Demandez des quotas pour chaque AWS KMS API opération Application des quotas de demande Quotas partagés pour les opérations de chiffrement APIdemandes faites en votre nom Demandes entre comptes Quotas de demandes de magasin de clés personnalisé

Quotas de demande

AWS KMS établit des quotas pour le nombre d'APIopérations demandées par seconde. Les quotas de demandes varient en fonction de l'APIopération Région AWS, du et d'autres facteurs, tels que le type de KMS clé. Lorsque vous dépassez un quota de demandes, AWS KMS la API demande est limitée.

Tous les quotas de AWS KMS demandes sont ajustables, à l'exception du quota de demandes du magasin de AWS CloudHSM clés. Pour demander une augmentation de quota, consultez Demande d'augmentation de quota dans le Guide de l'utilisateur Service Quotas. Pour demander une réduction de quota, pour modifier un quota qui ne figure pas dans la liste des Quotas de Service, ou pour modifier un quota dans un pays Région AWS où les Quotas de Service pour AWS KMS ne sont pas disponibles, rendez-vous AWS Support au Centre et créez un dossier.

Si vous dépassez le quota de demandes pour l'GenerateDataKeyopération, pensez à utiliser la fonctionnalité de mise en cache des clés de données du AWS Encryption SDK. La réutilisation des clés de données peut réduire la fréquence de vos demandes de AWS KMS.

Outre les quotas de demande, AWS KMS utilise des quotas de ressources pour garantir la capacité de tous les utilisateurs. Pour plus de détails, consultez Quotas de ressources.

Pour afficher les tendances de vos taux de demande, utilisez la console Service Quotas. Vous pouvez également créer une CloudWatch alarme Amazon qui vous avertit lorsque le taux de demandes atteint un certain pourcentage de la valeur du quota. Pour plus de détails, consultez Gérer vos taux de AWS KMS API demandes à l'aide de Service Quotas et d'Amazon CloudWatch dans le blog sur la AWS sécurité.

Rubriques

Demandez des quotas pour chaque AWS KMS API opération
Application des quotas de demande
Quotas partagés pour les opérations de chiffrement
APIdemandes faites en votre nom
Demandes entre comptes
Quotas de demandes de magasin de clés personnalisé

Demandez des quotas pour chaque AWS KMS API opération

Ce tableau répertorie le code de quota de Service Quotas et la valeur par défaut pour chaque quota de AWS KMS demande. Tous les quotas de AWS KMS demandes sont ajustables, à l'exception du quota de demandes du magasin de AWS CloudHSM clés.

Note

Il peut être nécessaire de faire défiler horizontalement ou verticalement pour afficher toutes les données de ce tableau.

