Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Anforderungskontingente
AWS KMS legt Kontingente für die Anzahl der pro Sekunde angeforderten API Operationen fest. Die Anforderungskontingente unterscheiden sich je nach API Vorgang AWS-Region, Vorgang und anderen Faktoren, wie z. B. dem KMS Schlüsseltyp. Wenn Sie ein API Anforderungskontingent überschreiten, wird die Anforderung AWS KMS gedrosselt.
Alle AWS KMS Anforderungskontingente sind einstellbar, mit Ausnahme des Anforderungskontingents für AWS CloudHSM Schlüsselspeicher. Informationen zur Erhöhung eines Kontingents finden Sie unter Anfordern einer Kontingenterhöhung im Service-Quotas-Benutzerhandbuch. Um eine Senkung des Kontingents zu beantragen, ein Kontingent zu ändern, das nicht in Service Quotas aufgeführt ist, oder um ein Kontingent AWS-Region in einem Bereich zu ändern, für AWS KMS den Servicekontingente nicht verfügbar sind, besuchen Sie bitte das AWS Support Center
Wenn Sie das Anforderungskontingent für den GenerateDataKeyVorgang überschreiten, sollten Sie in Erwägung ziehen, die Funktion zum Zwischenspeichern von Datenschlüsseln zu verwenden. AWS Encryption SDK Durch die Wiederverwendung von Datenschlüsseln kann sich die Häufigkeit Ihrer Anfragen auf verringern. AWS KMS
Zusätzlich zu den Anforderungskontingenten werden Ressourcenkontingente AWS KMS verwendet, um die Kapazität für alle Benutzer sicherzustellen. Details hierzu finden Sie unter Ressourcenkontingente.
Um Trends in Ihren Anforderungsraten anzuzeigen, verwenden Sie die Service-Quotas-Konsole
Themen
Fordern Sie Kontingente für jeden AWS KMS API Vorgang an
In dieser Tabelle sind der Quota-Code für Service-Kontingente und der Standardwert für jedes AWS KMS Anforderungskontingent aufgeführt. Alle AWS KMS Anforderungskontingente sind einstellbar, mit Ausnahme des Anforderungskontingents für AWS CloudHSM Schlüsselspeicher.
Anmerkung
Möglicherweise müssen Sie horizontal oder vertikal Scrollen, um alle Daten in dieser Tabelle anzuzeigen.
Kontingentname | Standardwert (Anforderungen pro Sekunde) |
---|---|
Gilt für:
|
Diese gemeinsamen Kontingente variieren je nach dem AWS-Region und der Art des in der Anfrage verwendeten KMS Schlüssels. Jedes Kontingent wird separat berechnet.
|
Gilt für:
|
1.000 (gemeinsam genutzt) für RSA KMS Schlüssel |
Gilt für:
|
1.000 (gemeinsam genutzt) für Tasten mit elliptischen Kurven (ECC) und SM2 (nur Regionen Chinas) KMS |
Gilt für:
|
Anforderungskontingente für benutzerdefinierte Schlüsselspeicher werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet.
|
|
5 |
|
5 |
|
5 |
|
5 |
|
50 |
|
5 |
|
15 |
|
5 |
|
15 |
|
5 |
|
2000 |
|
5 |
|
5 |
|
5 |
|
5 |
|
15 |
Gilt für:
|
100 |
Gilt für:
|
100 |
Gilt für:
|
100 |
Gilt für:
|
100 |
Gilt für:
|
1 |
Gilt für:
|
0,5 (1 in jedem 2-Sekunden-Intervall) |
Gilt für:
|
0,1 (1 in jedem 10-Sekunden-Intervall) |
Gilt für:
|
25 |
|
1000 |
|
1000 |
|
0,25 (1 in jedem 4-Sekunden-Intervall) |
|
2000 |
|
15 |
|
500 |
|
100 |
|
100 |
|
500 |
|
100 |
|
2000 |
|
100 |
|
15 |
ReplicateKey request rate
Eine |
5 |
|
50 |
|
50 |
|
5 |
|
15 |
|
10 |
|
5 |
|
5 |
|
5 |
|
5 |
Eine |
5 |
Anwenden von Anforderungskontingenten
Beachten Sie beim Anzeigen der Anforderungskontingente die folgenden Informationen.
