Quotas de demande - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Quotas de demande

AWS KMS établit des quotas sur le nombre d'opérations d'API demandées par seconde. Les quotas de demande diffèrent en fonction de l'opération d'API, de la Région AWS et d'autres facteurs, tels que le type de clé KMS. Lorsque vous dépassez un quota de demande d'API, AWS KMS limite la demande.

Toutes les demandes de quotas AWS KMS sont ajustables, sauf pour le quota de demandes du magasin de clés AWS CloudHSM. Pour demander une augmentation de quota, consultez Demande d'augmentation de quota dans le Guide de l'utilisateur Service Quotas. Pour demander une réduction de quota, pour modifier un quota qui ne figure pas dans la liste des Service Quotas, ou pour modifier un quota dans une Région AWS où les Service Quotas pour AWS KMS ne sont pas disponibles, rendez-vous dans le Centre AWS Support et créez un dossier.

Si vous dépassez le quota de demandes pour l'GenerateDataKeyopération, pensez à utiliser la fonctionnalité de mise en cache des clés de données duAWS Encryption SDK. La réutilisation de clés de données peut réduire la fréquence de vos demandes adressées à AWS KMS.

En plus des quotas de demande, AWS KMS utilise les quotas de ressources pour assurer la capacité de tous les utilisateurs. Pour plus de détails, veuillez consulter Quotas de ressources.

Pour afficher les tendances de vos taux de demande, utilisez la console Service Quotas. Vous pouvez également créer une CloudWatch alarme Amazon qui vous avertit lorsque le taux de demandes atteint un certain pourcentage de la valeur du quota. Pour plus de détails, consultez Gérer vos taux de demandes AWS KMS d'API à l'aide de Service Quotas et d'Amazon CloudWatch dans le blog sur la AWS sécurité.

Demander des quotas pour chaque opération d'API AWS KMS

Ce tableau répertorie le code de quota des Service Quotas et la valeur par défaut de chaque quota de demande AWS KMS. Toutes les demandes de quotas AWS KMS sont ajustables, sauf pour le quota de demandes de magasin de clés AWS CloudHSM.

Note

Il peut être nécessaire de faire défiler horizontalement ou verticalement pour afficher toutes les données de ce tableau.

Nom du quota Valeur par défaut (requêtes par seconde)

Cryptographic operations (symmetric) request rate

S'applique à :

  • Decrypt

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateMac

  • GenerateRandom

  • ReEncrypt

  • VerifyMac

Ces quotas partagés varient selon la Région AWS et le type de clé KMS utilisé dans la demande. Chaque quota est calculé séparément.

  • 5 500 (partagées)

  • 10 000 (partagées) dans les régions suivantes :

    • USA Est (Ohio), us-east-2

    • Asie-Pacifique (Singapour), ap-southeast-1

    • Asie-Pacifique (Sydney), ap-southeast-2

    • Asie-Pacifique (Tokyo), ap-northeast-1

    • Europe (Francfort), eu-central-1

    • Europe (Londres), eu-west-2

  • 50 000 (partagées) dans les régions suivantes :

    • USA Est (Virginie du Nord), us-east-1

    • USA Ouest (Oregon), us-west-2

    • Europe (Irlande), eu-west-1

Cryptographic operations (RSA) request rate

S'applique à :

  • Decrypt

  • Encrypt

  • ReEncrypt

  • Sign

  • Verify

500 (partagées) pour les clés KMS RSA

Cryptographic operations (ECC) request rate

S'applique à :

  • Sign

  • Verify

300 (partagées) pour les clés KMS de courbe elliptique (ECC)

Cryptographic operations (SM) request rate

S'applique à :

  • Decrypt

  • Encrypt

  • ReEncrypt

  • Sign

  • Verify

300 clés (partagées) KMS SM2 (régions de Chine uniquement)

Custom key store request quotas

S'applique à :

  • Decrypt

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateRandom

  • ReEncrypt

Les quotas de demandes de magasin de clés personnalisé sont calculés séparément pour chaque magasin de clés personnalisé
  • 1 800 (partagées) pour chaque magasin de clés AWS CloudHSM

