Controle de utilização de solicitações do AWS KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle de utilização de solicitações do AWS KMS

Para garantir que o AWS KMS possa fornecer respostas rápidas e confiáveis a solicitações de API de todos os clientes, ele controla a utilização solicitações de API que excedem determinados limites.

O Controle de utilização ocorre quando o AWS KMS rejeita uma solicitação que era válida e retorna um erro ThrottlingException semelhante ao seguinte. 

You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls. 
(Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID: <ID>

O AWS KMS acelera solicitações para as seguintes condições.

  • A taxa de solicitações por segundo excede a cota de solicitações do AWS KMS para uma conta e Região.

    Por exemplo, se os usuários na sua conta enviarem 1000 solicitações DescribeKey em um segundo, o AWS KMS limitará as solicitações DescribeKey nesse segundo.

    Para responder a um controle de utilização, use uma estratégia de recuo e repetição. Essa estratégia é implementada automaticamente para erros HTTP 400 em alguns SDKs da AWS.

  • Uma taxa intermitente ou alta sustentada de solicitações para alterar o estado da mesma chave do KMS. Essa condição é muitas vezes conhecida como "tecla de atalho".

    Por exemplo, se uma aplicação na sua conta enviar um série persistente de solicitações EnableKey e DisableKey para a mesma chave do KMS, o AWS KMS acelerará as solicitações. Esse controle de utilização ocorre mesmo quando as solicitações não excedem o limite de solicitação por segundo para operações EnableKey e DisableKey.

    Para responder ao controle de utilização, ajuste a lógica da aplicação para que ela faça apenas as solicitações necessárias ou consolide as solicitações de várias funções.

  • Solicitações de operações em chaves do KMS em armazenamentos de chaves do AWS CloudHSM podem ser limitadas a uma taxa menor do que o esperado quando o cluster do AWS CloudHSM associado ao armazenamento de chaves do AWS CloudHSM está processando vários comandos, incluindo aqueles não relacionados ao armazenamento de chaves do AWS CloudHSM.

    (O AWS KMS não mais restringe solicitações de operações em chaves do KMS em um armazenamento de chaves do AWS CloudHSM quando não há sessões PKCS #11 disponíveis para o cluster do AWS CloudHSM. Em vez disso, ele emite um KMSInternalException e recomenda repetir a solicitação.)

Para visualizar as tendências em suas taxas de solicitação, use o console do Service Quotas. Você também pode criar um alerta do Amazon CloudWatch para ser informado quando a taxa de solicitação atinge uma determinada porcentagem de um valor de cota. Para obter detalhes, consulte Manage your AWS KMS API request rates using Service Quotas and Amazon CloudWatch (Gerenciar taxas de solicitação de API do AWS usando o Service Quotas e o Amazon CloudWatch) no Blog de segurança da .

Todas as cotas do AWS KMS são ajustáveis, exceto a cota de recursos de alternância sob demanda e a cota de solicitação de repositório de chaves do AWS CloudHSM. Para solicitar o aumento da quota, consulte Solicitar um aumento de quota no Guia do usuário do Service Quotas. Para solicitar uma redução da cota, alterar uma cota que não está listada no Service Quotas ou alterar uma cota em uma Região da AWS onde o Service Quotas não esteja disponível para o AWS KMS, acesse o AWS Support Center e abra um caso.

nota

As cotas de solicitação de armazenamento de chaves personalizadas do AWS KMS não aparecem no console do Service Quotas. Não é possível visualizar ou gerenciar essas cotas usando as operações da API do Service Quotas. Para solicitar uma alteração em sua cota de solicitação de armazenamento de chaves externas, visite o AWS Support Center e crie um caso.