Limitación controlada de solicitudes AWS KMS - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Limitación controlada de solicitudes AWS KMS

Para asegurarse de que AWS KMS puede proporcionar respuestas rápidas y fiables a las solicitudes a la API de todos los clientes, limita las solicitudes a la API que superan ciertos límites.

La limitación controlada se produce cuando AWS KMS rechaza una solicitud que, de otro modo, podría ser válida y devuelve un error ThrottlingException como el siguiente. 

You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls. 
(Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID: <ID>

AWS KMS limita las solicitudes para las siguientes condiciones.

  • La tasa de solicitudes por segundo supera la cuota de solicitudes AWS KMS para una cuenta y en la región.

    Por ejemplo, si los usuarios de su cuenta envían 1000 solicitudes DescribeKey en un segundo, AWS KMS acelera todas las solicitudes DescribeKey subsiguientes en ese segundo.

    Para responder a la limitación controlada, utilice una estrategia de interrupción y reintento. Esta estrategia se implementa automáticamente para errores HTTP 400 en algunos AWS SDK.

  • Una velocidad alta o sostenida de solicitudes para cambiar el estado de la misma clave KMS. Esta condición se conoce a menudo como una “tecla de acceso rápido”.

    Por ejemplo, si una aplicación en su cuenta envía una volea persistente de EnableKey y DisableKey solicitudes de la misma clave KMS, AWS KMSrestringe las solicitudes. Esta limitación controlada se produce incluso si las solicitudes no exceden el límite de solicitud por segundo para las operaciones EnableKey y DisableKey.

    Para responder a la limitación controlada, ajuste la lógica de la aplicación para que solo realice solicitudes requeridas o consolide las solicitudes de varias funciones.

  • Las solicitudes de operaciones en claves de KMS en un almacén de claves del AWS CloudHSM podría limitarse a una tasa inferior a la esperada cuando el clúster del AWS CloudHSM asociado al almacén de claves del AWS CloudHSM procesa numerosos comandos, incluidos los no relacionados con el almacén de claves del AWS CloudHSM.

    (AWS KMS ya no limita las solicitudes de operaciones en las claves de KMS en un almacén de claves de AWS CloudHSM cuando no hay sesiones de PKCS #11 disponibles para el clúster del AWS CloudHSM. En su lugar, lanza una KMSInternalException y recomienda que vuelva a realizar la solicitud).

Para ver las tendencias de las tarifas de solicitudes, utilice la Consola Service Quotas. También puede crear una alarma de Amazon CloudWatch que le avisa cuando su ratio de solicitudes alcanza un cierto porcentaje de un valor de cuota. Para conocer detalles, consulte Administre la tasa de solicitudes de la API de AWS KMS mediante Service Quotas y Amazon CloudWatchen el Blog de seguridad de AWS.

Todas las cuotas de AWS KMS son ajustables, excepto la cuota de recursos de rotación bajo demanda y la cuota de recursos de almacenes de claves de AWS CloudHSM. Para solicitar un aumento de cuota, consulte Solicitud de un aumento de cuota en la Guía de usuario de Service Quotas. Para solicitar una reducción de la cuota, cambiar una cuota que no figura en las Service Quotas o cambiar una cuota en una Región de AWS donde las Service Quotas para AWS KMS no estén disponibles, visite el Centro de AWS Support y cree un caso.

nota

Las cuotas de solicitudes del almacén de claves AWS KMS personalizado no aparecen en la consola de Service Quotas. No puede ver ni administrar esta cuotas mediante las operaciones de la API de Service Quotas. Para solicitar un cambio en su cuota de solicitudes del almacén de claves externo, visite el Centro de AWS Support y cree un caso.