本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
請求配額
AWS KMS 為每秒要求的 API 作業數量建立配額。要求配額會因 API 作業 AWS 區域、和其他因素 (例如 KMS 金鑰類型) 而有所不同。當您超出 API 要求配額時,會限 AWS KMS 制要求。
除了AWS CloudHSM 金鑰存放區 AWS KMS 要求配額外,所有要求配額均可調整。若要請求提高配額,請參閱《Service Quotas 使用者指南》中的請求提高配額。若要要求減少配額、變更未列在「Service Quotas」中的配額,或是變更無法使用「Service Quotas」的 AWS KMS 配額,請造訪AWS Support 中心
如果您超出GenerateDataKey作業的要求配額,請考慮使用 AWS Encryption SDK. 重複使用資料金鑰可能會降低要求的頻率。 AWS KMS
除了要求配額之外,還 AWS KMS 會使用資源配額來確保所有使用者的容量。如需詳細資訊,請參閱 資源配額。
若要檢視請求率的趨勢,請使用 Service Quotas 主控台
要求每個 AWS KMS API 作業的配額
此表格列出 Service Quotas 代碼,以及每個 AWS KMS 要求配額的預設值。除了AWS CloudHSM 金鑰存放區 AWS KMS 要求配額外,所有要求配額均可調整。
注意
您可能需要水平或垂直捲動,才能查看此資料表中的所有資料。
| 配額名稱 | 預設值 (每秒請求數) |
|---|---|
|
適用對象:
|
這些共用配額會隨要求中使用的 KMS 金鑰 AWS 區域 和類型而有所不同。每個配額會分別計算。
|
適用對象:
|
RSA KMS 金鑰為 500 (共用) |
適用對象:
|
300 個 (共用) 適用於橢圓曲線 (ECC) 和 SM2 (僅限中國區域) KMS 金鑰 |
|
適用對象:
|
會針對每個自訂金鑰存放區分別計算自訂金鑰存放區請求配額
|
|
5 |
|
5 |
|
5 |
|
5 |
|
50 |
|
5 |
|
15 |
|
5 |
|
5 |
|
5 |
|
2000 |
|
5 |
|
5 |
|
5 |
|
5 |
|
15 |
|
適用對象:
|
100 |
|
適用對象:
|
100 |
|
適用對象:
|
100 |
|
適用對象:
|
100 |
|
適用對象:
|
1 |
|
適用對象:
|
0.5 (每 2 秒間隔 1 個) |
|
適用對象:
|
0.1 (每 10 秒間隔 1 個) |
|
適用對象:
|
25 |
|
1000 |
|
1000 |
|
0.25 (每 4 秒間隔 1 個) |
|
2000 |
|
5 |
|
500 |
|
100 |
|
100 |
|
500 |
|
100 |
|
2000 |
|
100 |
|
15 |
ReplicateKey request rate
|
5 |
|
30 |
|
30 |
|
5 |
|
15 |
|
10 |
|
5 |
|
5 |
|
5 |
|
5 |
|
5 |
套用請求配額
檢閱請求配額時,請注意以下資訊。
-
請求配額同時適用於客戶受管金鑰和 AWS 受管金鑰。的使用AWS 擁有的金鑰不會計入您的請求配額 AWS 帳戶,即使這些配額用於保護您帳戶中的資源也是如此。
-
請求配額適用於傳送至 FIPS 端點和非 FIPS 端點的請求。如需 AWS KMS 服務端點的清單,請參閱AWS Key Management Service AWS 一般參考.
