翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# クォータ
すべてのユーザーに対して AWS KMS 応答性とパフォーマンスを実現するために、 はリソースクォータとリクエストクォータの 2 種類のクォータ AWS KMS を適用します。各クォータは、各 AWS アカウントのリージョンごとに個別に計算されます。
オンデマンドローテーションリソース AWS KMS クォータと[AWS CloudHSM キーストアリクエストクォータを除き、すべてのクォータ](requests-per-second.md#rps-key-stores)は調整可能です。 [オンデマンドローテーション: 25](resource-limits.md#on-demand-rotation-resource-quota)クォータの引き上げをリクエストするには、「*Service Quotas ユーザーガイド*」の「[クォータ引き上げリクエスト](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) を参照してください。クォータの削減をリクエストしたり、Service Quotas にリストされていないクォータを変更したり、Service Quotas for AWS リージョン が AWS KMS 利用できない でクォータを変更したりするには、 [AWS サポート Center](https://console.aws.amazon.com/support/home) にアクセスしてケースを作成してください。
**Topics**
+ [リソースクォータ](resource-limits.md)
+ [クォータのリクエスト](requests-per-second.md)
+ [AWS KMS リクエストのスロットリング](throttling.md)
# リソースクォータ
AWS KMS は、すべてのお客様に迅速かつ回復力のあるサービスを提供できるように、リソースクォータを確立します。一部のリソースクォータは、作成したリソースにのみ適用されますが、 AWS サービスが作成するリソースには適用されません。[AWS 所有のキー](concepts.md#aws-owned-key) など、使用するリソースで AWS アカウントに含まれていないものは、これらのクォータにはカウントされません。
リソースの上限を超えた場合、そのタイプの追加リソースの作成をリクエストすると、`LimitExceededException` エラーメッセージが生成されます。
オンデマンドローテーション AWS KMS リソースクォータを除き、すべてのリソースクォータは調整可能です。 [オンデマンドローテーション: 25](#on-demand-rotation-resource-quota)クォータの引き上げをリクエストするには、「*Service Quotas ユーザーガイド*」の「[クォータ引き上げリクエスト](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) を参照してください。クォータの削減をリクエストする、Service Quotas にリストされていないクォータを変更する、または Service Quotas for AWS リージョン が AWS KMS 利用できない のクォータを変更するには、 [AWS サポート Center](https://console.aws.amazon.com/support/home) にアクセスしてケースを作成してください。
次の表は、各 およびリージョンの AWS KMS リソースクォータの一覧 AWS アカウント と説明です。
| クォータ名 | デフォルトの値 | 適用先 | 引き上げ可能 |
| --- | --- | --- | --- |
| [AWS KMS keys](#kms-keys-limit) | 100,000 | カスタマーマネージドキー | はい |
| [KMS キーごとのエイリアス](#aliases-per-key) | 50 | カスタマー作成のエイリアス | はい |
| [KMS キーごとのグラント](#grants-per-key) | 50,000 | カスタマーマネージドキー | はい |
| [カスタムキーストアのリソースクォータ](#cks-resource-quota) | 10 | AWS アカウント および リージョン | はい |
| [オンデマンドローテーション](#on-demand-rotation-resource-quota) | 25 | カスタマーマネージドキー | いいえ |
リソースクォータに加えて、 はリクエストクォータ AWS KMS を使用してサービスの応答性を確保します。詳細については、「[クォータのリクエスト](requests-per-second.md)」を参照してください。
## AWS KMS keys: 100,000
AWS アカウントの各リージョンで、最大 100,000 個の[カスタマーマネージドキー](concepts.md#customer-mgn-key)を持つことができます。このクォータは、[キー仕様](create-keys.md#key-spec)または[キーステータス](key-state.md)に関係なく、すべての AWS リージョン ですべてのカスタマー管理キーに適用されます。各 KMS キーは 1 つのリソースと見なされます。[AWS マネージドキー](concepts.md#aws-managed-key) および [AWS 所有のキー](concepts.md#aws-owned-key) はこのクォータにはカウントされません。
## KMS キーごとのエイリアス: 50
最大 50 個の[エイリアス](kms-alias.md)を各[カスタマーマネージドキー](concepts.md#customer-mgn-key)に関連付けることができます。が AWS 関連付けるエイリアスは、このクォータにはカウント[AWS マネージドキー](concepts.md#aws-managed-key)されません。エイリアスを[作成](alias-create.md)または[更新](alias-update.md)するときに、このクォータが発生することがあります。
