Minta kuota untuk setiap operasi AWS KMS API Menerapkan kuota permintaan Kuota bersama untuk operasi kriptografis APIPermintaan yang dibuat atas nama Anda Permintaan lintas akun Kuota permintaan toko kunci kustom

Kuota permintaan

AWS KMS menetapkan kuota untuk jumlah API operasi yang diminta dalam setiap detik. Kuota permintaan berbeda dengan API operasi, faktor Wilayah AWS, dan lainnya, seperti jenis KMS kunci. Jika Anda melebihi kuota API permintaan, AWS KMS batasi permintaan.

Semua kuota AWS KMS permintaan dapat disesuaikan, kecuali kuota permintaan toko AWS CloudHSM kunci. Untuk meminta penambahan kuota, lihat Meminta penambahan kuota di Panduan Pengguna Service Quotas. Untuk meminta pengurangan kuota, untuk mengubah kuota yang tidak tercantum dalam Service Quotas, atau untuk mengubah kuota di mana Wilayah AWS Service Quotas AWS KMS for tidak tersedia, silakan kunjungi AWS Support Center dan buat kasus.

Jika Anda melebihi kuota permintaan untuk GenerateDataKeyoperasi, pertimbangkan untuk menggunakan fitur caching kunci data dari. AWS Encryption SDK Menggunakan kembali kunci data dapat mengurangi frekuensi permintaan Anda. AWS KMS

Selain meminta kuota, AWS KMS menggunakan kuota sumber daya untuk memastikan kapasitas untuk semua pengguna. Lihat perinciannya di Kuota sumber daya.

Untuk melihat tren dalam tarif permintaan Anda, gunakan konsol Service Quotas. Anda juga dapat membuat CloudWatch alarm Amazon yang memberi tahu Anda ketika tingkat permintaan Anda mencapai persentase tertentu dari nilai kuota. Untuk detailnya, lihat Mengelola tarif AWS KMS API permintaan Anda menggunakan Service Quotas dan Amazon CloudWatch di Blog AWS Keamanan.

Topik

Minta kuota untuk setiap operasi AWS KMS API
Menerapkan kuota permintaan
Kuota bersama untuk operasi kriptografis
APIPermintaan yang dibuat atas nama Anda
Permintaan lintas akun
Kuota permintaan toko kunci kustom

Minta kuota untuk setiap operasi AWS KMS API

Tabel ini mencantumkan kode kuota Service Quotas dan nilai default untuk setiap AWS KMS kuota permintaan. Semua kuota AWS KMS permintaan dapat disesuaikan, kecuali kuota permintaan toko AWS CloudHSM kunci.

catatan

Anda mungkin perlu menggulir secara horizontal atau vertikal untuk melihat semua data dalam tabel ini.

