翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
クォータのリクエスト
AWS KMS は、1 秒ごとにリクエストされた API オペレーションの数のクォータを確立します。リクエストクォータは、API オペレーション、 AWS リージョン、および KMS キータイプなどのその他の要因によって異なります。API リクエストのクォータを超えると、 AWS KMS はリクエスト をスロットリングします。
キーストア AWS KMS リクエストクォータ を除き、すべてのリクエストクォータは調整可能です。 AWS CloudHSMクォータの引き上げをリクエストするには、「Service Quotas ユーザーガイド」の「クォータ引き上げリクエスト」を参照してください。クォータの削減をリクエストしたり、Service Quotas にリストされていないクォータを変更したり、 の Service Quotas AWS リージョン が AWS KMS 利用できない のクォータを変更したりするには、 AWS Support センター
GenerateDataKey オペレーションのリクエストクォータを超えている場合は、 のデータキーキャッシュ機能の使用を検討してください AWS Encryption SDK。データキーを再利用すると、 へのリクエストの頻度が低下する可能性があります AWS KMS。
リクエストクォータに加えて、 はリソースクォータ AWS KMS を使用してすべてのユーザーの容量を確保します。詳細については、「リソースクォータ」を参照してください。
リクエストレートのトレンドを表示するには、Service Quotas コンソール
トピック
各 AWS KMS API オペレーションのリクエストクォータ
この表は、Service Quotas クォータコードと各 AWS KMS リクエストクォータのデフォルト値を示しています。キーストア AWS KMS リクエストクォータ を除き、すべてのリクエストクォータは調整可能です。 AWS CloudHSM
注記
この表のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。
クォータ名 | デフォルト値 (1 秒あたりのリクエスト) |
---|---|
適用先:
|
これらの共有クォータは、 AWS リージョン およびリクエストで使用される KMS キーのタイプによって異なります。各クォータは個別に計算されます。
|
適用先:
|
RSA KMS キーの場合は 500 (共有) |
適用先:
|
楕円曲線 (ECC) および SM2 (中国リージョンのみ) KMS キーの場合は 300 (共有) |
適用先:
|
カスタムキーストアのリクエストクォータは、カスタムキーストアごとに個別に計算されます。
|
|
5 |
|
5 |
|
5 |
|
5 |
|
50 |
|
5 |
|
15 |
|
5 |
|
5 |
|
5 |
|
2000 |
|
5 |
|
5 |
|
5 |
|
5 |
|
15 |
適用先:
|
100 |
適用先:
|
100 |
適用先:
|
100 |
適用先:
|
100 |
適用先:
|
1 |
適用先:
|
0.5 (2 秒に 1 回) |
適用先:
|
0.1 (10 秒に 1 回) |
適用先:
|
25 |
|
1,000 |
|
1,000 |
|
0.25 (4 秒に 1 回) |
|
2000 |
|
5 |
|
500 |
|
100 |
|
100 |
|
500 |
|
100 |
|
2000 |
|
100 |
|
15 |
ReplicateKey request rate
|
5 |
|
30 |
|
30 |
|
5 |
|
15 |
|
10 |
|
5 |
|
5 |
|
5 |
|
5 |
|
5 |
リクエストクォータの適用
リクエストクォータを確認するときは、次の点に注意してください。
-
リクエストクォータは、カスタマーマネージドキーと AWS マネージドキー の両方に適用されます。の使用はAWS 所有のキー、 アカウントのリソースを保護するために使用されている場合でも AWS アカウント、 のリクエストクォータにはカウントされません。
-
リクエストクォータは、FIPS エンドポイントおよび非 FIPS エンドポイントに送信されるリクエストに適用されます。 AWS KMS サービスエンドポイントのリストについては、「」のAWS Key Management Service 「 エンドポイントとクォータ」を参照してください AWS 全般のリファレンス。
-
スロットリングは、リージョン内のすべてのタイプの KMS キーに対するすべてのリクエストに基づいています。この合計には、ユーザーに代わって のサービスからのリクエストを含む AWS アカウント、 内のすべてのプリンシパルからの AWS リクエストが含まれます。
-
各要求クォータは個別に計算されます。例えば、 CreateKeyオペレーションのリクエストは、 CreateAliasオペレーションのリクエストクォータには影響しません。
CreateAlias
リクエストが調整されていても、CreateKey
リクエストは正常に完了できます。 -