**注記**
[kms:ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases) 条件は、KMS キーがこのクォータに適合している場合にのみ有効です。KMS キーがこのクォータを超えると、KMS キーを `kms:ResourceAliases` 条件で使用するよう認可されたプリンシパルは、KMS キーへのアクセスを拒否されます。詳細については、「[エイリアスクォータによりアクセスが拒否された](troubleshooting-tags-aliases.md#access-denied-alias-quota)」を参照してください。
KMS キークォータあたりのエイリアスは、 の各リージョンのエイリアスの合計数を制限するリージョンクォータあたりのエイリアスを置き換えます AWS アカウント。 AWS KMS はリージョンクォータあたりのエイリアスを削除しました。
## KMS キーあたりのグラント: 50,000
各[カスタマーマネージドキー](concepts.md#customer-mgn-key)は、[AWS KMSと統合されているAWS サービス](https://aws.amazon.com/kms/features/#AWS_Service_Integration)によって作成されるグラントを含めて、最大 50,000 個の[グラント](grants.md)を持つことができます。このクォータは、[AWS マネージドキー](concepts.md#aws-managed-key) または [AWS 所有のキー](concepts.md#aws-owned-key) には適用されません。
このクォータの効果の 1 つは、同じ KMS キーを同時に使用する 50,000 を超える許可されたオペレーションを実行できないことです。このクォータ到達後は、アクティブなグラントが廃止または取り消しになった場合にのみ、KMS キーで新しいグラントを作成できます。
例えば、Amazon Elastic Block Store(Amazon EBS)ボリュームを Amazon Elastic Compute Cloud(Amazon EC2)インスタンスにアタッチすると、ボリュームは復号化され、読めるようになります。データを復号する許可を得るために、Amazon EBS は各ボリュームに対してグラントを作成します。したがって、すべての Amazon EBS ボリュームが同じ KMS キーを使用する場合、一度に 50,000 を超えるボリュームをアタッチすることはできません。
## カスタムキーストアのリソースクォータ: 10
AWS アカウント およびリージョンごとに最大 10 個の[カスタムキーストア](key-store-overview.md#custom-key-store-overview)を作成できます。さらに作成しようとすると、[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html) オペレーションは失敗します。
このクォータは、接続状態に関わりなく、すべての [AWS CloudHSM キーストア](keystore-cloudhsm.md) と [外部キーストア](keystore-external.md)を含む、各アカウントとリージョンのカスタムキーストアの合計数に適用されます。
## オンデマンドローテーション: 25
[オンデマンドキーローテーション](rotating-keys-on-demand.md)は、KMS キーごとに最大 25 回実行できます。これより多くのオンデマンドローテーションを実行しようとすると、[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html) オペレーションは失敗します。
これは調整可能なクォータではありません。Service Quotas を使用したり、 でケースを作成したりして増やすことはできません AWS サポート。オンデマンドローテーションクォータに到達するのを避けるため、可能な限り[自動キーローテーション](rotating-keys-enable.md)を使用することをお勧めします。
# クォータのリクエスト
AWS KMS は、1 秒ごとにリクエストされた API オペレーションの数のクォータを確立します。リクエストクォータは、API オペレーション AWS リージョン、、および KMS キータイプなどのその他の要因によって異なります。API リクエストのクォータを超えると、 AWS KMS [はリクエストをスロットリングします](throttling.md)。
キーストア AWS KMS のリクエストクォータを除き、すべてのリクエストクォータは調整可能です。 [AWS CloudHSM](#rps-key-stores)クォータの引き上げをリクエストするには、「*Service Quotas ユーザーガイド*」の「[クォータ引き上げリクエスト](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) を参照してください。クォータの削減をリクエストする、Service Quotas にリストされていないクォータを変更する、または Service Quotas for AWS KMS が利用できない AWS リージョン のクォータを変更するには、 [AWS サポート センター](https://console.aws.amazon.com/support/home)にアクセスしてケースを作成してください。
[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) オペレーションのリクエストクォータを超えている場合は、 AWS Encryption SDKの[データキーキャッシュ機能](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/data-key-caching.html)の使用を検討してください。データキーを再利用すると、 へのリクエストの頻度が低下する可能性があります AWS KMS。
リクエストクォータに加えて、 はリソースクォータ AWS KMS を使用してすべてのユーザーの容量を確保します。詳細については、「[リソースクォータ](resource-limits.md)」を参照してください。
リクエストレートのトレンドを表示するには、[Service Quotas コンソール](https://console.aws.amazon.com/servicequotas)を使用してください。リクエストレートがクォータ値の一定の割合に達したときに警告する [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) アラームを作成することもできます。詳細については、 *AWS セキュリティブログ*の[Service Quotas と Amazon CloudWatch を使用して AWS KMS API リクエストレートを管理する](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/)」を参照してください。
