Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cuotas
Para que todos los usuarios puedan AWS KMS responder y ofrecer un rendimiento óptimo, AWS KMS aplica dos tipos de cuotas: las cuotas de recursos y las cuotas de solicitud. Cada cuota se calcula de forma independiente para cada región de cada Cuenta de AWS.
Todas AWS KMS las cuotas son ajustables, excepto la cuota de [recursos de rotación bajo demanda y la cuota](resource-limits.md#on-demand-rotation-resource-quota) de [solicitudes del almacén de AWS CloudHSM claves](requests-per-second.md#rps-key-stores). Para solicitar un aumento de cuota, consulte [Solicitud de un aumento de cuota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) en la *Guía de usuario de Service Quotas*. Para solicitar una reducción de cuota, cambiar una cuota que no aparece en Service Quotas o cambiar una cuota en una en la Región de AWS que Service Quotas for no AWS KMS esté disponible, visite [AWS Support Center](https://console.aws.amazon.com/support/home) y cree un caso.
**Topics**
+ [Cuotas de recursos](resource-limits.md)
+ [Cuotas de solicitudes](requests-per-second.md)
+ [Limitar las solicitudes AWS KMS](throttling.md)
# Cuotas de recursos
AWS KMS establece cuotas de recursos para garantizar que pueda brindar un servicio rápido y resiliente a todos nuestros clientes. Algunas cuotas de recursos se aplican solo a los recursos que usted crea, pero no a los recursos que AWS los servicios crean para usted. Los recursos que usa pero que no están en la cuenta de Cuenta de AWS, como las [Claves propiedad de AWS](concepts.md#aws-owned-key), no se contabilizan en estas cuotas.
Si ha superado un límite de recursos, las solicitudes para crear un recurso adicional de dicho tipo generan un mensaje de error `LimitExceededException`.
Todas las cuotas de AWS KMS recursos son ajustables, excepto la [cuota de recursos de rotación bajo demanda](#on-demand-rotation-resource-quota). Para solicitar un aumento de cuota, consulte [Solicitud de un aumento de cuota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) en la *Guía de usuario de Service Quotas*. Para solicitar una reducción de cuota, cambiar una cuota que no aparece en Service Quotas o cambiar una cuota en una en la Región de AWS que Service Quotas for no AWS KMS esté disponible, visite [AWS Support Center](https://console.aws.amazon.com/support/home) y cree un caso.
En la siguiente tabla se enumeran y describen las cuotas de AWS KMS recursos de cada Cuenta de AWS región.
| Nombre de la cuota | Predeterminado | Aplica a | Ajustable |
| --- | --- | --- | --- |
| [AWS KMS keys](#kms-keys-limit) | 100 000 | Claves administradas por el cliente | Sí |
| [Alias por clave KMS](#aliases-per-key) | 50 | Alias creados por el cliente | Sí |
| [Concesiones por clave KMS](#grants-per-key) | 50 000 | Claves administradas por el cliente | Sí |
| [Cuota de recursos de almacenes de claves personalizados](#cks-resource-quota) | 10 | Cuenta de AWS y región | Sí |
| [Rotación bajo demanda](#on-demand-rotation-resource-quota) | 25 | Claves administradas por el cliente | No |
Además de las cuotas de recursos, AWS KMS utiliza las cuotas de solicitud para garantizar la capacidad de respuesta del servicio. Para obtener más información, consulte [Cuotas de solicitudes](requests-per-second.md).
## AWS KMS keys: 100 000
Puede tener hasta 100 000 [claves administradas por el cliente](concepts.md#customer-mgn-key) en cada región de su Cuenta de AWS. Esta cuota se aplica a todas las claves administradas por el cliente en todas las Regiones de AWS , independientemente de su [especificación](create-keys.md#key-spec) o de su [estado](key-state.md) de clave. Cada clave de KMS se considera un recurso. Las [Claves administradas por AWS](concepts.md#aws-managed-key) y [Claves propiedad de AWS](concepts.md#aws-owned-key) no se contabilizan para esta cuota.
## Alias por clave KMS: 50
Puede asociar hasta 50 [alias](kms-alias.md) con cada [clave administrada por el cliente](concepts.md#customer-mgn-key). Los alias a los que se AWS asocian [Claves administradas por AWS](concepts.md#aws-managed-key)no se tienen en cuenta para esta cuota. Es posible que encuentre esta cuota cuando [cree](alias-create.md) o [actualice](alias-update.md) un alias.
