Quote di richieste - AWS Key Management Service
Richiedi quote per ogni operazione API AWS KMSApplicazione delle quote di richiesteQuote condivise per le operazioni di crittografiaRichieste API eseguite per tuo contoRichieste tra accountQuote di richiesta per l'archivio delle chiavi personalizzate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Quote di richieste

AWS KMS stabilisce quote per il numero di operazioni API richieste in ogni secondo. Le quote di richiesta differiscono a seconda del funzionamento dell'API, del Regione AWS e di altri fattori, come il tipo di chiave KMS. Quando superi una quota di richiesta API, limita la AWS KMS richiesta.

Tutte le quote di AWS KMS richiesta sono regolabili, ad eccezione della quota di richiesta del AWS CloudHSM key store. Per richiedere un aumento delle quote, consultare Richiesta di aumento delle quote nella Guida dell'utente di Service Quotas. Per richiedere una riduzione della quota, modificare una quota non elencata in Service Quotas o modificare una quota in Regione AWS cui Service Quotas AWS KMS for non è disponibile, AWS Support visita il Centro e crea un caso.

Se stai superando la quota richiesta per l'GenerateDataKeyoperazione, prendi in considerazione l'utilizzo della funzionalità di memorizzazione nella cache delle chiavi di dati di. AWS Encryption SDK Il riutilizzo delle chiavi dati potrebbe ridurre la frequenza delle richieste a. AWS KMS

Oltre alle quote di richiesta, AWS KMS utilizza le quote di risorse per garantire la capacità per tutti gli utenti. Per informazioni dettagliate, vedi Quote delle risorse.

Per visualizzare le tendenze nei tassi di richiesta, utilizzare la Console Service Quotas. Puoi anche creare un CloudWatch allarme Amazon che ti avvisi quando la frequenza delle richieste raggiunge una determinata percentuale del valore di quota. Per i dettagli, consulta Gestisci le tariffe di richiesta AWS KMS API utilizzando Service Quotas e Amazon CloudWatch nel blog sulla AWS sicurezza.

Richiedi quote per ogni operazione API AWS KMS

Questa tabella elenca il codice di quota Service Quotas e il valore predefinito per ogni quota di AWS KMS richiesta. Tutte le quote di AWS KMS richiesta sono regolabili, ad eccezione della quota di richiesta del AWS CloudHSM key store.

Nota

Potrebbe essere necessario scorrere orizzontalmente o verticalmente per visualizzare tutti i dati di questa tabella.

Nome quota Valore predefinito (richieste al secondo)

Cryptographic operations (symmetric) request rate

Si applica a:

  • Decrypt

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateMac

  • GenerateRandom

  • ReEncrypt

  • VerifyMac

Queste quote condivise variano in base al tipo Regione AWS e al tipo di chiave KMS utilizzata nella richiesta. Ogni quota è calcolata separatamente.

  • 5.500 (condiviso)

  • 10.000 (condiviso) nelle regioni seguenti:

    • Stati Uniti orientali (Ohio), us-east-2

    • Asia Pacifico (Singapore), ap-southeast-1

    • Asia Pacifico (Sydney), ap-southeast-2

    • Asia Pacifico (Tokyo), ap-northeast-1

    • Europa (Francoforte), eu-central-1

    • Europa (Londra), eu-west-2

  • 50.000 (condiviso) nelle Regioni seguenti:

    • Stati Uniti orientali (Virginia settentrionale), us-east-1

    • Stati Uniti occidentali (Oregon), us-west-2

    • Europa (Irlanda), eu-west-1

Cryptographic operations (RSA) request rate

Si applica a:

  • Decrypt

  • Encrypt

  • ReEncrypt

  • Sign

  • Verify

500 (condiviso) per chiavi KMS RSA

Cryptographic operations (ECC and SM2) request rate

Si applica a:

  • Decrypt—supportato solo per le chiavi KMS SM2 (solo per le regioni cinesi)

  • Encrypt—supportato solo per le chiavi KMS SM2 (solo per le regioni cinesi)

  • ReEncrypt—supportato solo per le chiavi KMS SM2 (solo per le regioni cinesi)

  • Sign

  • Verify

300 (condiviso) per le chiavi KMS a curva ellittica (ECC) e SM2 (solo per le regioni cinesi)

Custom key store request quotas

Si applica a:

  • Decrypt

  • DeriveSharedSecret

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateRandom

  • ReEncrypt

 Le quote di richiesta per l'archivio delle chiavi personalizzate vengono calcolate separatamente per ogni archivio delle chiavi personalizzate

