As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Cotas
Para tornar AWS KMS responsivo e eficiente para todos os usuários, AWS KMS aplique dois tipos de cotas: cotas de recursos e cotas de solicitação. Cada cota é calculada independentemente para cada Região de cada Conta da AWS.
Todas as AWS KMS cotas são ajustáveis, exceto a cota de [recursos de rotação sob demanda e a cota](resource-limits.md#on-demand-rotation-resource-quota) de solicitação do [armazenamento de AWS CloudHSM chaves](requests-per-second.md#rps-key-stores). Para solicitar um aumento da cota, consulte [Requesting a quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) no *Guia do usuário do Service Quotas*. [Para solicitar uma redução de cota, alterar uma cota que não está listada nas Cotas de Serviço ou alterar uma cota em uma área em que as Cotas de Região da AWS Serviço não estejam disponíveis, visite AWS Support o Centro e crie um caso. AWS KMS](https://console.aws.amazon.com/support/home)
**Topics**
+ [Cotas de recurso](resource-limits.md)
+ [Cotas de solicitações](requests-per-second.md)
+ [Solicitações de AWS KMS limitação](throttling.md)
# Cotas de recurso
AWS KMS estabelece cotas de recursos para garantir que possa fornecer um serviço rápido e resiliente a todos os nossos clientes. Algumas cotas de recursos se aplicam somente aos recursos que você cria, mas não aos recursos que os AWS serviços criam para você. Os recursos que você usa, mas que não estão na sua Conta da AWS, como o [Chaves pertencentes à AWS](concepts.md#aws-owned-key), não contam em relação a essas cotas.
Se você exceder um limite de recurso, as solicitações para criar um recurso adicional desse tipo geram uma mensagem de erro `LimitExceededException`.
Todas as cotas de AWS KMS recursos são ajustáveis, exceto a cota de [recursos de rotação sob demanda](#on-demand-rotation-resource-quota). Para solicitar um aumento da cota, consulte [Requesting a quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) no *Guia do usuário do Service Quotas*. [Para solicitar uma redução de cota, alterar uma cota que não está listada nas Cotas de Serviço ou alterar uma cota em uma área em que as Cotas de Região da AWS Serviço não estejam disponíveis, visite AWS Support o Centro e crie um caso. AWS KMS](https://console.aws.amazon.com/support/home)
A tabela a seguir lista e descreve as cotas de AWS KMS recursos em cada Conta da AWS região.
| Nome da cota | Valor padrão | Aplica-se a | Ajustável |
| --- | --- | --- | --- |
| [AWS KMS keys](#kms-keys-limit) | 100.000 | Chaves gerenciadas pelo cliente | Sim |
| [Aliases por chave do KMS](#aliases-per-key) | 50 | Aliases criados pelo cliente | Sim |
| [Concessões por chave do KMS](#grants-per-key) | 50.000 | Chaves gerenciadas pelo cliente | Sim |
| [Cota de recurso de armazenamento de chaves personalizadas](#cks-resource-quota) | 10 | Conta da AWS e região | Sim |
| [Alternância sob demanda](#on-demand-rotation-resource-quota) | 25 | Chaves gerenciadas pelo cliente | Não |
Além das cotas de recursos, AWS KMS usa cotas de solicitação para garantir a capacidade de resposta do serviço. Para obter detalhes, consulte [Cotas de solicitações](requests-per-second.md).
## AWS KMS keys: 100,000
Você pode ter até 100.000 [chaves gerenciadas pelo cliente](concepts.md#customer-mgn-key) em cada região da sua Conta da AWS. Esta cota é aplicável a todas as chaves gerenciadas pelo cliente em todas as Regiões da AWS , independentemente da [especificação da chave](create-keys.md#key-spec) ou do [estado da chave](key-state.md). Cada chave do KMS é considerada um recurso. [Chaves gerenciadas pela AWS](concepts.md#aws-managed-key) e [Chaves pertencentes à AWS](concepts.md#aws-owned-key) não contam para essa cota.