**nota**
La ResourceAliases condición [kms:](conditions-kms.md#conditions-kms-resource-aliases) solo entra en vigor cuando la clave KMS cumple con esta cuota. Si una clave KMS supera esta cuota, las entidades principales que están autorizadas a usar la clave KMS mediante la condición `kms:ResourceAliases` se deniega el acceso a la clave KMS. Para obtener más información, consulte [Acceso denegado debido a la cuota de alias](troubleshooting-tags-aliases.md#access-denied-alias-quota).
La cuota de alias por clave de KMS reemplaza a la cuota de alias por región que limitaba el número total de alias en cada región de una. Cuenta de AWS AWS KMS ha eliminado la cuota de alias por región.
## Concesiones por clave KMS: 50 000
Cada [clave administrada por el cliente](concepts.md#customer-mgn-key) puede tener hasta 50 000 [concesiones](grants.md), incluidas las concesiones creadas por los [servicios de AWS que están integrados con AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration). Esta cuota no se aplica a [Claves administradas por AWS](concepts.md#aws-managed-key) o [Claves propiedad de AWS](concepts.md#aws-owned-key).
Un efecto de esta cuota es que no puede realizar más de 50 000 operaciones con concesiones autorizadas que utilicen la misma clave KMS al mismo tiempo. Después de alcanzar la cuota, puede crear nuevas concesiones para la clave KMS solo cuando se retire o se revoque una concesión activa.
Por ejemplo, cuando adjunta un volumen de Amazon Elastic Block Store (Amazon EBS) a una instancia de Amazon Elastic Compute Cloud (Amazon EC2), el volumen se descifra para que pueda leerlo. Para obtener permiso para descifrar los datos, Amazon EBS crea una concesión para cada volumen. Por lo tanto, si todos los volúmenes de Amazon EBS utilizan la misma clave KMS, no puede adjuntar más de 50 000 volúmenes a la vez.
## Cuota de recursos de almacenes de claves personalizados: 10
Puede crear hasta 10 [almacenes de claves personalizados](key-store-overview.md#custom-key-store-overview) en cada Cuenta de AWS región. Si intenta crear más, se produce un error en la [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operación.
Esta cuota se aplica al número total de almacenes de claves personalizados en cada cuenta y región. Esto incluye todos los [almacenes de claves de AWS CloudHSM](keystore-cloudhsm.md) y los [almacenes de claves externos](keystore-external.md), independientemente del estado de su conexión.
## Rotación bajo demanda: 25
Puede realizar la [rotación de claves bajo demanda](rotating-keys-on-demand.md) un máximo de 25 veces por clave KMS. Si intenta realizar más rotaciones bajo demanda, se produce un error en la [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operación.
Esta cuota no se puede ajustar. No puede aumentarlo mediante Service Quotas ni creando un caso en AWS Support. Para evitar alcanzar la cuota de rotación bajo demanda, recomendamos utilizar la [rotación de claves automática](rotating-keys-enable.md) siempre que sea posible.
# Cuotas de solicitudes
AWS KMS establece cuotas para el número de operaciones de API solicitadas por segundo. Las cuotas de solicitud varían según el funcionamiento de la API Región de AWS, la API y otros factores, como el tipo de clave de KMS. Cuando superas una cuota de solicitud de API AWS KMS [, limita la](throttling.md) solicitud.
Todas las cuotas de AWS KMS solicitudes son ajustables, excepto la cuota de [solicitud del almacén de AWS CloudHSM claves](#rps-key-stores). Para solicitar un aumento de cuota, consulte [Solicitud de un aumento de cuota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) en la *Guía de usuario de Service Quotas*. Para solicitar una reducción de cuota, cambiar una cuota que no aparece en Service Quotas o cambiar una cuota en una en la Región de AWS que Service Quotas for no AWS KMS esté disponible, visite [AWS Support Center](https://console.aws.amazon.com/support/home) y cree un caso.