**Topics**
+ [各 AWS KMS API オペレーションのリクエストクォータ](#rps-table)
+ [リクエストクォータの適用](#about-rate-limits)
+ [暗号化オペレーションの共有クォータ](#rps-shared-limit)
+ [ユーザーに代わって API が実行するリクエスト](#rps-from-service)
+ [クロスアカウントリクエスト](#rps-cross-account)
+ [カスタムキーストアのリクエストクォータ](#rps-key-stores)
## 各 AWS KMS API オペレーションのリクエストクォータ
この表は、各 AWS KMS リクエストクォータの [Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/) クォータコードとデフォルト値を示しています。キーストア AWS KMS のリクエストクォータを除き、すべてのリクエストクォータは調整可能です。 [AWS CloudHSM](#rps-key-stores)
**注記**
この表のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。
| クォータ名 | デフォルト値 (1 秒あたりのリクエスト) |
| --- | --- |
| `Cryptographic operations (symmetric) request rate` 適用先: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | これらの共有クォータは、 AWS リージョン およびリクエストで使用される KMS キーのタイプによって異なります。各クォータは個別に計算されます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) |
| `Cryptographic operations (RSA) request rate` 適用先:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | RSA KMS キーの場合は 1,000 (共有) |
| `Cryptographic operations (ML-DSA) request rate` 適用先: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | ML-DSA KMS キーの場合は 1,000 (共有) |
| `Cryptographic operations (ECC and SM2) request rate` 適用先:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | 楕円曲線 (ECC) KMS キーおよび SM2 (中国リージョンのみ) KMS キーの場合は 1,000 (共有) |
| `Custom key store request quotas` 適用先: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | [カスタムキーストアのリクエストクォータ](#rps-key-stores)は、カスタムキーストアごとに個別に計算されます。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) |
| `CancelKeyDeletion request rate` | 5 |
| `ConnectCustomKeyStore request rate` | 5 |
| `CreateAlias request rate` | 5 |
| `CreateCustomKeyStore request rate` | 5 |
| `CreateGrant request rate` | 50 |
| `CreateKey request rate` | 5 |
| `DeleteAlias request rate` | 15 |
| `DeleteCustomKeyStore request rate` | 5 |
| `DeleteImportedKeyMaterial request rate` | 15 |
| `DescribeCustomKeyStores request rate` | 5 |
| `DescribeKey request rate` | 2000 |
| `DisableKey request rate` | 5 |
| `DisableKeyRotation request rate` | 5 |
| `DisconnectCustomKeyStore request rate` | 5 |
| `EnableKey request rate` | 5 |
| `EnableKeyRotation request rate` | 15 |
| `GenerateDataKeyPair (ECC_NIST_P256) request rate` 適用先: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_NIST_P384) request rate` 適用先: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_NIST_P521) request rate` 適用先: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_SECG_P256K1) request rate` 適用先: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_NIST_EDWARDS25519) request rate` 適用先: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (RSA_2048) request rate` 適用先: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | 20 |
| `GenerateDataKeyPair (RSA_3072) request rate` 適用先: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | 4 |
