Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Quotas
Pour garantir la AWS KMS réactivité et les performances de tous les utilisateurs, AWS KMS appliquez deux types de quotas : les quotas de ressources et les quotas de demande. Chaque quota est calculé indépendamment pour chaque région de chaque Compte AWS.
Tous les AWS KMS quotas sont ajustables, à l'exception du quota de [ressources de rotation à la demande et du quota](resource-limits.md#on-demand-rotation-resource-quota) de [demandes de stockage de AWS CloudHSM clés](requests-per-second.md#rps-key-stores). Pour demander une augmentation de quota, consultez [Demande d’augmentation de quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) dans le *Guide de l’utilisateur Service Quotas*. Pour demander une réduction de quota, pour modifier un quota qui ne figure pas dans la liste des Quotas de Service, ou pour modifier un quota dans un pays Région AWS où les Quotas de Service pour AWS KMS ne sont pas disponibles, rendez-vous [AWS Support au Centre](https://console.aws.amazon.com/support/home) et créez un dossier.
**Topics**
+ [Quotas de ressources](resource-limits.md)
+ [Quotas de demande](requests-per-second.md)
+ [Limitation des demandes AWS KMS](throttling.md)
# Quotas de ressources
AWS KMS établit des quotas de ressources pour garantir qu'il peut fournir un service rapide et résilient à tous nos clients. Certains quotas de ressources s'appliquent uniquement aux ressources que vous créez, mais pas aux ressources que les AWS services créent pour vous. Les ressources que vous utilisez, mais qui ne sont pas dans votre Compte AWS, telles que les [Clés détenues par AWS](concepts.md#aws-owned-key), ne sont pas prises en compte dans le calcul de ces quotas.
Si vous avez atteint une limite de ressources, les demandes de création d'une ressource supplémentaire de ce type génèrent un message d'erreur `LimitExceededException`.
Tous les quotas de AWS KMS ressources sont ajustables, à l'exception du [quota de ressources de rotation à la demande](#on-demand-rotation-resource-quota). Pour demander une augmentation de quota, consultez [Demande d’augmentation de quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) dans le *Guide de l’utilisateur Service Quotas*. Pour demander une réduction de quota, pour modifier un quota qui ne figure pas dans la liste des Quotas de Service, ou pour modifier un quota dans un pays Région AWS où les Quotas de Service pour AWS KMS ne sont pas disponibles, rendez-vous [AWS Support au Centre](https://console.aws.amazon.com/support/home) et créez un dossier.
Le tableau suivant répertorie et décrit les quotas de AWS KMS ressources dans chaque Compte AWS région.
| Nom du quota | Valeur par défaut | S’applique à | Ajustable |
| --- | --- | --- | --- |
| [AWS KMS keys](#kms-keys-limit) | 100 000 | Clés gérées par le client | Oui |
| [Alias par clé KMS](#aliases-per-key) | 50 | Alias créés par le client | Oui |
| [Octrois par clé KMS](#grants-per-key) | 50 000 | Clés gérées par le client | Oui |
| [Quota de ressources du magasin de clé personnalisé](#cks-resource-quota) | 10 | Compte AWS et région | Oui |
| [Rotation à la demande](#on-demand-rotation-resource-quota) | 25 | Clés gérées par le client | Non |
Outre les quotas de ressources, AWS KMS utilise des quotas de demande pour garantir la réactivité du service. Pour en savoir plus, consultez [Quotas de demande](requests-per-second.md).
## AWS KMS keys :100 000
Vous pouvez avoir jusqu'à 100 000 [clés gérées par le client](concepts.md#customer-mgn-key) dans chaque région de votre Compte AWS. Ce quota s'applique à toutes les clés gérées par le client dans toutes les Régions AWS indépendamment de leur [Spécification de clé](create-keys.md#key-spec) ou [état de clé](key-state.md). Chaque clé KMS est considérée comme une ressource unique. Les [Clés gérées par AWS](concepts.md#aws-managed-key) et [Clés détenues par AWS](concepts.md#aws-owned-key) ne sont pas prises en compte dans ce quota.
## Alias par clé KMS : 50
Vous pouvez associer jusqu'à 50 [alias](kms-alias.md) avec chaque [clé gérée par le client](concepts.md#customer-mgn-key). Les alias AWS associés à ne sont [Clés gérées par AWS](concepts.md#aws-managed-key)pas pris en compte dans ce quota. Vous pouvez rencontrer ce quota lorsque vous [créez](alias-create.md) ou [mettez à jour](alias-update.md) un alias.