## Aliases por chave do KMS: 50
É possível associar até 50 [aliases](kms-alias.md) a cada [chave gerenciada pelo cliente](concepts.md#customer-mgn-key). Os aliases AWS associados a [Chaves gerenciadas pela AWS](concepts.md#aws-managed-key)não são contabilizados nessa cota. É possível encontrar essa cota ao [criar](alias-create.md) ou [atualizar](alias-update.md) um alias.
**nota**
A ResourceAliases condição [kms:](conditions-kms.md#conditions-kms-resource-aliases) é efetiva somente quando a chave KMS está em conformidade com essa cota. Se uma chave do KMS exceder essa cota, as entidades principais autorizadas a usar essa chave pela condição `kms:ResourceAliases` terão acesso negado a ela. Para obter detalhes, consulte [Acesso negado devido à cota de aliases](troubleshooting-tags-aliases.md#access-denied-alias-quota).
A cota de aliases por chave KMS substitui a cota de aliases por região, que limitava o número total de aliases em cada região de um. Conta da AWS AWS KMS eliminou a cota de aliases por região.
## Concessões por chave do KMS: 50.000
Cada [chave gerenciada pelo cliente](concepts.md#customer-mgn-key) pode ter até 50.000 [concessões](grants.md), incluindo as concessões criadas pelos [serviços da AWS integrados ao AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration). Essa cota não se aplica a [Chaves gerenciadas pela AWS](concepts.md#aws-managed-key) ou a [Chaves pertencentes à AWS](concepts.md#aws-owned-key).
Um efeito dessa cota é que não é possível executar mais de 50.000 operações autorizadas por concessão que usam a mesma chave do KMS ao mesmo tempo. Depois de atingir a cota, será possível criar concessões na chave do KMS apenas quando uma concessão ativa for retirada ou revogada.
Por exemplo, quando você anexa um volume do Amazon Elastic Block Store (Amazon EBS) a uma instância do Amazon Elastic Compute Cloud (Amazon EC2), o volume é descriptografado para poder ser lido. Para obter permissão para descriptografar os dados, o Amazon EBS cria uma concessão para cada volume. Portanto, se todos os volumes do Amazon EBS usarem a mesma chave do KMS, não será possível anexar mais de 50.000 volumes de uma vez.
## Cota de recursos de armazenamento de chaves personalizado: 10
Você pode criar até 10 [lojas de chaves personalizadas](key-store-overview.md#custom-key-store-overview) em Conta da AWS cada região. Se você tentar criar mais, a [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operação falhará.
Essa cota se aplica ao número total de armazenamentos de chaves personalizados em cada conta e região, inclusive todos os [armazenamentos de chaves do AWS CloudHSM](keystore-cloudhsm.md) e [armazenamentos de chaves externas](keystore-external.md), independentemente do estado da conexão.
## Rotação sob demanda: 25
Você pode realizar a [rotação de chaves sob demanda](rotating-keys-on-demand.md) no máximo 25 vezes por chave KMS. Se você tentar realizar mais rotações sob demanda, a [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operação falhará.
Esta cota não é ajustável. Você não pode aumentá-lo usando Quotas de Serviço ou criando um caso em. AWS Support Para evitar atingir a cota de alternância sob demanda, recomendamos usar a [alternância automática de chaves](rotating-keys-enable.md) sempre que possível.
# Cotas de solicitações
AWS KMS estabelece cotas para o número de operações de API solicitadas em cada segundo. As cotas de solicitação diferem de acordo com a operação da API Região da AWS, a e outros fatores, como o tipo de chave KMS. Quando você excede uma cota de solicitação de API, AWS KMS [limita a solicitação.](throttling.md)
Todas as cotas de AWS KMS solicitação são ajustáveis, exceto a [cota de solicitação do armazenamento de AWS CloudHSM chaves](#rps-key-stores). Para solicitar um aumento da cota, consulte [Requesting a quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) no *Guia do usuário do Service Quotas*. [Para solicitar uma redução de cota, alterar uma cota que não está listada nas Cotas de Serviço ou alterar uma cota em uma área em que as Cotas de Região da AWS Serviço não estejam disponíveis, visite AWS Support o Centro e crie um caso. AWS KMS](https://console.aws.amazon.com/support/home)
Se você estiver excedendo a cota de solicitação para a [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operação, considere usar o recurso de armazenamento em [cache da chave de dados](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/data-key-caching.html) do. AWS Encryption SDK A reutilização de chaves de dados pode reduzir a frequência de suas solicitações para o. AWS KMS
Além de solicitar cotas, AWS KMS usa cotas de recursos para garantir a capacidade de todos os usuários. Para obter detalhes, consulte [Cotas de recurso](resource-limits.md).