Si supera la cuota solicitada para la [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operación, considere la posibilidad de utilizar la función de almacenamiento en [caché de claves de datos](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/data-key-caching.html) del AWS Encryption SDK. La reutilización de las claves de datos podría reducir la frecuencia de sus solicitudes también. AWS KMS
Además de solicitar cuotas, AWS KMS utiliza cuotas de recursos para garantizar la capacidad de todos los usuarios. Para obtener más información, consulte [Cuotas de recursos](resource-limits.md).
Para ver las tendencias de las tarifas de solicitudes, utilice la [Consola Service Quotas](https://console.aws.amazon.com/servicequotas). También puedes crear una CloudWatch alarma de [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) que te avise cuando tu porcentaje de solicitudes alcance un porcentaje determinado del valor de la cuota. Para obtener más información, consulta [Gestiona tus tasas de solicitudes de AWS KMS API mediante Service Quotas y Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) en el *blog AWS de seguridad*.
**Topics**
+ [Solicita cuotas para cada operación AWS KMS de la API](#rps-table)
+ [Aplicar cuotas de solicitudes](#about-rate-limits)
+ [Cuotas compartidas para operaciones criptográficas](#rps-shared-limit)
+ [Solicitudes de la API realizadas en su nombre](#rps-from-service)
+ [Solicitudes entre cuentas](#rps-cross-account)
+ [Cuotas de solicitudes del almacén de claves personalizado](#rps-key-stores)
## Solicita cuotas para cada operación AWS KMS de la API
En esta tabla se muestra el código de [cuota de Service](https://docs.aws.amazon.com/servicequotas/latest/userguide/) Quotas y el valor predeterminado de cada cuota de AWS KMS solicitud. Todas las cuotas de AWS KMS solicitud son ajustables, excepto la [cuota de solicitud del almacén de AWS CloudHSM claves](#rps-key-stores).
**nota**
Es posible que tenga que desplazarse horizontal o verticalmente para ver todos los datos de esta tabla.
| Nombre de la cuota | Límite predeterminado (solicitudes por segundo) |
| --- | --- |
| `Cryptographic operations (symmetric) request rate` Válido para: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | Estas cuotas compartidas varían en función del Región de AWS tipo de clave KMS utilizada en la solicitud. Cada cuota se calcula por separado. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) |
| `Cryptographic operations (RSA) request rate` Válido para:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | 1 000 (compartidas) para claves KMS de RSA |
| `Cryptographic operations (ML-DSA) request rate` Válido para: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | 1 000 (compartidas) para claves de KMS de ML-DSA |
| `Cryptographic operations (ECC and SM2) request rate` Válido para:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | 1000 (compartidas) para claves KMS de curva elíptica (ECC) y (solo regiones de SM2 China) |
| `Custom key store request quotas` Válido para: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | [Las cuotas de solicitudes del almacén de claves personalizado](#rps-key-stores) se calculan por separado para cada almacén de claves personalizado.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) |
| `CancelKeyDeletion request rate` | 5 |
| `ConnectCustomKeyStore request rate` | 5 |
| `CreateAlias request rate` | 5 |
| `CreateCustomKeyStore request rate` | 5 |
| `CreateGrant request rate` | 50 |
| `CreateKey request rate` | 5 |
| `DeleteAlias request rate` | 15 |
| `DeleteCustomKeyStore request rate` | 5 |
| `DeleteImportedKeyMaterial request rate` | 15 |
| `DescribeCustomKeyStores request rate` | 5 |
| `DescribeKey request rate` | 2000 |
| `DisableKey request rate` | 5 |
| `DisableKeyRotation request rate` | 5 |
| `DisconnectCustomKeyStore request rate` | 5 |
| `EnableKey request rate` | 5 |
| `EnableKeyRotation request rate` | 15 |
| `GenerateDataKeyPair (ECC_NIST_P256) request rate` Válido para: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_NIST_P384) request rate` Válido para: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_NIST_P521) request rate` Válido para: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_SECG_P256K1) request rate` Válido para: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_NIST_EDWARDS25519) request rate` Válido para: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (RSA_2048) request rate` Válido para: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | 20 |
| `GenerateDataKeyPair (RSA_3072) request rate` Válido para: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | 4 |