-
Anforderungskontingente gelten sowohl für kundenverwaltete Schlüssel als auch für Von AWS verwaltete Schlüssel. Die Verwendung von AWS-eigene Schlüsselwird nicht auf Ihre Anforderungskontingente angerechnet AWS-Konto, auch wenn sie zum Schutz der Ressourcen in Ihrem Konto verwendet werden.
-
Anforderungskontingente gelten für Anfragen, die an FIPS Endpunkte und FIPS Nicht-Endpunkte gesendet werden. Eine Liste der AWS KMS Dienstendpunkte finden Sie unter AWS Key Management Service Endpunkte und Kontingente in der. Allgemeine AWS-Referenz
-
Die Drosselung basiert auf allen Anfragen für KMS Schlüssel aller Typen in der Region. Diese Summe beinhaltet Anfragen von allen Auftraggebern in der AWS-Konto, einschließlich Anfragen von AWS Diensten in Ihrem Namen.
-
Jedes Anforderungskontingent wird separat berechnet. Anfragen für den CreateKeyVorgang haben beispielsweise keine Auswirkung auf das Anforderungskontingent für den CreateAliasVorgang. Wenn Ihre
CreateAlias
-Anforderungen gedrosselt werden, können IhreCreateKey
-Anforderungen weiterhin erfolgreich abgeschlossen werden. -
Obwohl für kryptografische Operationen ein gemeinsames Kontingent gilt, wird das gemeinsame Kontingent unabhängig von den Kontingenten für andere Operationen berechnet. Beispielsweise teilen sich Aufrufe der Vorgänge Verschlüsseln und Entschlüsseln ein Anforderungskontingent, aber dieses Kontingent ist unabhängig von dem Kontingent für Verwaltungsvorgänge, wie z. EnableKey In der Region Europa (London) können Sie beispielsweise 10.000 kryptografische Operationen mit symmetrischen KMS Schlüsseln plus 5
EnableKey
Operationen pro Sekunde durchführen, ohne gedrosselt zu werden.
Gemeinsame Kontingente für kryptografische Operationen
AWS KMS Bei kryptografischen Vorgängen werden die Quoten für Anfragen gemeinsam genutzt. Sie können eine beliebige Kombination der kryptografischen Operationen anfordern, die vom KMS Schlüssel unterstützt werden, nur damit die Gesamtzahl der kryptografischen Operationen das Anforderungskontingent für diesen Schlüsseltyp nicht überschreitet. KMS Die Ausnahmen sind GenerateDataKeyPairund GenerateDataKeyPairWithoutPlaintext, die sich ein separates Kontingent teilen.
Die Kontingente für verschiedene KMS Schlüsseltypen werden unabhängig voneinander berechnet. Jedes Kontingent gilt für alle Anfragen für diese Operationen in der Region AWS-Konto und mit dem angegebenen Schlüsseltyp in jedem Intervall von einer Sekunde.
-
Die Anforderungsrate für kryptografische Operationen (symmetrisch) ist das gemeinsame Anforderungskontingent für kryptografische Operationen, bei denen symmetrische KMS Schlüssel in einem Konto und einer Region verwendet werden. Dieses Kontingent gilt für kryptografische Operationen mit symmetrischen Verschlüsselungsschlüsseln und Schlüsseln, die ebenfalls symmetrisch HMAC sind.
Beispielsweise könnten Sie symmetrische KMS Schlüssel in einem System AWS-Region mit einem gemeinsamen Kontingent von 10.000 Anfragen pro Sekunde verwenden. Wenn Sie 7.000 GenerateDataKeyAnfragen pro Sekunde und 2.000 Decrypt-Anfragen pro Sekunde stellen, werden Ihre Anfragen AWS KMS nicht gedrosselt. Wenn jedoch 9 500
GenerateDataKey
-Anforderungen und 1 000 Encrypt-Anforderungen pro Sekunde anfallen, drosselt AWS KMS die Anforderungen, da sie das gemeinsame Kontingent überschreiten.Kryptografische Operationen mit den symmetrischen KMS Verschlüsselungsschlüsseln in einem benutzerdefinierten Schlüsselspeicher werden sowohl auf die Anforderungsrate für kryptografische Operationen (symmetrisch) für das Konto als auch auf das Anforderungskontingent für den benutzerdefinierten Schlüsselspeicher für den benutzerdefinierten Schlüsselspeicher angerechnet.