Para visualizar as tendências em suas taxas de solicitação, use o [console do Service Quotas](https://console.aws.amazon.com/servicequotas). Você também pode criar um CloudWatch alarme [da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) que o alerta quando sua taxa de solicitação atingir uma determinada porcentagem do valor da cota. Para obter detalhes, consulte [Gerenciar suas taxas de solicitação de AWS KMS API usando Service Quotas e Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) no Blog de *AWS Segurança*.
**Topics**
+ [Solicite cotas para cada operação de AWS KMS API](#rps-table)
+ [Aplicar cotas de solicitações](#about-rate-limits)
+ [Cotas compartilhadas para operações de criptografia](#rps-shared-limit)
+ [Solicitações de API dofeitas em seu nome](#rps-from-service)
+ [Solicitações entre contas](#rps-cross-account)
+ [Cotas de solicitação de armazenamento de chaves personalizadas](#rps-key-stores)
## Solicite cotas para cada operação de AWS KMS API
Esta tabela lista o código da cota de [Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/) e o valor padrão para cada AWS KMS cota de solicitação. Todas as cotas de AWS KMS solicitação são ajustáveis, exceto a [cota de solicitação do armazenamento de AWS CloudHSM chaves](#rps-key-stores).
**nota**
Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados nessa tabela.
| Nome da cota | Valor padrão (solicitações por segundo) |
| --- | --- |
| `Cryptographic operations (symmetric) request rate` Aplica-se a: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | Essas cotas compartilhadas variam de acordo com o tipo Região da AWS e o tipo de chave KMS usada na solicitação. Cada cota é calculada separadamente. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) |
| `Cryptographic operations (RSA) request rate` Aplica-se a:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | 1.000 (compartilhada) para chaves do KMS RSA |
| `Cryptographic operations (ML-DSA) request rate` Aplica-se a: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | 1.000 (compartilhado) para chaves do KMS ML-DSA |
| `Cryptographic operations (ECC and SM2) request rate` Aplica-se a:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | 1.000 (compartilhadas) para chaves KMS de curva elíptica (ECC) e (somente regiões da SM2 China) |
| `Custom key store request quotas` Aplica-se a: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | As [cotas de solicitação de armazenamento de chaves personalizadas](#rps-key-stores) são calculadas separadamente para cada armazenamento de chaves personalizadas.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) |
| `CancelKeyDeletion request rate` | 5 |
| `ConnectCustomKeyStore request rate` | 5 |
| `CreateAlias request rate` | 5 |
| `CreateCustomKeyStore request rate` | 5 |
| `CreateGrant request rate` | 50 |
| `CreateKey request rate` | 5 |
| `DeleteAlias request rate` | 15 |
| `DeleteCustomKeyStore request rate` | 5 |
| `DeleteImportedKeyMaterial request rate` | 15 |
| `DescribeCustomKeyStores request rate` | 5 |
| `DescribeKey request rate` | 2000 |
| `DisableKey request rate` | 5 |
| `DisableKeyRotation request rate` | 5 |
| `DisconnectCustomKeyStore request rate` | 5 |
| `EnableKey request rate` | 5 |
| `EnableKeyRotation request rate` | 15 |
| `GenerateDataKeyPair (ECC_NIST_P256) request rate` Aplica-se a: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_NIST_P384) request rate` Aplica-se a: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_NIST_P521) request rate` Aplica-se a: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_SECG_P256K1) request rate` Aplica-se a: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (ECC_NIST_EDWARDS25519) request rate` Aplica-se a: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | 100 |
| `GenerateDataKeyPair (RSA_2048) request rate` Aplica-se a: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | 20 |
| `GenerateDataKeyPair (RSA_3072) request rate` Aplica-se a: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | 4 |
| `GenerateDataKeyPair (RSA_4096) request rate` Aplica-se a: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | 1 |
| `GenerateDataKeyPair (SM2 — China Regions only) request rate` Aplica-se a: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/requests-per-second.html) | 25 |
