クォータのリクエスト - AWS Key Management Service
各 AWS KMS API オペレーションのリクエストクォータリクエストクォータの適用暗号化オペレーションの共有クォータユーザーに代わって API が実行するリクエストクロスアカウントリクエストカスタムキーストアのリクエストクォータ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クォータのリクエスト

AWS KMS は、1 秒ごとにリクエストされた API オペレーションの数のクォータを確立します。リクエストクォータは、API オペレーション、 AWS リージョン、および KMS キータイプなどのその他の要因によって異なります。API リクエストのクォータを超えると、 AWS KMS はリクエスト をスロットリングします

キーストア AWS KMS リクエストクォータ を除き、すべてのリクエストクォータは調整可能です。 AWS CloudHSMクォータの引き上げをリクエストするには、「Service Quotas ユーザーガイド」の「クォータ引き上げリクエスト」を参照してください。クォータの削減をリクエストしたり、Service Quotas にリストされていないクォータを変更したり、 の Service Quotas AWS リージョン が AWS KMS 利用できない のクォータを変更したりするには、 AWS Support センターにアクセスしてケースを作成してください。

GenerateDataKey オペレーションのリクエストクォータを超えている場合は、 のデータキーキャッシュ機能の使用を検討してください AWS Encryption SDK。データキーを再利用すると、 へのリクエストの頻度が低下する可能性があります AWS KMS。

リクエストクォータに加えて、 はリソースクォータ AWS KMS を使用してすべてのユーザーの容量を確保します。詳細については、「リソースクォータ」を参照してください。

リクエストレートのトレンドを表示するには、Service Quotas コンソールを使用してください。リクエストレートがクォータ値の特定の割合に達したときに警告する Amazon CloudWatch アラームを作成することもできます。詳細については、 AWS セキュリティブログService Quotas と Amazon を使用して AWS KMS API リクエストレート CloudWatchを管理する」を参照してください。

各 AWS KMS API オペレーションのリクエストクォータ

この表は、Service Quotas クォータコードと各 AWS KMS リクエストクォータのデフォルト値を示しています。キーストア AWS KMS リクエストクォータ を除き、すべてのリクエストクォータは調整可能です。 AWS CloudHSM

注記

この表のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。

クォータ名 デフォルト値 (1 秒あたりのリクエスト)

Cryptographic operations (symmetric) request rate

適用先:

  • Decrypt

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateMac

  • GenerateRandom

  • ReEncrypt

  • VerifyMac

これらの共有クォータは、 AWS リージョン およびリクエストで使用される KMS キーのタイプによって異なります。各クォータは個別に計算されます。

  • 5,500 (共有)

  • 以下のリージョンでは 10,000 (共有):

    • 米国東部 (オハイオ)、us-east-2

    • アジアパシフィック (シンガポール)、ap-southeast-1

    • アジアパシフィック (シドニー)、ap-southeast-2

    • アジアパシフィック (東京)、ap-norteast-1

    • ヨーロッパ (フランクフルト)、eu-central-1

    • ヨーロッパ (ロンドン)、eu–west-2

  • 以下のリージョンでは 50,000 (共有):

    • 米国東部 (バージニア北部)、us-east-1

    • 米国西部 (オレゴン)、us-west-2

    • ヨーロッパ (アイルランド)、eu-west-1

Cryptographic operations (RSA) request rate

適用先:

  • Decrypt

  • Encrypt

  • ReEncrypt

  • Sign

  • Verify

RSA KMS キーの場合は 500 (共有)

Cryptographic operations (ECC and SM2) request rate

適用先:

  • Decrypt— SM2 (中国リージョンのみ) KMS キーでのみサポート

  • Encrypt— SM2 (中国リージョンのみ) KMS キーでのみサポート

  • ReEncrypt— SM2 (中国リージョンのみ) KMS キーでのみサポート

  • Sign

  • Verify

楕円曲線 (ECC) および SM2 (中国リージョンのみ) KMS キーの場合は 300 (共有)

Custom key store request quotas

適用先:

  • Decrypt

  • DeriveSharedSecret

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateRandom

  • ReEncrypt

 カスタムキーストアのリクエストクォータは、カスタムキーストアごとに個別に計算されます。

  • AWS CloudHSM キーストアごとに 1,800 (共有)