**Note**
La ResourceAliases condition [kms :](conditions-kms.md#conditions-kms-resource-aliases) n'est effective que lorsque la clé KMS est conforme à ce quota. Si une clé KMS dépasse ce quota, les mandataires autorisés à utiliser la clé KMS par la condition `kms:ResourceAliases` se voient refuser l'accès à la clé KMS. Pour plus de détails, veuillez consulter [Accès refusé en raison d'un quota d'alias](troubleshooting-tags-aliases.md#access-denied-alias-quota).
Le quota d'alias par clé KMS remplace le quota d'alias par région qui limitait le nombre total d'alias dans chaque région d'un. Compte AWS AWS KMS a éliminé le quota d'alias par région.
## Octrois par clé KMS : 50 000
Chaque [clé gérée par le client](concepts.md#customer-mgn-key) peut avoir jusqu'à 50 000 [octrois](grants.md), y compris les octrois créés par les [services AWS qui sont intégrés à AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration). Ce quota ne s'applique pas aux [Clés gérées par AWS](concepts.md#aws-managed-key) ou [Clés détenues par AWS](concepts.md#aws-owned-key).
L'un des effets de ce quota est que vous ne pouvez pas exécuter plus de 50 000 opérations autorisées par octroi qui utilisent simultanément la même clé KMS. Une fois que vous avez atteint le quota, vous pouvez créer de nouveaux octrois sur la clé KMS uniquement lorsqu'un octroi actif est retiré ou révoqué.
Par exemple, lorsque vous attachez un volume Amazon Elastic Block Store (Amazon EBS) à une instance Amazon Elastic Compute Cloud (Amazon EC2), le volume est déchiffré afin que vous puissiez le lire. Pour obtenir l'autorisation de déchiffrer les données, Amazon EBS crée un octroi pour chaque volume. Par conséquent, si tous vos volumes Amazon EBS utilisent la même clé KMS, vous ne pouvez pas attacher plus de 50 000 volumes en même temps.
## Quota de ressources des magasins de clés personnalisés : 10
Vous pouvez créer jusqu'à 10 [magasins de clés personnalisés](key-store-overview.md#custom-key-store-overview) dans chaque Compte AWS région. Si vous essayez d'en créer d'autres, l'[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)opération échoue.
Ce quota s'applique au nombre total de magasins de clés personnalisés dans chaque compte et région, y compris tous les [magasins de clés AWS CloudHSM](keystore-cloudhsm.md) et les [magasins de clés externes](keystore-external.md), quel que soit leur état de connexion.
## Rotation à la demande : 25
Vous pouvez effectuer une [rotation de clé à la demande](rotating-keys-on-demand.md) 25 fois au maximum par clé KMS. Si vous essayez d'effectuer davantage de rotations à la demande, l'[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)opération échoue.
Il ne s'agit pas d'un quota ajustable. Vous ne pouvez pas l'augmenter en utilisant des Quotas de Service ou en créant un dossier AWS Support. Pour éviter d'atteindre le quota de rotation à la demande, nous vous recommandons d'utiliser la [rotation automatique des touches dans la](rotating-keys-enable.md) mesure du possible.
# Quotas de demande
AWS KMS établit des quotas pour le nombre d'opérations d'API demandées par seconde. Les quotas de demandes varient en fonction du fonctionnement de l'API Région AWS, du et d'autres facteurs, tels que le type de clé KMS. Lorsque vous dépassez un quota de demandes d'API, AWS KMS [la demande est limitée](throttling.md).
Tous les quotas de AWS KMS demandes sont ajustables, à l'exception du [quota de demandes du magasin de AWS CloudHSM clés](#rps-key-stores). Pour demander une augmentation de quota, consultez [Demande d’augmentation de quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) dans le *Guide de l’utilisateur Service Quotas*. Pour demander une réduction de quota, pour modifier un quota qui ne figure pas dans la liste des Quotas de Service, ou pour modifier un quota dans un pays Région AWS où les Quotas de Service pour AWS KMS ne sont pas disponibles, rendez-vous [AWS Support au Centre](https://console.aws.amazon.com/support/home) et créez un dossier.
