각 작업에 대한 할당량 요청 AWS KMS API 요청 할당량 적용 암호화 작업에 대한 공유 할당량 API사용자를 대신하여 이루어진 요청 교차 계정 요청 사용자 지정 키 스토어 요청 할당량

요청 할당량

AWS KMS 초당 요청된 API 작업 수에 대한 할당량을 설정합니다. 요청 할당량은 API 작업 AWS 리전, 및 기타 요소 (예: 키 유형) 에 따라 다릅니다. KMS API요청 할당량을 초과할 경우 요청을 AWS KMS 제한합니다.

AWS CloudHSM 키 AWS KMS 스토어 요청 할당량을 제외한 모든 요청 할당량은 조정 가능합니다. 할당량 증가를 요청하려면 Service Quotas 사용 설명서의 할당량 증가 요청을 참조하세요. 할당량 감소를 요청하거나, Service Quotas에 나열되지 않은 할당량을 변경하거나, AWS 리전 Service Quotas를 사용할 수 없는 AWS KMS 경우 할당량을 변경하려면 센터를 방문하여 사례를 생성하십시오.AWS Support

GenerateDataKey작업에 대한 요청 할당량을 초과하는 경우 의 데이터 키 캐싱 기능을 사용해 보십시오. AWS Encryption SDK데이터 키를 재사용하면 요청 빈도가 줄어들 수 있습니다. AWS KMS

요청 할당량 외에도 리소스 할당량을 AWS KMS 사용하여 모든 사용자의 용량을 보장합니다. 세부 정보는 리소스 할당량을 참조하세요.

요청 비율의 추세를 보려면 Service Quotas 콘솔을 사용하세요. 요청 비율이 할당량 값의 특정 비율에 도달하면 알려주는 Amazon CloudWatch 경보를 생성할 수도 있습니다. 자세한 내용은 보안 블로그의 Service Quotas 및 CloudWatch AWS Amazon을 사용한 AWS KMS API 요청 비율 관리를 참조하십시오.

각 작업에 대한 할당량 요청 AWS KMS API

이 표에는 Service Quotas 할당량 코드와 각 요청 할당량의 기본값이 나열되어 있습니다. AWS KMS AWS CloudHSM 키 AWS KMS 스토어 요청 할당량을 제외한 모든 요청 할당량은 조정 가능합니다.

참고

이 테이블의 모든 데이터를 보려면 가로 또는 세로로 스크롤해야 할 수도 있습니다.