| `GetKeyPolicy request rate` | 1000 |
| `GetKeyRotationStatus request rate` | 1000 |
| `GetParametersForImport request rate` | 1 |
| `GetPublicKey request rate` | 2000 |
| `ImportKeyMaterial request rate` | 15 |
| `ListAliases request rate` | 500 |
| `ListGrants request rate` | 100 |
| `ListKeyPolicies request rate` | 100 |
| `ListKeys request rate` | 500 |
| `ListKeyRotations request rate` | 100 |
| `ListResourceTags request rate` | 2000 |
| `ListRetirableGrants request rate` | 100 |
| `PutKeyPolicy request rate` | 15 |
| ReplicateKey request rate Uma operação `ReplicateKey` conta como uma solicitação `ReplicateKey` na região da chave primária e duas solicitações `CreateKey` na região da réplica. Uma das solicitações `CreateKey` é uma simulação para detectar possíveis problemas antes de criar a chave. | 5 |
| `RetireGrant request rate` | 50 |
| `RevokeGrant request rate` | 50 |
| `RotateKeyOnDemand request rate` | 5 |
| `ScheduleKeyDeletion request rate` | 15 |
| `TagResource request rate` | 10 |
| `UntagResource request rate` | 5 |
| `UpdateAlias request rate` | 5 |
| `UpdateCustomKeyStore request rate` | 5 |
| `UpdateKeyDescription request rate` | 5 |
| `UpdatePrimaryRegion request rate` Uma operação `UpdatePrimaryRegion`conta como duas solicitações `UpdatePrimaryRegion`; uma solicitação em cada uma das duas regiões afetadas. | 5 |
## Aplicar cotas de solicitações
Ao analisar as cotas de solicitações, tenha em mente as seguintes informações.
+ Cotas de solicitações aplicam-se a[chaves gerenciadas pelo cliente](concepts.md#customer-mgn-key) e a [Chaves gerenciadas pela AWS](concepts.md#aws-managed-key). O uso de [Chaves pertencentes à AWS](concepts.md#aws-owned-key)não conta nas cotas de solicitação para você Conta da AWS, mesmo quando elas são usadas para proteger recursos em sua conta.
+ Cotas de solicitações aplicam-se a solicitações enviadas a endpoints FIPS e não FIPS. Para obter uma lista de endpoints de AWS KMS serviço, consulte [AWS Key Management Service endpoints e cotas](https://docs.aws.amazon.com/general/latest/gr/kms.html) no. Referência geral da AWS
+ O controle de utilização é baseado em todas as solicitações em chaves do KMS de todos os tipos na região. Esse total inclui solicitações de todos os diretores do Conta da AWS, incluindo solicitações de AWS serviços em seu nome.
+ Cada cota de solicitações é calculada de maneira independente. Por exemplo, as solicitações da [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação não têm efeito na cota de solicitações da [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operação. Se as solicitações `CreateAlias` forem limitadas, as solicitações `CreateKey` ainda poderão ser concluídas com êxito.
+ Embora as operações de criptografia compartilhem uma cota, a cota compartilhada é calculada independentemente das cotas de outras operações. Por exemplo, as chamadas para as operações [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) e [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) compartilham uma cota de solicitação, mas essa cota é independente da cota para operações de gerenciamento, como. [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html) Por exemplo, na região Europa (Londres), é possível executar 10.000 operações de criptografia em chaves do KMS simétricas *mais* 5 operações `EnableKey` por segundo sem que haja limitação.
## Cotas compartilhadas para operações de criptografia
AWS KMS [operações criptográficas compartilham cotas](kms-cryptography.md#cryptographic-operations) de solicitação. É possível solicitar qualquer combinação de operações de criptografia compatíveis com a chave do KMS, para que o número total de operações de criptografia não exceda a cota de solicitações desse tipo de chave do KMS. As exceções são [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)e [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), que compartilham uma cota separada.
As cotas para diferentes tipos de chaves do KMS são calculadas de maneira independente. Cada cota se aplica a todas as solicitações dessas operações na região Conta da AWS e com o tipo de chave determinado em cada intervalo de um segundo.
