Solicita cuotas para cada operación AWS KMS de la API Aplicar cuotas de solicitudes Cuotas compartidas para operaciones criptográficas Solicitudes de la API realizadas en su nombre Solicitudes entre cuentas Cuotas de solicitudes del almacén de claves personalizado

Cuotas de solicitudes

AWS KMS establece cuotas para el número de operaciones de API solicitadas por segundo. Las cuotas de solicitud varían según el funcionamiento de la API Región de AWS, la API y otros factores, como el tipo de clave de KMS. Cuando superas una cuota de solicitud de API AWS KMS , limita la solicitud.

Todas las cuotas de AWS KMS solicitudes son ajustables, excepto la cuota de solicitud del almacén de AWS CloudHSM claves. Para solicitar un aumento de cuota, consulte Solicitud de un aumento de cuota en la Guía de usuario de Service Quotas. Para solicitar una reducción de cuota, cambiar una cuota que no aparece en Service Quotas o cambiar una cuota en una en la Región de AWS que Service Quotas for no AWS KMS esté disponible, visite AWS Support Center y cree un caso.

Si supera la cuota solicitada para la GenerateDataKeyoperación, considere la posibilidad de utilizar la función de almacenamiento en caché de claves de datos del AWS Encryption SDK. La reutilización de las claves de datos podría reducir la frecuencia de sus solicitudes también. AWS KMS

Además de solicitar cuotas, AWS KMS utiliza cuotas de recursos para garantizar la capacidad de todos los usuarios. Para obtener más información, consulte Cuotas de recursos.

Para ver las tendencias de las tarifas de solicitudes, utilice la Consola Service Quotas. También puedes crear una CloudWatch alarma de Amazon que te avise cuando tu porcentaje de solicitudes alcance un porcentaje determinado del valor de la cuota. Para obtener más información, consulta Gestiona tus tasas de solicitudes de AWS KMS API mediante Service Quotas y Amazon CloudWatch en el blog AWS de seguridad.

Temas

Solicita cuotas para cada operación AWS KMS de la API
Aplicar cuotas de solicitudes
Cuotas compartidas para operaciones criptográficas
Solicitudes de la API realizadas en su nombre
Solicitudes entre cuentas
Cuotas de solicitudes del almacén de claves personalizado

Solicita cuotas para cada operación AWS KMS de la API

En esta tabla se muestra el código de cuota de Service Quotas y el valor predeterminado de cada cuota de AWS KMS solicitud. Todas las cuotas de AWS KMS solicitud son ajustables, excepto la cuota de solicitud del almacén de AWS CloudHSM claves.

nota

Es posible que tenga que desplazarse horizontal o verticalmente para ver todos los datos de esta tabla.