Si vous dépassez le quota de demandes pour l'[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)opération, pensez à utiliser la fonctionnalité de [mise en cache des clés de données](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/data-key-caching.html) du AWS Encryption SDK. La réutilisation des clés de données peut réduire la fréquence de vos demandes de AWS KMS.
Outre les quotas de demande, AWS KMS utilise des quotas de ressources pour garantir la capacité de tous les utilisateurs. Pour en savoir plus, consultez [Quotas de ressources](resource-limits.md).
Pour afficher les tendances de vos taux de demande, utilisez la [console Service Quotas](https://console.aws.amazon.com/servicequotas). Vous pouvez également créer une CloudWatch alarme [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) qui vous avertit lorsque le taux de demandes atteint un certain pourcentage de la valeur du quota. Pour plus de détails, consultez [Gérer vos taux de demandes AWS KMS d'API à l'aide de Service Quotas et d'Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) dans le *blog sur la AWS sécurité*.
**Topics**
+ [Quotas de demande pour chaque opération AWS KMS d'API](#rps-table)
+ [Application des quotas de demande](#about-rate-limits)
+ [Quotas partagés pour les opérations de chiffrement](#rps-shared-limit)
+ [Demandes d'API effectuées en votre nom](#rps-from-service)
+ [Demandes entre comptes](#rps-cross-account)
+ [Quotas de demandes de magasin de clés personnalisé](#rps-key-stores)
## Quotas de demande pour chaque opération AWS KMS d'API
Ce tableau répertorie le code de [quota de Service](https://docs.aws.amazon.com/servicequotas/latest/userguide/) Quotas et la valeur par défaut pour chaque quota de AWS KMS demande. Tous les quotas de AWS KMS demandes sont ajustables, à l'exception du [quota de demandes du magasin de AWS CloudHSM clés](#rps-key-stores).
**Note**
Il peut être nécessaire de faire défiler horizontalement ou verticalement pour afficher toutes les données de ce tableau.
| Nom du quota | Valeur par défaut (requêtes par seconde) |
| --- | --- |
| `Cryptographic operations (symmetric) request rate` S'applique à : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | Ces quotas partagés varient en fonction de la clé KMS utilisée dans la demande Région AWS et du type de clé KMS. Chaque quota est calculé séparément. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) |
| `Cryptographic operations (RSA) request rate` S'applique à :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | 1 000 (partagés) pour les clés RSA KMS |
| `Cryptographic operations (ML-DSA) request rate` S'applique à : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | 1 000 (partagés) pour les clés KMS ML-DSA |
| `Cryptographic operations (ECC and SM2) request rate` S'applique à :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | 1 000 (partagées) pour les clés KMS à courbe elliptique (ECC) et (régions de SM2 Chine uniquement) |
| `Custom key store request quotas` S'applique à : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | Les [quotas de demandes de magasin de clés personnalisé](#rps-key-stores) sont calculés séparément pour chaque magasin de clés personnalisé[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) |
| `CancelKeyDeletion request rate` | 5 |
| `ConnectCustomKeyStore request rate` | 5 |
| `CreateAlias request rate` | 5 |
| `CreateCustomKeyStore request rate` | 5 |
| `CreateGrant request rate` | 50 |
| `CreateKey request rate` | 5 |
| `DeleteAlias request rate` | 15 |
| `DeleteCustomKeyStore request rate` | 5 |
| `DeleteImportedKeyMaterial request rate` | 15 |
| `DescribeCustomKeyStores request rate` | 5 |
| `DescribeKey request rate` | 2000 |
| `DisableKey request rate` | 5 |
| `DisableKeyRotation request rate` | 5 |
| `DisconnectCustomKeyStore request rate` | 5 |
| `EnableKey request rate` | 5 |
| `EnableKeyRotation request rate` | 15 |
| `GenerateDataKeyPair (ECC_NIST_P256) request rate` S'applique à : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_NIST_P384) request rate` S'applique à : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_NIST_P521) request rate` S'applique à : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_SECG_P256K1) request rate` S'applique à : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_NIST_EDWARDS25519) request rate` S'applique à : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (RSA_2048) request rate` S'applique à : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | 20 |