+ *A taxa de solicitações de operações de criptografia (simétricas)* é a cota de solicitações compartilhadas para operações de criptografia que usam chaves do KMS simétricas em uma conta e região. Essa cota se aplica a operações criptográficas com chaves de criptografia simétrica e chaves de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash), que também são simétricas.
Por exemplo, você pode estar usando [chaves KMS simétricas](symm-asymm-choose-key-spec.md#symmetric-cmks) em uma Região da AWS cota compartilhada de 10.000 solicitações por segundo. Quando você faz 7.000 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitações por segundo e 2.000 solicitações [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) por segundo, AWS KMS não restringe suas solicitações. No entanto, quando você faz 9.500 solicitações `GenerateDataKey` e 1.000 solicitações [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) por segundo, o AWS KMS limita as solicitações porque elas excedem a cota compartilhada.
As operações criptográficas nas [chaves do KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks) em um [armazenamento de chaves personalizadas](key-store-overview.md#custom-key-store-overview) contam tanto para a *taxa de solicitação de operações criptográficas (simétricas)* da conta quanto para a [cota de solicitação de armazenamento de chaves personalizadas](#rps-key-stores) para o armazenamento de chaves personalizadas.
+ A *taxa de solicitações de operações de criptografia (RSA)* é a cota de solicitações compartilhadas de operações de criptografia que usam [chaves do KMS assimétricas RSA](symm-asymm-choose-key-spec.md#key-spec-rsa).
Por exemplo, com uma cota de solicitações de 1.000 operações por segundo, é possível fazer 400 solicitações [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) e 200 solicitações [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) com chaves do KMS RSA que podem criptografar e descriptografar, além de 250 solicitações [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) e 150 solicitações [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) com chaves do KMS RSA que podem assinar e verificar.
+ A *taxa de solicitações de operações de criptografia (ECC)* é a cota compartilhada de solicitações de operações de criptografia que usam [chaves do KMS assimétricas de curva elíptica (ECC)](symm-asymm-choose-key-spec.md#key-spec-ecc) e [chaves do KMS assimétricas SM](symm-asymm-choose-key-spec.md#key-spec-sm).
Por exemplo, com uma cota de solicitações de 1.000 operações por segundo, você pode fazer 400 solicitações de assinatura e 200 solicitações de verificação com chaves ECC KMS que podem assinar e verificar, além de 250 solicitações de assinatura e 150 solicitações de verificação com chaves SM2 KMS que podem [assinar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) e [verificar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html).
+ A *cota de solicitação de armazenamento de chaves personalizadas* corresponde à cota de solicitação compartilhada para operações criptográficas em chaves do KMS em um armazenamento de chaves personalizadas. Essa cota é calculada separadamente para cada armazenamento de chaves personalizado.
As operações criptográficas nas [chaves do KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks) em um [repositório de chaves personalizado](key-store-overview.md#custom-key-store-overview) contam tanto para a *taxa de solicitação de operações criptográficas (simétricas)* da conta quanto para a [cota de solicitações ao repositório de chaves personalizado](#rps-key-stores) para o repositório de chaves personalizado.
As cotas para diferentes tipos de chave também são calculadas de forma independente. Por exemplo, na região Ásia-Pacífico (Singapura), se usar chaves do KMS simétricas e assimétricas, você poderá fazer até 10.000 chamadas por segundo com chaves do KMS simétricas (incluindo chaves de HMAC) *mais* até 500 chamadas adicionais por segundo com suas chaves do KMS assimétricas RSA, *mais* até 300 solicitações adicionais por segundo com suas chaves do KMS baseadas em ECC.
## Solicitações de API dofeitas em seu nome
Você pode fazer solicitações de API diretamente ou usando um AWS serviço integrado que faz solicitações de API AWS KMS em seu nome. A cota se aplica a ambos os tipos de solicitações.
Por exemplo, você pode armazenar dados no Amazon S3 usando a criptografia no lado do servidor com uma chave do KMS (SSE-KMS). Sempre que você carrega ou baixa um objeto do S3 criptografado com SSE-KMS, o Amazon S3 faz uma solicitação `GenerateDataKey` (para uploads) ou `Decrypt` (para downloads) em seu nome. AWS KMS Essas solicitações contam para sua cota, portanto, limita AWS KMS as solicitações se você exceder um total combinado de 5.500 (ou 10.000 ou 50.000, dependendo da sua Região da AWS) upload ou download por segundo de objetos do S3 criptografados com SSE-KMS.