  • 1 800 (partagées) pour chaque magasin de clés externes

CancelKeyDeletion request rate

5

ConnectCustomKeyStore request rate

5

CreateAlias request rate

5

CreateCustomKeyStore request rate

CreateGrant request rate

50

CreateKey request rate

5

DeleteAlias request rate

15

DeleteCustomKeyStore request rate

5

DeleteImportedKeyMaterial request rate

5

DescribeCustomKeyStores request rate

DescribeKey request rate

2000

DisableKey request rate

5

DisableKeyRotation request rate

5

DisconnectCustomKeyStore request rate

5

EnableKey request rate

EnableKeyRotation request rate

15

GenerateDataKeyPair (ECC_NIST_P256) request rate

S'applique à :

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P384) request rate

S'applique à :

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P521) request rate

S'applique à :

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_SECG_P256K1) request rate

S'applique à :

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (RSA_2048) request rate

S'applique à :

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

1

GenerateDataKeyPair (RSA_3072) request rate

S'applique à :

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0,5 (1 dans chaque intervalle de 2 secondes)

GenerateDataKeyPair (RSA_4096) request rate

S'applique à :

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0,1 (1 dans chaque intervalle de 10 secondes)

GenerateDataKeyPair (SM2 — China Regions only) request rate

S'applique à :

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

25

GetKeyPolicy request rate

1 000

GetKeyRotationStatus request rate

1 000

GetParametersForImport request rate

0,25 (1 dans chaque intervalle de 4 secondes)

GetPublicKey request rate

2000

ImportKeyMaterial request rate

5

ListAliases request rate

500

ListGrants request rate

100

ListKeyPolicies request rate

100

ListKeys request rate

500

ListResourceTags request rate

2000

ListRetirableGrants request rate

100

PutKeyPolicy request rate

15
ReplicateKey request rate

Une opération ReplicateKey compte comme une demande ReplicateKey dans la région de la clé principale et deux demandes CreateKey dans la région du réplica. L'une des demandes CreateKey est un essai pour détecter les problèmes potentiels avant de créer la clé.

5

RetireGrant request rate

30

RevokeGrant request rate

30

ScheduleKeyDeletion request rate

15

TagResource request rate

10

UntagResource request rate

5

UpdateAlias request rate

5

UpdateCustomKeyStore request rate

5

UpdateKeyDescription request rate

UpdatePrimaryRegion request rate

Une opération UpdatePrimaryRegion compte comme deux demandes UpdatePrimaryRegion ; une demande dans chacune des deux régions touchées.

5

Application des quotas de demande

Lors de la révision des quotas de demande, gardez à l'esprit les informations suivantes.

  • Les quotas de demande s'appliquent aux clés gérées par le client et aux Clés gérées par AWS. L'utilisation des Clés détenues par AWS n'est pas prise en compte dans les quotas de demande de votre Compte AWS, même lorsqu'elles sont utilisées pour protéger les ressources de votre compte.

  • Les quotas de demande s'appliquent aux demandes envoyées aux points de terminaison FIPS et aux points de terminaison non FIPS. Pour obtenir la liste complète des points de terminaison AWS KMS, consultez Points de terminaison et quotas de service AWS Key Management Service dans le Références générales AWS.

  • La limitation est basée sur toutes les demandes concernant les clés KMS de tous types dans la région. Ce total comprend les demandes provenant de tous les principaux du Compte AWS, y compris les demandes de services AWS en votre nom.

  • Chaque quota de demande est calculé indépendamment. Par exemple, les demandes relatives à l'CreateKeyopération n'ont aucun effet sur le quota de demandes pour l'CreateAliasopération. Si vos demandes CreateAlias sont soumises à une limitation, vos demandes CreateKey peuvent tout de même s'exécuter avec succès.

  • Bien que les opérations de chiffrement partagent un quota, le quota partagé est calculé indépendamment des quotas appliqués aux autres opérations. Par exemple, les appels aux opérations de chiffrement et de déchiffrement partagent un quota de demandes, mais ce quota est indépendant du quota pour les opérations de gestion, telles que. EnableKey Par exemple, dans la région Europe (Londres), vous pouvez effectuer 10 000 opérations de chiffrement sur des clés KMS symétriques plus 5 opérations EnableKey par seconde sans être limité.

Quotas partagés pour les opérations de chiffrement

Les opérations de chiffrement AWS KMS partagent des quotas de demandes. Vous pouvez demander n'importe quelle combinaison d'opérations de chiffrement prises en charge par la clé KMS, à condition que le nombre total d'opérations de chiffrement ne dépasse pas le quota de demande pour ce type de clé KMS. Les exceptions sont GenerateDataKeyPairet GenerateDataKeyPairWithoutPlaintext, qui partagent un quota distinct.

