterstützt `Sign` `Verify`	1.000 (gemeinsam genutzt) für KMS-Schlüssel mit elliptischen Kurven (ECC) und SM2 (nur Regionen China)
`Custom key store request quotas` Gilt für: `Decrypt` `DeriveSharedSecret` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateRandom` `ReEncrypt`	Anforderungskontingente für benutzerdefinierte Schlüsselspeicher werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet. 1.800 (gemeinsam genutzt) für jeden Schlüsselspeicher AWS CloudHSM 1 800 (freigegeben) für jeden externen Schlüsselspeicher.
`CancelKeyDeletion request rate`	5
`ConnectCustomKeyStore request rate`	5
`CreateAlias request rate`	5
`CreateCustomKeyStore request rate`	5
`CreateGrant request rate`	50
`CreateKey request rate`	5
`DeleteAlias request rate`	15
`DeleteCustomKeyStore request rate`	5
`DeleteImportedKeyMaterial request rate`	15
`DescribeCustomKeyStores request rate`	5
`DescribeKey request rate`	2000
`DisableKey request rate`	5
`DisableKeyRotation request rate`	5
`DisconnectCustomKeyStore request rate`	5
`EnableKey request rate`	5
`EnableKeyRotation request rate`	15
`GenerateDataKeyPair (ECC_NIST_P256) request rate` Gilt für: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P384) request rate` Gilt für: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P521) request rate` Gilt für: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_SECG_P256K1) request rate` Gilt für: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (RSA_2048) request rate` Gilt für: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	1
`GenerateDataKeyPair (RSA_3072) request rate` Gilt für: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0,5 (1 in jedem 2-Sekunden-Intervall)
`GenerateDataKeyPair (RSA_4096) request rate` Gilt für: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0,1 (1 in jedem 10-Sekunden-Intervall)
`GenerateDataKeyPair (SM2 — China Regions only) request rate` Gilt für: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	25
`GetKeyPolicy request rate`	1000
`GetKeyRotationStatus request rate`	1000
`GetParametersForImport request rate`	0,25 (1 in jedem 4-Sekunden-Intervall)
`GetPublicKey request rate`	2000
`ImportKeyMaterial request rate`	15
`ListAliases request rate`	500
`ListGrants request rate`	100
`ListKeyPolicies request rate`	100
`ListKeys request rate`	500
`ListKeyRotations request rate`	100
`ListResourceTags request rate`	2000
`ListRetirableGrants request rate`	100
`PutKeyPolicy request rate`	15
`ReplicateKey request rate` Eine `ReplicateKey`-Produktion zählt als eine `ReplicateKey`-Anforderung in der Region des Primärschlüssels und zwei `CreateKey`-Anforderungen in der Region des Replikats. Eine der `CreateKey`-Anforderungen ist ein Trockenlauf, um potenzielle Probleme zu erkennen, bevor der Schlüssel erstellt wird.	5
`RetireGrant request rate`	50
`RevokeGrant request rate`	50
`RotateKeyOnDemand request rate`	5
`ScheduleKeyDeletion request rate`	15
`TagResource request rate`	10
`UntagResource request rate`	5
`UpdateAlias request rate`	5
`UpdateCustomKeyStore request rate`	5
`UpdateKeyDescription request rate`	5
`UpdatePrimaryRegion request rate` Eine `UpdatePrimaryRegion`-Produktion zählt als zwei `UpdatePrimaryRegion`-Anforderungen; eine Anforderung in jeder der beiden betroffenen Regionen.	5

Anwenden von Anforderungskontingenten

Beachten Sie beim Anzeigen der Anforderungskontingente die folgenden Informationen.

