Anforderungskontingente - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anforderungskontingente

AWS KMS legt Kontingente für die Anzahl der pro Sekunde angeforderten API Operationen fest. Die Anforderungskontingente unterscheiden sich je nach API Vorgang AWS-Region, Vorgang und anderen Faktoren, wie z. B. dem KMS Schlüsseltyp. Wenn Sie ein API Anforderungskontingent überschreiten, wird die Anforderung AWS KMS gedrosselt.

Alle AWS KMS Anforderungskontingente sind einstellbar, mit Ausnahme des Anforderungskontingents für AWS CloudHSM Schlüsselspeicher. Informationen zur Erhöhung eines Kontingents finden Sie unter Anfordern einer Kontingenterhöhung im Service-Quotas-Benutzerhandbuch. Um eine Senkung des Kontingents zu beantragen, ein Kontingent zu ändern, das nicht in Service Quotas aufgeführt ist, oder um ein Kontingent AWS-Region in einem Bereich zu ändern, für AWS KMS den Servicekontingente nicht verfügbar sind, besuchen Sie bitte das AWS Support Center und erstellen Sie einen Fall.

Wenn Sie das Anforderungskontingent für den GenerateDataKeyVorgang überschreiten, sollten Sie in Erwägung ziehen, die Funktion zum Zwischenspeichern von Datenschlüsseln zu verwenden. AWS Encryption SDK Durch die Wiederverwendung von Datenschlüsseln kann sich die Häufigkeit Ihrer Anfragen auf verringern. AWS KMS

Zusätzlich zu den Anforderungskontingenten werden Ressourcenkontingente AWS KMS verwendet, um die Kapazität für alle Benutzer sicherzustellen. Details hierzu finden Sie unter Ressourcenkontingente.

Um Trends in Ihren Anforderungsraten anzuzeigen, verwenden Sie die Service-Quotas-Konsole. Sie können auch einen CloudWatchAmazon-Alarm einrichten, der Sie benachrichtigt, wenn Ihre Anforderungsrate einen bestimmten Prozentsatz eines Kontingents erreicht. Einzelheiten finden Sie im AWS Sicherheitsblog unter Verwalten Sie Ihre AWS KMS API Anfrageraten mithilfe von Service Quotas und Amazon CloudWatch.

Fordern Sie Kontingente für jeden AWS KMS API Vorgang an

In dieser Tabelle sind der Quota-Code für Service-Kontingente und der Standardwert für jedes AWS KMS Anforderungskontingent aufgeführt. Alle AWS KMS Anforderungskontingente sind einstellbar, mit Ausnahme des Anforderungskontingents für AWS CloudHSM Schlüsselspeicher.

Anmerkung

Möglicherweise müssen Sie horizontal oder vertikal Scrollen, um alle Daten in dieser Tabelle anzuzeigen.

Kontingentname Standardwert (Anforderungen pro Sekunde)

Cryptographic operations (symmetric) request rate

Gilt für:

  • Decrypt

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateMac

  • GenerateRandom

  • ReEncrypt

  • VerifyMac

Diese gemeinsamen Kontingente variieren je nach dem AWS-Region und der Art des in der Anfrage verwendeten KMS Schlüssels. Jedes Kontingent wird separat berechnet.

  • 10.000 (gemeinsam genutzt)

  • 20.000 (gemeinsam genutzt) in den folgenden Regionen:

    • USA Ost (Ohio), us-east-2

    • Asien-Pazifik (Singapur), ap-southeast-1

    • Asien-Pazifik (Sydney), ap-southeast-2

    • Asien-Pazifik (Tokio), ap-northeast-1

    • Europa (Frankfurt) eu-central-1

    • Europa (London) eu-west-2

  • 100.000 (gemeinsam genutzt) in den folgenden Regionen:

    • USA Ost (Nord-Virginia), us-east-1

    • USA West (Oregon), us-west-2

    • Europa (Irland), eu-west-1

Cryptographic operations (RSA) request rate

Gilt für:

  • Decrypt

  • Encrypt

  • ReEncrypt

  • Sign

  • Verify

1.000 (gemeinsam genutzt) für RSA KMS Schlüssel

Cryptographic operations (ECC and SM2) request rate

Gilt für:

  • Decrypt— wird nur für Schlüssel SM2 (nur Regionen Chinas) KMS unterstützt

  • DeriveSharedSecret

  • Encrypt— wird nur für Schlüssel SM2 (nur Regionen Chinas) unterstützt KMS

  • ReEncrypt— wird nur für Schlüssel SM2 (nur Regionen Chinas) unterstützt KMS

  • Sign

  • Verify

1.000 (gemeinsam genutzt) für Tasten mit elliptischen Kurven (ECC) und SM2 (nur Regionen Chinas) KMS

Custom key store request quotas

Gilt für:

  • Decrypt

  • DeriveSharedSecret

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateRandom

  • ReEncrypt

Anforderungskontingente für benutzerdefinierte Schlüsselspeicher werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet.
  • 1.800 (gemeinsam genutzt) für jeden Schlüsselspeicher AWS CloudHSM

  • 1 800 (freigegeben) für jeden externen Schlüsselspeicher.

CancelKeyDeletion request rate

5

ConnectCustomKeyStore request rate

5

CreateAlias request rate

5

CreateCustomKeyStore request rate

5

CreateGrant request rate

50

CreateKey request rate

5

DeleteAlias request rate

15

DeleteCustomKeyStore request rate

5

DeleteImportedKeyMaterial request rate

15

DescribeCustomKeyStores request rate

5

DescribeKey request rate

2000

DisableKey request rate

5

DisableKeyRotation request rate

5

DisconnectCustomKeyStore request rate

5

EnableKey request rate

5

EnableKeyRotation request rate

15

GenerateDataKeyPair (ECC_NIST_P256) request rate

Gilt für:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P384) request rate

Gilt für:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P521) request rate

Gilt für:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_SECG_P256K1) request rate

Gilt für:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (RSA_2048) request rate

Gilt für:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

1

GenerateDataKeyPair (RSA_3072) request rate

Gilt für:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0,5 (1 in jedem 2-Sekunden-Intervall)

GenerateDataKeyPair (RSA_4096) request rate

Gilt für:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0,1 (1 in jedem 10-Sekunden-Intervall)

GenerateDataKeyPair (SM2 — China Regions only) request rate

Gilt für:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

25

GetKeyPolicy request rate

1000

GetKeyRotationStatus request rate

1000

GetParametersForImport request rate

0,25 (1 in jedem 4-Sekunden-Intervall)

GetPublicKey request rate

2000

ImportKeyMaterial request rate

15

ListAliases request rate

500

ListGrants request rate

100

ListKeyPolicies request rate

100

ListKeys request rate

500

ListKeyRotations request rate

100

ListResourceTags request rate

2000

ListRetirableGrants request rate

100

PutKeyPolicy request rate

15
ReplicateKey request rate

Eine ReplicateKey-Produktion zählt als eine ReplicateKey-Anforderung in der Region des Primärschlüssels und zwei CreateKey-Anforderungen in der Region des Replikats. Eine der CreateKey-Anforderungen ist ein Trockenlauf, um potenzielle Probleme zu erkennen, bevor der Schlüssel erstellt wird.

5

RetireGrant request rate

50

RevokeGrant request rate

50

RotateKeyOnDemand request rate

5

ScheduleKeyDeletion request rate

15

TagResource request rate

10

UntagResource request rate

5

UpdateAlias request rate

5

UpdateCustomKeyStore request rate

5

UpdateKeyDescription request rate

5

UpdatePrimaryRegion request rate

Eine UpdatePrimaryRegion-Produktion zählt als zwei UpdatePrimaryRegion-Anforderungen; eine Anforderung in jeder der beiden betroffenen Regionen.

5

Anwenden von Anforderungskontingenten

Beachten Sie beim Anzeigen der Anforderungskontingente die folgenden Informationen.

  • Anforderungskontingente gelten sowohl für kundenverwaltete Schlüssel als auch für Von AWS verwaltete Schlüssel. Die Verwendung von AWS-eigene Schlüsselwird nicht auf Ihre Anforderungskontingente angerechnet AWS-Konto, auch wenn sie zum Schutz der Ressourcen in Ihrem Konto verwendet werden.

  • Anforderungskontingente gelten für Anfragen, die an FIPS Endpunkte und FIPS Nicht-Endpunkte gesendet werden. Eine Liste der AWS KMS Dienstendpunkte finden Sie unter AWS Key Management Service Endpunkte und Kontingente in der. Allgemeine AWS-Referenz

  • Die Drosselung basiert auf allen Anfragen für KMS Schlüssel aller Typen in der Region. Diese Summe beinhaltet Anfragen von allen Auftraggebern in der AWS-Konto, einschließlich Anfragen von AWS Diensten in Ihrem Namen.