-
調節是以區域中所有類型 KMS 金鑰的所有請求為基礎。此總計包括來自中所有主體的要求 AWS 帳戶,包括代表您 AWS 提出的服務要求。
-
每個請求配額都是獨立計算的。例如,CreateKey作業的要求不會影響作CreateAlias業的要求配額。如果您的
CreateAlias請求遭到調節,您的CreateKey請求仍然可以成功完成。 -
雖然密碼編譯操作會共用配額,但是共用的配額會獨立於其他操作配額之外進行計算。例如,對「加密」和「解密」作業的呼叫共用要求配額,但該配額與管理作業的配額無關,例如EnableKey。例如,在歐洲 (倫敦) 區域,您可以在對稱 KMS 金鑰上執行 10,000 次密碼編譯操作,加上每秒 5 次
EnableKey操作,而仍不會遭到調節。
密碼編譯操作的共用配額
AWS KMS 密碼編譯作業共用要求配額。您可以請求 KMS 金鑰所支援密碼編譯操作的任何組合,只要密碼編譯操作的總數不會超過該 KMS 金鑰類型的請求配額即可。例外是GenerateDataKeyPair和 GenerateDataKeyPairWithoutPlaintext,它們共享一個單獨的配額。
不同 KMS 金鑰類型的配額也會獨立計算。每個配額都會套用至與 Region 中所有這些作業的要求, AWS 帳戶 且每隔一秒鐘內都有指定的金鑰類型。
-
密碼編譯操作 (對稱) 請求率是帳戶和區域中使用對稱 KMS 金鑰進行加密編譯操作的共用請求配額。此配額適用於具有對稱加密金鑰和 HMAC 金鑰 (兩者皆為對稱金鑰) 的密碼編譯操作。
例如,您可能在每秒 10,000 個 AWS 區域 請求的共用配額中使用對稱 KMS 金鑰。當您每秒發出 7,000 個GenerateDataKey請求和每秒 2,000 個解密請求時, AWS KMS 不會限制您的請求。但是,當您每秒發出 9,500 次
GenerateDataKey請求及 1,000 次 Encrypt 請求時, AWS KMS 便會進行調節,因為其超過了共用配額。自訂金鑰存放區中對稱加密 KMS 金鑰的密碼編譯操作會計入帳戶的密碼編譯操作 (對稱) 請求率以及自訂金鑰存放區的自訂金鑰存放區請求配額。
-
密碼編譯操作 (RSA) 請求率是使用 RSA 非對稱 KMS 金鑰進行加密編譯操作的共用請求配額。
例如,如果請求配額為每秒 500 個操作,您可以使用 RSA KMS 金鑰 (可加密和解密) 製作 200 個加密請求和 100 個解密請求,加上使用 RSA KMS 金鑰 (可簽署和驗證) 製作 50 個簽署請求和 150 個驗證請求。
-
密碼編譯操作 (ECC) 請求率是使用橢圓曲線 (ECC) 非對稱 KMS 金鑰進行加密編譯操作的共用請求配額。
例如,如果請求配額為每秒 300 個操作,您可以使用 RSA KMS 金鑰 (可簽署和驗證) 製作 100 個「簽署」請求和 200 個「驗證」請求。
-
密碼編譯操作 (SM — 僅限中國區域) 請求率是使用 SM 非對稱 KMS 金鑰進行加密編譯操作的共用請求配額。
例如,如果請求配額為每秒 300 個操作,您可以使用 SM2 KMS 金鑰 (可加密和解密) 製作 100 個加密請求和 100 個解密請求,加上使用 SM2 KMS 金鑰 (可簽署和驗證) 製作 50 個簽署請求和 50 個驗證請求。
-
自訂金鑰存放區請求配額是自訂金鑰存放區中 KMS 金鑰之密碼編譯操作的共用請求配額。此配額會針對每個自訂金鑰存放區分別計算。
自訂金鑰存放區中對稱加密 KMS 金鑰的密碼編譯操作會計入帳戶的密碼編譯操作 (對稱) 請求率以及自訂金鑰存放區的自訂金鑰存放區請求配額。
不同金鑰類型的配額也會獨立計算。例如,在亞太區域 (新加坡) 區域中,如果使用對稱和非對稱 KMS 金鑰,您最多可以使用對稱 KMS 金鑰 (包括 HMAC 金鑰) 每秒進行 10,000 次呼叫,加上使用 RSA 非對稱 KMS 金鑰每秒進行最多 500 次額外的呼叫,再加上使用 ECC 型 KMS 金鑰每秒進行最多 300 次額外的請求。
代表您進行的 API 請求