Anforderungskontingente gelten sowohl für kundenverwaltete Schlüssel als auch für Von AWS verwaltete Schlüssel. Die Verwendung von AWS-eigene Schlüsselwird nicht auf Ihre Anforderungskontingente angerechnet AWS-Konto, auch wenn sie zum Schutz der Ressourcen in Ihrem Konto verwendet werden.
Anforderungskontingente gelten für Anforderungen, die an FIPS-Endpunkte und Nicht-FIPS-Endpunkte gesendet werden. Eine Liste der AWS KMS Dienstendpunkte finden Sie unter AWS Key Management Service Endpunkte und Kontingente in der. Allgemeine AWS-Referenz
Die Drosselung basiert auf allen Anforderungen an KMS-Schlüssel aller Typen in der Region. Diese Summe beinhaltet Anfragen von allen Principals in der AWS-Konto, einschließlich Anfragen von AWS Diensten in Ihrem Namen.
Jedes Anforderungskontingent wird separat berechnet. Anfragen für den CreateKeyVorgang haben beispielsweise keine Auswirkung auf das Anforderungskontingent für den CreateAliasVorgang. Wenn Ihre CreateAlias-Anforderungen gedrosselt werden, können Ihre CreateKey-Anforderungen weiterhin erfolgreich abgeschlossen werden.
Obwohl für kryptografische Operationen ein gemeinsames Kontingent gilt, wird das gemeinsame Kontingent unabhängig von den Kontingenten für andere Operationen berechnet. Beispielsweise teilen sich Aufrufe der Vorgänge Verschlüsseln und Entschlüsseln ein Anforderungskontingent, aber dieses Kontingent ist unabhängig von dem Kontingent für Verwaltungsvorgänge, wie z. EnableKey Beispielsweise können Sie in der Region Europa (London) 10 000 kryptografische Operationen für symmetrische KMS-Schlüssel plus 5 EnableKey-Operationen pro Sekunde ausführen, ohne gedrosselt zu werden.

Gemeinsame Kontingente für kryptografische Operationen

AWS KMS Bei kryptografischen Vorgängen werden Anforderungsquoten gemeinsam genutzt. Sie können eine beliebige Kombination der vom KMS-Schlüssel unterstützten kryptografischen Operationen anfordern. Dabei darf nur die Gesamtzahl der kryptografischen Operationen das Anforderungskontingent für diesen KMS-Schlüsseltyp nicht überschreiten. Die Ausnahmen sind GenerateDataKeyPairund GenerateDataKeyPairWithoutPlaintext, die sich ein separates Kontingent teilen.

Die Kontingente für unterschiedliche Schlüsseltypen werden ebenfalls unabhängig berechnet. Jedes Kontingent gilt für alle Anfragen für diese Operationen in der Region AWS-Konto und mit dem angegebenen Schlüsseltyp in jedem Intervall von einer Sekunde.

Die Anforderungsrate für kryptographische Operationen (symmetrisch) ist das für kryptographische Operationen freigegebene Anforderungskontingent unter Verwendung symmetrischer KMS-Schlüssel in einem Konto und in einer Region. Dieses Kontingent gilt für kryptografische Operationen mit symmetrischen Verschlüsselungsschlüsseln und HMAC-Schlüsseln, die ebenfalls symmetrisch sind.

Beispielsweise könnten Sie symmetrische KMS-Schlüssel in einem System AWS-Region mit einem gemeinsamen Kontingent von 10.000 Anfragen pro Sekunde verwenden. Wenn Sie 7.000 GenerateDataKeyAnfragen pro Sekunde und 2.000 Decrypt-Anfragen pro Sekunde stellen, werden Ihre Anfragen AWS KMS nicht gedrosselt. Wenn jedoch 9 500 GenerateDataKey-Anforderungen und 1 000 Encrypt-Anforderungen pro Sekunde anfallen, drosselt AWS KMS die Anforderungen, da sie das gemeinsame Kontingent überschreiten.

Kryptografische Operationen mit den KMS-Schlüsseln für symmetrische Verschlüsselung in einem benutzerdefinierten Schlüsselspeicher werden sowohl auf die Anforderungsrate kryptografischer Operationen (symmetrisch) für das Konto als auch auf das Anforderungskontingent für benutzerdefinierte Schlüsselspeicher für den benutzerdefinierten Schlüsselspeicher angerechnet.
Die Anforderungsrate für kryptografische Operationen (RSA) ist das für kryptografische Operationen freigegebene Anforderungskontingent unter Verwendung von asymmetrischen RSA-KMS-Schlüssel.