할당량 이름	기본값(초당 요청 수)
`Cryptographic operations (symmetric) request rate` 적용 대상: `Decrypt` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateMac` `GenerateRandom` `ReEncrypt` `VerifyMac`	이러한 공유 할당량은 요청에 사용된 KMS 키 유형 AWS 리전 및 키에 따라 달라집니다. 각 할당량은 별도로 계산됩니다. 10,000개 (공유) 다음 지역에서 20,000개 (공유) 미국 동부(오하이오) us-east-2 아시아 태평양(싱가포르) ap-southeast-1 아시아 태평양(시드니) ap-southeast-2 아시아 태평양(도쿄) ap-northeast-1 EU(프랑크푸르트) eu-central-1 EU(런던) eu-west-2 다음 지역의 100,000개 (공유): 미국 동부(버지니아 북부), us-east-1 미국 서부(오리건), us-west-2 유럽(아일랜드) eu-west-1
`Cryptographic operations (RSA) request rate` 적용 대상: `Decrypt` `Encrypt` `ReEncrypt` `Sign` `Verify`	RSAKMS키당 1,000개 (공유)
`Cryptographic operations (ECC and SM2) request rate` 적용 대상: `Decrypt`SM2—( 중국 지역만 해당) KMS 키에만 지원 `DeriveSharedSecret` `Encrypt`SM2—( 중국 지역만 해당) 키에 대해서만 지원됩니다. KMS `ReEncrypt`SM2—( 중국 지역만 해당) 키에 대해서만 지원됩니다. KMS `Sign` `Verify`	타원 곡선 () 키의 경우 1,000 (공유ECC), 키 SM2 (중국 지역만 해당) KMS
`Custom key store request quotas` 적용 대상: `Decrypt` `DeriveSharedSecret` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateRandom` `ReEncrypt`	사용자 지정 키 스토어 요청 할당량은 각 사용자 지정 키 스토어에 별도로 계산됩니다. 각 키 스토어당 1,800개 (공유) AWS CloudHSM 각 외부 키 스토어에 대해 1,800회(공유)
`CancelKeyDeletion request rate`	5
`ConnectCustomKeyStore request rate`	5
`CreateAlias request rate`	5
`CreateCustomKeyStore request rate`	5
`CreateGrant request rate`	50
`CreateKey request rate`	5
`DeleteAlias request rate`	15
`DeleteCustomKeyStore request rate`	5
`DeleteImportedKeyMaterial request rate`	15
`DescribeCustomKeyStores request rate`	5
`DescribeKey request rate`	2000
`DisableKey request rate`	5
`DisableKeyRotation request rate`	5
`DisconnectCustomKeyStore request rate`	5
`EnableKey request rate`	5
`EnableKeyRotation request rate`	15
`GenerateDataKeyPair (ECC_NIST_P256) request rate` 적용 대상: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P384) request rate` 적용 대상: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P521) request rate` 적용 대상: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_SECG_P256K1) request rate` 적용 대상: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (RSA_2048) request rate` 적용 대상: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	1
`GenerateDataKeyPair (RSA_3072) request rate` 적용 대상: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0.5(2초 간격으로 1)
`GenerateDataKeyPair (RSA_4096) request rate` 적용 대상: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0.1(10초 간격으로 1)
`GenerateDataKeyPair (SM2 — China Regions only) request rate` 적용 대상: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	25
`GetKeyPolicy request rate`	1000
`GetKeyRotationStatus request rate`	1000
`GetParametersForImport request rate`	0.25(4초 간격으로 1)
`GetPublicKey request rate`	2000
`ImportKeyMaterial request rate`	15
`ListAliases request rate`	500
`ListGrants request rate`	100
`ListKeyPolicies request rate`	100
`ListKeys request rate`	500
`ListKeyRotations request rate`	100
`ListResourceTags request rate`	2000
`ListRetirableGrants request rate`	100
`PutKeyPolicy request rate`	15
`ReplicateKey request rate` `ReplicateKey` 작업은 기본 키의 지역에서 하나의 `ReplicateKey` 요청으로 계산되고 복제본의 지역에서 두 개의 `CreateKey` 요청으로 계산됩니다. `CreateKey` 요청 중 하나는 키를 생성하기 전에 잠재적인 문제를 감지하기 위한 테스트 실행입니다.	5
`RetireGrant request rate`	50
`RevokeGrant request rate`	50
`RotateKeyOnDemand request rate`	5
`ScheduleKeyDeletion request rate`	15
`TagResource request rate`	10
`UntagResource request rate`	5
`UpdateAlias request rate`	5
`UpdateCustomKeyStore request rate`	5
`UpdateKeyDescription request rate`	5
`UpdatePrimaryRegion request rate` `UpdatePrimaryRegion` 작업은 두 개의 `UpdatePrimaryRegion` 요청, 즉 영향을 받는 두 리전 각각에서 하나의 요청으로 계산됩니다.	5

요청 할당량 적용

요청 할당량 검토 시 다음 정보에 유의하십시오.

요청 할당량은 고객 관리형 키 및 AWS 관리형 키 둘 다에 적용됩니다. 를 사용하면 계정 AWS 계정내 리소스를 보호하는 데 사용한 경우에도 요청 할당량 산정에 포함되지 AWS 소유 키않습니다.
요청 할당량은 엔드포인트 및 비 FIPS 엔드포인트로 전송된 요청에 적용됩니다. FIPS AWS KMS 서비스 엔드포인트 목록은 의 엔드포인트 및 할당량을 참조하십시오AWS Key Management Service . AWS 일반 참조
스로틀링은 지역 내 모든 유형의 KMS 키에 대한 모든 요청을 기반으로 합니다. 이 총계에는 사용자를 대신한 AWS 서비스에서 보낸 요청을 포함하여 에 있는 모든 AWS 계정주체의 요청이 포함됩니다.
각 요처 할당량은 독립적으로 계산됩니다. 예를 들어, 작업 요청은 해당 CreateKey작업의 요청 할당량에 영향을 주지 않습니다. CreateAlias CreateAlias 요청이 제한되는 경우에도 CreateKey 요청이 성공적으로 완료될 수 있습니다.
암호화 작업이 할당량을 공유하지만 공유 할당량은 다른 작업에 대한 할당량과 독립적으로 계산됩니다. 예를 들어 암호화 및 암호 해독 작업에 대한 호출은 요청 할당량을 공유하지만 해당 할당량은 관리 작업 (예:) 의 할당량과는 독립적입니다. EnableKey 예를 들어 유럽 (런던) 지역에서는 병목 현상 없이 대칭 KMS 키에 대해 10,000개의 암호화 작업과 초당 5회의 EnableKey 작업을 수행할 수 있습니다.