  • Jedes Anforderungskontingent wird separat berechnet. Anfragen für den CreateKeyVorgang haben beispielsweise keine Auswirkung auf das Anforderungskontingent für den CreateAliasVorgang. Wenn Ihre CreateAlias-Anforderungen gedrosselt werden, können Ihre CreateKey-Anforderungen weiterhin erfolgreich abgeschlossen werden.

  • Obwohl für kryptografische Operationen ein gemeinsames Kontingent gilt, wird das gemeinsame Kontingent unabhängig von den Kontingenten für andere Operationen berechnet. Beispielsweise teilen sich Aufrufe der Vorgänge Verschlüsseln und Entschlüsseln ein Anforderungskontingent, aber dieses Kontingent ist unabhängig von dem Kontingent für Verwaltungsvorgänge, wie z. EnableKey In der Region Europa (London) können Sie beispielsweise 10.000 kryptografische Operationen mit symmetrischen KMS Schlüsseln plus 5 EnableKey Operationen pro Sekunde durchführen, ohne gedrosselt zu werden.

Gemeinsame Kontingente für kryptografische Operationen

AWS KMS Bei kryptografischen Vorgängen werden die Quoten für Anfragen gemeinsam genutzt. Sie können eine beliebige Kombination der kryptografischen Operationen anfordern, die vom KMS Schlüssel unterstützt werden, nur damit die Gesamtzahl der kryptografischen Operationen das Anforderungskontingent für diesen Schlüsseltyp nicht überschreitet. KMS Die Ausnahmen sind GenerateDataKeyPairund GenerateDataKeyPairWithoutPlaintext, die sich ein separates Kontingent teilen.

Die Kontingente für verschiedene KMS Schlüsseltypen werden unabhängig voneinander berechnet. Jedes Kontingent gilt für alle Anfragen für diese Operationen in der Region AWS-Konto und mit dem angegebenen Schlüsseltyp in jedem Intervall von einer Sekunde.

Die Kontingente für unterschiedliche Schlüsseltypen werden ebenfalls unabhängig berechnet. Wenn Sie beispielsweise in der Region Asien-Pazifik (Singapur) sowohl symmetrische als auch asymmetrische KMS Schlüssel verwenden, können Sie mit symmetrischen Schlüsseln (einschließlich KMS HMAC Schlüsseln) bis zu 10.000 Anrufe pro Sekunde plus bis zu 500 zusätzliche Anrufe pro Sekunde mit Ihren RSA asymmetrischen KMS Schlüsseln sowie bis zu 300 zusätzliche Anfragen pro Sekunde mit Ihren ECC basierten KMS Schlüsseln tätigen.

APIAnfragen, die in Ihrem Namen gestellt wurden

Sie können API Anfragen direkt oder mithilfe eines integrierten AWS Dienstes stellen, der in Ihrem Namen API Anfragen AWS KMS an uns richtet. Das Kontingent gilt für beide Arten von Anforderungen.

Sie könnten beispielsweise Daten in Amazon S3 speichern, indem Sie serverseitige Verschlüsselung mit einem KMS Schlüssel (SSE-KMS) verwenden. Jedes Mal, wenn Sie ein mit SSE - verschlüsseltes S3-Objekt hoch- oder herunterladenKMS, stellt Amazon S3 in Ihrem Namen eine Anfrage GenerateDataKey Decrypt (für Uploads) oder (für Downloads) AWS KMS an. Diese Anfragen werden auf Ihr Kontingent angerechnet. Das bedeutet, dass die Anfragen AWS KMS gedrosselt werden, wenn Sie insgesamt 5.500 (oder 10.000 oder 50.000, je nach Ihren Anforderungen AWS-Region) Uploads oder Downloads pro Sekunde von mit - verschlüsselten S3-Objekten überschreiten. SSE KMS

Kontoübergreifende Anforderungen

Wenn eine Anwendung in einer Anwendung einen KMS Schlüssel AWS-Konto verwendet, der einem anderen Konto gehört, spricht man von einer kontoübergreifenden Anfrage. Bei kontoübergreifenden Anfragen wird das Konto AWS KMS gedrosselt, das die Anfragen stellt, nicht das Konto, dem der Schlüssel gehört. KMS Wenn beispielsweise eine Anwendung in Konto A einen KMS Schlüssel in Konto B verwendet, gilt die KMS Schlüsselverwendung nur für die Kontingente in Konto A.