## Solicitações entre contas
Quando um aplicativo em um Conta da AWS usa uma chave KMS de propriedade de uma conta diferente, isso é conhecido como solicitação *entre contas*. Nas solicitações entre contas, o AWS KMS limita a conta que faz as solicitações, e não a conta que possui a chave do KMS. Por exemplo, se uma aplicação na conta A usar uma chave do KMS na conta B, o uso da chave do KMS será aplicado somente às cotas na conta A.
## Cotas de solicitação de armazenamento de chaves personalizadas
AWS KMS mantém cotas de solicitação para [operações criptográficas](kms-cryptography.md#cryptographic-operations) nas chaves KMS em um armazenamento de chaves [personalizado](key-store-overview.md#custom-key-store-overview). Essas cotas de solicitação são calculadas separadamente para cada armazenamento de chaves personalizadas.
| Cota de solicitações do armazenamento de chaves personalizado | Valor padrão (solicitações por segundo) para cada armazenamento de chaves personalizadas | Ajustável |
| --- | --- | --- |
| AWS CloudHSM cota de solicitação de [armazenamento de chaves](keystore-cloudhsm.md) | 1800 | Não |
| Cota de solicitação de [armazenamento de chaves externas](keystore-external.md) | 1800 | Não |
**nota**
AWS KMS as [cotas de solicitação de armazenamento de chaves personalizadas](#rps-key-stores) não aparecem no console Service Quotas. Não é possível visualizar ou gerenciar essas cotas usando as operações da API do Service Quotas.
Se o AWS CloudHSM cluster associado a um armazenamento de AWS CloudHSM chaves estiver processando vários comandos, incluindo aqueles não relacionados ao armazenamento de chaves personalizadas, você poderá receber um AWS KMS `ThrottlingException` em uma lower-than-expected taxa. Se isso ocorrer, reduza sua taxa de solicitação AWS KMS, reduza a carga não relacionada ou use um AWS CloudHSM cluster dedicado para seu armazenamento de AWS CloudHSM chaves.
AWS KMS relata a limitação de solicitações externas de armazenamento de chaves na [`ExternalKeyStoreThrottle`](monitoring-cloudwatch.md#metric-throttling) CloudWatch métrica. É possível usar essa métrica para visualizar padrões de controle de utilização, criar alarmes e ajustar a cota de solicitação de armazenamento de chaves externas.
Uma solicitação para uma [operação criptográfica](kms-cryptography.md#cryptographic-operations) em uma chave do KMS em um armazenamento de chaves personalizadas é contabilizada para duas cotas:
+ Cota de taxa de solicitação de operações criptográficas (simétricas) (por conta)
As solicitações de operações criptográficas em chaves do KMS em um armazenamento de chaves personalizadas são contabilizadas na cota `Cryptographic operations (symmetric) request rate` para cada região e Conta da AWS . Por exemplo, no Leste dos EUA (Norte da Virgínia) (us-east-1), cada Conta da AWS pode ter até 100.000 solicitações por segundo em chaves do KMS de criptografia simétrica, incluindo as solicitações que usam uma chave do KMS em um repositório de chaves personalizado.
+ Cota de solicitação de armazenamento de chaves personalizadas (por armazenamento de chaves personalizadas)
As solicitações de operações criptográficas em chaves do KMS em um armazenamento de chaves personalizadas também são contabilizadas para `Custom key store request quota` de 1.800 operações por segundo. Essas cotas são calculadas separadamente para cada armazenamento de chaves personalizadas. Eles podem incluir solicitações de várias pessoas Contas da AWS que usam chaves KMS no armazenamento de chaves personalizadas.