Nom du quota	Valeur par défaut (requêtes par seconde)
`Cryptographic operations (symmetric) request rate` S'applique à : `Decrypt` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateMac` `GenerateRandom` `ReEncrypt` `VerifyMac`	Ces quotas partagés varient en fonction du type de KMS clé utilisé dans la demande. Région AWS Chaque quota est calculé séparément. 10 000 (partagés) 20 000 (partagés) dans les régions suivantes : USA Est (Ohio), us-east-2 Asie-Pacifique (Singapour), ap-southeast-1 Asie-Pacifique (Sydney), ap-southeast-2 Asie-Pacifique (Tokyo), ap-northeast-1 Europe (Francfort), eu-central-1 Europe (Londres), eu-west-2 100 000 (partagés) dans les régions suivantes : USA Est (Virginie du Nord), us-east-1 USA Ouest (Oregon), us-west-2 Europe (Irlande), eu-west-1
`Cryptographic operations (RSA) request rate` S'applique à : `Decrypt` `Encrypt` `ReEncrypt` `Sign` `Verify`	1 000 (partagés) pour les RSA KMS clés
`Cryptographic operations (ECC and SM2) request rate` S'applique à : `Decrypt`—uniquement pris en charge pour les clés SM2 (régions chinoises uniquement) KMS `DeriveSharedSecret` `Encrypt`—uniquement pris en charge pour les clés SM2 (régions chinoises uniquement) KMS `ReEncrypt`—uniquement pris en charge pour les clés SM2 (régions chinoises uniquement) KMS `Sign` `Verify`	1 000 (partagées) pour les clés de courbe elliptique (ECC) et SM2 (régions de Chine uniquement) KMS
`Custom key store request quotas` S'applique à : `Decrypt` `DeriveSharedSecret` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateRandom` `ReEncrypt`	Les quotas de demandes de magasin de clés personnalisé sont calculés séparément pour chaque magasin de clés personnalisé 1 800 (partagés) pour chaque magasin de AWS CloudHSM clés 1 800 (partagées) pour chaque magasin de clés externes
`CancelKeyDeletion request rate`	5
`ConnectCustomKeyStore request rate`	5
`CreateAlias request rate`	5
`CreateCustomKeyStore request rate`	5
`CreateGrant request rate`	50
`CreateKey request rate`	5
`DeleteAlias request rate`	15
`DeleteCustomKeyStore request rate`	5
`DeleteImportedKeyMaterial request rate`	15
`DescribeCustomKeyStores request rate`	5
`DescribeKey request rate`	2000
`DisableKey request rate`	5
`DisableKeyRotation request rate`	5
`DisconnectCustomKeyStore request rate`	5
`EnableKey request rate`	5
`EnableKeyRotation request rate`	15
`GenerateDataKeyPair (ECC_NIST_P256) request rate` S'applique à : `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P384) request rate` S'applique à : `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P521) request rate` S'applique à : `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_SECG_P256K1) request rate` S'applique à : `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (RSA_2048) request rate` S'applique à : `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	1
`GenerateDataKeyPair (RSA_3072) request rate` S'applique à : `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0,5 (1 dans chaque intervalle de 2 secondes)
`GenerateDataKeyPair (RSA_4096) request rate` S'applique à : `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0,1 (1 dans chaque intervalle de 10 secondes)
`GenerateDataKeyPair (SM2 — China Regions only) request rate` S'applique à : `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	25
`GetKeyPolicy request rate`	1 000
`GetKeyRotationStatus request rate`	1 000
`GetParametersForImport request rate`	0,25 (1 dans chaque intervalle de 4 secondes)
`GetPublicKey request rate`	2000
`ImportKeyMaterial request rate`	15
`ListAliases request rate`	500
`ListGrants request rate`	100
`ListKeyPolicies request rate`	100
`ListKeys request rate`	500
`ListKeyRotations request rate`	100
`ListResourceTags request rate`	2000
`ListRetirableGrants request rate`	100
`PutKeyPolicy request rate`	15
`ReplicateKey request rate` Une opération `ReplicateKey` compte comme une demande `ReplicateKey` dans la région de la clé principale et deux demandes `CreateKey` dans la région du réplica. L'une des demandes `CreateKey` est un essai pour détecter les problèmes potentiels avant de créer la clé.	5
`RetireGrant request rate`	50
`RevokeGrant request rate`	50
`RotateKeyOnDemand request rate`	5
`ScheduleKeyDeletion request rate`	15
`TagResource request rate`	10
`UntagResource request rate`	5
`UpdateAlias request rate`	5
`UpdateCustomKeyStore request rate`	5
`UpdateKeyDescription request rate`	5
`UpdatePrimaryRegion request rate` Une opération `UpdatePrimaryRegion` compte comme deux demandes `UpdatePrimaryRegion` ; une demande dans chacune des deux régions touchées.	5

Application des quotas de demande

Lors de la révision des quotas de demande, gardez à l'esprit les informations suivantes.

Les quotas de demande s'appliquent aux clés gérées par le client et aux Clés gérées par AWS. L'utilisation de Clés détenues par AWSn'est pas prise en compte dans les quotas de demandes pour vous Compte AWS, même s'ils sont utilisés pour protéger les ressources de votre compte.
Les quotas de demandes s'appliquent aux demandes envoyées aux points de FIPS terminaison et aux autres points de FIPS terminaison. Pour obtenir la liste des points de terminaison de AWS KMS service, consultez la section AWS Key Management Service Points de terminaison et quotas dans le. Références générales AWS
Le throttling est basé sur toutes les demandes portant sur des KMS clés de tous types dans la région. Ce total inclut les demandes émanant de tous les principaux acteurs du Compte AWS, y compris les demandes émanant de AWS services en votre nom.
Chaque quota de demande est calculé indépendamment. Par exemple, les demandes relatives à l'CreateKeyopération n'ont aucun effet sur le quota de demandes pour l'CreateAliasopération. Si vos demandes CreateAlias sont soumises à une limitation, vos demandes CreateKey peuvent tout de même s'exécuter avec succès.
Bien que les opérations de chiffrement partagent un quota, le quota partagé est calculé indépendamment des quotas appliqués aux autres opérations. Par exemple, les appels aux opérations de chiffrement et de déchiffrement partagent un quota de demandes, mais ce quota est indépendant du quota pour les opérations de gestion, telles que. EnableKey Par exemple, dans la région Europe (Londres), vous pouvez effectuer 10 000 opérations cryptographiques sur des KMS clés symétriques plus 5 EnableKey opérations par seconde sans être limité.