| `GenerateDataKeyPair (RSA_4096) request rate` Válido para: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | 1 |
| `GenerateDataKeyPair (SM2 — China Regions only) request rate` Válido para: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/requests-per-second.html) | 25 |
| `GetKeyPolicy request rate` | 1 000 |
| `GetKeyRotationStatus request rate` | 1 000 |
| `GetParametersForImport request rate` | 1 |
| `GetPublicKey request rate` | 2000 |
| `ImportKeyMaterial request rate` | 15 |
| `ListAliases request rate` | 500 |
| `ListGrants request rate` | 100 |
| `ListKeyPolicies request rate` | 100 |
| `ListKeys request rate` | 500 |
| `ListKeyRotations request rate` | 100 |
| `ListResourceTags request rate` | 2000 |
| `ListRetirableGrants request rate` | 100 |
| `PutKeyPolicy request rate` | 15 |
| ReplicateKey request rate Una operación `ReplicateKey` cuenta como una solicitud `ReplicateKey` en la Región de la clave principal y dos solicitudes `CreateKey` en la Región de la réplica. Solo una de las solicitudes `CreateKey` es una ejecución en seco para detectar posibles problemas antes de crear la clave. | 5 |
| `RetireGrant request rate` | 50 |
| `RevokeGrant request rate` | 50 |
| `RotateKeyOnDemand request rate` | 5 |
| `ScheduleKeyDeletion request rate` | 15 |
| `TagResource request rate` | 10 |
| `UntagResource request rate` | 5 |
| `UpdateAlias request rate` | 5 |
| `UpdateCustomKeyStore request rate` | 5 |
| `UpdateKeyDescription request rate` | 5 |
| `UpdatePrimaryRegion request rate` Un operación `UpdatePrimaryRegion` cuenta como dos solicitudes `UpdatePrimaryRegion`; una solicitud en cada una de las dos Regiones afectadas. | 5 |
## Aplicar cuotas de solicitudes
Al revisar las cuotas de solicitudes, tenga en cuenta la siguiente información.
+ Las cuotas de solicitudes se aplican a [claves administradas por el cliente](concepts.md#customer-mgn-key) y [Claves administradas por AWS](concepts.md#aws-managed-key). El uso de [Claves propiedad de AWS](concepts.md#aws-owned-key)no tiene en cuenta las cuotas solicitadas para usted Cuenta de AWS, incluso cuando se utilizan para proteger los recursos de su cuenta.
+ Las cuotas de solicitud se aplican a las solicitudes enviadas a puntos de conexión FIPS y puntos de conexión no FIPS. Para obtener una lista de los puntos finales del AWS KMS servicio, consulte los [AWS Key Management Service puntos finales y las cuotas](https://docs.aws.amazon.com/general/latest/gr/kms.html) en. Referencia general de AWS
+ La limitación controlada se basa en todas las solicitudes de las claves KMS de todos los tipos de la Región. Este total incluye las solicitudes de todos los directores del Cuenta de AWS, incluidas las solicitudes de AWS servicios en su nombre.
+ Cada cuota de solicitud se calcula de forma independiente. Por ejemplo, las solicitudes de la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación no afectan a la cuota de solicitudes de la [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operación. Si las solicitudes `CreateAlias` se limitan de forma controlada, las solicitudes `CreateKey` aún pueden completarse correctamente.
+ Aunque las operaciones criptográficas comparten una cuota, la cuota compartida se calcula de manera independiente de las cuotas para otras operaciones. [Por ejemplo, las llamadas a las operaciones de [cifrado y descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) comparten una cuota de solicitudes, pero esa cuota es independiente de la cuota de las operaciones de administración, por ejemplo. [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) Por ejemplo, en la Región Europa (Londres), puede realizar 10 000 operaciones criptográficas en claves KMS simétricas *más* 5 operaciones `EnableKey` por segundo sin que se limiten de forma controlada.
## Cuotas compartidas para operaciones criptográficas
AWS KMS las [operaciones criptográficas comparten cuotas de](kms-cryptography.md#cryptographic-operations) solicitud. Puede solicitar cualquier combinación de las operaciones criptográficas admitidas por la clave KMS, solo para que el número total de operaciones criptográficas no supere la cuota de solicitud para ese tipo de clave KMS. Las excepciones son [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)y [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), que comparten una cuota independiente.
Las cuotas para distintos tipos de claves KMS se calculan de forma independiente. Cada cuota se aplica a todas las solicitudes de estas operaciones en la región Cuenta de AWS y con el tipo de clave indicado en cada intervalo de un segundo.
