Cuotas de solicitudes - AWS Key Management Service
Solicitar cuotas para cada operación AWS KMS de la APIAplicar cuotas de solicitudesCuotas compartidas para operaciones criptográficasSolicitudes de la API realizadas en su nombreSolicitudes entre cuentasCuotas de solicitudes del almacén de claves personalizado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cuotas de solicitudes

AWS KMS establece cuotas en el número de operaciones de la API solicitadas en cada segundo. Las solicitudes de cuotas difieren con la operación de la API, la Región de AWS y otros factores, como el tipo de clave KMS. Cuando supere una cuota de solicitud de la API,AWS KMS acelera la solicitud.

Todas las cuotas de solicitudes de AWS KMS son ajustables, excepto la cuota de solicitudes de almacén de claves AWS CloudHSM. Para solicitar un aumento de cuota, consulte Solicitud de un aumento de cuota en la Guía de usuario de Service Quotas. Para solicitar una reducción de la cuota, cambiar una cuota que no figura en las Service Quotas o cambiar una cuota en una Región de AWS donde las Service Quotas para AWS KMS no estén disponibles, visite el Centro de AWS Support y cree un caso.

Si excede las cuotas de solicitudes para la operación GenerateDataKey, considere la posibilidad de usar la característica de almacenamiento en caché de claves de datos de AWS Encryption SDK. La reutilización de claves de datos podría reducir la frecuencia de las solicitudes a AWS KMS.

Además de cuotas de solicitudes, AWS KMS utiliza cuotas de recursos para garantizar la capacidad de todos los usuarios. Para obtener más información, consulte Cuotas de recursos.

Para ver las tendencias de las tarifas de solicitudes, utilice la Consola Service Quotas. También puede crear una alarma de Amazon CloudWatch que le avisa cuando su ratio de solicitudes alcanza un cierto porcentaje de un valor de cuota. Para obtener más detalles, consulte Administre la tasa de solicitudes de la API de AWS KMS mediante Service Quotas y Amazon CloudWatch en el Blog de seguridad de AWS.

Solicitar cuotas para cada operación AWS KMS de la API

En esta tabla se muestra el código de cuota de las Service Quotas y el valor predeterminado para cada cuota de solicitud de AWS KMS. Todas las cuotas de solicitudes de AWS KMS son ajustables, excepto la cuota de solicitudes de almacén de claves AWS CloudHSM.

nota

Es posible que tenga que desplazarse horizontal o verticalmente para ver todos los datos de esta tabla.

Nombre de la cuota Límite predeterminado (solicitudes por segundo)

Cryptographic operations (symmetric) request rate

Válido para:

  • Decrypt

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateMac

  • GenerateRandom

  • ReEncrypt

  • VerifyMac

Estas cuotas compartidas varían según la Región de AWS y el tipo de clave KMS utilizado en la solicitud. Cada cuota se calcula por separado.

  • 10 000 (compartidas)

  • 20 000 (compartidas) en las siguientes Regiones:

    • EE. UU. Este (Ohio), us-east-2

    • Asia Pacífico (Singapur), ap-southeast-1

    • Asia Pacífico (Sídney), ap-southeast-2

    • Asia Pacífico (Tokio), ap-northeast-1

    • Europa (Fráncfort), eu-central-1

    • Europa (Londres), eu-west-2

  • 100 000 (compartidas) en las siguientes Regiones:

    • EE.UU. Este (Norte de Virginia) (us-east-1)

    • EE.UU. Oeste (Oregón) (us-west-2)

    • Europa (Irlanda), eu-west-1

Cryptographic operations (RSA) request rate

Válido para:

  • Decrypt

  • Encrypt

  • ReEncrypt

  • Sign

  • Verify

1 000 (compartidas) para claves KMS de RSA

Cryptographic operations (ECC and SM2) request rate

Válido para:

  • Decrypt: solo se admite en claves KMS SM2 (solo en las regiones de China)

  • DeriveSharedSecret

  • Encrypt: solo se admite en claves KMS SM2 (solo en las regiones de China)

  • ReEncrypt: solo se admite en claves KMS SM2 (solo en las regiones de China)

  • Sign

  • Verify

1 000 (compartidas) para claves KMS de curva elíptica (ECC) y SM2 (solo en las regiones de China)

Custom key store request quotas

Válido para:

  • Decrypt

  • DeriveSharedSecret

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateRandom

  • ReEncrypt

 Las cuotas de solicitudes del almacén de claves personalizado se calculan por separado para cada almacén de claves personalizado.