Quotas partagés pour les opérations de chiffrement

AWS KMS les opérations cryptographiques partagent les quotas de demandes. Vous pouvez demander n'importe quelle combinaison d'opérations cryptographiques prises en charge par la KMS clé, afin que le nombre total d'opérations cryptographiques ne dépasse pas le quota de demandes pour ce type de KMS clé. Les exceptions sont GenerateDataKeyPairet GenerateDataKeyPairWithoutPlaintext, qui partagent un quota distinct.

Les quotas pour les différents types de KMS clés sont calculés indépendamment. Chaque quota s'applique à toutes les demandes relatives à ces opérations dans la région Compte AWS et avec le type de clé donné à chaque intervalle d'une seconde.

Le taux de demandes d'opérations cryptographiques (symétriques) est le quota de demandes partagées pour les opérations cryptographiques utilisant des KMS clés symétriques dans un compte et une région. Ce quota s'applique aux opérations cryptographiques utilisant des clés de chiffrement symétriques et des HMAC clés, qui sont également symétriques.

Par exemple, vous pouvez utiliser des KMSclés symétriques dans un Région AWS quota partagé de 10 000 requêtes par seconde. Lorsque vous faites 7 000 GenerateDataKeydemandes par seconde et 2 000 demandes de déchiffrement par seconde, AWS KMS cela ne limite pas vos demandes. Par contre, si vous effectuez 9 500 demandes GenerateDataKey et 1 000 demandes Encrypt par seconde, AWS KMS limite vos demandes, car elles dépassent le quota partagé.

Les opérations cryptographiques sur les clés de chiffrement symétriques d'un magasin de KMS clés personnalisé sont prises en compte à la fois dans le taux de demandes d'opérations cryptographiques (symétriques) pour le compte et dans le quota de demandes de magasin de clés personnalisé pour le magasin de clés personnalisé.
Le taux de demandes d'opérations cryptographiques (RSA) est le quota de demandes partagé pour les opérations cryptographiques utilisant des clés RSAasymétriques KMS.

Par exemple, avec un quota de 1 000 opérations par seconde, vous pouvez effectuer 400 demandes de chiffrement et 200 demandes de déchiffrement avec des RSA KMS clés permettant de chiffrer et de déchiffrer, plus 250 demandes de signature et 150 demandes de vérification avec des RSA KMS clés capables de signer et de vérifier.
Le taux de demandes d'opérations cryptographiques (ECC) est le quota de demandes partagé pour les opérations cryptographiques utilisant des clés asymétriques à courbe elliptique (ECC) et des KMS clés asymétriques SM. KMS

Par exemple, avec un quota de 1 000 opérations par seconde, vous pouvez effectuer 400 demandes de signature et 200 demandes de vérification avec des ECC KMS clés permettant de signer et de vérifier, plus 250 demandes de signature et 150 demandes de vérification avec des SM2 KMS clés permettant de signer et de vérifier.
Le quota de demandes de stockage de clés personnalisé est le quota de demandes partagées pour les opérations cryptographiques sur KMS les clés d'un magasin de clés personnalisé. Cette limite est calculée séparément pour chaque magasin de clés personnalisé.

Les opérations cryptographiques sur les clés de chiffrement symétriques d'un magasin de KMS clés personnalisé sont prises en compte à la fois dans le taux de demandes d'opérations cryptographiques (symétriques) pour le compte et dans le quota de demandes de magasin de clés personnalisé pour le magasin de clés personnalisé.

Les quotas des différents types de clés sont également calculées indépendamment. Par exemple, dans la région Asie-Pacifique (Singapour), si vous utilisez à la fois des KMS clés symétriques et asymétriques, vous pouvez passer jusqu'à 10 000 appels par seconde avec des clés symétriques (KMStouches inclusesHMAC) plus jusqu'à 500 appels supplémentaires par seconde avec vos KMS clés RSA asymétriques, plus jusqu'à 300 demandes supplémentaires par seconde avec vos clés basées. ECC KMS

APIdemandes faites en votre nom

Vous pouvez faire des API demandes directement ou en utilisant un AWS service intégré qui les fait API AWS KMS en votre nom. Le quota s'applique aux deux types de demandes.

