要求每項 AWS KMS API作業的配額套用請求配額密碼編譯操作的共用配額 API代表您提出的要求跨帳戶請求自訂金鑰存放區請求配額

請求配額

AWS KMS 為每秒要求的API作業數量建立配額。要求配額會因API作業 AWS 區域、和其他因素 (例如KMS金鑰類型) 而有所不同。當您超出API要求配額時，會限 AWS KMS 制要求。

除了AWS CloudHSM 金鑰存放區 AWS KMS 要求配額外，所有要求配額均可調整。若要請求提高配額，請參閱《Service Quotas 使用者指南》中的請求提高配額。若要要求減少配額、變更未列在「Service Quotas」中的配額，或變更無法使用「Service Quotas」的 AWS KMS 配額，請造訪AWS Support 中心並建立案例。 AWS 區域

如果您超出 GenerateDataKey作業的要求配額，請考慮使用 AWS Encryption SDK. 重複使用資料金鑰可能會降低要求的頻率。 AWS KMS

除了要求配額外，還 AWS KMS 會使用資源配額來確保所有使用者的容量。如需詳細資訊，請參閱資源配額。

若要檢視請求率的趨勢，請使用 Service Quotas 主控台。您也可以建立 Amazon CloudWatch 警示，以便在請求率達到配額值的特定百分比時提醒您。如需詳細資訊，AWS KMS API請參閱AWS 安全部落格 CloudWatch中的使用 Service Quotas 和 Amazon 管理請求費率。

要求每項 AWS KMS API作業的配額

此表格列出 Service Quotas 代碼，以及每個 AWS KMS 要求配額的預設值。除了AWS CloudHSM 金鑰存放區 AWS KMS 要求配額外，所有要求配額均可調整。

注意

您可能需要水平或垂直捲動，才能查看此資料表中的所有資料。

配額名稱	預設值 (每秒請求數)
`Cryptographic operations (symmetric) request rate` 適用對象： `Decrypt` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateMac` `GenerateRandom` `ReEncrypt` `VerifyMac`	這些共用配額會隨要求中使用的KMS金鑰 AWS 區域和類型而有所不同。每個配額會分別計算。一萬 (共用) 下列區域有 20,000 個 (共用)：美國東部 (俄亥俄)，us-east-2 亞太區域 (新加坡) ap-southeast-1 亞太區域 (雪梨)，ap-southeast-2 亞太區域 (東京)，ap-northeast-1 歐洲 (法蘭克福)，eu-central-1 歐洲 (倫敦)，eu-west-2 下列區域中有 100,000 個 (共用)：美國東部 (維吉尼亞北部)，us-east-1 美國西部 (奧勒岡)，us-west-2 歐洲 (愛爾蘭)，eu-west-1
`Cryptographic operations (RSA) request rate` 適用對象： `Decrypt` `Encrypt` `ReEncrypt` `Sign` `Verify`	1,000 個 (共用) 的RSAKMS金鑰
`Cryptographic operations (ECC and SM2) request rate` 適用對象： `Decrypt`— 僅支援 SM2 (僅限中國地區) KMS 金鑰 `DeriveSharedSecret` `Encrypt`— 僅支援 SM2 (僅限中國地區) KMS 金鑰 `ReEncrypt`— 僅支援 SM2 (僅限中國地區) KMS 金鑰 `Sign` `Verify`	1,000 (共用) 橢圓曲線 (ECC) 和 SM2 (僅限中國地區) KMS 鍵
`Custom key store request quotas` 適用對象： `Decrypt` `DeriveSharedSecret` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateRandom` `ReEncrypt`	會針對每個自訂金鑰存放區分別計算自訂金鑰存放區請求配額每個 AWS CloudHSM 金鑰存放區共用 1,800 個 (共用) 每個外部金鑰存放區 1800 個 (共用)
`CancelKeyDeletion request rate`	5
`ConnectCustomKeyStore request rate`	5
`CreateAlias request rate`	5
`CreateCustomKeyStore request rate`	5
`CreateGrant request rate`	50
`CreateKey request rate`	5
`DeleteAlias request rate`	15
`DeleteCustomKeyStore request rate`	5
`DeleteImportedKeyMaterial request rate`	15
`DescribeCustomKeyStores request rate`	5
`DescribeKey request rate`	2000
`DisableKey request rate`	5
`DisableKeyRotation request rate`	5
`DisconnectCustomKeyStore request rate`	5
`EnableKey request rate`	5
`EnableKeyRotation request rate`	15
`GenerateDataKeyPair (ECC_NIST_P256) request rate` 適用對象： `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P384) request rate` 適用對象： `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P521) request rate` 適用對象： `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_SECG_P256K1) request rate` 適用對象： `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (RSA_2048) request rate` 適用對象： `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	1
`GenerateDataKeyPair (RSA_3072) request rate` 適用對象： `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0.5 (每 2 秒間隔 1 個)
`GenerateDataKeyPair (RSA_4096) request rate` 適用對象： `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0.1 (每 10 秒間隔 1 個)
`GenerateDataKeyPair (SM2 — China Regions only) request rate` 適用對象： `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	25
`GetKeyPolicy request rate`	1000
`GetKeyRotationStatus request rate`	1000
`GetParametersForImport request rate`	0.25 (每 4 秒間隔 1 個)
`GetPublicKey request rate`	2000
`ImportKeyMaterial request rate`	15
`ListAliases request rate`	500
`ListGrants request rate`	100
`ListKeyPolicies request rate`	100
`ListKeys request rate`	500
`ListKeyRotations request rate`	100
`ListResourceTags request rate`	2000
`ListRetirableGrants request rate`	100
`PutKeyPolicy request rate`	15
`ReplicateKey request rate` `ReplicateKey` 操作在主要金鑰的區域中計為一個 `ReplicateKey` 請求，在複本區域中計為兩個 `CreateKey` 請求。其中一個 `CreateKey` 請求是試執行，以在建立金鑰之前偵測潛在的問題。	5
`RetireGrant request rate`	50
`RevokeGrant request rate`	50
`RotateKeyOnDemand request rate`	5
`ScheduleKeyDeletion request rate`	15
`TagResource request rate`	10
`UntagResource request rate`	5
`UpdateAlias request rate`	5
`UpdateCustomKeyStore request rate`	5
`UpdateKeyDescription request rate`	5
`UpdatePrimaryRegion request rate` `UpdatePrimaryRegion` 操作會計為兩個 `UpdatePrimaryRegion` 請求；每兩個受影響的區域中一個請求。	5