Nombre de la cuota	Límite predeterminado (solicitudes por segundo)
`Cryptographic operations (symmetric) request rate` Válido para: `Decrypt` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateMac` `GenerateRandom` `ReEncrypt` `VerifyMac`	Estas cuotas compartidas varían en función del Región de AWS tipo de clave KMS utilizada en la solicitud. Cada cuota se calcula por separado. 10 000 (compartidas) 20 000 (compartidas) en las siguientes Regiones: EE. UU. Este (Ohio), us-east-2 Asia Pacífico (Singapur), ap-southeast-1 Asia Pacífico (Sídney), ap-southeast-2 Asia Pacífico (Tokio), ap-northeast-1 Europa (Fráncfort), eu-central-1 Europa (Londres), eu-west-2 100 000 (compartidas) en las siguientes Regiones: EE.UU. Este (Norte de Virginia) (us-east-1) EE.UU. Oeste (Oregón) (us-west-2) Europa (Irlanda), eu-west-1
`Cryptographic operations (RSA) request rate` Válido para: `Decrypt` `Encrypt` `ReEncrypt` `Sign` `Verify`	1 000 (compartidas) para claves KMS de RSA
`Cryptographic operations (ECC and SM2) request rate` Válido para: `Decrypt`—solo compatible con claves KMS SM2 (solo para regiones de China) `DeriveSharedSecret` `Encrypt`—solo compatible con claves KMS SM2 (solo para regiones de China) `ReEncrypt`—solo compatible con claves KMS SM2 (solo para regiones de China) `Sign` `Verify`	1000 (compartidas) para claves KMS de curva elíptica (ECC) y (solo regiones de SM2 China)
`Custom key store request quotas` Válido para: `Decrypt` `DeriveSharedSecret` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateRandom` `ReEncrypt`	Las cuotas de solicitudes del almacén de claves personalizado se calculan por separado para cada almacén de claves personalizado. 1800 (compartidas) por cada almacén de claves AWS CloudHSM 1800 (compartidas) para cada almacén de claves externo.
`CancelKeyDeletion request rate`	5
`ConnectCustomKeyStore request rate`	5
`CreateAlias request rate`	5
`CreateCustomKeyStore request rate`	5
`CreateGrant request rate`	50
`CreateKey request rate`	5
`DeleteAlias request rate`	15
`DeleteCustomKeyStore request rate`	5
`DeleteImportedKeyMaterial request rate`	15
`DescribeCustomKeyStores request rate`	5
`DescribeKey request rate`	2000
`DisableKey request rate`	5
`DisableKeyRotation request rate`	5
`DisconnectCustomKeyStore request rate`	5
`EnableKey request rate`	5
`EnableKeyRotation request rate`	15
`GenerateDataKeyPair (ECC_NIST_P256) request rate` Válido para: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P384) request rate` Válido para: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P521) request rate` Válido para: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_SECG_P256K1) request rate` Válido para: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (RSA_2048) request rate` Válido para: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	1
`GenerateDataKeyPair (RSA_3072) request rate` Válido para: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0,5 (1 en cada intervalo de 2 segundos)
`GenerateDataKeyPair (RSA_4096) request rate` Válido para: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0,1 (1 en cada intervalo de 10 segundos)
`GenerateDataKeyPair (SM2 — China Regions only) request rate` Válido para: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	25
`GetKeyPolicy request rate`	1 000
`GetKeyRotationStatus request rate`	1 000
`GetParametersForImport request rate`	0,25 (1 en cada intervalo de 4 segundos)
`GetPublicKey request rate`	2000
`ImportKeyMaterial request rate`	15
`ListAliases request rate`	500
`ListGrants request rate`	100
`ListKeyPolicies request rate`	100
`ListKeys request rate`	500
`ListKeyRotations request rate`	100
`ListResourceTags request rate`	2000
`ListRetirableGrants request rate`	100
`PutKeyPolicy request rate`	15
`ReplicateKey request rate` Una operación `ReplicateKey` cuenta como una solicitud `ReplicateKey` en la Región de la clave principal y dos solicitudes `CreateKey` en la Región de la réplica. Solo una de las solicitudes `CreateKey` es una ejecución en seco para detectar posibles problemas antes de crear la clave.	5
`RetireGrant request rate`	50
`RevokeGrant request rate`	50
`RotateKeyOnDemand request rate`	5
`ScheduleKeyDeletion request rate`	15
`TagResource request rate`	10
`UntagResource request rate`	5
`UpdateAlias request rate`	5
`UpdateCustomKeyStore request rate`	5
`UpdateKeyDescription request rate`	5
`UpdatePrimaryRegion request rate` Un operación `UpdatePrimaryRegion` cuenta como dos solicitudes `UpdatePrimaryRegion`; una solicitud en cada una de las dos Regiones afectadas.	5

Aplicar cuotas de solicitudes

Al revisar las cuotas de solicitudes, tenga en cuenta la siguiente información.

Las cuotas de solicitudes se aplican a claves administradas por el cliente y Claves administradas por AWS. El uso de Claves propiedad de AWSno tiene en cuenta las cuotas solicitadas para usted Cuenta de AWS, incluso cuando se utilizan para proteger los recursos de su cuenta.
Las cuotas de solicitud se aplican a las solicitudes enviadas a puntos de conexión FIPS y puntos de conexión no FIPS. Para obtener una lista de los puntos finales del AWS KMS servicio, consulte los AWS Key Management Service puntos finales y las cuotas en. Referencia general de AWS
La limitación controlada se basa en todas las solicitudes de las claves KMS de todos los tipos de la Región. Este total incluye las solicitudes de todos los directores del Cuenta de AWS, incluidas las solicitudes de AWS servicios en su nombre.
Cada cuota de solicitud se calcula de forma independiente. Por ejemplo, las solicitudes de la CreateKeyoperación no afectan a la cuota de solicitudes de la CreateAliasoperación. Si las solicitudes CreateAlias se limitan de forma controlada, las solicitudes CreateKey aún pueden completarse correctamente.
Aunque las operaciones criptográficas comparten una cuota, la cuota compartida se calcula de manera independiente de las cuotas para otras operaciones. Por ejemplo, las llamadas a las operaciones de cifrado y descifrado comparten una cuota de solicitudes, pero esa cuota es independiente de la cuota de las operaciones de administración, por ejemplo. EnableKey Por ejemplo, en la Región Europa (Londres), puede realizar 10 000 operaciones criptográficas en claves KMS simétricas más 5 operaciones EnableKey por segundo sin que se limiten de forma controlada.