暗号化オペレーションはクォータを共有しますが、共有クォータは他のオペレーションのクォータとは無関係に計算されます。例えば、暗号化オペレーションと復号オペレーションの呼び出しはリクエストクォータを共有しますが、そのクォータは などの管理オペレーションのクォータとは無関係ですEnableKey。例えば、欧州 (ロンドン) リージョンでは、対称 KMS キーに対して 10,000 オペレーションの暗号化オペレーションに加えて、スロットルなしで 1 秒あたり 5 回の
EnableKey
オペレーションを実行できます。
暗号化オペレーションの共有クォータ
AWS KMS 暗号化オペレーションはリクエストクォータを共有します。KMS キーでサポートされている暗号化オペレーションの任意の組み合わせをリクエストできます。これにより、暗号化オペレーションの合計数がそのタイプの KMS キーのリクエストクォータを超過しません。例外は GenerateDataKeyPairと でGenerateDataKeyPairWithoutPlaintext、個別のクォータを共有します。
異なるタイプの KMS キーのクォータは、個別に計算されます。各クォータは、1 秒間隔で指定されたキータイプを持つ AWS アカウント およびリージョンで、これらのオペレーションに対するすべてのリクエストに適用されます。
-
暗号化オペレーション (対称) リクエストの頻度は、アカウントとリージョンで対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。このクォータは、対称暗号化キーと、同じく対称である HMAC キーでの暗号化オペレーションに適用されます。
例えば、1 秒あたり 10,000 リクエストの共有クォータ AWS リージョン を持つ で対称 KMS キーを使用しているとします。1 秒あたり 7,000 件のGenerateDataKeyリクエストと 1 秒あたり 2,000 件の Decrypt リクエストを行う場合、リクエストをスロット AWS KMS リングしないでください。ただし、毎秒 9,500 件の
GenerateDataKey
リクエストと 1,000 件の Encrypt リクエストを行うと、共有クォータを超えているため、 AWS KMS はリクエストを制限します。カスタムキーストア内の対称暗号化 KMS キーに対する暗号化オペレーションは、アカウントの暗号化オペレーション (対称) リクエストレートおよびカスタムキーストアのカスタムキーストアのリクエストクォータの両方にカウントされます。
-
暗号化オペレーション (RSA) リクエストの頻度は、RSA 非対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。
例えば、1 秒あたり 500 オペレーションのリクエストクォータでは、暗号化および復号が可能な RSA KMS キーを使用して、200 件の Encrypt リクエストと 100 件の Decrypt リクエストを実行できます。加えて、署名と検証が可能な RSA KMS キーを使用して、50 件の Sign リクエストと 150 件の Verify リクエストを実行できます。
-
暗号化オペレーション (ECC) リクエストの頻度は、楕円曲線 (ECC) 非対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。
例えば、リクエストクォータが 1 秒あたり 300 オペレーションであれば、署名と検証が可能な RSA KMS キーを使用して、100 件の署名リクエストと 200 件の検証リクエストを実行できます。
-
暗号化オペレーション (SM - 中国リージョンのみ) リクエストの頻度は、SM 非対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。
例えば、1 秒あたり 300 オペレーションのリクエストクォータでは、暗号化および復号が可能な SM2 KMS キーを使用して、100 件の Encrypt リクエストと 100 件の Decrypt リクエストを実行できます。加えて、署名と検証が可能な SM2 KMS キーを使用して、50 件の Sign リクエストと 50 件の Verify リクエストを実行できます。
-
カスタムキーストアのリクエストクォータは、カスタムキーストアの KMS キーに対する暗号化オペレーションの共有リクエストクォータです。このクォータは、各カスタムキーストアで個別に計算されます。
カスタムキーストア内の対称暗号化 KMS キーに対する暗号化オペレーションは、アカウントの暗号化オペレーション (対称) リクエストレートおよびカスタムキーストアのカスタムキーストアのリクエストクォータの両方にカウントされます。
異なるキータイプのクォータも個別に計算されます。例えば、アジアパシフィック (シンガポール) リージョンでは、対称および非対称の KMS キーの両方を使用する場合、対称 KMS キー (HMAC キーを含む) を使用した 1 秒あたり最大 10,000 件の呼び出しに加えて、RSA 非対称 KMS キーを使用した 1 秒あたり最大 500 件の追加呼び出しと、ECC ベースの KMS キーを使用した 1 秒あたり最大 300 件の追加リクエストを実行できます。
ユーザーに代わって API が実行するリクエスト
API リクエストは、直接行うか、 AWS KMS ユーザーに代わって に API リクエストを行う統合 AWS サービスを使用して行うことができます。クォータはどちらの種類のリクエストにも適用されます。