Par exemple, vous pouvez stocker des données dans Amazon S3 à l'aide d'un chiffrement côté serveur avec une KMS clé (SSE-KMS). Chaque fois que vous chargez ou téléchargez un objet S3 chiffré avec SSE -KMS, Amazon S3 envoie une demande GenerateDataKey (pour les chargements) ou Decrypt (pour les téléchargements) en votre AWS KMS nom. Ces demandes sont prises en compte dans votre quota, AWS KMS ce qui limite le nombre de demandes si vous dépassez un total combiné de 5 500 (ou 10 000 ou 50 000 selon vos Région AWS) chargements ou téléchargements par seconde d'objets S3 chiffrés avec -. SSE KMS

Demandes entre comptes

Lorsqu'une application Compte AWS utilise une KMS clé appartenant à un autre compte, on parle de demande entre comptes. Pour les demandes entre comptes, AWS KMS limite le compte qui fait les demandes, et non le compte propriétaire de la clé. KMS Par exemple, si une application du compte A utilise une KMS clé du compte B, l'utilisation de la KMS clé s'applique uniquement aux quotas du compte A.

Quotas de demandes de magasin de clés personnalisé

AWS KMS maintient les quotas de demandes pour les opérations cryptographiques sur les KMS clés d'un magasin de clés personnalisé. Ces quotas de demandes sont calculés séparément pour chaque magasin de clés personnalisé.

Quota de requêtes de magasin de clés personnalisé	Valeur par défaut (demandes par seconde) pour chaque magasin de clés personnalisé	Ajustable
AWS CloudHSM quota de demandes de stockage de clés	1800	Non
Quota de demandes de magasin de clés externes	1800	Oui

Note

AWS KMS les quotas de demandes de stockage de clés personnalisés n'apparaissent pas dans la console Service Quotas. Vous ne pouvez pas consulter ou gérer ces quotas à l'aide des API opérations Service Quotas. Pour solliciter une modification de votre quota de demandes de magasin de clés externes, accédez au Centre AWS Support et créez une demande.

Si le AWS CloudHSM cluster associé à un magasin de AWS CloudHSM clés traite de nombreuses commandes, y compris celles qui ne sont pas liées au magasin de clés personnalisé, vous pourriez obtenir un AWS KMS ThrottlingException lower-than-expected at. Dans ce cas, réduisez votre taux de demandes à AWS KMS, réduisez la charge non liée ou utilisez un AWS CloudHSM cluster dédié pour votre magasin de AWS CloudHSM clés.

AWS KMS signale la limitation des demandes de stockage de clés externes dans la ExternalKeyStoreThrottle CloudWatch métrique. Vous pouvez utiliser cette métrique pour visualiser les modèles de limitation, créer des alertes et ajuster votre quota de demandes pour le magasin de clés externes.

Une demande d'opération cryptographique sur une clé dans un magasin de KMS clés personnalisé est prise en compte dans le calcul de deux quotas :

Quota de taux de demandes d'opérations de chiffrement (symétrique) (par compte)

Les demandes d'opérations cryptographiques sur KMS les clés d'un magasin de clés personnalisé sont prises en compte dans le Cryptographic operations (symmetric) request rate quota pour chaque Compte AWS région. Par exemple, dans l'est des États-Unis (Virginie du Nord) (us-east-1), Compte AWS chacune peut recevoir jusqu'à 50 000 requêtes par seconde sur des clés de KMS chiffrement symétriques, y compris des demandes utilisant KMS une clé dans un magasin de clés personnalisé.
Quota de demandes de magasin de clés personnalisé (par magasin de clés personnalisé)

Les demandes d'opérations cryptographiques sur des KMS clés dans un magasin de clés personnalisé sont également prises en compte dans le calcul Custom key store request quota de 1 800 opérations par seconde. Ces quotas sont calculés séparément pour chaque magasin de clés personnalisé. Elles peuvent inclure des demandes provenant de plusieurs Comptes AWS utilisateurs de KMS clés dans le magasin de clés personnalisé.

Par exemple, une opération de chiffrement sur une KMS clé dans un magasin de clés personnalisé (quel que soit le type) dans la région USA Est (Virginie du Nord) (us-east-1) est prise en compte dans Cryptographic operations (symmetric) request rate le quota au niveau du compte (50 000 demandes par seconde) pour son compte et sa région, et dans le calcul de a (1 800 demandes par seconde) pour son magasin de clés personnalisé. Custom key store request quota Cependant, une demande d'opération de gestion, telle que celle portant sur une KMS clé dans un magasin de clés personnalisé PutKeyPolicy, ne s'applique qu'au quota au niveau du compte (15 demandes par seconde).

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Quotas de ressources

Limitation des demandes