Cuotas compartidas para operaciones criptográficas

AWS KMS las operaciones criptográficas comparten cuotas de solicitud. Puede solicitar cualquier combinación de las operaciones criptográficas admitidas por la clave KMS, solo para que el número total de operaciones criptográficas no supere la cuota de solicitud para ese tipo de clave KMS. Las excepciones son GenerateDataKeyPairy GenerateDataKeyPairWithoutPlaintext, que comparten una cuota independiente.

Las cuotas para distintos tipos de claves KMS se calculan de forma independiente. Cada cuota se aplica a todas las solicitudes de estas operaciones en la región Cuenta de AWS y con el tipo de clave indicado en cada intervalo de un segundo.

La tasa de solicitudes de operaciones criptográficas (simétricas) es la cuota de solicitudes compartidas para operaciones criptográficas que utilizan claves KMS simétricas en una cuenta y región. Esta cuota se aplica a las operaciones criptográficas con claves de cifrado simétricas y claves HMAC, que también son simétricas.

Por ejemplo, es posible que esté utilizando claves KMS simétricas Región de AWS con una cuota compartida de 10 000 solicitudes por segundo. Cuando realizas 7 000 GenerateDataKeysolicitudes por segundo y 2 000 solicitudes de descifrado por segundo, AWS KMS no se limitan tus solicitudes. Sin embargo, cuando realice 9500 solicitudes GenerateDataKey y 1000 solicitudes Encrypt por segundo, AWS KMS limita de forma controlada las solicitudes porque superan la cuota compartida.

Las operaciones criptográficas en las claves KMS de cifrado simétrico de un almacén de claves personalizado cuentan tanto para la tasa de solicitudes de operaciones criptográficas (simétricas) de la cuenta como para la cuota de solicitudes del almacén de claves personalizado para el almacén de claves personalizado.
La tasa de solicitudes de operaciones criptográficas (RSA) es la cuota de solicitudes compartidas para operaciones criptográficas que utilizan claves KMS asimétricas RSA.

Por ejemplo, con una cuota de solicitudes de 1 000 operaciones por segundo, puede realizar 400 solicitudes de Cifrado y 200 solicitudes de Descifrado con claves KMS RSA que pueden cifrar y descifrar, además de 250 solicitudes de Firma y 150 solicitudes de Verificación con claves KMS RSA que pueden firmar y verificar.
La tasa de solicitudes de operaciones criptográficas (ECC) es la cuota de solicitudes compartidas para operaciones criptográficas que utilizan claves KMS asimétricas de curva elíptica (ECC) y claves KMS asimétricas SM.

Por ejemplo, con una cuota de solicitudes de 1000 operaciones por segundo, puedes realizar 400 solicitudes de firma y 200 solicitudes de verificación con claves KMS de ECC que pueden firmar y verificar, además de 250 solicitudes de firma y 150 solicitudes de verificación con claves de SM2 KMS que pueden firmar y verificar.
La cuota de solicitud de almacén de claves personalizadas es la cuota de solicitud compartida para operaciones criptográficas en claves KMS en un almacén de claves personalizado. Esta cuota se calcula por separado para cada almacén de claves personalizado.

Las operaciones criptográficas en las claves KMS de cifrado simétrico de un almacén de claves personalizado cuentan tanto para la tasa de solicitudes de operaciones criptográficas (simétricas) de la cuenta como para la cuota de solicitudes del almacén de claves personalizado para el almacén de claves personalizado.

Las cuotas para distintos tipos de clave también se calculan de forma independiente. Por ejemplo, en la Región Asia Pacífico (Singapur), si utiliza claves KMS simétricas y asimétricas, puede realizar hasta 10 000 llamadas por segundo con claves KMS simétricas (incluidas claves HMAC) más un máximo de 500 llamadas adicionales por segundo con claves KMS asimétricas RSA, más un máximo de 300 solicitudes adicionales por segundo con claves KMS basadas en ECC.

Solicitudes de la API realizadas en su nombre

Puedes realizar solicitudes a la API directamente o mediante un AWS servicio integrado que realice las solicitudes a la API AWS KMS en tu nombre. La cuota se aplica a ambos tipos de solicitudes.