套用請求配額

檢閱請求配額時，請注意以下資訊。

請求配額同時適用於客戶受管金鑰和 AWS 受管金鑰。的使用AWS 擁有的金鑰不會計入您的請求配額 AWS 帳戶，即使這些配額用於保護您帳戶中的資源也是如此。
要求配額會套用至傳送至FIPS端點和非端FIPS點的要求。如需 AWS KMS 服務端點的清單，請參閱AWS Key Management Service AWS 一般參考.
節流是根據區域中所有類型KMS金鑰的所有要求而定。此總計包括來自中所有主體的要求 AWS 帳戶，包括代表您 AWS 提出的服務要求。
每個請求配額都是獨立計算的。例如，CreateKey作業的要求不會影響作CreateAlias業的要求配額。如果您的 CreateAlias 請求遭到調節，您的 CreateKey 請求仍然可以成功完成。
雖然密碼編譯操作會共用配額，但是共用的配額會獨立於其他操作配額之外進行計算。例如，對「加密」和「解密」作業的呼叫共用要求配額，但該配額與管理作業的配額無關，例如EnableKey。例如，在歐洲 (倫敦) 區域，您可以對稱KMS金鑰執行 10,000 次加密作業，加上每秒 5 項EnableKey作業，而不受限制。

密碼編譯操作的共用配額

AWS KMS 密碼編譯作業共用要求配額。您可以要求KMS金鑰支援的任何密碼編譯作業組合，只要加密編譯作業總數不會超過該類型金鑰的要求配額。KMS例外是GenerateDataKeyPair和 GenerateDataKeyPairWithoutPlaintext，它們共享一個單獨的配額。

不同類型KMS金鑰的配額會獨立計算。每個配額都會套用至與 Region 中所有這些作業的要求， AWS 帳戶且每隔一秒鐘內都有指定的金鑰類型。

密碼編譯作業 (對稱) 要求率是在帳戶和區域中使用對稱KMS金鑰的密碼編譯作業的共用要求配額。此配額適用於具有對稱加密金鑰和金鑰的密碼編譯作業，這些HMAC金鑰也是對稱的。

例如，您可能在每秒 10,000 個 AWS 區域要求的共用配額中使用對稱KMS金鑰。當您每秒發出 7,000 個GenerateDataKey請求和每秒 2,000 個解密請求時， AWS KMS 不會限制您的請求。但是，當您每秒發出 9,500 次 GenerateDataKey 請求及 1,000 次 Encrypt 請求時， AWS KMS 便會進行調節，因為其超過了共用配額。

自訂金鑰存放區中對稱加密KMS金鑰的密碼編譯作業會計入帳戶的密碼編譯作業 (對稱) 要求率，以及自訂金鑰存放區的自訂金鑰存放區要求配額。
密碼編譯作業 (RSA) 要求率是使用RSA非對稱金KMS鑰加密作業的共用要求配額。

例如，如果要求配額為每秒 1,000 項作業，您可以提出 400 個加密要求和 200 個使用可加密和解密的RSAKMS金鑰來解密要求，再加上 250 個 S ign 要求和 150 個使用可簽署和驗證的RSAKMS金鑰驗證要求。
密碼編譯作業 (ECC) 要求率是使用橢圓曲線 (ECC) 非對稱KMS金鑰和 SM 非對稱金鑰的密碼編譯作業的共用要求配額。KMS