| `GenerateDataKeyPair (RSA_4096) request rate` 適用先: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | 1 |
| `GenerateDataKeyPair (SM2 — China Regions only) request rate` 適用先: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/requests-per-second.html) | 25 |
| `GetKeyPolicy request rate` | 1,000 |
| `GetKeyRotationStatus request rate` | 1,000 |
| `GetParametersForImport request rate` | 1 |
| `GetPublicKey request rate` | 2000 |
| `ImportKeyMaterial request rate` | 15 |
| `ListAliases request rate` | 500 |
| `ListGrants request rate` | 100 |
| `ListKeyPolicies request rate` | 100 |
| `ListKeys request rate` | 500 |
| `ListKeyRotations request rate` | 100 |
| `ListResourceTags request rate` | 2000 |
| `ListRetirableGrants request rate` | 100 |
| `PutKeyPolicy request rate` | 15 |
| ReplicateKey request rate `ReplicateKey` オペレーションは、プライマリキーのリージョンでは 1 つ `ReplicateKey` リクエスト、レプリカのリージョンでは 2 つの `CreateKey` リクエストとしてカウントされます。以下のうち 1 つの `CreateKey` リクエストは、キー作成前に潜在的な問題を検出するためのドライランです。 | 5 |
| `RetireGrant request rate` | 50 |
| `RevokeGrant request rate` | 50 |
| `RotateKeyOnDemand request rate` | 5 |
| `ScheduleKeyDeletion request rate` | 15 |
| `TagResource request rate` | 10 |
| `UntagResource request rate` | 5 |
| `UpdateAlias request rate` | 5 |
| `UpdateCustomKeyStore request rate` | 5 |
| `UpdateKeyDescription request rate` | 5 |
| `UpdatePrimaryRegion request rate` `UpdatePrimaryRegion` オペレーションは、2 つの影響を受けるリージョンごとに、1 つのリクエストとしてカウントされる、2 つの `UpdatePrimaryRegion` リクエストです。 | 5 |
## リクエストクォータの適用
リクエストクォータを確認するときは、次の点に注意してください。
+ リクエストクォータは、[カスタマーマネージドキー](concepts.md#customer-mgn-key)と [AWS マネージドキー](concepts.md#aws-managed-key) の両方に適用されます。の使用は、アカウントのリソースを保護するために使用されている場合でも AWS アカウント、 のリクエストクォータにはカウント[AWS 所有のキー](concepts.md#aws-owned-key)されません。
+ リクエストクォータは、FIPS エンドポイントおよび非 FIPS エンドポイントに送信されるリクエストに適用されます。 AWS KMS サービスエンドポイントのリストについては、「」の[AWS Key Management Service 「エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/kms.html)」を参照してください AWS 全般のリファレンス。
+ スロットリングは、リージョン内のすべてのタイプの KMS キーに対するすべてのリクエストに基づいています。この合計には、ユーザーに代わって のサービスからのリクエストを含む AWS アカウント、 のすべてのプリンシパルからの AWS リクエストが含まれます。
+ 各要求クォータは個別に計算されます。例えば、 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションのリクエストは、 [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) オペレーションのリクエストクォータには影響しません。`CreateAlias` リクエストが調整されていても、`CreateKey` リクエストは正常に完了できます。
+ 暗号化オペレーションはクォータを共有しますが、共有クォータは他のオペレーションのクォータとは無関係に計算されます。例えば、[Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) および [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) オペレーションの呼び出しはリクエストクォータを共有しますが、そのクォータは [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html) などの管理オペレーションのクォータとは無関係です。例えば、欧州 (ロンドン) リージョンでは、対称 KMS キーに対して 10,000 オペレーションの暗号化オペレーション*に加えて*、スロットルなしで 1 秒あたり 5 回の `EnableKey` オペレーションを実行できます。