Por ejemplo, puede almacenar datos en Amazon S3 utilizando el cifrado del servidor con una clave KMS (SSE-KMS). Cada vez que carga o descarga un objeto de S3 cifrado con SSE-KMS, Amazon S3 realiza una solicitud GenerateDataKey (para cargas) o Decrypt (para descargas) AWS KMS en su nombre. Estas solicitudes se tienen en cuenta para su cuota, por lo AWS KMS que limita las solicitudes si supera un total combinado de 5 500 (o 10 000 o 50 000, según el volumen Región de AWS) de cargas o descargas por segundo de objetos de S3 cifrados con SSE-KMS.

Solicitudes entre cuentas

Cuando una de las aplicaciones de una aplicación Cuenta de AWS utiliza una clave de KMS propiedad de otra cuenta, se denomina solicitud multicuenta. En el caso de las solicitudes entre cuentas, AWS KMS limita de forma controlada la cuenta que realiza las solicitudes, no la cuenta que posee la clave KMS. Por ejemplo, si una aplicación de una cuenta A utiliza una clave KMS de la cuenta B, el uso de la clave KMS se aplica solo a las cuotas de la cuenta A.

Cuotas de solicitudes del almacén de claves personalizado

AWS KMS mantiene las cuotas de solicitud para las operaciones criptográficas en las claves de KMS en un almacén de claves personalizado. Esta solicitud de cuotas se calcula por separado para cada almacén de claves personalizado.

Cuota de solicitudes del almacén de claves personalizado	Valor predeterminado (solicitudes por segundo) para cada almacén de claves personalizado	Ajustable
AWS CloudHSM cuota de solicitud del almacén de claves	1800	No
Cuota de solicitudes del almacén de claves externo	1800	Sí

nota

AWS KMS las cuotas de solicitud de almacén de claves personalizadas no aparecen en la consola de Service Quotas. No puede ver ni administrar esta cuotas mediante las operaciones de la API de Service Quotas. Para solicitar un cambio en su cuota de solicitudes del almacén de claves externo, visite el Centro de AWS Support y cree un caso.

Si el AWS CloudHSM clúster asociado a un almacén de AWS CloudHSM claves procesa numerosos comandos, incluidos aquellos que no están relacionados con el almacén de claves personalizado, es posible que obtengas un AWS KMS ThrottlingException lower-than-expected ritmo. Si esto ocurre, reduce la tasa de solicitudes a AWS KMS, reduce la carga no relacionada o usa un AWS CloudHSM clúster dedicado para tu almacén de AWS CloudHSM claves.

AWS KMS informa de la limitación de las solicitudes de almacenes de claves externos en la ExternalKeyStoreThrottle CloudWatch métrica. Puede usar esta métrica para ver los patrones de limitación, crear alarmas y ajustar su cuota de solicitudes del almacén de claves externo.

Una solicitud de una operación criptográfica en una clave KMS en un almacén de claves personalizado cuenta para dos cuotas:

Cuota de tasas de solicitud de operaciones criptográficas (simétricas) (por cuenta)

Las solicitudes de operaciones criptográficas en las claves KMS de un almacén de claves personalizado se cuentan para la cuota Cryptographic operations (symmetric) request rate para cada Cuenta de AWS y región. Por ejemplo, en EE. UU. Este (Virginia del Norte) (us-east-1), Cuenta de AWS cada uno puede tener hasta 100 000 solicitudes por segundo en claves KMS de cifrado simétrico, incluidas las solicitudes que utilizan una clave KMS en un almacén de claves personalizado.
Cuota de solicitudes de almacén de claves personalizado (por almacén de claves personalizado)

Las solicitudes de operaciones criptográficas en claves KMS en un almacén de claves personalizado también cuentan para un Custom key store request quota de 1800 operaciones por segundo. Estas cuotas se calculan por separado para cada almacén de claves personalizado. Pueden incluir solicitudes de varios usuarios Cuentas de AWS que utilizan claves KMS en el almacén de claves personalizado.

Por ejemplo, una operación de cifrado en una clave de KMS en un almacén de claves personalizado (de cualquier tipo) en la región EE.UU. Este (Virginia del Norte) (us-east-1) cuenta para Cryptographic operations (symmetric) request rate la cuota a nivel de cuenta (100 000 solicitudes por segundo) de su cuenta y región, y para a (1800 solicitudes por segundo) para su almacén de claves personalizado. Custom key store request quota Sin embargo, una solicitud de una operación de administración PutKeyPolicy, como una clave de KMS en un almacén de claves personalizado, solo se aplica a su cuota a nivel de cuenta (15 solicitudes por segundo).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cuotas de recursos

Limitación controlada de solicitudes