Limitation des demandes AWS KMS - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Limitation des demandes AWS KMS

Pour garantir AWS KMS des réponses rapides et fiables aux API demandes de tous les clients, il limite les API demandes dépassant certaines limites.

Le throttling se produit lorsque l'on AWS KMS rejette une demande qui pourrait autrement être valide et renvoie une ThrottlingException erreur comme la suivante. 

You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls. 
(Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID: <ID>

AWS KMS limite les demandes pour les conditions suivantes.

  • Le taux de demandes par seconde dépasse le quota de AWS KMS demandes pour un compte et une région.

    Par exemple, si les utilisateurs de votre compte soumettent 1 000 DescribeKey demandes par seconde, toutes AWS KMS les DescribeKey demandes suivantes sont limitées au cours de cette seconde.

    Pour répondre à la limitation, utilisez une stratégie d'interruption et de nouvelle tentative. Cette stratégie est mise en œuvre automatiquement pour HTTP 400 erreurs dans certains cas AWS SDKs.

  • Nombre élevé ou soutenu de demandes de modification de l'état d'une même KMS clé. Cette condition est souvent connue sous le nom de « touche de raccourci ».

    Par exemple, si une application de votre compte envoie une volée persistante de clés EnableKey et DisableKey demande la même KMS clé, elle limite le nombre AWS KMS de demandes. Cette limitation se produit même si les demandes ne dépassent pas la limite de request-per-second demandes pour les opérations EnableKey etDisableKey.

    Pour répondre à la limitation, ajustez votre la logique d'application, afin qu'elle ne fasse que les demandes requises ou qu'elle consolide les demandes de plusieurs fonctions.

  • Les demandes d'opérations sur KMS les clés d'un magasin de AWS CloudHSM clés peuvent être limitées à un lower-than-expected rythme tel que le AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés traite de nombreuses commandes, y compris celles qui ne sont pas liées au magasin de AWS CloudHSM clés.

    (AWS KMS ne limite plus les demandes d'opérations sur les KMS clés d'un magasin de AWS CloudHSM clés lorsqu'aucune session PKCS #11 n'est disponible pour le AWS CloudHSM cluster. Au lieu de cela, il lance un KMSInternalException et vous recommande de réessayer votre demande.)

Pour afficher les tendances de vos taux de demande, utilisez la console Service Quotas. Vous pouvez également créer une CloudWatch alarme Amazon qui vous avertit lorsque le taux de demandes atteint un certain pourcentage de la valeur du quota. Pour plus de détails, consultez Gérer vos taux de AWS KMS API demandes à l'aide de Service Quotas et d'Amazon CloudWatch dans le blog sur la AWS sécurité.

Tous les AWS KMS quotas sont ajustables, à l'exception du quota de ressources de rotation à la demande et du quota de demandes de stockage de AWS CloudHSM clés. Pour demander une augmentation de quota, consultez Demande d'augmentation de quota dans le Guide de l'utilisateur Service Quotas. Pour demander une réduction de quota, pour modifier un quota qui ne figure pas dans la liste des Quotas de Service, ou pour modifier un quota dans un pays Région AWS où les Quotas de Service pour AWS KMS ne sont pas disponibles, rendez-vous AWS Support au Centre et créez un dossier.

Note

AWS KMS les quotas de demandes de stockage de clés personnalisés n'apparaissent pas dans la console Service Quotas. Vous ne pouvez pas consulter ou gérer ces quotas à l'aide des API opérations Service Quotas. Pour solliciter une modification de votre quota de demandes de magasin de clés externes, accédez au Centre AWS Support et créez une demande.