  • 1800 (compartidas) para cada almacén de claves AWS CloudHSM.

  • 1800 (compartidas) para cada almacén de claves externo.

CancelKeyDeletion request rate

 5

ConnectCustomKeyStore request rate

 5

CreateAlias request rate

 5

CreateCustomKeyStore request rate

 5

CreateGrant request rate

 50

CreateKey request rate

 5

DeleteAlias request rate

 15

DeleteCustomKeyStore request rate

 5

DeleteImportedKeyMaterial request rate

 15

DescribeCustomKeyStores request rate

 5

DescribeKey request rate

 2000

DisableKey request rate

 5

DisableKeyRotation request rate

 5

DisconnectCustomKeyStore request rate

 5

EnableKey request rate

 5

EnableKeyRotation request rate

 15

GenerateDataKeyPair (ECC_NIST_P256) request rate

Válido para:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P384) request rate

Válido para:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P521) request rate

Válido para:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_SECG_P256K1) request rate

Válido para:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (RSA_2048) request rate

Válido para:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

1

GenerateDataKeyPair (RSA_3072) request rate

Válido para:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0,5 (1 en cada intervalo de 2 segundos)

GenerateDataKeyPair (RSA_4096) request rate

Válido para:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0,1 (1 en cada intervalo de 10 segundos)

GenerateDataKeyPair (SM2 — China Regions only) request rate

Válido para:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

25

GetKeyPolicy request rate

 1 000

GetKeyRotationStatus request rate

 1 000

GetParametersForImport request rate

 0,25 (1 en cada intervalo de 4 segundos)

GetPublicKey request rate

 2000

ImportKeyMaterial request rate

 15

ListAliases request rate

 500

ListGrants request rate

 100

ListKeyPolicies request rate

 100

ListKeys request rate

 500

ListKeyRotations request rate

 100

ListResourceTags request rate

 2000

ListRetirableGrants request rate

 100

PutKeyPolicy request rate

 15
ReplicateKey request rate

Una operación ReplicateKey cuenta como una solicitud ReplicateKey en la Región de la clave principal y dos solicitudes CreateKey en la Región de la réplica. Solo una de las solicitudes CreateKey es una ejecución en seco para detectar posibles problemas antes de crear la clave.

5

RetireGrant request rate

 50

RevokeGrant request rate

 50

RotateKeyOnDemand request rate

 5

ScheduleKeyDeletion request rate

 15

TagResource request rate

 10

UntagResource request rate

 5

UpdateAlias request rate

 5

UpdateCustomKeyStore request rate

 5

UpdateKeyDescription request rate

 5

UpdatePrimaryRegion request rate

Un operación UpdatePrimaryRegion cuenta como dos solicitudes UpdatePrimaryRegion; una solicitud en cada una de las dos Regiones afectadas.

 5

Aplicar cuotas de solicitudes

Al revisar las cuotas de solicitudes, tenga en cuenta la siguiente información.

  • Las cuotas de solicitudes se aplican a claves administradas por el cliente y Claves administradas por AWS. El uso de Claves propiedad de AWS no contabiliza para las cuotas de solicitudes de Cuenta de AWS, incluso aunque estas se utilicen para proteger los recursos de la cuenta.

  • Las cuotas de solicitud se aplican a las solicitudes enviadas a puntos de conexión FIPS y puntos de conexión no FIPS. Para obtener una lista completa de puntos de conexión de AWS KMS, consulte AWS Key Management Service endpoints and quotas en la Referencia general de AWS.

  • La limitación controlada se basa en todas las solicitudes de las claves KMS de todos los tipos de la Región. Este número total incluye las solicitudes de todas las entidades principales de Cuenta de AWS, incluidas las solicitudes de los servicios de AWS realizadas en su nombre.

  • Cada cuota de solicitud se calcula de forma independiente. Por ejemplo, las solicitudes de la operación CreateKey no tienen ningún efecto en la cuota de solicitudes para la operación CreateAlias. Si las solicitudes CreateAlias se limitan de forma controlada, las solicitudes CreateKey aún pueden completarse correctamente.

  • Aunque las operaciones criptográficas comparten una cuota, la cuota compartida se calcula de manera independiente de las cuotas para otras operaciones. Por ejemplo, las llamadas a las operaciones Cifrado y Descifrado comparten una cuota de solicitud, pero esa cuota es independiente de la cuota para las operaciones de administración, como EnableKey. Por ejemplo, en la Región Europa (Londres), puede realizar 10 000 operaciones criptográficas en claves KMS simétricas más 5 operaciones EnableKey por segundo sin que se limiten de forma controlada.