+ La *tasa de solicitudes de operaciones criptográficas (simétricas)* es la cuota de solicitudes compartidas para operaciones criptográficas que utilizan claves KMS simétricas en una cuenta y región. Esta cuota se aplica a las operaciones criptográficas con claves de cifrado simétricas y claves HMAC, que también son simétricas.
Por ejemplo, es posible que esté utilizando [claves KMS simétricas](symm-asymm-choose-key-spec.md#symmetric-cmks) Región de AWS con una cuota compartida de 10 000 solicitudes por segundo. Cuando realizas 7 000 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitudes por segundo y 2 000 solicitudes de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) por segundo, AWS KMS no se limitan tus solicitudes. Sin embargo, cuando realice 9500 solicitudes `GenerateDataKey` y 1000 solicitudes [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) por segundo, AWS KMS limita de forma controlada las solicitudes porque superan la cuota compartida.
Las operaciones criptográficas en las [claves KMS de cifrado simétrico](symm-asymm-choose-key-spec.md#symmetric-cmks) de un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview) cuentan tanto para la *tasa de solicitudes de operaciones criptográficas (simétricas)* de la cuenta como para la [cuota de solicitudes del almacén de claves personalizado](#rps-key-stores) para el almacén de claves personalizado.
+ La *tasa de solicitudes de operaciones criptográficas (RSA)* es la cuota de solicitudes compartidas para operaciones criptográficas que utilizan [claves KMS asimétricas RSA](symm-asymm-choose-key-spec.md#key-spec-rsa).
Por ejemplo, con una cuota de solicitudes de 1 000 operaciones por segundo, puede realizar 400 solicitudes de [Cifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) y 200 solicitudes de [Descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) con claves KMS RSA que pueden cifrar y descifrar, además de 250 solicitudes de [Firma](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) y 150 solicitudes de [Verificación](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) con claves KMS RSA que pueden firmar y verificar.
+ *La tasa de solicitudes de operaciones criptográficas (ECC)* es la cuota de solicitudes compartidas para operaciones criptográficas que utilizan [claves KMS asimétricas de curva elíptica (ECC)](symm-asymm-choose-key-spec.md#key-spec-ecc) y [claves KMS asimétricas SM](symm-asymm-choose-key-spec.md#key-spec-sm).
Por ejemplo, con una cuota de solicitudes de 1000 operaciones por segundo, puedes realizar 400 solicitudes de firma y 200 solicitudes de verificación con claves KMS de ECC que pueden firmar y verificar, además de 250 solicitudes de [firma](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) y 150 solicitudes de verificación con claves de SM2 KMS que pueden firmar y [verificar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html).
+ La *cuota de solicitud de almacén de claves personalizadas* es la cuota de solicitud compartida para operaciones criptográficas en claves KMS en un almacén de claves personalizado. Esta cuota se calcula por separado para cada almacén de claves personalizado.
Las operaciones criptográficas en las [claves de KMS de cifrado simétrico](symm-asymm-choose-key-spec.md#symmetric-cmks) de un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview) cuentan tanto para la *tasa de solicitudes de operaciones criptográficas (simétricas)* de la cuenta como para la [cuota de solicitudes del almacén de claves personalizado](#rps-key-stores) para el almacén de claves personalizado.
Las cuotas para distintos tipos de clave también se calculan de forma independiente. Por ejemplo, en la Región Asia Pacífico (Singapur), si utiliza claves KMS simétricas y asimétricas, puede realizar hasta 10 000 llamadas por segundo con claves KMS simétricas (incluidas claves HMAC) *más* un máximo de 500 llamadas adicionales por segundo con claves KMS asimétricas RSA, *más* un máximo de 300 solicitudes adicionales por segundo con claves KMS basadas en ECC.
## Solicitudes de la API realizadas en su nombre
Puedes realizar solicitudes a la API directamente o mediante un AWS servicio integrado que realice las solicitudes a la API AWS KMS en tu nombre. La cuota se aplica a ambos tipos de solicitudes.
