Kuota permintaan untuk setiap operasi AWS KMS API Menerapkan kuota permintaan Kuota bersama untuk operasi kriptografis Permintaan API yang dibuat atas nama Anda Permintaan lintas akun Kuota permintaan toko kunci khusus

Kuota permintaan

AWS KMS menetapkan kuota untuk jumlah operasi API yang diminta dalam setiap detik. Kuota permintaan berbeda dengan operasi APIWilayah AWS, dan faktor lainnya, seperti jenis kunci KMS. Ketika Anda melebihi kuota permintaan API, AWS KMS membatasi permintaan.

Semua kuota AWS KMS permintaan dapat disesuaikan, kecuali kuota permintaan toko AWS CloudHSM kunci. Untuk meminta penambahan kuota, lihat Meminta penambahan kuota di Panduan Pengguna Service Quotas. Untuk meminta pengurangan kuota, untuk mengubah kuota yang tidak tercantum dalam Service Quotas, atau untuk mengubah kuota di mana Wilayah AWS Service Quotas AWS KMS for tidak tersedia, silakan kunjungi AWS Support Center dan buat kasus.

Jika Anda melebihi kuota permintaan untuk GenerateDataKeyoperasi, pertimbangkan untuk menggunakan fitur caching kunci data dari. AWS Encryption SDK Menggunakan kembali kunci data dapat mengurangi frekuensi permintaan Anda untuk AWS KMS.

Selain meminta kuota, AWS KMS menggunakan kuota sumber daya untuk memastikan kapasitas bagi semua pengguna. Untuk detail, lihat Kuota sumber daya.

Untuk melihat tren dalam tarif permintaan Anda, gunakan konsol Service Quotas. Anda juga dapat membuat CloudWatch alarm Amazon yang memberi tahu Anda ketika tingkat permintaan Anda mencapai persentase tertentu dari nilai kuota. Untuk detailnya, lihat Mengelola tarif permintaan AWS KMS API Anda menggunakan Service Quotas dan Amazon CloudWatch di Blog AWSKeamanan.

Topik

Kuota permintaan untuk setiap operasi AWS KMS API
Menerapkan kuota permintaan
Kuota bersama untuk operasi kriptografis
Permintaan API yang dibuat atas nama Anda
Permintaan lintas akun
Kuota permintaan toko kunci khusus

Kuota permintaan untuk setiap operasi AWS KMS API

Tabel ini berisi daftar kode kuota Service Quotas dan nilai default untuk setiap kuota permintaan AWS KMS. Semua kuota AWS KMS permintaan dapat disesuaikan, kecuali kuota permintaan toko AWS CloudHSM kunci.

catatan

Anda mungkin perlu menggulir secara horizontal atau vertikal untuk melihat semua data dalam tabel ini.

Nama kuota	Nilai default (permintaan per detik)
`Cryptographic operations (symmetric) request rate` Berlaku untuk: `Decrypt` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateMac` `GenerateRandom` `ReEncrypt` `VerifyMac`	Kuota bersama ini bervariasi dengan Wilayah AWS dan jenis kunci KMS yang digunakan dalam permintaan. Setiap kuota dihitung secara terpisah. 5.500 (bersama) 10.000 (bersama) di Wilayah berikut: US East (Ohio) us-east-2 Asia Pacific (Singapore) ap-southeast-1 Asia Pacific (Sydney), ap-southeast-2 Asia Pacific (Tokyo), ap-northeast-1 Europe (Frankfurt), eu-central-1 Europe (London), eu-west-2 50.000 (bersama) di Wilayah berikut: US East (N. Virginia), us-east-1 US West (Oregon), us-west-2 Europe (Ireland), eu-west-1
`Cryptographic operations (RSA) request rate` Berlaku untuk: `Decrypt` `Encrypt` `ReEncrypt` `Sign` `Verify`	500 (dibagikan) untuk kunci RSA KMS
`Cryptographic operations (ECC) request rate` Berlaku untuk: `Sign` `Verify`	300 (bersama) untuk kunci KMS kurva elips (ECC)
`Cryptographic operations (SM) request rate` Berlaku untuk: `Decrypt` `Encrypt` `ReEncrypt` `Sign` `Verify`	300 (dibagikan) untuk kunci KMS SM2 (khusus Wilayah China)
`Custom key store request quotas` Berlaku untuk: `Decrypt` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateRandom` `ReEncrypt`	Kuota permintaan toko kunci khusus dihitung secara terpisah untuk setiap toko kunci khusus 1.800 (dibagikan) untuk setiap toko AWS CloudHSM kunci 1.800 (dibagikan) untuk setiap toko kunci eksternal
`CancelKeyDeletion request rate`	5
`ConnectCustomKeyStore request rate`	5
`CreateAlias request rate`	5
`CreateCustomKeyStore request rate`	5
`CreateGrant request rate`	50
`CreateKey request rate`	5
`DeleteAlias request rate`	15
`DeleteCustomKeyStore request rate`	5
`DeleteImportedKeyMaterial request rate`	5
`DescribeCustomKeyStores request rate`	5
`DescribeKey request rate`	2000
`DisableKey request rate`	5
`DisableKeyRotation request rate`	5
`DisconnectCustomKeyStore request rate`	5
`EnableKey request rate`	5
`EnableKeyRotation request rate`	15
`GenerateDataKeyPair (ECC_NIST_P256) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P384) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_NIST_P521) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (ECC_SECG_P256K1) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	100
`GenerateDataKeyPair (RSA_2048) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	1
`GenerateDataKeyPair (RSA_3072) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0,5 (1 dalam setiap interval 2 detik)
`GenerateDataKeyPair (RSA_4096) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0,1 (1 dalam setiap interval 10 detik)
`GenerateDataKeyPair (SM2 — China Regions only) request rate` Berlaku untuk: `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	25
`GetKeyPolicy request rate`	1000
`GetKeyRotationStatus request rate`	1000
`GetParametersForImport request rate`	0,25 (1 dalam setiap interval 4 detik)
`GetPublicKey request rate`	2000
`ImportKeyMaterial request rate`	5
`ListAliases request rate`	500
`ListGrants request rate`	100
`ListKeyPolicies request rate`	100
`ListKeys request rate`	500
`ListResourceTags request rate`	2000
`ListRetirableGrants request rate`	100
`PutKeyPolicy request rate`	15
`ReplicateKey request rate` Operasi `ReplicateKey` dihitung sebagai satu permintaan `ReplicateKey` di Wilayah kunci primer dan dua permintaan `CreateKey` di Wilayah replika. Salah satu permintaan `CreateKey` adalah dry run untuk mendeteksi potensi masalah sebelum membuat kunci.	5
`RetireGrant request rate`	30
`RevokeGrant request rate`	30
`ScheduleKeyDeletion request rate`	15
`TagResource request rate`	10
`UntagResource request rate`	5
`UpdateAlias request rate`	5
`UpdateCustomKeyStore request rate`	5
`UpdateKeyDescription request rate`	5
`UpdatePrimaryRegion request rate` Operasi `UpdatePrimaryRegion` dihitung sebagai dua permintaan `UpdatePrimaryRegion`; satu permintaan dalam masing-masing dari dua Wilayah yang terkena dampak.	5