Bei einem Anforderungskontingent von 1.000 Vorgängen pro Sekunde können Sie beispielsweise 400 Verschlüsselungsanforderungen und 200 Entschlüsselungsanforderungen mit RSA-KMS-Schlüsseln , die verschlüsseln und entschlüsseln können, sowie 250 Signieranfragen und 150 Verify-Anfragen mit RSA-KMS-Schlüsseln, die signieren und verifizieren können, stellen.
Die Anforderungsrate für kryptografische Operationen (ECC) ist das gemeinsame Anforderungskontingent für kryptografische Operationen, bei denen asymmetrische KMS-Schlüssel mit elliptischen Kurven (ECC) und asymmetrische SM-KMS-Schlüssel verwendet werden.

Bei einem Anforderungskontingent von 1.000 Vorgängen pro Sekunde können Sie beispielsweise 400 Signieranfragen und 200 Verify-Anfragen mit ECC-KMS-Schlüsseln stellen, die signieren und verifizieren können, sowie 250 Signieranfragen und 150 Verifizierungsanfragen mit SM2 KMS-Schlüsseln, die signieren und verifizieren können.
Das Anforderungskontingent für KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher ist das gemeinsame Anforderungskontingent für kryptografische Operationen mit KMS-Schlüsseln in einem benutzerdefinierten Schlüsselspeicher. Dieses Kontingent wird für jeden benutzerdefinierten Schlüsselspeicher separat berechnet.

Kryptografische Operationen mit den KMS-Schlüsseln für symmetrische Verschlüsselung in einem benutzerdefinierten Schlüsselspeicher werden sowohl auf die Anforderungsrate kryptografischer Operationen (symmetrisch) für das Konto als auch auf das Anforderungskontingent für benutzerdefinierte Schlüsselspeicher für den benutzerdefinierten Schlüsselspeicher angerechnet.

Die Kontingente für unterschiedliche Schlüsseltypen werden ebenfalls unabhängig berechnet. Wenn Sie in der Region Asien-Pazifik (Singapur) beispielsweise symmetrische und asymmetrische KMS-Schlüssel verwenden, können Sie bis zu 10 000 Aufrufe pro Sekunde mit symmetrischen KMS-Schlüsseln (einschließlich HMAC-Schlüsseln) plus bis zu 500 zusätzliche Aufrufe pro Sekunde mit Ihren asymmetrischen RSA-KMS-Schlüsseln plus bis zu 300 zusätzliche Anforderungen pro Sekunde mit Ihren ECC-basierten KMS-Schlüsseln ausgeben.

API-Anforderungen in Ihrem Namen

Sie können API-Anfragen direkt oder mithilfe eines integrierten AWS Dienstes stellen, an den API-Anfragen in AWS KMS Ihrem Namen gestellt werden. Das Kontingent gilt für beide Arten von Anforderungen.

Sie speichern Daten beispielsweise in Simple Storage Service (Amazon S3) und verwenden serverseitige Verschlüsselung mit einem KMS-Schlüssel (SSE-KMS). Jedes Mal, wenn Sie ein mit SSE-KMS verschlüsseltes S3-Objekt hoch- oder herunterladen, stellt Amazon S3 in Ihrem GenerateDataKey Namen eine Anfrage (für Uploads) oder Decrypt (für Downloads) AWS KMS an. Diese Anfragen werden auf Ihr Kontingent angerechnet. Das bedeutet, dass die Anfragen AWS KMS gedrosselt werden, wenn Sie insgesamt 5.500 (oder 10.000 oder 50.000, je nach Ihren Anforderungen AWS-Region) Uploads oder Downloads von mit SSE-KMS verschlüsselten S3-Objekten pro Sekunde überschreiten.

Kontoübergreifende Anforderungen

Wenn eine Anwendung in einer Anwendung einen KMS-Schlüssel AWS-Konto verwendet, der einem anderen Konto gehört, spricht man von einer kontoübergreifenden Anfrage. Bei kontoübergreifenden Anforderungen drosselt AWS KMS das Konto, das die Anforderungen sendet, nicht das Konto, das den KMS-Schlüssel besitzt. Wenn beispielsweise eine Anwendung in Konto A einen KMS-Schlüssel in Konto B verwendet, wird die KMS-Schlüsselnutzung nur auf die Kontingente in Konto A angerechnet.