  • 外部キーストアごとに 1,800 (共有)

CancelKeyDeletion request rate

 5

ConnectCustomKeyStore request rate

 5

CreateAlias request rate

 5

CreateCustomKeyStore request rate

 5

CreateGrant request rate

 50

CreateKey request rate

 5

DeleteAlias request rate

 15

DeleteCustomKeyStore request rate

 5

DeleteImportedKeyMaterial request rate

 5

DescribeCustomKeyStores request rate

 5

DescribeKey request rate

 2000

DisableKey request rate

 5

DisableKeyRotation request rate

 5

DisconnectCustomKeyStore request rate

 5

EnableKey request rate

 5

EnableKeyRotation request rate

 15

GenerateDataKeyPair (ECC_NIST_P256) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P384) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P521) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_SECG_P256K1) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (RSA_2048) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

1

GenerateDataKeyPair (RSA_3072) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0.5 (2 秒に 1 回)

GenerateDataKeyPair (RSA_4096) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0.1 (10 秒に 1 回)

GenerateDataKeyPair (SM2 — China Regions only) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

25

GetKeyPolicy request rate

 1,000

GetKeyRotationStatus request rate

 1,000

GetParametersForImport request rate

 0.25 (4 秒に 1 回)

GetPublicKey request rate

 2000

ImportKeyMaterial request rate

 5

ListAliases request rate

 500

ListGrants request rate

 100

ListKeyPolicies request rate

 100

ListKeys request rate

 500

ListKeyRotations request rate

 100

ListResourceTags request rate

 2000

ListRetirableGrants request rate

 100

PutKeyPolicy request rate

 15
ReplicateKey request rate

ReplicateKey オペレーションは、プライマリキーのリージョンでは 1 つ ReplicateKey リクエスト、レプリカのリージョンでは 2 つの CreateKey リクエストとしてカウントされます。以下のうち 1 つの CreateKey リクエストは、キー作成前に潜在的な問題を検出するためのドライランです。

 5

RetireGrant request rate

 30

RevokeGrant request rate

 30

RotateKeyOnDemand request rate

 5

ScheduleKeyDeletion request rate

 15

TagResource request rate

 10

UntagResource request rate

 5

UpdateAlias request rate

 5

UpdateCustomKeyStore request rate

 5

UpdateKeyDescription request rate

 5

UpdatePrimaryRegion request rate

UpdatePrimaryRegion オペレーションは、2 つの影響を受けるリージョンごとに、1 つのリクエストとしてカウントされる、2 つの UpdatePrimaryRegion リクエストです。

 5

リクエストクォータの適用

リクエストクォータを確認するときは、次の点に注意してください。

  • リクエストクォータは、カスタマーマネージドキーAWS マネージドキー の両方に適用されます。の使用はAWS 所有のキー、 アカウントのリソースを保護するために使用されている場合でも AWS アカウント、 のリクエストクォータにはカウントされません。

  • リクエストクォータは、FIPS エンドポイントおよび非 FIPS エンドポイントに送信されるリクエストに適用されます。 AWS KMS サービスエンドポイントのリストについては、「」のAWS Key Management Service 「 エンドポイントとクォータ」を参照してください AWS 全般のリファレンス。

  • スロットリングは、リージョン内のすべてのタイプの KMS キーに対するすべてのリクエストに基づいています。この合計には、ユーザーに代わって のサービスからのリクエストを含む AWS アカウント、 内のすべてのプリンシパルからの AWS リクエストが含まれます。

  • 各要求クォータは個別に計算されます。例えば、 CreateKeyオペレーションのリクエストは、 CreateAliasオペレーションのリクエストクォータには影響しません。CreateAlias リクエストが調整されていても、CreateKey リクエストは正常に完了できます。

  • 暗号化オペレーションはクォータを共有しますが、共有クォータは他のオペレーションのクォータとは無関係に計算されます。例えば、暗号化オペレーションと復号オペレーションの呼び出しはリクエストクォータを共有しますが、そのクォータは などの管理オペレーションのクォータとは無関係ですEnableKey。例えば、欧州 (ロンドン) リージョンでは、対称 KMS キーに対して 10,000 オペレーションの暗号化オペレーションに加えて、スロットルなしで 1 秒あたり 5 回の EnableKey オペレーションを実行できます。