Anforderungskontingente für benutzerdefinierte Schlüsselspeicher

AWS KMS verwaltet Anforderungskontingente für kryptografische Operationen mit den KMS Schlüsseln in einem benutzerdefinierten Schlüsselspeicher. Diese Anforderungskontingente werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet.

Anforderungskontingent für benutzerdefinierte Schlüsselspeicher Standardwert (Anforderungen pro Sekunde) für jeden benutzerdefinierten Schlüsselspeicher Einstellbar
AWS CloudHSM Quote für Schlüsselspeicher-Anfragen 1800 Nein
Anforderungskontingent für externen Schlüsselspeicher 1800 Ja
Anmerkung

AWS KMS benutzerdefinierte Schlüsselspeicher-Anforderungskontingente werden nicht in der Service Quotas Quotas-Konsole angezeigt. Sie können diese Kontingente nicht mithilfe von API Dienstkontingentoperationen anzeigen oder verwalten. Um eine Änderung Ihres Anforderungskontingents für externe Schlüsselspeicher zu beantragen, erstellen Sie im AWS Support Center einen Fall.

Wenn der einem AWS CloudHSM Schlüsselspeicher zugeordnete AWS CloudHSM Cluster zahlreiche Befehle verarbeitet, auch solche, die nichts mit dem benutzerdefinierten Schlüsselspeicher zu tun haben, erhalten Sie möglicherweise einen AWS KMS ThrottlingException lower-than-expected AT-Schlüssel. Wenn dies der Fall ist, reduzieren Sie Ihre Anforderungsrate auf AWS KMS, reduzieren Sie die damit verbundene Last oder verwenden Sie einen dedizierten AWS CloudHSM Cluster für Ihren AWS CloudHSM Schlüsselspeicher.

AWS KMS meldet die Drosselung von externen Schlüsselspeicher-Anfragen in der Metrik. ExternalKeyStoreThrottle CloudWatch Sie können diese Metrik verwenden, um Drosselungsmuster anzuzeigen, Alarme zu erstellen und Ihr Kontingent für externe Schlüsselspeicheranforderungen anzupassen.

Eine Anforderung für einen kryptografischen Vorgang mit einem KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher wird auf zwei Kontingente angerechnet:

  • Anforderungsrate für kryptografische Operationen (symmetrisch. pro Konto)

    Anfragen für kryptografische Operationen mit KMS Schlüsseln in einem benutzerdefinierten Schlüsselspeicher werden auf das Cryptographic operations (symmetric) request rate Kontingent für jede Region AWS-Konto und jede Region angerechnet. Beispielsweise AWS-Konto können in USA Ost (Nord-Virginia) (us-east-1) jeweils bis zu 50.000 Anfragen pro Sekunde auf symmetrische KMS Verschlüsselungsschlüssel gestellt werden, einschließlich Anfragen, die einen Schlüssel in einem benutzerdefinierten KMS Schlüsselspeicher verwenden.

  • Anforderungskontingent für benutzerdefinierte Schlüsselspeicher (pro benutzerdefiniertem Schlüsselspeicher)

    Anfragen für kryptografische Operationen mit KMS Schlüsseln in einem benutzerdefinierten Schlüsselspeicher werden ebenfalls auf 1.800 Operationen pro Sekunde Custom key store request quota angerechnet. Diese Kontingente werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet. Sie können Anfragen von mehreren Personen enthalten AWS-Konten , die KMS Schlüssel im benutzerdefinierten Schlüsselspeicher verwenden.

Beispiel: Ein Verschlüsselungsvorgang für einen KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher (jeder Typ) in der Region USA Ost (Nord-Virginia) (us-east-1) wird auf das Kontingent auf Cryptographic operations (symmetric) request rate Kontoebene (50.000 Anfragen pro Sekunde) für sein Konto und seine Region und auf Custom key store request quota (1.800 Anfragen pro Sekunde) für seinen benutzerdefinierten Schlüsselspeicher angerechnet. Eine Anforderung für einen Verwaltungsvorgang, z. B. für einen KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher PutKeyPolicy, gilt jedoch nur für das Kontingent auf Kontoebene (15 Anfragen pro Sekunde).