例如，如果要求配額為每秒 1,000 項作業，您可以使用可簽署和驗證的ECCKMS金鑰進行 400 次 Sign 要求和 200 個驗證要求，再加上 250 個 S ign 要求和 150 個使用可簽署和驗證的SM2KMS金鑰驗證要求。
自訂金鑰存放區要求配額是針對自訂金鑰存放區中KMS金鑰進行密碼編譯作業的共用要求配額。此配額會針對每個自訂金鑰存放區分別計算。

自訂金鑰存放區中對稱加密KMS金鑰的密碼編譯作業會計入帳戶的密碼編譯作業 (對稱) 要求率，以及自訂金鑰存放區的自訂金鑰存放區要求配額。

不同金鑰類型的配額也會獨立計算。例如，在亞太區域 (新加坡) 區域中，如果您同時使用對稱KMS金鑰和非對稱金鑰，則每秒最多可撥打 10,000 次通話，並使用RSA非對稱KMSHMAC金鑰每秒最多撥打 500 次額外呼叫，以及使用ECC基礎KMSKMS金鑰的每秒最多 300 個額外要求。

API代表您提出的要求

您可以直接API提出要求，也可以使用代表您提出API要求的整合 AWS 服務 AWS KMS 來提出要求。此配額同時適用於這兩種請求。

例如，您可以使用具有KMS金鑰 (SSE-KMS) 的伺服器端加密將資料存放在 Amazon S3。每次您上傳或下載使用 SSE-加密的 S3 物件時KMS，Amazon S3 都會代表您向 Decrypt (用於 AWS KMS 上傳) 或 (下載) 請求。GenerateDataKey這些請求會計入您的配額，因此，如果您總計超過 5,500 個 (或 10,000 或 50,000，視您而定 AWS 區域) 每秒上傳或下載次數超過使用-加密的 S3 物件，則會限 AWS KMS 制請求。SSE KMS

跨帳戶請求

當一個應用程序 AWS 帳戶使用不同帳戶擁有的KMS密鑰時，它被稱為跨帳戶請求。對於跨帳戶要求，請 AWS KMS 限制發出要求的帳戶，而不是擁有金鑰的帳戶。KMS例如，如果帳戶 A 中的應用程式使用帳戶 B 中的KMS金鑰，則KMS金鑰使用僅適用於帳戶 A 中的配額。

自訂金鑰存放區請求配額

AWS KMS 在自訂金鑰存放區的KMS金鑰上維護密碼編譯作業的要求配額。會針對每個自訂金鑰存放區分別計算這些請求配額。

自訂金鑰存放區請求配額	每個自訂金鑰存放區的預設值 (每秒請求數)	可調整
AWS CloudHSM 金鑰存放區要求配額	1800	否
外部金鑰存放區請求配額	1800	是

注意

AWS KMS 自訂金鑰存放區要求配額不會顯示在 Service Quotas 主控台中。您無法使用「Service Quotas」API 作業來檢視或管理這些配額。若要請求變更外部金鑰存放區配額，請造訪 AWS Support 中心並建立案例。

如果與 AWS CloudHSM 金鑰存放區關聯的 AWS CloudHSM 叢集正 AWS KMS ThrottlingException在處理許多命令，包括與自訂金鑰存放區無關的命令，您可能會以一定的 lower-than-expected 速率取得。如果發生這種情況，請將請求率降低至 AWS KMS、減少不相關的負載，或為您的 AWS CloudHSM 金鑰存放區使用專用 AWS CloudHSM 叢集。

AWS KMS 報告指ExternalKeyStoreThrottle CloudWatch 標中外部金鑰存放區要求的限制。您可以使用此指標來檢視限流模式、建立警示以及調整外部金鑰存放區請求配額。

對自訂金鑰存放區中KMS金鑰執行密碼編譯作業的要求會計入兩個配額：

密碼編譯操作 (對稱) 請求率配額 (每個帳戶)

對自訂金鑰存放區中KMS金鑰進行加密作業的要求會計入每個 AWS 帳戶和區域的Cryptographic operations (symmetric) request rate配額。例如，在美國東部 (維吉尼亞北部) (us-east-1) 中，對稱加密金鑰每秒最多 AWS 帳戶可有 50,000 個要求，包括在自訂KMS金鑰存放區中使用金KMS鑰的要求。
自訂金鑰存放區請求配額 (每個自訂金鑰存放區)

對自訂金鑰存放區中KMS金鑰進行加密作業的要求也會計入每秒 1,800 項作業Custom key store request quota的一項。會針對每個自訂金鑰存放區分別計算這些配額。它們可能包含來自多 AWS 帳戶個在自訂KMS金鑰存放區中使用金鑰的要求。

例如，美國東部 (維吉尼亞北部) (us-east-1) 區域中自訂金鑰存放區 (任一類型) 的金鑰上的加密作業Cryptographic operations (symmetric) request rate會計入其帳戶和區域的帳戶層級配額 (每秒 50,000 個請求)，以及其自訂金鑰存放區的 Custom key store request quota (每秒 1,800 個請求)。KMS不過，管理作業 (例如 PutKeyPolicy，自訂金鑰存放區中的KMS金鑰) 的要求只會套用至其帳戶層級配額 (每秒 15 個要求)。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

資源配額

調節請求