| `GenerateDataKeyPair (RSA_3072) request rate` S'applique à : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | 4 |
| `GenerateDataKeyPair (RSA_4096) request rate` S'applique à : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | 1 |
| `GenerateDataKeyPair (SM2 — China Regions only) request rate` S'applique à : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/requests-per-second.html) | 25 |
| `GetKeyPolicy request rate` | 1 000 |
| `GetKeyRotationStatus request rate` | 1 000 |
| `GetParametersForImport request rate` | 1 |
| `GetPublicKey request rate` | 2000 |
| `ImportKeyMaterial request rate` | 15 |
| `ListAliases request rate` | 500 |
| `ListGrants request rate` | 100 |
| `ListKeyPolicies request rate` | 100 |
| `ListKeys request rate` | 500 |
| `ListKeyRotations request rate` | 100 |
| `ListResourceTags request rate` | 2000 |
| `ListRetirableGrants request rate` | 100 |
| `PutKeyPolicy request rate` | 15 |
| ReplicateKey request rate Une opération `ReplicateKey` compte comme une demande `ReplicateKey` dans la région de la clé principale et deux demandes `CreateKey` dans la région du réplica. L'une des demandes `CreateKey` est un essai pour détecter les problèmes potentiels avant de créer la clé. | 5 |
| `RetireGrant request rate` | 50 |
| `RevokeGrant request rate` | 50 |
| `RotateKeyOnDemand request rate` | 5 |
| `ScheduleKeyDeletion request rate` | 15 |
| `TagResource request rate` | 10 |
| `UntagResource request rate` | 5 |
| `UpdateAlias request rate` | 5 |
| `UpdateCustomKeyStore request rate` | 5 |
| `UpdateKeyDescription request rate` | 5 |
| `UpdatePrimaryRegion request rate` Une opération `UpdatePrimaryRegion` compte comme deux demandes `UpdatePrimaryRegion` ; une demande dans chacune des deux régions touchées. | 5 |
## Application des quotas de demande
Lors de la révision des quotas de demande, gardez à l'esprit les informations suivantes.
+ Les quotas de demande s'appliquent aux [clés gérées par le client](concepts.md#customer-mgn-key) et aux [Clés gérées par AWS](concepts.md#aws-managed-key). L'utilisation de [Clés détenues par AWS](concepts.md#aws-owned-key)n'est pas prise en compte dans les quotas de demandes pour vous Compte AWS, même s'ils sont utilisés pour protéger les ressources de votre compte.
+ Les quotas de demande s'appliquent aux demandes envoyées aux points de terminaison FIPS et aux points de terminaison non FIPS. Pour obtenir la liste des points de terminaison de AWS KMS service, consultez la section [AWS Key Management Service Points de terminaison et quotas](https://docs.aws.amazon.com/general/latest/gr/kms.html) dans le. Références générales AWS
+ La limitation est basée sur toutes les demandes concernant les clés KMS de tous types dans la région. Ce total inclut les demandes émanant de tous les principaux acteurs du Compte AWS, y compris les demandes émanant de AWS services en votre nom.
+ Chaque quota de demande est calculé indépendamment. Par exemple, les demandes relatives à l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération n'ont aucun effet sur le quota de demandes pour l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)opération. Si vos demandes `CreateAlias` sont soumises à une limitation, vos demandes `CreateKey` peuvent tout de même s'exécuter avec succès.
+ Bien que les opérations de chiffrement partagent un quota, le quota partagé est calculé indépendamment des quotas appliqués aux autres opérations. Par exemple, les appels aux opérations de [chiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) et de [déchiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) partagent un quota de demandes, mais ce quota est indépendant du quota pour les opérations de gestion, telles que. [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html) Par exemple, dans la région Europe (Londres), vous pouvez effectuer 10 000 opérations de chiffrement sur des clés KMS symétriques *plus* 5 opérations `EnableKey` par seconde sans être limité.
## Quotas partagés pour les opérations de chiffrement
AWS KMS les [opérations cryptographiques partagent les](kms-cryptography.md#cryptographic-operations) quotas de demandes. Vous pouvez demander n'importe quelle combinaison d'opérations de chiffrement prises en charge par la clé KMS, à condition que le nombre total d'opérations de chiffrement ne dépasse pas le quota de demande pour ce type de clé KMS. Les exceptions sont [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)et [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), qui partagent un quota distinct.