Les quotas des différents types de clés KMS sont calculés indépendamment. Chaque quota s'applique à toutes les demandes concernant ces opérations dans le Compte AWS et la région avec le type de clé donné dans chaque intervalle d'une seconde.

  • Le taux de demande des opérations de chiffrement (symétrique) est le quota de demande partagé pour les opérations de chiffrement utilisant des clés KMS symétriques dans un compte et une région. Ce quota s'applique aux opérations cryptographiques avec des clés de chiffrement symétriques et des clés HMAC, qui sont également symétriques.

    Par exemple, vous pouvez utiliser des clés KMS symétriques dans une Région AWS avec un quota partagé de 10 000 demandes par seconde. Lorsque vous faites 7 000 GenerateDataKeydemandes par seconde et 2 000 demandes de déchiffrement par seconde, AWS KMS cela ne limite pas vos demandes. Par contre, si vous effectuez 9 500 demandes GenerateDataKey et 1 000 demandes Encrypt par seconde, AWS KMS limite vos demandes, car elles dépassent le quota partagé.

    Les opérations de chiffrement sur les clés KMS de chiffrement symétrique d'un magasin de clés personnalisé sont à la fois comptabilisées dans le taux de demandes d'opérations de chiffrement (symétrique) du compte et dans le quota de demandes du magasin de clés personnalisé.

  • Le taux de demande RSA (opérations de chiffrement) est le quota de demande partagé pour les opérations de chiffrement utilisant des clés KMS asymétriques RSA.

    Par exemple, avec un quota de demandes de 500 opérations par seconde, vous pouvez effectuer 200 demandes Encrypt et 100 demandes Decrypt avec des clés KMS RSA capables de chiffrer et de déchiffrer, plus 50 demandes Sign et 150 demandes Verify avec des clés KMS RSA qui peuvent signer et vérifier.

  • Le taux de demande d'opérations de chiffrement (ECC) est le quota de demande partagé pour les opérations de chiffrement utilisant des clés KMS asymétriques de courbe elliptique (ECC).

    Par exemple, avec un quota de demandes de 300 opérations par seconde, vous pouvez effectuer 100 demandes Sign et 200 demandes Verify avec des clés KMS RSA qui peuvent signer et vérifier.

  • Le taux de requêtes d'opérations cryptographiques (SM — Régions de Chine seulement) est le quota de requêtes partagé pour les opérations cryptographiques utilisant des clés SM KMS asymétriques.

    Par exemple, avec un quota de demandes de 300 opérations par seconde, vous pouvez effectuer 100 demandes Encrypt (Chiffrées) et 100 demandes Decrypt (Déchiffrées) avec des clés KMS SM2 capables de chiffrer et de déchiffrer, plus 50 demandes Sign (Signer) et 50 demandes Verify (Vérifier) avec des clés KMS SM2 qui peuvent signer et vérifier.

  • Le quota de demandes du magasin de clés personnalisé désigne le quota de demandes partagées pour les opérations de chiffrement sur les clés KMS d'un magasin de clés personnalisé. Cette limite est calculée séparément pour chaque magasin de clés personnalisé.

    Les opérations de chiffrement sur les clés KMS de chiffrement symétrique d'un magasin de clés personnalisé sont à la fois comptabilisées dans le taux de demandes d'opérations de chiffrement (symétrique) du compte et dans le quota de demandes du magasin de clés personnalisé.

Les quotas des différents types de clés sont également calculées indépendamment. Par exemple, dans la région Asie-Pacifique (Singapour), si vous utilisez à la fois des clés KMS symétriques et asymétriques, vous pouvez effectuer jusqu'à 10 000 appels par seconde avec des clés KMS symétriques (y compris des clés HMAC) plus 500 appels supplémentaires par seconde avec vos clés KMS asymétriques RSA, plus 300 demandes supplémentaires par seconde avec vos clés KMS ECC.

Demandes d'API effectuées en votre nom

Vous pouvez effectuer des demandes d'API directement ou en utilisant un service AWS intégré qui effectue des demandes d'API à AWS KMS en votre nom. Le quota s'applique aux deux types de demandes.