## 暗号化オペレーションの共有クォータ
AWS KMS [暗号化オペレーション](kms-cryptography.md#cryptographic-operations)はリクエストクォータを共有します。KMS キーでサポートされている暗号化オペレーションの任意の組み合わせをリクエストできます。これにより、暗号化オペレーションの合計数がそのタイプの KMS キーのリクエストクォータを超過しません。例外は、別個のクォータを共有する [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) と [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html) です。
異なるタイプの KMS キーのクォータは、個別に計算されます。各クォータは、1 秒間隔で指定されたキータイプを持つ AWS アカウント および リージョンで、これらのオペレーションに対するすべてのリクエストに適用されます。
+ *暗号化オペレーション (対称) リクエストの頻度*は、アカウントとリージョンで対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。このクォータは、対称暗号化キーと、同じく対称である HMAC キーでの暗号化オペレーションに適用されます。
たとえば、1 秒あたり 10,000 リクエストの共有クォータ AWS リージョン を持つ [で対称 KMS キー](symm-asymm-choose-key-spec.md#symmetric-cmks)を使用しているとします。1 秒あたり 7,000 件の [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) リクエストと 1 秒あたり 2,000 [件の Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) リクエストを行う場合、リクエスト AWS KMS はスロットリングされません。ただし、毎秒 9,500 件の `GenerateDataKey` リクエストと 1,000 件の [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) リクエストを行うと、共有クォータを超えているため、 AWS KMS はリクエストを制限します。
[カスタムキーストア](key-store-overview.md#custom-key-store-overview)内の[対称暗号化 KMS キー](symm-asymm-choose-key-spec.md#symmetric-cmks)に対する暗号化オペレーションは、アカウントの暗号化オペレーション (対称) リクエストレートおよびカスタムキーストアの[カスタムキーストアのリクエストクォータ](#rps-key-stores)の両方にカウントされます。
+ *暗号化オペレーション (RSA) リクエストの頻度*は、[RSA 非対称 KMS キー](symm-asymm-choose-key-spec.md#key-spec-rsa)を使用する暗号化オペレーションの共有リクエストクォータです。
例えば、1 秒あたり 1,000 オペレーションのリクエストクォータでは、暗号化および復号が可能な RSA KMS キーを使用して、400 件の [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) リクエストと 200 件の [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) リクエストを実行できます。加えて、署名と検証が可能な RSA KMS キーを使用して、250 件の [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) リクエストと 150 件の [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) リクエストを実行できます。
+ *暗号化オペレーション (ECC) リクエストレート*は、[楕円曲線 (ECC) 非対称 KMS キー](symm-asymm-choose-key-spec.md#key-spec-ecc)および [SM 非対称 KMS キー](symm-asymm-choose-key-spec.md#key-spec-sm)を使用する暗号化オペレーションの共有リクエストクォータです。
例えば、1 秒あたり 1,000 オペレーションのリクエストクォータでは、署名と検証が可能な ECC KMS キーを使用して、400 件の Sign リクエストと 200 件の Verify リクエストを実行できます。加えて、署名と検証が可能な SM2 KMS キーを使用して、250 件の [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) リクエストと 150 件の [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) リクエストを実行できます。
+ カスタムキーストアのリクエストクォータは、カスタムキーストアの KMS キーに対する暗号化オペレーションの共有リクエストクォータです。このクォータは、各カスタムキーストアで個別に計算されます。
[カスタムキーストア](key-store-overview.md#custom-key-store-overview)内の[対称暗号化 KMS キー](symm-asymm-choose-key-spec.md#symmetric-cmks)に対する暗号化オペレーションは、アカウントの*暗号化オペレーション (対称) リクエストレート*とカスタムキーストアの[カスタムキーストアのリクエストクォータ](#rps-key-stores)の両方にカウントされます。
異なるキータイプのクォータも個別に計算されます。例えば、アジアパシフィック (シンガポール) リージョンで対称および非対称の KMS キーの両方を使用する場合、対称 KMS キー (HMAC キーを含む) を使用した 1 秒あたり最大 10,000 件の呼び出しに加えて、RSA 非対称 KMS キーを使用した 1 秒あたり最大 500 件の追加呼び出しと、ECC ベースの KMS キーを使用した 1 秒あたり最大 300 件の追加リクエストを実行できます。
## ユーザーに代わって API が実行するリクエスト
API リクエストは、直接行うか、 AWS KMS ユーザーに代わって に API リクエストを行う統合 AWS サービスを使用して行うことができます。クォータはどちらの種類のリクエストにも適用されます。