Anforderungskontingente für benutzerdefinierte Schlüsselspeicher

AWS KMS verwaltet Anforderungskontingente für kryptografische Operationen mit den KMS-Schlüsseln in einem benutzerdefinierten Schlüsselspeicher. Diese Anforderungskontingente werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet.

Anforderungskontingent für benutzerdefinierte Schlüsselspeicher	Standardwert (Anforderungen pro Sekunde) für jeden benutzerdefinierten Schlüsselspeicher	Einstellbar
AWS CloudHSM Kontingent für Schlüsselspeicher-Anfragen	1800	Nein
Anforderungskontingent für externen Schlüsselspeicher	1800	Ja

Anmerkung

AWS KMS benutzerdefinierte Schlüsselspeicher-Anforderungskontingente werden nicht in der Service Quotas Quotas-Konsole angezeigt. Sie können diese Kontingente nicht mithilfe von Service-Quotas-API-Vorgängen anzeigen oder verwalten. Um eine Änderung Ihres Anforderungskontingents für externe Schlüsselspeicher zu beantragen, erstellen Sie im AWS -Support Center einen Fall.

Wenn der einem AWS CloudHSM Schlüsselspeicher zugeordnete AWS CloudHSM Cluster zahlreiche Befehle verarbeitet, auch solche, die nichts mit dem benutzerdefinierten Schlüsselspeicher zu tun haben, erhalten Sie möglicherweise einen AWS KMS ThrottlingException lower-than-expected AT-Schlüssel. Wenn dies der Fall ist, reduzieren Sie Ihre Anforderungsrate auf AWS KMS, reduzieren Sie die damit verbundene Last oder verwenden Sie einen dedizierten AWS CloudHSM Cluster für Ihren AWS CloudHSM Schlüsselspeicher.

AWS KMS meldet die Drosselung von externen Schlüsselspeicher-Anfragen in der Metrik. ExternalKeyStoreThrottle CloudWatch Sie können diese Metrik verwenden, um Drosselungsmuster anzuzeigen, Alarme zu erstellen und Ihr Kontingent für externe Schlüsselspeicheranforderungen anzupassen.

Eine Anforderung einer kryptografischen Operation zu einem KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher wird auf zwei Kontingente angerechnet:

Anforderungsrate für kryptografische Operationen (symmetrisch. pro Konto)

Anfragen für kryptografische Operationen mit KMS-Schlüsseln in einem benutzerdefinierten Schlüsselspeicher werden auf das Cryptographic operations (symmetric) request rate-Kontingent für jedes AWS-Konto und jede Region angerechnet. In USA Ost (Nord-Virginia) (us-east-1) AWS-Konto können beispielsweise jeweils bis zu 100.000 Anfragen pro Sekunde für KMS-Schlüssel mit symmetrischer Verschlüsselung vorliegen, einschließlich Anfragen, die einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden.
Anforderungskontingent für benutzerdefinierte Schlüsselspeicher (pro benutzerdefiniertem Schlüsselspeicher)

Anforderungen für kryptografische Operationen an KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher werden ebenfalls auf ein Custom key store request quota von 1 800 Operationen pro Sekunde. Diese Kontingente werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet. Sie können Anfragen von mehreren Personen enthalten AWS-Konten , die KMS-Schlüssel im benutzerdefinierten Schlüsselspeicher verwenden.

Beispielsweise wird ein Verschlüsselungsvorgang für einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher (jeder Typ) in der Region USA Ost (Nord-Virginia) (US-East-1) auf das Kontingent auf Cryptographic operations (symmetric) request rate Kontoebene (100.000 Anfragen pro Sekunde) für sein Konto und seine Region und auf Custom key store request quota (1.800 Anfragen pro Sekunde) für seinen benutzerdefinierten Schlüsselspeicher angerechnet. Eine Anforderung für einen Verwaltungsvorgang, z. B. für einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher PutKeyPolicy, gilt jedoch nur für das Kontingent auf Kontoebene (15 Anfragen pro Sekunde).

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ressourcenkontingente

Drosselung von -Anforderungen