암호화 작업에 대한 공유 할당량

AWS KMS 암호화 작업은 요청 할당량을 공유합니다. 총 암호화 작업 수가 해당 KMS 키 유형에 대한 요청 할당량을 초과하지 않도록 키에서 지원하는 암호화 작업을 원하는 대로 조합하여 요청할 수 있습니다. KMS 예외는 별도의 할당량을 공유하는 GenerateDataKeyPair및 GenerateDataKeyPairWithoutPlaintext입니다.

여러 유형의 KMS 키에 대한 할당량은 독립적으로 계산됩니다. 각 할당량은 각 1초 간격으로 지정된 키 유형을 사용하는 AWS 계정 및 지역에서 이러한 작업에 대한 모든 요청에 적용됩니다.

암호화 작업 (대칭) 요청 비율은 계정 및 지역에서 대칭 KMS 키를 사용하는 암호화 작업에 대한 공유 요청 할당량입니다. 이 할당량은 대칭형 암호화 키 및 HMAC 키 (대칭이기도 함) 를 사용하는 암호화 작업에 적용됩니다.

예를 들어 공유 할당량이 초당 10,000개 요청인 AWS 리전 에서 대칭 KMS 키를 사용할 수 있습니다. 초당 7,000개의 GenerateDataKey요청과 초당 2,000개의 암호 해독 요청을 할 때 요청의 병목 현상이 AWS KMS 발생하지 않습니다. 그러나 매초 9,500건의 GenerateDataKey 요청과 1,000건의 Encrypt 요청을 하는 경우 공유 제한을 초과하므로 AWS KMS 는 요청을 제한합니다.

사용자 지정 KMS 키 스토어의 대칭 암호화 키에 대한 암호화 작업은 계정에 대한 암호화 작업 (대칭) 요청 비율과 사용자 지정 키 저장소의 사용자 지정 키 저장소 요청 할당량 모두에 포함됩니다.
암호화 작업 (RSA) 요청 속도는 비대칭 키를 사용하는 암호화 작업에 대한 공유 요청 할당량입니다. RSA KMS

예를 들어 요청 할당량이 초당 1,000회 작업인 경우 암호화 및 복호화가 가능한 키를 포함한 400개의 암호화 요청과 200개의 암호 해독 요청을 수행할 수 있으며 서명 및 확인이 가능한 RSA KMS 키를 포함한 250개의 서명 요청과 150개의 확인 요청을 수행할 수 있습니다. RSA KMS
암호화 작업 (ECC) 요청 속도는 타원 곡선 () 비대칭 키와 SM 비대칭 키를 사용하는 암호화 작업에 대한 공유 요청 할당량입니다. ECC KMS KMS

예를 들어 요청 할당량이 초당 1,000개의 작업인 경우 서명 및 확인이 가능한 키를 사용하여 400개의 서명 요청과 200개의 확인 요청을 수행할 수 있으며 서명 및 확인이 가능한 ECC KMS 키를 사용하여 250개의 서명 요청과 150개의 확인 요청을 수행할 수 있습니다. SM2 KMS
사용자 지정 키 저장소 요청 할당량은 사용자 지정 키 스토어의 KMS 키에 대한 암호화 작업에 대한 공유 요청 할당량입니다. 이 할당량은 각 사용자 지정 키 스토어에 별도로 계산됩니다.

사용자 지정 KMS 키 스토어의 대칭 암호화 키에 대한 암호화 작업은 계정의 암호화 작업 (대칭) 요청 비율과 사용자 지정 키 저장소의 사용자 지정 키 저장소 요청 할당량 모두에 포함됩니다.

다른 키 유형에 대한 할당량도 독립적으로 계산됩니다. 예를 들어 아시아 태평양 (싱가포르) 지역에서 대칭 키와 비대칭 KMS 키를 모두 사용하는 경우 대칭 키 (키 포함) 로 초당 최대 10,000건의 전화를 걸 수 있으며, RSA 비대칭 HMAC KMS 키로 초당 최대 500건의 추가 통화를 할 수 있으며, ECC 기반 KMS 키로 초당 최대 300건의 추가 요청을 할 수 있습니다. KMS

API사용자를 대신하여 이루어진 요청

직접 API 요청하거나 본인을 대신하여 API 요청하는 통합 AWS 서비스를 사용하여 요청할 수 있습니다. AWS KMS 이 할당량은 두 유형의 요청에 모두 적용됩니다.