  • 1.800 (condivise) per ogni archivio di chiavi AWS CloudHSM

  • 1.800 (condiviso) per ogni archivio delle chiavi esterne

CancelKeyDeletion request rate

 5

ConnectCustomKeyStore request rate

 5

CreateAlias request rate

 5

CreateCustomKeyStore request rate

 5

CreateGrant request rate

 50

CreateKey request rate

 5

DeleteAlias request rate

 15

DeleteCustomKeyStore request rate

 5

DeleteImportedKeyMaterial request rate

 5

DescribeCustomKeyStores request rate

 5

DescribeKey request rate

 2000

DisableKey request rate

 5

DisableKeyRotation request rate

 5

DisconnectCustomKeyStore request rate

 5

EnableKey request rate

 5

EnableKeyRotation request rate

 15

GenerateDataKeyPair (ECC_NIST_P256) request rate

Si applica a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P384) request rate

Si applica a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P521) request rate

Si applica a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_SECG_P256K1) request rate

Si applica a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (RSA_2048) request rate

Si applica a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

1

GenerateDataKeyPair (RSA_3072) request rate

Si applica a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0,5 (1 in ogni intervallo di 2 secondi)

GenerateDataKeyPair (RSA_4096) request rate

Si applica a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0,1 (1 in ogni intervallo di 10 secondi)

GenerateDataKeyPair (SM2 — China Regions only) request rate

Si applica a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

25

GetKeyPolicy request rate

 1000

GetKeyRotationStatus request rate

 1000

GetParametersForImport request rate

 0,25 (1 in ogni intervallo di 4 secondi)

GetPublicKey request rate

 2000

ImportKeyMaterial request rate

 5

ListAliases request rate

 500

ListGrants request rate

 100

ListKeyPolicies request rate

 100

ListKeys request rate

 500

ListKeyRotations request rate

 100

ListResourceTags request rate

 2000

ListRetirableGrants request rate

 100

PutKeyPolicy request rate

 15
ReplicateKey request rate

Un'operazione ReplicateKey conta come una richiesta ReplicateKey nella Regione della chiave primaria e due richieste CreateKey nella Regione della replica. Una delle richieste CreateKey serve per rilevare potenziali problemi prima di creare la chiave.

5

RetireGrant request rate

 30

RevokeGrant request rate

 30

RotateKeyOnDemand request rate

 5

ScheduleKeyDeletion request rate

 15

TagResource request rate

 10

UntagResource request rate

 5

UpdateAlias request rate

 5

UpdateCustomKeyStore request rate

 5

UpdateKeyDescription request rate

 5

UpdatePrimaryRegion request rate

Un'operazione UpdatePrimaryRegion conta come due richieste UpdatePrimaryRegion; una richiesta in ciascuna delle due Regioni interessate.

 5

Applicazione delle quote di richieste

Durante la revisione delle quote di richieste, tieni presente le seguenti informazioni.

  • Le quote di richiesta si applicano a entrambe le chiavi gestite dal cliente e le Chiavi gestite da AWS. L'utilizzo di Chiavi di proprietà di AWSnon rientra nelle quote richieste per l'utente Account AWS, anche quando vengono utilizzate per proteggere le risorse dell'account.

  • Le quote di richieste si applicano alle richieste inviate agli endpoint FIPS e agli endpoint non FIPS. Per un elenco degli endpoint del AWS KMS servizio, consulta AWS Key Management Service endpoint e quote nel. Riferimenti generali di AWS

  • Il throttling si basa su tutte le richieste per chiavi KMS di tutti i tipi della Regione. Questo totale include le richieste provenienti da tutti i principali attori del Account AWS, comprese le richieste dei AWS servizi per conto dell'utente.

  • Ogni quota di richieste è calcolata in modo indipendente. Ad esempio, le richieste per l'CreateKeyoperazione non hanno alcun effetto sulla quota di richieste per l'CreateAliasoperazione. Se alle richieste CreateAlias è applicato il throttling, è comunque possibile completare le richieste CreateKey.

  • Sebbene le operazioni di crittografia condividano una quota, la quota condivisa viene calcolata indipendentemente dalle quote per altre operazioni. Ad esempio, le chiamate alle operazioni Encrypt e Decrypt condividono una quota di richieste, ma tale quota è indipendente dalla quota per le operazioni di gestione, ad esempio. EnableKey Ad esempio, nella Regione Europa (Londra) è possibile eseguire 10.000 operazioni di crittografia su chiavi KMS simmetriche + 5 operazioni EnableKey al secondo senza che venga applicato alcuna limitazione.

Quote condivise per le operazioni di crittografia

AWS KMS le operazioni crittografiche condividono le quote di richiesta. Puoi richiedere qualsiasi combinazione di operazioni di crittografia supportate dalla chiave KMS per fare in modo che il numero totale di operazioni di crittografia non superi la quota di richieste per quel tipo di chiave KMS. Le eccezioni sono GenerateDataKeyPaire GenerateDataKeyPairWithoutPlaintext, che condividono una quota separata.