-
Bei einem Anforderungskontingent von 1.000 Vorgängen pro Sekunde können Sie beispielsweise 400 Verschlüsselungsanforderungen und 200 Entschlüsselungsanforderungen mit RSA KMS Schlüsseln, die verschlüsselt und entschlüsselt werden können, sowie 250 Signieranfragen und 150 Überprüfungsanforderungen mit RSA KMS Schlüsseln stellen, die signiert und verifiziert werden können.
-
Bei einem Anforderungskontingent von 1.000 Vorgängen pro Sekunde können Sie beispielsweise 400 Signieranfragen und 200 Verifizierungsanfragen mit ECC KMS Schlüsseln stellen, die signieren und verifizieren können, plus 250 Signieranfragen und 150 Verifizierungsanfragen mit SM2 KMS Schlüsseln, die signieren und verifizieren können.
-
Das Anforderungskontingent für benutzerdefinierte Schlüsselspeicher ist das gemeinsame Anforderungskontingent für kryptografische Operationen mit KMS Schlüsseln in einem benutzerdefinierten Schlüsselspeicher. Dieses Kontingent wird für jeden benutzerdefinierten Schlüsselspeicher separat berechnet.
Kryptografische Operationen mit den symmetrischen KMS Verschlüsselungsschlüsseln in einem benutzerdefinierten Schlüsselspeicher werden sowohl auf die Anforderungsrate für kryptografische Operationen (symmetrisch) für das Konto als auch auf das Anforderungskontingent für den benutzerdefinierten Schlüsselspeicher für den benutzerdefinierten Schlüsselspeicher angerechnet.
Die Kontingente für unterschiedliche Schlüsseltypen werden ebenfalls unabhängig berechnet. Wenn Sie beispielsweise in der Region Asien-Pazifik (Singapur) sowohl symmetrische als auch asymmetrische KMS Schlüssel verwenden, können Sie mit symmetrischen Schlüsseln (einschließlich KMS HMAC Schlüsseln) bis zu 10.000 Anrufe pro Sekunde plus bis zu 500 zusätzliche Anrufe pro Sekunde mit Ihren RSA asymmetrischen KMS Schlüsseln sowie bis zu 300 zusätzliche Anfragen pro Sekunde mit Ihren ECC basierten KMS Schlüsseln tätigen.
APIAnfragen, die in Ihrem Namen gestellt wurden
Sie können API Anfragen direkt oder mithilfe eines integrierten AWS Dienstes stellen, der in Ihrem Namen API Anfragen AWS KMS an uns richtet. Das Kontingent gilt für beide Arten von Anforderungen.
Sie könnten beispielsweise Daten in Amazon S3 speichern, indem Sie serverseitige Verschlüsselung mit einem KMS Schlüssel (SSE-KMS) verwenden. Jedes Mal, wenn Sie ein mit SSE - verschlüsseltes S3-Objekt hoch- oder herunterladenKMS, stellt Amazon S3 in Ihrem Namen eine Anfrage GenerateDataKey
Decrypt
(für Uploads) oder (für Downloads) AWS KMS an. Diese Anfragen werden auf Ihr Kontingent angerechnet. Das bedeutet, dass die Anfragen AWS KMS gedrosselt werden, wenn Sie insgesamt 5.500 (oder 10.000 oder 50.000, je nach Ihren Anforderungen AWS-Region) Uploads oder Downloads pro Sekunde von mit - verschlüsselten S3-Objekten überschreiten. SSE KMS
Kontoübergreifende Anforderungen
Wenn eine Anwendung in einer Anwendung einen KMS Schlüssel AWS-Konto verwendet, der einem anderen Konto gehört, spricht man von einer kontoübergreifenden Anfrage. Bei kontoübergreifenden Anfragen wird das Konto AWS KMS gedrosselt, das die Anfragen stellt, nicht das Konto, dem der Schlüssel gehört. KMS Wenn beispielsweise eine Anwendung in Konto A einen KMS Schlüssel in Konto B verwendet, gilt die KMS Schlüsselverwendung nur für die Kontingente in Konto A.