Cuotas compartidas para operaciones criptográficas

Operaciones criptográficas de AWS KMS comparten cuotas de solicitudes. Puede solicitar cualquier combinación de las operaciones criptográficas admitidas por la clave KMS, solo para que el número total de operaciones criptográficas no supere la cuota de solicitud para ese tipo de clave KMS. Las excepciones son GeneratedAtaKeyPair y GeneratedAtaKeyPairWithoutPlainText, que comparten una cuota independiente.

Las cuotas para distintos tipos de claves KMS se calculan de forma independiente. Cada cuota se aplica a todas las solicitudes para estas operaciones en la cuenta y región de Cuenta de AWS con el tipo de clave determinado en cada intervalo de un segundo.

  • La tasa de solicitudes de operaciones criptográficas (simétricas) es la cuota de solicitudes compartidas para operaciones criptográficas que utilizan claves KMS simétricas en una cuenta y región. Esta cuota se aplica a las operaciones criptográficas con claves de cifrado simétricas y claves HMAC, que también son simétricas.

    Por ejemplo, puede que utilice claves KMS simétricas en una Región de AWS con una cuota compartida de 10 000 solicitudes por segundo. Cuando realiza 7000 solicitudes GenerateDataKey por segundo y 2000 solicitudes Decrypt por segundo, AWS KMS no limita de forma controlada las solicitudes. Sin embargo, cuando realice 9500 solicitudes GenerateDataKey y 1000 solicitudes Encrypt por segundo, AWS KMS limita de forma controlada las solicitudes porque superan la cuota compartida.

    Las operaciones criptográficas en las claves KMS de cifrado simétrico de un almacén de claves personalizado cuentan tanto para la tasa de solicitudes de operaciones criptográficas (simétricas) de la cuenta como para la cuota de solicitudes del almacén de claves personalizado para el almacén de claves personalizado.

  • La tasa de solicitudes de operaciones criptográficas (RSA) es la cuota de solicitudes compartidas para operaciones criptográficas que utilizan claves KMS asimétricas RSA.

    Por ejemplo, con una cuota de solicitudes de 1 000 operaciones por segundo, puede realizar 400 solicitudes de Cifrado y 200 solicitudes de Descifrado con claves KMS RSA que pueden cifrar y descifrar, además de 250 solicitudes de Firma y 150 solicitudes de Verificación con claves KMS RSA que pueden firmar y verificar.

  • La tasa de solicitudes de operaciones criptográficas (ECC) es la cuota de solicitudes compartidas para operaciones criptográficas que utilizan claves KMS asimétricas de curva elíptica (ECC) y claves KMS asimétricas SM.

    Por ejemplo, con una cuota de solicitudes de 1 000 operaciones por segundo, puede realizar 400 solicitudes de Firma y 200 solicitudes de Verificación con claves KMS ECC que pueden firmar y verificar, además de 250 solicitudes de Firma y 150 solicitudes de Verificación con claves KMS SM2 que pueden firmar y verificar.

  • La cuota de solicitud de almacén de claves personalizadas es la cuota de solicitud compartida para operaciones criptográficas en claves KMS en un almacén de claves personalizado. Esta cuota se calcula por separado para cada almacén de claves personalizado.

    Las operaciones criptográficas en las claves KMS de cifrado simétrico de un almacén de claves personalizado cuentan tanto para la tasa de solicitudes de operaciones criptográficas (simétricas) de la cuenta como para la cuota de solicitudes del almacén de claves personalizado para el almacén de claves personalizado.

Las cuotas para distintos tipos de clave también se calculan de forma independiente. Por ejemplo, en la Región Asia Pacífico (Singapur), si utiliza claves KMS simétricas y asimétricas, puede realizar hasta 10 000 llamadas por segundo con claves KMS simétricas (incluidas claves HMAC) más un máximo de 500 llamadas adicionales por segundo con claves KMS asimétricas RSA, más un máximo de 300 solicitudes adicionales por segundo con claves KMS basadas en ECC.

Solicitudes de la API realizadas en su nombre

Puede realizar solicitudes de la API directamente o mediante un servicio de AWS integrado que realice las solicitudes de API a AWS KMS en su nombre. La cuota se aplica a ambos tipos de solicitudes.