Por exemplo, uma operação [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) em uma chave do KMS em um repositório de chaves personalizado (dos dois tipos) na região Leste dos EUA (Norte da Virgínia) (us-east-1) contará para a cota em nível de conta de `Cryptographic operations (symmetric) request rate` (100.000 mil solicitações por segundo) para sua conta e região, e para a `Custom key store request quota` (1.800 solicitações por segundo) para seu repositório de chaves personalizado. No entanto, uma solicitação para uma operação de gerenciamento [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html), como em uma chave KMS em um armazenamento de chaves personalizadas, se aplica somente à cota em nível de conta (15 solicitações por segundo).
# Solicitações de AWS KMS limitação
Para garantir que AWS KMS possa fornecer respostas rápidas e confiáveis às solicitações de API de todos os clientes, ele limita as solicitações de API que excedem certos limites.
*A limitação* ocorre quando AWS KMS rejeita uma solicitação que, de outra forma, poderia ser válida e retorna um `ThrottlingException` erro como o seguinte.
```
You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls.
(Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID:
```
AWS KMS limita as solicitações para as seguintes condições.
+ A taxa de solicitações por segundo excede a [cota de AWS KMS solicitações](requests-per-second.md) de uma conta e região.
Por exemplo, se os usuários da sua conta enviarem 1.000 `DescribeKey` solicitações em um segundo, AWS KMS limitará todas as `DescribeKey` solicitações subsequentes nesse segundo.
Para responder a um controle de utilização, use uma [estratégia de recuo e repetição](https://docs.aws.amazon.com/general/latest/gr/api-retries.html). Essa estratégia é implementada automaticamente para erros de HTTP 400 em alguns AWS SDKs.
+ Uma taxa intermitente ou alta sustentada de solicitações para alterar o estado da mesma chave do KMS. Essa condição é muitas vezes conhecida como "tecla de atalho".
Por exemplo, se um aplicativo em sua conta enviar uma série persistente de `DisableKey` solicitações `EnableKey` e solicitações para a mesma chave KMS, as solicitações serão AWS KMS limitadas. Essa limitação ocorre mesmo que as solicitações não excedam o limite de request-per-second solicitações para as operações `EnableKey` e. `DisableKey`
Para responder ao controle de utilização, ajuste a lógica da aplicação para que ela faça apenas as solicitações necessárias ou consolide as solicitações de várias funções.
+ As solicitações de operações em chaves KMS em um [armazenamento de AWS CloudHSM chaves](requests-per-second.md#rps-key-stores) podem ser limitadas a uma lower-than-expected taxa quando o AWS CloudHSM cluster associado ao armazenamento de AWS CloudHSM chaves está processando vários comandos, incluindo aqueles não relacionados ao armazenamento de chaves. AWS CloudHSM
(AWS KMS não limita mais as solicitações de operações em chaves KMS em um AWS CloudHSM armazenamento de chaves quando não há sessões PKCS \$111 disponíveis para o cluster. AWS CloudHSM Em vez disso, ele lança um `KMSInternalException` e recomenda que você repita sua solicitação.)
Para visualizar as tendências em suas taxas de solicitação, use o [console do Service Quotas](https://console.aws.amazon.com/servicequotas). Você também pode criar um CloudWatch alarme [da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) que o alerta quando sua taxa de solicitação atingir uma determinada porcentagem do valor da cota. Para obter detalhes, consulte [Gerenciar suas taxas de solicitação de AWS KMS API usando Service Quotas e Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) no Blog de *AWS Segurança*.
Todas as AWS KMS cotas são ajustáveis, exceto a cota de [recursos de rotação sob demanda e a cota](resource-limits.md#on-demand-rotation-resource-quota) de solicitação do [armazenamento de AWS CloudHSM chaves](requests-per-second.md#rps-key-stores). Para solicitar um aumento da cota, consulte [Requesting a quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-increase.html) no *Guia do usuário do Service Quotas*. [Para solicitar uma redução de cota, alterar uma cota que não está listada nas Cotas de Serviço ou alterar uma cota em uma área em que as Cotas de Região da AWS Serviço não estejam disponíveis, visite AWS Support o Centro e crie um caso. AWS KMS](https://console.aws.amazon.com/support/home)
**nota**
AWS KMS as [cotas de solicitação de armazenamento de chaves personalizadas](requests-per-second.md#rps-key-stores) não aparecem no console Service Quotas. Não é possível visualizar ou gerenciar essas cotas usando as operações da API do Service Quotas.