Nama kuota	Nilai default (permintaan per detik)
`Cryptographic operations (symmetric) request rate` Berlaku untuk: `Decrypt` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateMac` `GenerateRandom` `ReEncrypt` `VerifyMac`	Kuota bersama ini bervariasi dengan Wilayah AWS dan jenis KMS kunci yang digunakan dalam permintaan. Setiap kuota dihitung secara terpisah. 10.000 (dibagikan) 20.000 (dibagikan) di Wilayah berikut: US East (Ohio) us-east-2 Asia Pacific (Singapore) ap-southeast-1 Asia Pacific (Sydney), ap-southeast-2 Asia Pacific (Tokyo), ap-northeast-1 Europe (Frankfurt), eu-central-1 Europe (London), eu-west-2 100.000 (dibagikan) di Wilayah berikut: US East (N. Virginia), us-east-1 US West (Oregon), us-west-2 Europe (Ireland), eu-west-1
`Cryptographic operations (RSA) request rate` Berlaku untuk: `Decrypt` `Encrypt` `ReEncrypt` `Sign` `Verify`	1.000 (dibagikan) untuk RSA KMS kunci
`Cryptographic operations (ECC and SM2) request rate` Berlaku untuk: `Decrypt`—hanya didukung untuk kunci SM2 (khusus Wilayah China) KMS `DeriveSharedSecret` `Encrypt`—hanya didukung untuk kunci SM2 (khusus Wilayah China) KMS `ReEncrypt`—hanya didukung untuk kunci SM2 (khusus Wilayah China) KMS `Sign` `Verify`	1.000 (dibagikan) untuk kurva elips (ECC) dan SM2 (khusus Wilayah China) kunci KMS
`Custom key store request quotas` Berlaku untuk: `Decrypt` `DeriveSharedSecret` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateRandom` `ReEncrypt`	Kuota permintaan toko kunci khusus dihitung secara terpisah untuk setiap toko kunci khusus 1.800 (dibagikan) untuk setiap toko AWS CloudHSM kunci 1.800 (dibagikan) untuk setiap toko kunci eksternal
`CancelKeyDeletion request rate`	5
`ConnectCustomKeyStore request rate`	5
`CreateAlias request rate`	5
`CreateCustomKeyStore request rate`	5
`CreateGrant request rate`	50
`CreateKey request rate`	5
`DeleteAlias request rate`	15
`DeleteCustomKeyStore request rate`	5
`DeleteImportedKeyMaterial request rate`	15
`DescribeCustomKeyStores request rate`	5
`DescribeKey request rate`	2000
`DisableKey request rate`	5
`DisableKeyRotation request rate`	5
`DisconnectCustomKeyStore request rate`	5
`EnableKey request rate`	5
`EnableKeyRotation request rate`	15
`GenerateDataKeyPair (ECC_NIST_P256) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P384) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P521) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_SECG_P256K1) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (RSA_2048) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	1
`GenerateDataKeyPair (RSA_3072) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0,5 (1 dalam setiap interval 2 detik)
`GenerateDataKeyPair (RSA_4096) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0,1 (1 dalam setiap interval 10 detik)
`GenerateDataKeyPair (SM2 — China Regions only) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	25
`GetKeyPolicy request rate`	1000
`GetKeyRotationStatus request rate`	1000
`GetParametersForImport request rate`	0,25 (1 dalam setiap interval 4 detik)
`GetPublicKey request rate`	2000
`ImportKeyMaterial request rate`	15
`ListAliases request rate`	500
`ListGrants request rate`	100
`ListKeyPolicies request rate`	100
`ListKeys request rate`	500
`ListKeyRotations request rate`	100
`ListResourceTags request rate`	2000
`ListRetirableGrants request rate`	100
`PutKeyPolicy request rate`	15
`ReplicateKey request rate` Operasi `ReplicateKey` dihitung sebagai satu permintaan `ReplicateKey` di Wilayah kunci primer dan dua permintaan `CreateKey` di Wilayah replika. Salah satu permintaan `CreateKey` adalah dry run untuk mendeteksi potensi masalah sebelum membuat kunci.	5
`RetireGrant request rate`	50
`RevokeGrant request rate`	50
`RotateKeyOnDemand request rate`	5
`ScheduleKeyDeletion request rate`	15
`TagResource request rate`	10
`UntagResource request rate`	5
`UpdateAlias request rate`	5
`UpdateCustomKeyStore request rate`	5
`UpdateKeyDescription request rate`	5
`UpdatePrimaryRegion request rate` Operasi `UpdatePrimaryRegion` dihitung sebagai dua permintaan `UpdatePrimaryRegion`; satu permintaan dalam masing-masing dari dua Wilayah yang terkena dampak.	5

Menerapkan kuota permintaan

Saat meninjau kuota permintaan, harap ingat informasi berikut.

Kuota permintaan berlaku untuk kunci yang dikelola pelanggan dan Kunci yang dikelola AWS. Penggunaan Kunci milik AWStidak dihitung terhadap kuota permintaan untuk Anda Akun AWS, bahkan ketika mereka digunakan untuk melindungi sumber daya di akun Anda.
Kuota permintaan berlaku untuk permintaan yang dikirim ke FIPS titik akhir dan FIPS non-titik akhir. Untuk daftar titik akhir AWS KMS layanan, lihat AWS Key Management Service titik akhir dan kuota di. Referensi Umum AWS
Throttling didasarkan pada semua permintaan pada KMS kunci dari semua jenis di Wilayah. Total ini termasuk permintaan dari semua kepala sekolah di Akun AWS, termasuk permintaan dari AWS layanan atas nama Anda.
Setiap kuota permintaan secara independen. Misalnya, permintaan untuk CreateKeyoperasi tidak berpengaruh pada kuota permintaan untuk CreateAliasoperasi. Jika permintaan CreateAlias Anda dibatasi, permintaan CreateKey masih dapat berhasil diselesaikan.
Meskipun operasi kriptografi berbagi kuota, kuota yang dibagikan dihitung secara terpisah dari kuota untuk operasi lainnya. Misalnya, panggilan ke operasi Enkripsi dan Dekripsi berbagi kuota permintaan, tetapi kuota tersebut tidak tergantung pada kuota untuk operasi manajemen, seperti. EnableKey Misalnya, di Wilayah Eropa (London), Anda dapat melakukan 10.000 operasi kriptografi pada KMS kunci simetris ditambah 5 EnableKey operasi per detik tanpa dibatasi.