たとえば、KMS キー (SSE-KMS) によるサーバー側の暗号化を使用して Amazon S3 にデータを保存できます。SSE-KMS で暗号化された S3 オブジェクトをアップロードまたはダウンロードするたびに、Amazon S3 はユーザーに代わって GenerateDataKey
(アップロードの場合) または Decrypt
(ダウンロードの場合) リクエストを AWS KMS に送ります。これらのリクエストはクォータにカウントされるため、SSE-KMS で暗号化された S3 オブジェクトの 1 秒あたりのアップロードまたはダウンロードの合計数が 5,500 (または に応じて 10,000 または 50,000 AWS リージョン) を超える場合、 はリクエスト AWS KMS を調整します。
クロスアカウントリクエスト
ある のアプリケーションが別のアカウントが所有する KMS キー AWS アカウント を使用する場合、クロスアカウントリクエスト と呼ばれます。クロスアカウントリクエストでは、 AWS KMS は、KMS キーを所有するアカウントではなく、リクエストを行うアカウントを調整します。例えば、アカウント A のアプリケーションがアカウント B の KMS キーを使用する場合、KMS キーの使用はアカウント A のクォータにのみ適用されます。
カスタムキーストアのリクエストクォータ
AWS KMS は、カスタムキーストア の KMS キーに対する暗号化オペレーションのリクエストクォータを維持します。これらのリクエストクォータは、カスタムキーストアごとに個別に計算されます。
カスタムキーストアのリクエストクォータ | 各カスタムキーストアのデフォルト値 (リクエスト数/秒) | 調整可能 |
---|---|---|
AWS CloudHSM キーストアリクエストクォータ | 1800 | なし |
外部キーストアのリクエストクォータ | 1800 | あり |
注記
AWS KMS カスタムキーストアのリクエストクォータは Service Quotas コンソールに表示されません。Service Quotas API オペレーションを使用して、これらのクォータを表示または管理することはできません。外部キーストアのリクエストクォータへの変更をリクエストするには、AWS Support センター
AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターが、カスタムキーストアとは関係のないコマンドなど、多数のコマンドを処理している場合、 を lower-than-expected 一定のレートThrottlingException
で取得 AWS KMS できます。この場合、リクエストレートを に下げるか AWS KMS、無関係な負荷を減らすか、 AWS CloudHSM キーストアに専用 AWS CloudHSM クラスターを使用します。
AWS KMS は、 ExternalKeyStoreThrottle CloudWatch メトリクス内の外部キーストアリクエストのスロットリングを報告します。このメトリクスを使用して、スロットリングパターンを表示したり、アラームを作成したり、外部キーストアのリクエストクォータを調整したりできます。
カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストは、2 クォータにカウントされます。
-
暗号化オペレーション (対称) のリクエストレートクォータ (アカウントあたり)
カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストは、各 AWS アカウント およびリージョンの
Cryptographic operations (symmetric) request rate
クォータにカウントされます。例えば、米国東部 (バージニア北部) (us-east-1) の場合、各 AWS アカウント は、カスタムキーストアで KMS キーを使用するリクエストを含め、対称暗号化 KMS キーに対して 1 秒あたり最大 5 万リクエストを処理できます。 カスタムキーストアのリクエストクォータ (カスタムキーストアあたり)
カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストも、1 秒あたり 1,800 オペレーションの
Custom key store request quota
にカウントされます。これらのクォータは、カスタムキーストアごとに個別に計算されます。カスタムキーストアで KMS キー AWS アカウント を使用する複数の からのリクエストが含まれる場合があります。
例えば、米国東部 (バージニア北部) (us-east-1) リージョンのカスタムキーストア (いずれかのタイプ) の KMS キーに対する暗号化オペレーションは、アカウントとリージョンの Cryptographic operations (symmetric) request rate
アカウントレベルのクォータ (1秒あたり5万リクエスト)、およびカスタムキーストアの Custom key
store request quota
(1秒あたり1,800 リクエスト) にカウントされます。ただし、カスタムキーストアの KMS キーに対する などの管理オペレーションのリクエストはPutKeyPolicy、アカウントレベルのクォータ (1 秒あたり 15 リクエスト) にのみ適用されます。