Par exemple, vous pouvez stocker des données dans Simple Storage Service (Amazon S3) à l'aide du chiffrement côté serveur avec une clé KMS (SSE-KMS). Chaque fois que vous chargez ou téléchargez un objet S3 qui est chiffré avec SSE-KMS, Amazon S3 effectue une demande GenerateDataKey (pour les chargements) ou Decrypt (pour les téléchargements) à AWS KMS en votre nom. Ces demandes sont prises en compte dans le quota qui vous est imposé. C'est pourquoi AWS KMS limite les demandes si vous dépassez un total combiné de 5 500 (ou 10 000 ou 50 000 selon votre Région AWS) chargements ou téléchargements par seconde d'objets S3 chiffrés avec SSE-KMS.

Demandes entre comptes

Lorsqu'une application dans un Compte AWS utilise une clé KMS appartenant à un autre compte, cette action est qualifiée de demande inter-comptes. Pour les demandes inter-comptes, AWS KMS limite le compte qui effectue les demandes, et non pas le compte qui possède la clé KMS. Par exemple, si une application du compte A utilise une clé KMS du compte B, l'utilisation de la clé KMS est uniquement soumise aux quotas du compte A.

Quotas de demandes de magasin de clés personnalisé

AWS KMS gère les quotas de demandes pour les opérations de chiffrement sur les clés KMS d'un magasin de clés personnalisé. Ces quotas de demandes sont calculés séparément pour chaque magasin de clés personnalisé.

Quota de requêtes de magasin de clés personnalisé Valeur par défaut (demandes par seconde) pour chaque magasin de clés personnalisé Ajustable
Quota de demandes de magasin de clés AWS CloudHSM 1800 Non
Quota de demandes de magasin de clés externes 1800 Oui
Note

Le quota de demandes de magasin de clés personnalisé AWS KMS n'apparaît pas dans la console Service Quotas. Vous ne pouvez ni consulter, ni gérer ces quotas à l'aide des opérations de l'API Service Quotas. Pour solliciter une modification de votre quota de demandes de magasin de clés externes, accédez au Centre AWS Support et créez une demande.

Si le AWS CloudHSM cluster associé à un magasin de AWS CloudHSM clés traite de nombreuses commandes, y compris celles qui ne sont pas liées au magasin de clés personnalisé, vous pourriez obtenir un AWS KMS ThrottlingException lower-than-expected at. Si cela se produit, réduisez votre taux de requêtes adressées à AWS KMS, réduisez la charge non associée ou utilisez un cluster AWS CloudHSM dédié pour votre magasin de clés AWS CloudHSM.

AWS KMSsignale la limitation des demandes de stockage de clés externes dans la ExternalKeyStoreThrottle CloudWatch métrique. Vous pouvez utiliser cette métrique pour visualiser les modèles de limitation, créer des alertes et ajuster votre quota de demandes pour le magasin de clés externes.

Une demande d'opération de chiffrement sur une clé KMS d'un magasin de clés personnalisé compte pour deux quotas :

  • Quota de taux de demandes d'opérations de chiffrement (symétrique) (par compte)

    Les demandes d'opérations de chiffrement sur les clés KMS d'un magasin de clés personnalisé sont comptabilisées dans le quota Cryptographic operations (symmetric) request rate de chaque région Compte AWS. Par exemple, dans la région USA Est (Virginie du Nord) (us-east-1), chaque Compte AWS peut recevoir jusqu'à 50 000 demandes par seconde sur des clés KMS de chiffrement symétrique, y compris des demandes utilisant une clé KMS figurant dans un magasin de clés personnalisé.

  • Quota de demandes de magasin de clés personnalisé (par magasin de clés personnalisé)

    Les demandes d'opérations de chiffrement sur les clés KMS d'un magasin de clés personnalisé sont également comptabilisées dans le Custom key store request quota de 1 800 opérations par seconde. Ces quotas sont calculés séparément pour chaque magasin de clés personnalisé. Ils peuvent inclure des demandes provenant de plusieurs Comptes AWS qui utilisent des clés KMS du magasin de clés personnalisé.

Par exemple, une opération Encrypt (Chiffrer) sur une clé KMS d'un magasin de clés personnalisé (quel que soit son type) dans la région USA Est (Virginie du Nord) (us-east-1) est comptabilisée dans le quota au niveau du compte du Cryptographic operations (symmetric) request rate (50 000 demandes par seconde) pour son compte et sa région, et dans un Custom key store request quota (1 800 demandes par seconde) pour son magasin de clés personnalisé. Toutefois, une demande d'opération de gestion, telle que celle portant sur une clé KMS dans un magasin de clés personnalisé PutKeyPolicy, ne s'applique qu'au quota au niveau du compte (15 demandes par seconde).