Kuota bersama untuk operasi kriptografis

AWS KMS operasi kriptografi berbagi kuota permintaan. Anda dapat meminta kombinasi operasi kriptografi apa pun yang didukung oleh KMS kunci, agar jumlah total operasi kriptografi tidak melebihi kuota permintaan untuk jenis kunci tersebut. KMS Pengecualian adalah GenerateDataKeyPairdan GenerateDataKeyPairWithoutPlaintext, yang berbagi kuota terpisah.

Kuota untuk berbagai jenis KMS kunci dihitung secara independen. Setiap kuota berlaku untuk semua permintaan untuk operasi ini di Akun AWS dan Wilayah dengan jenis kunci yang diberikan di setiap interval satu detik.

Tingkat permintaan operasi kriptografi (simetris) adalah kuota permintaan bersama untuk operasi kriptografi menggunakan KMS kunci simetris di akun dan wilayah. Kuota ini berlaku untuk operasi kriptografi dengan kunci dan HMAC kunci enkripsi simetris, yang juga simetris.

Misalnya, Anda mungkin menggunakan KMSkunci simetris dalam kuota bersama 10.000 permintaan per detik. Wilayah AWS Ketika Anda membuat 7.000 GenerateDataKeypermintaan per detik dan 2.000 permintaan Dekripsi per detik, AWS KMS tidak membatasi permintaan Anda. Namun, ketika Anda membuat 9.500 permintaan GenerateDataKey dan 1.000 permintaan Encrypt dan permintaan per detik, AWS KMS membatasi permintaan Anda karena melebihi kuota bersama.

Operasi kriptografi pada KMSkunci enkripsi simetris di toko kunci kustom dihitung terhadap tingkat permintaan operasi Kriptografi (simetris) untuk akun dan kuota permintaan toko kunci khusus untuk penyimpanan kunci kustom.
Tingkat permintaan operasi kriptografi (RSA) adalah kuota permintaan bersama untuk operasi kriptografi menggunakan RSA kunci asimetris. KMS

Misalnya, dengan kuota permintaan 1.000 operasi per detik, Anda dapat membuat 400 permintaan Enkripsi dan 200 permintaan Dekripsi dengan RSA KMS kunci yang dapat mengenkripsi dan mendekripsi, ditambah 250 permintaan Tanda tangan dan 150 permintaan Verifikasi dengan RSA KMS kunci yang dapat menandatangani dan memverifikasi.
Tingkat permintaan operasi kriptografi (ECC) adalah kuota permintaan bersama untuk operasi kriptografi menggunakan kunci asimetris kurva elips (ECC) dan kunci asimetris SM KMS. KMS

Misalnya, dengan kuota permintaan 1.000 operasi per detik, Anda dapat membuat 400 permintaan Tanda Tangan dan 200 permintaan Verifikasi dengan ECC KMS kunci yang dapat menandatangani dan memverifikasi, ditambah 250 permintaan Tanda tangan dan 150 permintaan Verifikasi dengan SM2 KMS kunci yang dapat menandatangani dan memverifikasi.
Kuota permintaan toko kunci kustom adalah kuota permintaan bersama untuk operasi kriptografi pada KMS kunci di toko kunci khusus. Kuota ini dihitung secara terpisah untuk setiap toko kunci kustom.

Operasi kriptografi pada KMSkunci enkripsi simetris di toko kunci kustom dihitung terhadap tingkat permintaan operasi Kriptografi (simetris) untuk akun dan kuota permintaan toko kunci khusus untuk penyimpanan kunci kustom.

Kuota untuk berbagai jenis kunci dihitung secara terpisah. Misalnya, di Wilayah Asia Pasifik (Singapura), jika Anda menggunakan KMS kunci simetris dan asimetris, Anda dapat membuat hingga 10.000 panggilan per detik dengan kunci simetris (termasuk KMS HMAC kunci) ditambah hingga 500 panggilan tambahan per detik dengan KMS kunci RSA asimetris Anda, ditambah hingga 300 permintaan tambahan per detik dengan kunci berbasis Anda. ECC KMS

APIPermintaan yang dibuat atas nama Anda

Anda dapat membuat API permintaan secara langsung atau dengan menggunakan AWS layanan terintegrasi yang membuat API AWS KMS permintaan atas nama Anda. Kuota berlaku untuk kedua jenis permintaan.