예를 들어 KMS 키 (SSE-KMS) 를 사용한 서버 측 암호화를 사용하여 Amazon S3에 데이터를 저장할 수 있습니다. SSEKMS-로 암호화된 S3 객체를 업로드하거나 다운로드할 때마다 Amazon S3는 사용자를 대신하여 GenerateDataKey (업로드용) 또는 Decrypt (다운로드용) 요청을 보냅니다. AWS KMS 이러한 요청은 할당량에 포함되므로 AWS KMS , -로 암호화된 S3 객체의 초당 업로드 또는 다운로드 합계가 5,500개 (또는 사용자에 따라 10,000개 또는 50,000개 AWS 리전) 를 초과하는 경우 요청이 제한됩니다. SSE KMS

교차 계정 요청

한 애플리케이션의 한 애플리케이션이 다른 계정에서 소유한 KMS 키를 AWS 계정 사용하는 경우를 교차 계정 요청이라고 합니다. 교차 계정 요청의 경우 AWS KMS 키를 소유한 계정이 아니라 요청을 하는 계정을 제한합니다. KMS 예를 들어 계정 A의 애플리케이션이 계정 B의 KMS 키를 사용하는 경우 키 사용은 계정 A의 KMS 할당량에만 적용됩니다.

사용자 지정 키 스토어 요청 할당량

AWS KMS 사용자 지정 KMS 키 저장소의 키에 대한 암호화 작업에 대한 요청 할당량을 유지합니다. 이러한 요청 할당량은 각 사용자 지정 키 스토어에 별도로 계산됩니다.

사용자 지정 키 스토어 요청 할당량	각 사용자 지정 키 스토어의 기본값(초당 요청 수)	조정 가능
AWS CloudHSM 키 스토어 요청 할당량	1800	아니요
외부 키 스토어 요청 할당량	1800	예

참고

AWS KMS 사용자 지정 키 스토어 요청 할당량은 Service Quotas 콘솔에 표시되지 않습니다. Service Quotas 작업을 사용하여 이러한 할당량을 보거나 관리할 수 없습니다. API 외부 키 스토어 요청 할당량 변경을 요청하려면 AWS Support 센터를 방문하여 사례를 생성하세요.

키 스토어와 연결된 AWS CloudHSM 클러스터가 사용자 지정 AWS CloudHSM 키 스토어와 관련이 없는 명령을 포함하여 여러 명령을 처리하는 경우 요금이 부과될 수 있습니다. AWS KMS ThrottlingException lower-than-expected 이런 경우에는 요청 비율을 로 AWS KMS낮추거나 관련 없는 부하를 줄이거나 AWS CloudHSM 키 스토어 전용 AWS CloudHSM 클러스터를 사용하세요.

AWS KMS 지표에서 외부 키 스토어 요청의 병목 현상을 보고합니다. ExternalKeyStoreThrottle CloudWatch 이 지표를 사용하여 제한 패턴을 보고, 경보를 생성하고, 외부 키 스토어 요청 할당량을 조정할 수 있습니다.

사용자 지정 KMS 키 스토어의 키에 대한 암호화 작업 요청은 할당량 2개에 해당합니다.

암호화 작업(대칭) 요청 빈도 할당량(계정당)

사용자 지정 KMS 키 스토어의 키에 대한 암호화 작업 요청은 각 및 지역의 Cryptographic operations (symmetric) request rate 할당량에 포함됩니다. AWS 계정 예를 들어, 미국 동부 (버지니아 북부) (us-east-1) 에서는 AWS 계정 각각 사용자 지정 키 저장소의 키를 사용하는 KMS 요청을 포함하여 대칭 KMS 암호화 키에 대해 초당 최대 50,000개의 요청을 처리할 수 있습니다.
사용자 지정 키 스토어 요청 할당량(사용자 지정 키 스토어당)

사용자 지정 KMS 키 스토어의 키에 대한 암호화 작업 요청도 초당 1,800건의 작업에 해당합니다. Custom key store request quota 이러한 할당량은 각 사용자 지정 키 스토어에 별도로 계산됩니다. 여기에는 사용자 지정 키 스토어의 KMS 키를 AWS 계정 사용하는 여러 개의 요청이 포함될 수 있습니다.

예를 들어 미국 동부 (버지니아 북부) (us-east-1) 지역의 사용자 지정 키 스토어 (두 유형 모두) 에 있는 키에 대한 암호화 작업은 해당 계정 및 지역의 Cryptographic operations (symmetric) request rate 계정 수준 할당량 (초당 50,000개 요청), 사용자 지정 키 스토어의 경우 (초당 1,800개 요청) 에 포함됩니다. KMS Custom key store request quota 하지만 사용자 지정 KMS 키 스토어의 키에 대한 관리 작업 요청은 계정 수준 할당량 (초당 요청 15개) 에만 적용됩니다. PutKeyPolicy

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

리소스 할당량

요청 제한