暗号化オペレーションの共有クォータ

AWS KMS 暗号化オペレーションはリクエストクォータを共有します。KMS キーでサポートされている暗号化オペレーションの任意の組み合わせをリクエストできます。これにより、暗号化オペレーションの合計数がそのタイプの KMS キーのリクエストクォータを超過しません。例外は GenerateDataKeyPairと でGenerateDataKeyPairWithoutPlaintext、個別のクォータを共有します。

異なるタイプの KMS キーのクォータは、個別に計算されます。各クォータは、1 秒間隔で指定されたキータイプを持つ AWS アカウント およびリージョンで、これらのオペレーションに対するすべてのリクエストに適用されます。

  • 暗号化オペレーション (対称) リクエストの頻度は、アカウントとリージョンで対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。このクォータは、対称暗号化キーと、同じく対称である HMAC キーでの暗号化オペレーションに適用されます。

    例えば、1 秒あたり 10,000 リクエストの共有クォータ AWS リージョン を持つ で対称 KMS キーを使用しているとします。1 秒あたり 7,000 件のGenerateDataKeyリクエストと 1 秒あたり 2,000 件の Decrypt リクエストを行う場合、リクエストをスロット AWS KMS リングしないでください。ただし、毎秒 9,500 件の GenerateDataKey リクエストと 1,000 件の Encrypt リクエストを行うと、共有クォータを超えているため、 AWS KMS はリクエストを制限します。

    カスタムキーストア内の対称暗号化 KMS キーに対する暗号化オペレーションは、アカウントの暗号化オペレーション (対称) リクエストレートおよびカスタムキーストアのカスタムキーストアのリクエストクォータの両方にカウントされます。

  • 暗号化オペレーション (RSA) リクエストの頻度は、RSA 非対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。

    例えば、1 秒あたり 500 オペレーションのリクエストクォータでは、暗号化および復号が可能な RSA KMS キーを使用して、200 件の Encrypt リクエストと 100 件の Decrypt リクエストを実行できます。加えて、署名と検証が可能な RSA KMS キーを使用して、50 件の Sign リクエストと 150 件の Verify リクエストを実行できます。

  • 暗号化オペレーション (ECC) リクエストの頻度は、楕円曲線 (ECC) 非対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。

    例えば、リクエストクォータが 1 秒あたり 300 オペレーションであれば、署名と検証が可能な RSA KMS キーを使用して、100 件の署名リクエストと 200 件の検証リクエストを実行できます。

  • 暗号化オペレーション (SM - 中国リージョンのみ) リクエストの頻度は、SM 非対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。

    例えば、1 秒あたり 300 オペレーションのリクエストクォータでは、暗号化および復号が可能な SM2 KMS キーを使用して、100 件の Encrypt リクエストと 100 件の Decrypt リクエストを実行できます。加えて、署名と検証が可能な SM2 KMS キーを使用して、50 件の Sign リクエストと 50 件の Verify リクエストを実行できます。

  • カスタムキーストアのリクエストクォータは、カスタムキーストアの KMS キーに対する暗号化オペレーションの共有リクエストクォータです。このクォータは、各カスタムキーストアで個別に計算されます。

    カスタムキーストア内の対称暗号化 KMS キーに対する暗号化オペレーションは、アカウントの暗号化オペレーション (対称) リクエストレートおよびカスタムキーストアのカスタムキーストアのリクエストクォータの両方にカウントされます。

異なるキータイプのクォータも個別に計算されます。例えば、アジアパシフィック (シンガポール) リージョンでは、対称および非対称の KMS キーの両方を使用する場合、対称 KMS キー (HMAC キーを含む) を使用した 1 秒あたり最大 10,000 件の呼び出しに加えて、RSA 非対称 KMS キーを使用した 1 秒あたり最大 500 件の追加呼び出しと、ECC ベースの KMS キーを使用した 1 秒あたり最大 300 件の追加リクエストを実行できます。

ユーザーに代わって API が実行するリクエスト

API リクエストは、直接行うか、 AWS KMS ユーザーに代わって に API リクエストを行う統合 AWS サービスを使用して行うことができます。クォータはどちらの種類のリクエストにも適用されます。