Por ejemplo, puede almacenar datos en Amazon S3 utilizando el cifrado del servidor con una clave KMS (SSE-KMS). Cada vez que carga o descarga un objeto de S3 cifrado con SSE-KMS, Amazon S3 realiza una solicitud `GenerateDataKey` (para cargas) o `Decrypt` (para descargas) AWS KMS en su nombre. Estas solicitudes se tienen en cuenta para su cuota, por lo AWS KMS que limita las solicitudes si supera un total combinado de 5 500 (o 10 000 o 50 000, según el volumen Región de AWS) de cargas o descargas por segundo de objetos de S3 cifrados con SSE-KMS.
## Solicitudes entre cuentas
*Cuando una de las aplicaciones de una aplicación Cuenta de AWS utiliza una clave de KMS propiedad de otra cuenta, se denomina solicitud multicuenta.* En el caso de las solicitudes entre cuentas, AWS KMS limita de forma controlada la cuenta que realiza las solicitudes, no la cuenta que posee la clave KMS. Por ejemplo, si una aplicación de una cuenta A utiliza una clave KMS de la cuenta B, el uso de la clave KMS se aplica solo a las cuotas de la cuenta A.
## Cuotas de solicitudes del almacén de claves personalizado
AWS KMS mantiene las cuotas de solicitud para [las operaciones criptográficas en las](kms-cryptography.md#cryptographic-operations) claves de KMS en un almacén de [claves personalizado](key-store-overview.md#custom-key-store-overview). Esta solicitud de cuotas se calcula por separado para cada almacén de claves personalizado.
| Cuota de solicitudes del almacén de claves personalizado | Valor predeterminado (solicitudes por segundo) para cada almacén de claves personalizado | Ajustable |
| --- | --- | --- |
| AWS CloudHSM cuota de solicitud del [almacén de claves](keystore-cloudhsm.md) | 1800 | No |
| Cuota de solicitudes del [almacén de claves externo](keystore-external.md) | 1800 | No |
**nota**
AWS KMS [las cuotas de solicitud de almacén de claves personalizadas](#rps-key-stores) no aparecen en la consola de Service Quotas. No puede ver ni administrar esta cuotas mediante las operaciones de la API de Service Quotas.
Si el AWS CloudHSM clúster asociado a un almacén de AWS CloudHSM claves procesa numerosos comandos, incluidos aquellos que no están relacionados con el almacén de claves personalizado, es posible que obtengas un AWS KMS `ThrottlingException` lower-than-expected ritmo. Si esto ocurre, reduce la tasa de solicitudes a AWS KMS, reduce la carga no relacionada o usa un AWS CloudHSM clúster dedicado para tu almacén de AWS CloudHSM claves.
AWS KMS informa de la limitación de las solicitudes de almacenes de claves externos en la [`ExternalKeyStoreThrottle`](monitoring-cloudwatch.md#metric-throttling) CloudWatch métrica. Puede usar esta métrica para ver los patrones de limitación, crear alarmas y ajustar su cuota de solicitudes del almacén de claves externo.
Una solicitud de una [operación criptográfica](kms-cryptography.md#cryptographic-operations) en una clave KMS en un almacén de claves personalizado cuenta para dos cuotas:
+ Cuota de tasas de solicitud de operaciones criptográficas (simétricas) (por cuenta)
Las solicitudes de operaciones criptográficas en las claves KMS de un almacén de claves personalizado se cuentan para la cuota `Cryptographic operations (symmetric) request rate` para cada Cuenta de AWS y región. Por ejemplo, en Este de EE. UU. (norte de Virginia) (us-east-1), cada Cuenta de AWS puede tener hasta 100 000 solicitudes por segundo en claves de KMS de cifrado simétrico, incluidas las solicitudes que usan una clave de KMS en un almacén de claves personalizado.
+ Cuota de solicitudes de almacén de claves personalizado (por almacén de claves personalizado)
Las solicitudes de operaciones criptográficas en claves KMS en un almacén de claves personalizado también cuentan para un `Custom key store request quota` de 1800 operaciones por segundo. Estas cuotas se calculan por separado para cada almacén de claves personalizado. Pueden incluir solicitudes de varios Cuentas de AWS que utilizan claves de KMS en el almacén de claves personalizado.