Misalnya, Anda mungkin menyimpan data di Amazon S3 menggunakan enkripsi sisi server dengan kunci (-). KMS SSE KMS Setiap kali Anda mengunggah atau mengunduh objek S3 yang dienkripsi dengan SSE -, Amazon KMS S3 membuat permintaan GenerateDataKey (untuk unggahan) atau Decrypt (untuk unduhan) atas nama Anda. AWS KMS Permintaan ini dihitung terhadap kuota Anda, AWS KMS jadi batasi permintaan jika Anda melebihi total gabungan 5.500 (atau 10.000 atau 50.000 tergantung pada Wilayah AWS) unggahan atau unduhan per detik objek S3 yang dienkripsi dengan -. SSE KMS

Permintaan lintas akun

Ketika aplikasi dalam satu Akun AWS menggunakan KMS kunci yang dimiliki oleh akun yang berbeda, itu dikenal sebagai permintaan lintas akun. Untuk permintaan lintas akun AWS KMS , batasi akun yang membuat permintaan, bukan akun yang memiliki kunci. KMS Misalnya, jika aplikasi di akun A menggunakan KMS kunci di akun B, penggunaan KMS kunci hanya berlaku untuk kuota di akun A.

Kuota permintaan toko kunci kustom

AWS KMS mempertahankan kuota permintaan untuk operasi kriptografi pada KMS kunci di toko kunci khusus. Kuota permintaan ini dihitung secara terpisah untuk setiap toko kunci kustom.

Kuota permintaan toko kunci kustom	Nilai default (permintaan per detik) untuk setiap toko kunci kustom	Dapat Disesuaikan
AWS CloudHSM kuota permintaan toko kunci	1800	Tidak
Kuota permintaan toko kunci eksternal	1800	Ya

catatan

AWS KMS kuota permintaan toko kunci kustom tidak muncul di konsol Service Quotas. Anda tidak dapat melihat atau mengelola kuota ini dengan menggunakan operasi Service API Quotas. Untuk meminta perubahan pada kuota permintaan penyimpanan kunci eksternal Anda, kunjungi AWS Support Pusat dan buat kasus.

Jika AWS CloudHSM cluster yang terkait dengan penyimpanan AWS CloudHSM kunci memproses banyak perintah, termasuk yang tidak terkait dengan penyimpanan kunci khusus, Anda mungkin mendapatkan AWS KMS ThrottlingException lower-than-expected tarif tertentu. Jika ini terjadi, turunkan tingkat permintaan Anda AWS KMS, kurangi beban yang tidak terkait, atau gunakan AWS CloudHSM klaster khusus untuk penyimpanan AWS CloudHSM kunci Anda.

AWS KMS melaporkan pembatasan permintaan penyimpanan kunci eksternal dalam metrik. ExternalKeyStoreThrottle CloudWatch Anda dapat menggunakan metrik ini untuk melihat pola pembatasan, membuat alarm, dan menyesuaikan kuota permintaan penyimpanan kunci eksternal Anda.

Permintaan untuk operasi kriptografi pada KMS kunci di toko kunci khusus diperhitungkan dalam dua kuota:

Kuota tingkat permintaan operasi kriptografi (simetris) (per akun)

Permintaan untuk operasi kriptografi pada KMS kunci di toko kunci kustom dihitung terhadap Cryptographic operations (symmetric) request rate kuota untuk masing-masing Akun AWS dan Wilayah. Misalnya, di US East (Virginia N.) (us-east-1), Akun AWS masing-masing dapat memiliki hingga 50.000 permintaan per detik pada kunci KMS enkripsi simetris, termasuk permintaan yang menggunakan KMS kunci di toko kunci khusus.
Kuota permintaan toko kunci kustom (per toko kunci kustom)

Permintaan untuk operasi kriptografi pada KMS kunci di toko kunci khusus juga dihitung terhadap 1.800 operasi per detik. Custom key store request quota Kuota ini dihitung secara terpisah untuk setiap toko kunci kustom. Mereka mungkin menyertakan permintaan dari beberapa Akun AWS yang menggunakan KMS kunci di toko kunci khusus.

Misalnya, operasi Enkripsi pada kunci di toko KMS kunci kustom (salah satu jenisnya) di Wilayah AS Timur (Virginia Utara) (us-east-1) dihitung terhadap kuota Cryptographic operations (symmetric) request rate tingkat akun (50.000 permintaan per detik) untuk akun dan Wilayahnya, dan menuju (1.800 permintaan per detik) untuk penyimpanan kunci kustomnya. Custom key store request quota Namun, permintaan untuk operasi manajemen, seperti PutKeyPolicy, pada kunci di toko KMS kunci khusus hanya berlaku untuk kuota tingkat akunnya (15 permintaan per detik).

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kuota sumber daya

Melakukan throttling permintaan