Les quotas des différents types de clés KMS sont calculés indépendamment. Chaque quota s'applique à toutes les demandes relatives à ces opérations dans la région Compte AWS et avec le type de clé donné à chaque intervalle d'une seconde.
+ *Le taux de demande des opérations de chiffrement (symétrique)* est le quota de demande partagé pour les opérations de chiffrement utilisant des clés KMS symétriques dans un compte et une région. Ce quota s'applique aux opérations cryptographiques avec des clés de chiffrement symétriques et des clés HMAC, qui sont également symétriques.
Par exemple, vous pouvez utiliser des [clés KMS symétriques](symm-asymm-choose-key-spec.md#symmetric-cmks) Région AWS avec un quota partagé de 10 000 demandes par seconde. Lorsque vous faites 7 000 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)demandes par seconde et 2 000 demandes de [déchiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) par seconde, AWS KMS cela ne limite pas vos demandes. Par contre, si vous effectuez 9 500 demandes `GenerateDataKey` et 1 000 demandes [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) par seconde, AWS KMS limite vos demandes, car elles dépassent le quota partagé.
Les opérations de chiffrement sur les [clés KMS de chiffrement symétrique](symm-asymm-choose-key-spec.md#symmetric-cmks) d'un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview) sont à la fois comptabilisées dans le *taux de demandes d'opérations de chiffrement (symétrique)* du compte et dans le [quota de demandes du magasin de clés personnalisé](#rps-key-stores).
+ *Le taux de demande RSA (opérations de chiffrement)* est le quota de demande partagé pour les opérations de chiffrement utilisant des [clés KMS asymétriques RSA](symm-asymm-choose-key-spec.md#key-spec-rsa).
Par exemple, avec un quota de 1 000 opérations par seconde, vous pouvez effectuer 400 demandes de chiffrement et 200 demandes de [déchiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) avec des clés RSA KMS capables de [chiffrer](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) et de déchiffrer, ainsi que 250 demandes de signature et 150 demandes de vérification avec des clés RSA KMS capables de [signer](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) et de [vérifier](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html).
+ [Le *taux de demandes d'opérations cryptographiques (ECC)* est le quota de demandes partagé pour les opérations cryptographiques utilisant des clés KMS asymétriques à [courbe elliptique (ECC) et des clés KMS asymétriques SM](symm-asymm-choose-key-spec.md#key-spec-ecc).](symm-asymm-choose-key-spec.md#key-spec-sm)
Par exemple, avec un quota de 1 000 opérations par seconde, vous pouvez effectuer 400 demandes de signature et 200 demandes de vérification avec des clés KMS ECC capables de signer et de vérifier, plus 250 demandes de [signature](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) et 150 demandes de [vérification](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) avec des clés SM2 KMS capables de signer et de vérifier.
+ Le *quota de demandes du magasin de clés personnalisé* désigne le quota de demandes partagées pour les opérations de chiffrement sur les clés KMS d'un magasin de clés personnalisé. Cette limite est calculée séparément pour chaque magasin de clés personnalisé.
Les opérations de chiffrement sur les [clés KMS de chiffrement symétrique](symm-asymm-choose-key-spec.md#symmetric-cmks) d'un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview) sont à la fois comptabilisées dans le *taux de demandes d'opérations de chiffrement (symétrique)* du compte et dans le [quota de demandes du magasin de clés personnalisé](#rps-key-stores).
Les quotas des différents types de clés sont également calculées indépendamment. Par exemple, dans la région Asie-Pacifique (Singapour), si vous utilisez à la fois des clés KMS symétriques et asymétriques, vous pouvez effectuer jusqu'à 10 000 appels par seconde avec des clés KMS symétriques (y compris des clés HMAC) *plus* 500 appels supplémentaires par seconde avec vos clés KMS asymétriques RSA, *plus* 300 demandes supplémentaires par seconde avec vos clés KMS ECC.
## Demandes d'API effectuées en votre nom
Vous pouvez effectuer des demandes d'API directement ou en utilisant un AWS service intégré qui envoie des demandes d'API AWS KMS en votre nom. Le quota s'applique aux deux types de demandes.