Anforderungskontingente für benutzerdefinierte Schlüsselspeicher
AWS KMS verwaltet Anforderungskontingente für kryptografische Operationen mit den KMS Schlüsseln in einem benutzerdefinierten Schlüsselspeicher. Diese Anforderungskontingente werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet.
Anforderungskontingent für benutzerdefinierte Schlüsselspeicher | Standardwert (Anforderungen pro Sekunde) für jeden benutzerdefinierten Schlüsselspeicher | Einstellbar |
---|---|---|
AWS CloudHSM Quote für Schlüsselspeicher-Anfragen | 1800 | Nein |
Anforderungskontingent für externen Schlüsselspeicher | 1800 | Ja |
Anmerkung
AWS KMS benutzerdefinierte Schlüsselspeicher-Anforderungskontingente werden nicht in der Service Quotas Quotas-Konsole angezeigt. Sie können diese Kontingente nicht mithilfe von API Dienstkontingentoperationen anzeigen oder verwalten. Um eine Änderung Ihres Anforderungskontingents für externe Schlüsselspeicher zu beantragen, erstellen Sie im AWS Support Center
Wenn der einem AWS CloudHSM Schlüsselspeicher zugeordnete AWS CloudHSM Cluster zahlreiche Befehle verarbeitet, auch solche, die nichts mit dem benutzerdefinierten Schlüsselspeicher zu tun haben, erhalten Sie möglicherweise einen AWS KMS
ThrottlingException
lower-than-expected AT-Schlüssel. Wenn dies der Fall ist, reduzieren Sie Ihre Anforderungsrate auf AWS KMS, reduzieren Sie die damit verbundene Last oder verwenden Sie einen dedizierten AWS CloudHSM Cluster für Ihren AWS CloudHSM Schlüsselspeicher.
AWS KMS meldet die Drosselung von externen Schlüsselspeicher-Anfragen in der Metrik. ExternalKeyStoreThrottle CloudWatch Sie können diese Metrik verwenden, um Drosselungsmuster anzuzeigen, Alarme zu erstellen und Ihr Kontingent für externe Schlüsselspeicheranforderungen anzupassen.
Eine Anforderung für einen kryptografischen Vorgang mit einem KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher wird auf zwei Kontingente angerechnet:
-
Anforderungsrate für kryptografische Operationen (symmetrisch. pro Konto)
Anfragen für kryptografische Operationen mit KMS Schlüsseln in einem benutzerdefinierten Schlüsselspeicher werden auf das
Cryptographic operations (symmetric) request rate
Kontingent für jede Region AWS-Konto und jede Region angerechnet. Beispielsweise AWS-Konto können in USA Ost (Nord-Virginia) (us-east-1) jeweils bis zu 50.000 Anfragen pro Sekunde auf symmetrische KMS Verschlüsselungsschlüssel gestellt werden, einschließlich Anfragen, die einen Schlüssel in einem benutzerdefinierten KMS Schlüsselspeicher verwenden. Anforderungskontingent für benutzerdefinierte Schlüsselspeicher (pro benutzerdefiniertem Schlüsselspeicher)
Anfragen für kryptografische Operationen mit KMS Schlüsseln in einem benutzerdefinierten Schlüsselspeicher werden ebenfalls auf 1.800 Operationen pro Sekunde
Custom key store request quota
angerechnet. Diese Kontingente werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet. Sie können Anfragen von mehreren Personen enthalten AWS-Konten , die KMS Schlüssel im benutzerdefinierten Schlüsselspeicher verwenden.
Beispiel: Ein Verschlüsselungsvorgang für einen KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher (jeder Typ) in der Region USA Ost (Nord-Virginia) (us-east-1) wird auf das Kontingent auf Cryptographic operations (symmetric) request rate
Kontoebene (50.000 Anfragen pro Sekunde) für sein Konto und seine Region und auf Custom key
store request quota
(1.800 Anfragen pro Sekunde) für seinen benutzerdefinierten Schlüsselspeicher angerechnet. Eine Anforderung für einen Verwaltungsvorgang, z. B. für einen KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher PutKeyPolicy, gilt jedoch nur für das Kontingent auf Kontoebene (15 Anfragen pro Sekunde).