Por ejemplo, puede almacenar datos en Amazon S3 utilizando el cifrado del servidor con una clave KMS (SSE-KMS). Cada vez que cargue o descargue un objeto de S3 que esté cifrado con SSE-KMS, Amazon S3 realiza una solicitud GenerateDataKey (para cargas) o Decrypt (para descargas) a AWS KMS en su nombre. Estas solicitudes se contabilizan para la cuota, por lo que AWS KMS limita de forma controlada las solicitudes si supera un total combinado de 5500 (o 10 000 o 50 000 en función de su Región de AWS) cargas o descargas por segundo de objetos de S3 cifrados con SSE-KMS.

Solicitudes entre cuentas

Cuando una aplicación de una cuenta de Cuenta de AWS usa una clave KMS que es propiedad de otra cuenta, este proceso se denomina solicitud entre cuentas. En el caso de las solicitudes entre cuentas, AWS KMS limita de forma controlada la cuenta que realiza las solicitudes, no la cuenta que posee la clave KMS. Por ejemplo, si una aplicación de una cuenta A utiliza una clave KMS de la cuenta B, el uso de la clave KMS se aplica solo a las cuotas de la cuenta A.

Cuotas de solicitudes del almacén de claves personalizado

AWS KMS mantiene las cuotas de solicitud para las operaciones criptográficas en las claves KMS en un almacén de claves personalizado. Esta solicitud de cuotas se calcula por separado para cada almacén de claves personalizado.

Cuota de solicitudes del almacén de claves personalizado Valor predeterminado (solicitudes por segundo) para cada almacén de claves personalizado Ajustable
Cuota de solicitudes del almacén de clavesAWS CloudHSM 1800 No
Cuota de solicitudes del almacén de claves externo 1800
nota

Las cuotas de solicitudes del almacén de claves AWS KMS personalizado no aparecen en la consola de Service Quotas. No puede ver ni administrar esta cuotas mediante las operaciones de la API de Service Quotas. Para solicitar un cambio en su cuota de solicitudes del almacén de claves externo, visite el Centro de AWS Support y cree un caso.

Si el clúster de AWS CloudHSM que está asociado al almacén de claves de AWS CloudHSM procesa varios comandos, incluidos los que no están relacionados con el almacén de claves personalizado, puede obtener una ThrottlingException de AWS KMS a una velocidad inferior a la esperada. Si esto ocurre, reduzca la velocidad de las solicitudes a AWS KMS con el fin de reducir la carga no relacionada, o utilice un clúster de AWS CloudHSM dedicado para su almacén de claves de AWS CloudHSM.

AWS KMS informa la limitación de la cuota de solicitudes del almacén de claves externo en la métrica ExternalKeyStoreThrottle de CloudWatch. Puede usar esta métrica para ver los patrones de limitación, crear alarmas y ajustar su cuota de solicitudes del almacén de claves externo.

Una solicitud de una operación criptográfica en una clave KMS en un almacén de claves personalizado cuenta para dos cuotas:

  • Cuota de tasas de solicitud de operaciones criptográficas (simétricas) (por cuenta)

    Las solicitudes de operaciones criptográficas en las claves KMS de un almacén de claves personalizado se cuentan para la cuota Cryptographic operations (symmetric) request rate para cada Cuenta de AWS y región. Por ejemplo, en Este de EE. UU. (norte de Virginia) (us-east-1), cada Cuenta de AWS puede tener hasta 50 000 solicitudes por segundo en claves KMS de cifrado simétrico, incluidas las solicitudes que usan una clave KMS en un almacén de claves personalizado.

  • Cuota de solicitudes de almacén de claves personalizado (por almacén de claves personalizado)

    Las solicitudes de operaciones criptográficas en claves KMS en un almacén de claves personalizado también cuentan para un Custom key store request quota de 1800 operaciones por segundo. Estas cuotas se calculan por separado para cada almacén de claves personalizado. Puede incluir solicitudes de varias Cuentas de AWS que usan claves KMS en el almacén de claves personalizado.

Por ejemplo, si solicita una operación Encrypt en una clave KMS dentro de un almacén de claves personalizado (de cualquier tipo) en la región Este de EE. UU. (norte de Virginia) (us-east-1), cuenta para la cuota a nivel de cuenta Cryptographic operations (symmetric) request rate (50 000 solicitudes por segundo) para su cuenta y región, y para una Custom key store request quota (1800 solicitudes por segundo) para su almacén de claves personalizado. Sin embargo, una solicitud de una operación de administración, como PutKeyPolicy, en una clave de KMS de un almacén de claves personalizado solo se aplica a su cuota a nivel de cuenta (15 solicitudes por segundo).