您可以直接提出 API 請求,也可以使用代表您發出 API 請求 AWS KMS 的整合 AWS 服務。此配額同時適用於這兩種請求。
例如,您可能將資料存放在使用伺服器端加密搭配 KMS 金鑰 (SSE-KMS) 的 Amazon S3 上。每次您上傳或下載使用 SSE-KMS 加密的 S3 物件時,Amazon S3 都會代表您提出 GenerateDataKey (用於上傳) 或 Decrypt (用於下載) 請求。 AWS KMS 這些請求會計入您的配額,因此,如果您的總數超過 5,500 個 (或 10,000 或 50,000,視您而定 AWS 區域) 每秒上傳或下載使用 SSE-KMS 加密的 S3 物件,則會限 AWS KMS 制請求。
跨帳戶請求
當其中一個應用程式 AWS 帳戶 使用不同帳戶擁有的 KMS 金鑰時,稱為跨帳戶要求。對於跨帳戶請求, AWS KMS 會調節發出請求的帳戶,而不是擁有 KMS 金鑰的帳戶。例如,如果帳戶 A 中的應用程式使用帳戶 B 中的 KMS 金鑰,使用該 KMS 金鑰就會套用帳戶 A 中的配額。
自訂金鑰存放區請求配額
AWS KMS 在自訂金鑰存放區中針對 KMS 金鑰維護密碼編譯作業的要求配額。會針對每個自訂金鑰存放區分別計算這些請求配額。
| 自訂金鑰存放區請求配額 | 每個自訂金鑰存放區的預設值 (每秒請求數) | 可調整 |
|---|---|---|
| AWS CloudHSM 金鑰存放區要求配額 | 1800 | 否 |
| 外部金鑰存放區請求配額 | 1800 | 是 |
注意
AWS KMS 自訂金鑰存放區要求配額不會顯示在 Service Quotas 主控台中。您無法使用 Service Quotas API 操作來檢視或管理這些配額。若要請求變更外部金鑰存放區配額,請造訪 AWS Support 中心
如果與 AWS CloudHSM 金鑰存放區關聯的 AWS CloudHSM 叢集正 AWS KMS
ThrottlingException在處理許多命令,包括與自訂金鑰存放區無關的命令,您可能會以一定的 lower-than-expected 速率取得。如果發生這種情況,請將請求率降低至 AWS KMS、減少不相關的負載,或為您的 AWS CloudHSM 金鑰存放區使用專用 AWS CloudHSM 叢集。
AWS KMS 報告指ExternalKeyStoreThrottle CloudWatch 標中外部金鑰存放區要求的限制。您可以使用此指標來檢視限流模式、建立警示以及調整外部金鑰存放區請求配額。
自訂金鑰存放區 KMS 金鑰的密碼編譯操作請求會計入兩個配額:
-
密碼編譯操作 (對稱) 請求率配額 (每個帳戶)
自訂金鑰存放區中 KMS 金鑰的密碼編譯操作請求會計入每個 AWS 帳戶 和區域的
Cryptographic operations (symmetric) request rate配額。例如,在美國東部 (維吉尼亞北部) (us-east-1),每個 AWS 帳戶 對於對稱加密 KMS 金鑰每秒最多可有 50,000 個請求,包括在自訂金鑰存放區中使用 KMS 金鑰的請求。 自訂金鑰存放區請求配額 (每個自訂金鑰存放區)
自訂金鑰存放區中 KMS 金鑰的密碼編譯操作請求也會計入每秒 1,800 次
Custom key store request quota操作中。會針對每個自訂金鑰存放區分別計算這些配額。它們可能包含來自多 AWS 帳戶 個在自訂金鑰存放區中使用 KMS 金鑰的要求。
例如,對美國東部 (維吉尼亞北部) (us-east-1) 區域的自訂金鑰存放區 (任一類型) 中 KMS 金鑰的加密操作會計入其帳戶和區域的 Cryptographic operations (symmetric) request rate 帳戶層級配額 (每秒 50,000 個請求),並計入其自訂金鑰存放區的 Custom key
store request quota (每秒 1,800 個請求)。不過,管理作業 (例如 PutKeyPolicy,自訂金鑰存放區中的 KMS 金鑰) 的要求只會套用至其帳戶層級配額 (每秒 15 個要求)。