Le quote per i diversi tipi di chiavi KMS vengono calcolate in modo indipendente. Ogni quota si applica a tutte le richieste di queste operazioni nella regione Account AWS and con il tipo di chiave specificato in ogni intervallo di un secondo.

  • Il tasso di richieste di operazioni di crittografia (simmetriche) è la quota di richiesta condivisa per le operazioni di crittografia che utilizzano le chiavi KMS simmetriche in un account e in una Regione. Questa quota si applica alle operazioni crittografiche con chiavi crittografiche simmetrica e chiavi HMAC, anch'esse simmetriche.

    Ad esempio, potresti utilizzare chiavi KMS simmetriche in un file Regione AWS con una quota condivisa di 10.000 richieste al secondo. Quando effettui 7.000 GenerateDataKeyrichieste al secondo e 2.000 richieste di decriptazione al secondo, AWS KMS non limita le tue richieste. Se invece si effettuano 9.500 richieste GenerateDataKey e 1.000 richieste Encrypt al secondo, AWS KMS applica il throttling alle richieste perché queste superano la quota condivisa.

    Le operazioni di crittografia sulle chiavi KMS di crittografia simmetrica in un archivio di chiavi personalizzate contano sia per la frequenza di richiesta (simmetrica) di operazioni crittografiche per l'account sia per la quota di richiesta dell'archivio di chiavi personalizzate per l'archivio di chiavi personalizzate.

  • Il tasso di richieste di operazioni di crittografia (RSA) è la quota di richieste condivisa per le operazioni di crittografia che utilizzano le chiavi KMS RSA asimmetriche.

    Ad esempio, con una quota di richieste per 500 operazioni al secondo, è possibile effettuare 200 richieste di crittografia e 100 richieste di decrittografia con le chiavi KMS RSA in grado di crittografare e decrittografare, più 50 richieste di firma e 150 di verifica con le chiavi KMS RSA che possono firmare e verificare.

  • Il tasso di richieste di operazioni di crittografia (ECC) è la quota di richieste condivisa per le operazioni di crittografia che utilizzano le chiavi KMS asimmetriche basate su curva ellittica (ECC).

    Ad esempio, con una quota di richiesta per 300 operazioni al secondo, puoi effettuare 100 richieste Sign e 200 richieste Verify con le chiavi KMS RSA che possono firmare e verificare.

  • Il tasso di richieste di operazioni di crittografia (SM - solo regioni della Cina) è la quota di richieste condivisa per le operazioni di crittografia che utilizzano le chiavi KMS SM asimmetriche.

    Ad esempio, con una quota di richieste per 300 operazioni al secondo, è possibile effettuare 100 richieste di Encrypt (crittografia) e 100 richieste di Decrypt (decrittografia) con le chiavi KMS SM2 in grado di crittografare e decrittografare, più 50 richieste di Sign (firma) e 50 di Verify (verifica) con le chiavi KMS SM2 che possono firmare e verificare.

  • La quota di richiesta per l'archivio delle chiavi personalizzate è la quota di richiesta condivisa per le operazioni di crittografia sulle chiavi KMS in un archivio delle chiavi personalizzate. Questa quota viene calcolata separatamente per ogni archivio delle chiavi personalizzate.

    Le operazioni di crittografia sulle chiavi KMS di crittografia simmetrica in un archivio di chiavi personalizzate contano sia per la frequenza di richiesta (simmetrica) di operazioni crittografiche per l'account sia per la quota di richiesta dell'archivio di chiavi personalizzate per l'archivio di chiavi personalizzate.

Anche le quote per i diversi tipi di chiave sono calcolate in modo indipendente. Ad esempio, nella regione Asia Pacifico (Singapore), se utilizzi chiavi KMS simmetriche e asimmetriche, puoi effettuare fino a 10.000 chiamate al secondo con le chiavi KMS simmetriche (incluse le chiavi HMAC), più fino a 500 chiamate aggiuntive al secondo con le chiavi KMS asimmetriche RSA, più fino a 300 richieste aggiuntive al secondo con le chiavi KMS basate su ECC.

Richieste API eseguite per tuo conto

Puoi effettuare richieste API direttamente o utilizzando un AWS servizio integrato che effettua richieste API per tuo conto. AWS KMS La quota si applica a entrambi i tipi di richieste.