Por ejemplo, si solicita una operación [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) en una clave de KMS dentro de un almacén de claves personalizado (de cualquier tipo) en la región Este de EE. UU. (norte de Virginia) (us-east-1), cuenta para la cuota a nivel de cuenta `Cryptographic operations (symmetric) request rate` (100 000 solicitudes por segundo) para su cuenta y región, y para una `Custom key store request quota` (1800 solicitudes por segundo) para su almacén de claves personalizado. Sin embargo, una solicitud de una operación de administración [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html), como una clave KMS de un almacén de claves personalizado, solo se aplica a su cuota a nivel de cuenta (15 solicitudes por segundo).
# Limitar las solicitudes AWS KMS
Para garantizar que AWS KMS puede proporcionar respuestas rápidas y fiables a las solicitudes de API de todos los clientes, limita las solicitudes de API que superan ciertos límites.
La *limitación* se produce cuando se AWS KMS rechaza una solicitud que, de otro modo, podría ser válida y se produce un `ThrottlingException` error como el siguiente.
```
You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls.
(Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID:
```
AWS KMS limita las solicitudes que cumplen las siguientes condiciones.
+ La tasa de solicitudes por segundo supera la [cuota de AWS KMS solicitudes](requests-per-second.md) de una cuenta y una región.
Por ejemplo, si los usuarios de tu cuenta envían 1000 `DescribeKey` solicitudes en un segundo, limita AWS KMS todas las `DescribeKey` solicitudes subsiguientes en ese segundo.
Para responder a la limitación controlada, utilice una [estrategia de interrupción y reintento](https://docs.aws.amazon.com/general/latest/gr/api-retries.html). En algunos casos, esta estrategia se implementa automáticamente para los errores de HTTP 400. AWS SDKs
+ Una velocidad alta o sostenida de solicitudes para cambiar el estado de la misma clave KMS. Esta condición se conoce a menudo como una “tecla de acceso rápido”.
Por ejemplo, si una aplicación de tu cuenta envía una oleada persistente de `DisableKey` solicitudes de la misma clave KMS `EnableKey` y las solicita, limita AWS KMS las solicitudes. Esta limitación se produce incluso si las solicitudes no superan el límite de solicitudes de las operaciones request-per-second y. `EnableKey` `DisableKey`
Para responder a la limitación controlada, ajuste la lógica de la aplicación para que solo realice solicitudes requeridas o consolide las solicitudes de varias funciones.
+ Es posible que las solicitudes de operaciones con las claves de KMS de un [AWS CloudHSM almacén](requests-per-second.md#rps-key-stores) de claves se limiten a un lower-than-expected ritmo similar al que el AWS CloudHSM clúster asociado al almacén de AWS CloudHSM claves procesa numerosos comandos, incluidos aquellos que no están relacionados con el almacén de claves. AWS CloudHSM
(ya AWS KMS no limita las solicitudes de operaciones con las claves de KMS de un AWS CloudHSM almacén de claves cuando no hay sesiones de PKCS \$111 disponibles para el clúster. AWS CloudHSM En su lugar, lanza un `KMSInternalException` y recomienda que vuelvas a intentar la solicitud.)
Para ver las tendencias de las tarifas de solicitudes, utilice la [Consola Service Quotas](https://console.aws.amazon.com/servicequotas). También puedes crear una CloudWatch alarma de [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) que te avise cuando tu porcentaje de solicitudes alcance un porcentaje determinado del valor de la cuota. Para obtener más información, consulta [Gestiona tus tasas de solicitudes de AWS KMS API mediante Service Quotas y Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) en el *blog AWS de seguridad*.
Todas AWS KMS las cuotas son ajustables, excepto la cuota de [recursos de rotación bajo demanda y la cuota](resource-limits.md#on-demand-rotation-resource-quota) de [solicitudes del almacén de AWS CloudHSM claves](requests-per-second.md#rps-key-stores). Para solicitar un aumento de cuota, consulte [Solicitud de un aumento de cuota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) en la *Guía de usuario de Service Quotas*. Para solicitar una reducción de cuota, cambiar una cuota que no aparece en Service Quotas o cambiar una cuota en una en la Región de AWS que Service Quotas for no AWS KMS esté disponible, visite [AWS Support Center](https://console.aws.amazon.com/support/home) y cree un caso.
**nota**
AWS KMS [las cuotas de solicitud de almacén de claves personalizadas](requests-per-second.md#rps-key-stores) no aparecen en la consola de Service Quotas. No puede ver ni administrar esta cuotas mediante las operaciones de la API de Service Quotas.