たとえば、KMS キー (SSE-KMS) によるサーバー側の暗号化を使用して Amazon S3 にデータを保存できます。SSE-KMS で暗号化された S3 オブジェクトをアップロードまたはダウンロードするたびに、Amazon S3 はユーザーに代わって GenerateDataKey (アップロードの場合) または Decrypt (ダウンロードの場合) リクエストを AWS KMS に送ります。これらのリクエストはクォータにカウントされるため、SSE-KMS で暗号化された S3 オブジェクトの 1 秒あたりのアップロードまたはダウンロードの合計数が 5,500 (または に応じて 10,000 または 50,000 AWS リージョン) を超える場合、 はリクエスト AWS KMS を調整します。

クロスアカウントリクエスト

ある のアプリケーションが別のアカウントが所有する KMS キー AWS アカウント を使用する場合、クロスアカウントリクエスト と呼ばれます。クロスアカウントリクエストでは、 AWS KMS は、KMS キーを所有するアカウントではなく、リクエストを行うアカウントを調整します。例えば、アカウント A のアプリケーションがアカウント B の KMS キーを使用する場合、KMS キーの使用はアカウント A のクォータにのみ適用されます。

カスタムキーストアのリクエストクォータ

AWS KMS は、カスタムキーストア の KMS キーに対する暗号化オペレーションのリクエストクォータを維持します。これらのリクエストクォータは、カスタムキーストアごとに個別に計算されます。

カスタムキーストアのリクエストクォータ 各カスタムキーストアのデフォルト値 (リクエスト数/秒) 調整可能
AWS CloudHSM キーストアリクエストクォータ 1800 なし
外部キーストアのリクエストクォータ 1800 あり
注記

AWS KMS カスタムキーストアのリクエストクォータは Service Quotas コンソールに表示されません。Service Quotas API オペレーションを使用して、これらのクォータを表示または管理することはできません。外部キーストアのリクエストクォータへの変更をリクエストするには、AWS Support センターにアクセスしてケースを作成します。

AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターが、カスタムキーストアとは関係のないコマンドなど、多数のコマンドを処理している場合、 を lower-than-expected 一定のレートThrottlingExceptionで取得 AWS KMS できます。この場合、リクエストレートを に下げるか AWS KMS、無関係な負荷を減らすか、 AWS CloudHSM キーストアに専用 AWS CloudHSM クラスターを使用します。

AWS KMS は、 ExternalKeyStoreThrottle CloudWatch メトリクス内の外部キーストアリクエストのスロットリングを報告します。このメトリクスを使用して、スロットリングパターンを表示したり、アラームを作成したり、外部キーストアのリクエストクォータを調整したりできます。

カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストは、2 クォータにカウントされます。

  • 暗号化オペレーション (対称) のリクエストレートクォータ (アカウントあたり)

    カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストは、各 AWS アカウント およびリージョンの Cryptographic operations (symmetric) request rate クォータにカウントされます。例えば、米国東部 (バージニア北部) (us-east-1) の場合、各 AWS アカウント は、カスタムキーストアで KMS キーを使用するリクエストを含め、対称暗号化 KMS キーに対して 1 秒あたり最大 5 万リクエストを処理できます。

  • カスタムキーストアのリクエストクォータ (カスタムキーストアあたり)

    カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストも、1 秒あたり 1,800 オペレーションの Custom key store request quota にカウントされます。これらのクォータは、カスタムキーストアごとに個別に計算されます。カスタムキーストアで KMS キー AWS アカウント を使用する複数の からのリクエストが含まれる場合があります。

例えば、米国東部 (バージニア北部) (us-east-1) リージョンのカスタムキーストア (いずれかのタイプ) の KMS キーに対する暗号化オペレーションは、アカウントとリージョンの Cryptographic operations (symmetric) request rate アカウントレベルのクォータ (1秒あたり5万リクエスト)、およびカスタムキーストアの Custom key store request quota (1秒あたり1,800 リクエスト) にカウントされます。ただし、カスタムキーストアの KMS キーに対する などの管理オペレーションのリクエストはPutKeyPolicy、アカウントレベルのクォータ (1 秒あたり 15 リクエスト) にのみ適用されます。