Par exemple, vous pouvez stocker des données dans Simple Storage Service (Amazon S3) à l'aide du chiffrement côté serveur avec une clé KMS (SSE-KMS). Chaque fois que vous chargez ou téléchargez un objet S3 chiffré avec SSE-KMS, Amazon S3 envoie une demande `GenerateDataKey` (pour les chargements) ou `Decrypt` (pour les téléchargements) en votre nom AWS KMS . Ces demandes sont prises en compte dans votre quota. Par AWS KMS conséquent, elles sont limitées si vous dépassez un total combiné de 5 500 (ou 10 000 ou 50 000 selon vos Région AWS) chargements ou téléchargements par seconde d'objets S3 chiffrés avec SSE-KMS.
## Demandes entre comptes
Lorsqu'une application Compte AWS utilise une clé KMS appartenant à un autre compte, on parle de *demande entre comptes*. Pour les demandes inter-comptes, AWS KMS limite le compte qui effectue les demandes, et non pas le compte qui possède la clé KMS. Par exemple, si une application du compte A utilise une clé KMS du compte B, l'utilisation de la clé KMS est uniquement soumise aux quotas du compte A.
## Quotas de demandes de magasin de clés personnalisé
AWS KMS gère les quotas de demandes pour les [opérations cryptographiques](kms-cryptography.md#cryptographic-operations) sur les clés KMS dans un [magasin de clés personnalisé](key-store-overview.md#custom-key-store-overview). Ces quotas de demandes sont calculés séparément pour chaque magasin de clés personnalisé.
| Quota de requêtes de magasin de clés personnalisé | Valeur par défaut (demandes par seconde) pour chaque magasin de clés personnalisé | Ajustable |
| --- | --- | --- |
| AWS CloudHSM quota de demandes de [stockage de clés](keystore-cloudhsm.md) | 1800 | Non |
| Quota de demandes de [magasin de clés externes](keystore-external.md) | 1800 | Non |
**Note**
AWS KMS les [quotas de demandes de stockage de clés personnalisés](#rps-key-stores) n'apparaissent pas dans la console Service Quotas. Vous ne pouvez ni consulter, ni gérer ces quotas à l'aide des opérations de l'API Service Quotas.
Si le AWS CloudHSM cluster associé à un magasin de AWS CloudHSM clés traite de nombreuses commandes, y compris celles qui ne sont pas liées au magasin de clés personnalisé, vous pourriez obtenir un AWS KMS `ThrottlingException` lower-than-expected at. Dans ce cas, réduisez votre taux de demandes à AWS KMS, réduisez la charge non liée ou utilisez un AWS CloudHSM cluster dédié pour votre magasin de AWS CloudHSM clés.
AWS KMS signale la limitation des demandes de stockage de clés externes dans la [`ExternalKeyStoreThrottle`](monitoring-cloudwatch.md#metric-throttling) CloudWatch métrique. Vous pouvez utiliser cette métrique pour visualiser les modèles de limitation, créer des alertes et ajuster votre quota de demandes pour le magasin de clés externes.
Une demande d'[opération de chiffrement](kms-cryptography.md#cryptographic-operations) sur une clé KMS d'un magasin de clés personnalisé compte pour deux quotas :
+ Quota de taux de demandes d'opérations de chiffrement (symétrique) (par compte)
Les demandes d'opérations de chiffrement sur les clés KMS d'un magasin de clés personnalisé sont comptabilisées dans le quota `Cryptographic operations (symmetric) request rate` de chaque région Compte AWS . Par exemple, dans l'est des États-Unis (Virginie du Nord) (us-east-1), Compte AWS chacune peut recevoir jusqu'à 100 000 demandes par seconde sur des clés KMS de chiffrement symétriques, y compris des demandes utilisant une clé KMS dans un magasin de clés personnalisé.
+ Quota de demandes de magasin de clés personnalisé (par magasin de clés personnalisé)
Les demandes d'opérations de chiffrement sur les clés KMS d'un magasin de clés personnalisé sont également comptabilisées dans le `Custom key store request quota` de 1 800 opérations par seconde. Ces quotas sont calculés séparément pour chaque magasin de clés personnalisé. Elles peuvent inclure des demandes provenant de plusieurs Comptes AWS utilisateurs de clés KMS dans le magasin de clés personnalisé.