Ad esempio, è possibile archiviare i dati in Amazon S3 utilizzando la crittografia lato server con una chiave KMS (SSE-KMS). Ogni volta che carichi o scarichi un oggetto S3 crittografato con SSE-KMS, Amazon S3 invia una richiesta (per i caricamenti) o GenerateDataKey Decrypt (per i download) a tuo nome. AWS KMS Queste richieste vengono conteggiate ai fini della tua quota, quindi AWS KMS limitano le richieste se superi un totale combinato di 5.500 (o 10.000 o 50.000 a seconda della tua Regione AWS) caricamenti o download al secondo di oggetti S3 crittografati con SSE-KMS.

Richieste tra account

Quando un'applicazione in un'unica applicazione Account AWS utilizza una chiave KMS di proprietà di un altro account, si parla di richiesta tra account. Per le richieste tra account, AWS KMS limita l'account che effettua le richieste, non l'account proprietario della chiave KMS. Ad esempio, se un'applicazione nell'account A utilizza una chiave KMS nell'account B, l'uso della chiave KMS viene applicato solo alle quote dell'account A.

Quote di richiesta per l'archivio delle chiavi personalizzate

AWS KMS mantiene le quote di richiesta per le operazioni crittografiche sulle chiavi KMS in un archivio di chiavi personalizzato. Tali quote di richiesta vengono calcolate separatamente per ogni archivio delle chiavi personalizzate.

Quote di richiesta per l'archivio delle chiavi personalizzate Valore predefinito (richieste al secondo) per ogni archivio delle chiavi personalizzate Regolabile
AWS CloudHSM quota di richiesta dell'archivio di chiavi 1800 No
Quota di richiesta per l'archivio delle chiavi esterne 1800
Nota

AWS KMS le quote di richieste di archiviazione chiavi personalizzate non vengono visualizzate nella console Service Quotas. Non puoi visualizzare o gestire tali quote utilizzando le operazioni API Service Quotas. Per richiedere una modifica delle quote di richiesta per l'archivio delle chiavi esterne, visita il Centro AWS Support e crea un caso.

Se il AWS CloudHSM cluster associato a un AWS CloudHSM key store sta elaborando numerosi comandi, inclusi quelli non correlati all'archivio chiavi personalizzato, potresti riceverne uno AWS KMS ThrottlingException a pagamento. lower-than-expected In tal caso, riduci la frequenza delle richieste a AWS KMS, riduci il carico non correlato o utilizza un AWS CloudHSM cluster dedicato per l'archivio delle AWS CloudHSM chiavi.

AWS KMS segnala la limitazione delle richieste di archiviazione di chiavi esterne nella metrica. ExternalKeyStoreThrottle CloudWatch Puoi utilizzare questo parametro per visualizzare gli schemi di limitazione, creare allarmi e modificare la quota di richiesta dell'archivio delle chiavi esterne.

Una richiesta di un'operazione di crittografia su una chiave KMS in un archivio delle chiavi personalizzate viene conteggiata ai fini di due quote:

  • Quota di frequenza della richiesta (per account) di operazioni di crittografia (simmetriche)

    Le richieste di operazioni di crittografia sulle chiavi KMS in un archivio delle chiavi personalizzate vengono conteggiate ai fini della quota Cryptographic operations (symmetric) request rate per ciascuna regione e Account AWS . Ad esempio, negli Stati Uniti orientali (Virginia settentrionale) (us-east-1), ciascun Account AWS può avere fino a 50.000 richieste al secondo sulle chiavi KMS di crittografia simmetrica, incluse le richieste che utilizzano una chiave KMS in un archivio delle chiavi personalizzate.

  • Quota di richiesta dell'archivio di chiavi personalizzate (per archivio delle chiavi personalizzate)

    Le richieste di operazioni di crittografia sulle chiavi KMS in un archivio delle chiavi personalizzate contano anche per una Custom key store request quota di 1.800 operazioni al secondo. Tali quote vengono calcolate separatamente per ogni archivio delle chiavi personalizzate. Potrebbero includere richieste provenienti da più utenti Account AWS che utilizzano chiavi KMS nell'archivio chiavi personalizzato.

Ad esempio, un'operazione Encrypt (Crittografa) su una chiave KMS in un archivio delle chiavi personalizzate (entrambi i tipi) nella regione Stati Uniti orientali (Virginia settentrionale) (us-east-1) viene conteggiata per la quota a livello di account Cryptographic operations (symmetric) request rate (50.000 richieste al secondo) per il rispettivo account e regione e per una Custom key store request quota (1.800 richieste al secondo) per il rispettivo archivio delle chiavi personalizzato. Tuttavia, una richiesta per un'operazione di gestione PutKeyPolicy, ad esempio su una chiave KMS in un archivio di chiavi personalizzato, si applica solo alla quota a livello di account (15 richieste al secondo).