たとえば、KMS キー (SSE-KMS) によるサーバー側の暗号化を使用して Amazon S3 にデータを保存できます。SSE-KMS で暗号化された S3 オブジェクトをアップロードまたはダウンロードするたびに、Amazon S3 は AWS KMS ユーザーに代わって に `GenerateDataKey` (アップロードの場合) または `Decrypt` (ダウンロードの場合) リクエストを行います。これらのリクエストはクォータにカウントされるため、SSE-KMS で暗号化された S3 オブジェクトの 1 秒あたりのアップロードまたはダウンロードの合計数が 5,500 (または に応じて 10,000 または 50,000 AWS リージョン) を超える場合、 はリクエスト AWS KMS を調整します。
## クロスアカウントリクエスト
あるアプリケーションが別のアカウントが所有する KMS キー AWS アカウント を使用する場合、クロス*アカウントリクエスト*と呼ばれます。クロスアカウントリクエストでは、 AWS KMS は、KMS キーを所有するアカウントではなく、リクエストを行うアカウントを調整します。例えば、アカウント A のアプリケーションがアカウント B の KMS キーを使用する場合、KMS キーの使用はアカウント A のクォータにのみ適用されます。
## カスタムキーストアのリクエストクォータ
AWS KMS は、[カスタムキーストア](key-store-overview.md#custom-key-store-overview)の KMS キーに対する[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)のリクエストクォータを維持します。これらのリクエストクォータは、カスタムキーストアごとに個別に計算されます。
| カスタムキーストアのリクエストクォータ | 各カスタムキーストアのデフォルト値 (リクエスト数/秒) | 引き上げ可能 |
| --- | --- | --- |
| [AWS CloudHSM キーストア](keystore-cloudhsm.md)リクエストクォータ | 1800 | いいえ |
| [外部キーストア](keystore-external.md)のリクエストクォータ | 1800 | いいえ |
**注記**
AWS KMS [カスタムキーストアリクエストクォータ](#rps-key-stores)は Service Quotas コンソールに表示されません。Service Quotas API オペレーションを使用して、これらのクォータを表示または管理することはできません。
AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターが、カスタムキーストアとは無関係なコマンドなど、多数のコマンドを処理している場合、lower-than-expectedレート`ThrottlingException`で AWS KMS を取得できます。この場合、リクエストレートを に下げるか AWS KMS、無関係な負荷を減らすか、 AWS CloudHSM キーストアに専用 AWS CloudHSM クラスターを使用します。
AWS KMS は、[`ExternalKeyStoreThrottle`](monitoring-cloudwatch.md#metric-throttling)CloudWatch メトリクスで外部キーストアリクエストのスロットリングを報告します。このメトリクスを使用して、スロットリングパターンを表示したり、アラームを作成したり、外部キーストアのリクエストクォータを調整したりできます。
カスタムキーストアの KMS キーに対する[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)のリクエストは、2 クォータにカウントされます。
+ 暗号化オペレーション (対称) のリクエストレートクォータ (アカウントあたり)
カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストは、各 AWS アカウント およびリージョンの `Cryptographic operations (symmetric) request rate` クォータにカウントされます。例えば、米国東部 (バージニア北部) (us-east-1) の場合、各 AWS アカウント は、カスタムキーストアで KMS キーを使用するリクエストを始めとして、対称暗号化 KMS キーに対して 1 秒あたり最大 10 万リクエストを処理できます。
+ カスタムキーストアのリクエストクォータ (カスタムキーストアあたり)
カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストも、1 秒あたり 1,800 オペレーションの `Custom key store request quota` にカウントされます。これらのクォータは、カスタムキーストアごとに個別に計算されます。カスタムキーストアで KMS キー AWS アカウント を使用する複数の からのリクエストが含まれる場合があります。
例えば、米国東部 (バージニア北部) (us-east-1) リージョンのカスタムキーストア (いずれかのタイプ) の KMS キーに対する [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) オペレーションは、アカウントとリージョンの `Cryptographic operations (symmetric) request rate` アカウントレベルのクォータ (1 秒あたり 10 万リクエスト)、およびカスタムキーストアの `Custom key store request quota` (1 秒あたり 1,800 リクエスト) にカウントされます。ただし、カスタムキーストア内の KMS キーに対する管理操作 ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) など) のリクエストは、アカウントレベルのクォータ (1 秒あたり 15 リクエスト) にのみ適用されます。
# AWS KMS リクエストのスロットリング
がすべての顧客からの API リクエストに迅速かつ信頼性の高い応答を提供 AWS KMS できるように、特定の境界を超える API リクエストをスロットリングします。
*スロットリング*は、 が有効なリクエスト AWS KMS を拒否し、次のような`ThrottlingException`エラーを返す場合に発生します。
```
You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls.
(Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID:
```
AWS KMS は、以下の条件のリクエストを調整します。
+ 1 秒あたりのリクエストのレートが、アカウントとリージョンの AWS KMS [リクエストクォータ](requests-per-second.md)を超えています。
たとえば、アカウントのユーザーが 1 秒間に 1000 件の`DescribeKey`リクエストを送信すると、 はその 2 秒間に後続のすべての`DescribeKey`リクエスト AWS KMS をスロットリングします。
スロットリングに対応するには、[バックオフと再試行戦略](https://docs.aws.amazon.com/general/latest/gr/api-retries.html)を使用します。この戦略は、一部の AWS SDKs。
+ 同じ KMS キーステータスを変更するための、リクエストのバーストレートまたは持続的な高いレート。多くの場合、この条件は「ホットキー」と呼ばれます。
たとえば、アカウント内のアプリケーションが、同じ KMS キー`DisableKey`に対する `EnableKey`および リクエストの永続的なボリュームを送信すると、 はリクエストを AWS KMS スロットリングします。このスロットリングは、リクエストが `EnableKey` および `DisableKey` オペレーションの 1 秒あたりのリクエスト制限を超えていない場合にも発生します。
スロットリングに対応するには、アプリケーションロジックを調整して必要なリクエストのみを作成するか、複数の関数のリクエストを統合します。
+ [AWS CloudHSM キーストア](requests-per-second.md#rps-key-stores)に関連付けられたクラスターが、キーストアに関連しないコマンドを含む多数のコマンドを処理している場合 AWS CloudHSM 、キーストア内の KMS AWS CloudHSM キーに対するオペレーションのリクエストはlower-than-expectedレートでスロットリングされる可能性があります AWS CloudHSM 。
( AWS CloudHSM クラスターで使用可能な PKCS \$111 セッションがない場合、 は AWS CloudHSM キーストア内の KMS キーに対するオペレーションのリクエストをスロットリングAWS KMS しなくなりました。 代わりに、 をスロー`KMSInternalException`し、リクエストを再試行することをお勧めします。)
リクエストレートのトレンドを表示するには、[Service Quotas コンソール](https://console.aws.amazon.com/servicequotas)を使用してください。リクエストレートがクォータ値の一定の割合に達したときに警告する [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) アラームを作成することもできます。詳細については、 *AWS セキュリティブログ*の[Service Quotas と Amazon CloudWatch を使用して AWS KMS API リクエストレートを管理する](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/)」を参照してください。
オンデマンドローテーションリソース AWS KMS クォータと[AWS CloudHSM キーストアリクエストクォータを除き、すべてのクォータ](requests-per-second.md#rps-key-stores)は調整可能です。 [オンデマンドローテーション: 25](resource-limits.md#on-demand-rotation-resource-quota)クォータの引き上げをリクエストするには、「*Service Quotas ユーザーガイド*」の「[クォータ引き上げリクエスト](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) を参照してください。クォータの削減をリクエストする、Service Quotas にリストされていないクォータを変更する、または Service Quotas for AWS リージョン が AWS KMS 利用できない のクォータを変更するには、 [AWS サポート Center](https://console.aws.amazon.com/support/home) にアクセスしてケースを作成してください。
**注記**
AWS KMS [カスタムキーストアリクエストクォータ](requests-per-second.md#rps-key-stores)は Service Quotas コンソールに表示されません。Service Quotas API オペレーションを使用して、これらのクォータを表示または管理することはできません。