Par exemple, une opération de [chiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) sur une clé KMS dans un magasin de clés personnalisé (quel que soit le type) de la région USA Est (Virginie du Nord) (us-east-1) est prise en compte dans le quota au niveau `Cryptographic operations (symmetric) request rate` du compte (100 000 demandes par seconde) pour son compte et sa région, et dans le calcul de a (1 800 demandes par seconde) pour son magasin de clés personnalisé. `Custom key store request quota` Toutefois, une demande d'opération de gestion, telle que celle portant sur une clé KMS dans un magasin de clés personnalisé [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html), ne s'applique qu'au quota au niveau du compte (15 demandes par seconde).
# Limitation des demandes AWS KMS
Pour garantir AWS KMS des réponses rapides et fiables aux demandes d'API de tous les clients, il limite les demandes d'API qui dépassent certaines limites.
Le *throttling* se produit lorsque l'on AWS KMS rejette une demande qui pourrait autrement être valide et renvoie une `ThrottlingException` erreur comme la suivante.
```
You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls.
(Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID:
```
AWS KMS limite les demandes pour les conditions suivantes.
+ Le taux de demandes par seconde dépasse le [quota de AWS KMS demandes](requests-per-second.md) pour un compte et une région.
Par exemple, si les utilisateurs de votre compte soumettent 1 000 `DescribeKey` demandes par seconde, toutes AWS KMS les `DescribeKey` demandes suivantes sont limitées au cours de cette seconde.
Pour répondre à la limitation, utilisez une [stratégie d'interruption et de nouvelle tentative](https://docs.aws.amazon.com/general/latest/gr/api-retries.html). Cette stratégie est mise en œuvre automatiquement pour les erreurs HTTP 400 dans certains cas AWS SDKs.
+ Une salve ou un taux élevé soutenu de demandes de modification de l'état de la même clé KMS. Cette condition est souvent connue sous le nom de « touche de raccourci ».
Par exemple, si une application de votre compte envoie une volée persistante `EnableKey` et `DisableKey` demande la même clé KMS, le nombre de demandes AWS KMS est limité. Cette limitation se produit même si les demandes ne dépassent pas la limite de request-per-second demandes pour les opérations `EnableKey` et`DisableKey`.
Pour répondre à la limitation, ajustez votre la logique d'application, afin qu'elle ne fasse que les demandes requises ou qu'elle consolide les demandes de plusieurs fonctions.
+ Les demandes d'opérations sur les clés KMS dans un [magasin de AWS CloudHSM clés](requests-per-second.md#rps-key-stores) peuvent être limitées à un lower-than-expected rythme tel que le AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés traite de nombreuses commandes, y compris celles qui ne sont pas liées au magasin de AWS CloudHSM clés.
(AWS KMS ne limite plus les demandes d'opérations sur les clés KMS dans un magasin de AWS CloudHSM clés lorsqu'aucune session PKCS \$111 n'est disponible pour le cluster. AWS CloudHSM Au lieu de cela, il lance un `KMSInternalException` et vous recommande de réessayer votre demande.)
Pour afficher les tendances de vos taux de demande, utilisez la [console Service Quotas](https://console.aws.amazon.com/servicequotas). Vous pouvez également créer une CloudWatch alarme [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) qui vous avertit lorsque le taux de demandes atteint un certain pourcentage de la valeur du quota. Pour plus de détails, consultez [Gérer vos taux de demandes AWS KMS d'API à l'aide de Service Quotas et d'Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) dans le *blog sur la AWS sécurité*.
Tous les AWS KMS quotas sont ajustables, à l'exception du quota de [ressources de rotation à la demande et du quota](resource-limits.md#on-demand-rotation-resource-quota) de [demandes de stockage de AWS CloudHSM clés](requests-per-second.md#rps-key-stores). Pour demander une augmentation de quota, consultez [Demande d’augmentation de quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) dans le *Guide de l’utilisateur Service Quotas*. Pour demander une réduction de quota, pour modifier un quota qui ne figure pas dans la liste des Quotas de Service, ou pour modifier un quota dans un pays Région AWS où les Quotas de Service pour AWS KMS ne sont pas disponibles, rendez-vous [AWS Support au Centre](https://console.aws.amazon.com/support/home) et créez un dossier.
**Note**
AWS KMS les [quotas de demandes de stockage de clés personnalisés](requests-per-second.md#rps-key-stores) n'apparaissent pas dans la console Service Quotas. Vous ne pouvez ni consulter, ni gérer ces quotas à l'aide des opérations de l'API Service Quotas.