Menerapkan kuota permintaan

Saat meninjau kuota permintaan, harap ingat informasi berikut.

Kuota permintaan berlaku untuk kunci yang dikelola pelanggan dan Kunci yang dikelola AWS. Penggunaan Kunci milik AWStidak dihitung terhadap kuota permintaan untuk AndaAkun AWS, bahkan ketika mereka digunakan untuk melindungi sumber daya di akun Anda.
Kuota permintaan berlaku untuk permintaan yang dikirim ke titik akhir FIPS dan titik akhir bukan FIPS. Untuk daftar titik akhir AWS KMS layanan, lihat AWS Key Management Servicetitik akhir dan kuota di. Referensi Umum AWS
Throttling didasarkan pada semua permintaan pada kunci KMS dari semua jenis di Wilayah. Total ini mencakup permintaan dari semua prinsipal di Akun AWS, termasuk permintaan dari layanan AWS atas nama Anda.
Setiap kuota permintaan secara independen. Misalnya, permintaan untuk CreateKeyoperasi tidak berpengaruh pada kuota permintaan untuk CreateAliasoperasi. Jika permintaan CreateAlias Anda dibatasi, permintaan CreateKey masih dapat berhasil diselesaikan.
Meskipun operasi kriptografi berbagi kuota, kuota yang dibagikan dihitung secara terpisah dari kuota untuk operasi lainnya. Misalnya, panggilan ke operasi Enkripsi dan Dekripsi berbagi kuota permintaan, tetapi kuota tersebut tidak tergantung pada kuota untuk operasi manajemen, seperti. EnableKey Misalnya, di Wilayah Eropa (London), Anda dapat melakukan 10.000 operasi kriptografi pada kunci KMS simetris ditambah 5 EnableKey operasi per detik tanpa dibatasi.

Kuota bersama untuk operasi kriptografis

Operasi kriptografis AWS KMS berbagi kuota permintaan. Anda dapat meminta kombinasi operasi kriptografi apa pun yang didukung oleh kunci KMS, agar jumlah total operasi kriptografi tidak melebihi kuota permintaan untuk jenis kunci KMS tersebut. Pengecualian adalah GenerateDataKeyPairdan GenerateDataKeyPairWithoutPlaintext, yang berbagi kuota terpisah.

Kuota untuk berbagai jenis kunci KMS dihitung secara independen. Setiap kuota berlaku untuk semua permintaan untuk operasi ini di Akun AWS dan Wilayah dengan jenis kunci tertentu dalam setiap interval satu detik.

Tingkat permintaan operasi kriptografi (simetris) adalah kuota permintaan bersama untuk operasi kriptografi menggunakan kunci KMS simetris di akun dan wilayah. Kuota ini berlaku untuk operasi kriptografi dengan kunci enkripsi simetris dan kunci HMAC, yang juga simetris.

Misalnya, Anda mungkin menggunakan kunci KMS simetris Wilayah AWS dengan kuota bersama 10.000 permintaan per detik. Ketika Anda membuat 7.000 GenerateDataKeypermintaan per detik dan 2.000 permintaan Dekripsi per detik, AWS KMS tidak membatasi permintaan Anda. Namun, ketika Anda membuat 9.500 permintaan GenerateDataKey dan 1.000 permintaan Encrypt dan permintaan per detik, AWS KMS membatasi permintaan Anda karena melebihi kuota bersama.

Operasi kriptografi pada kunci KMS enkripsi simetris di toko kunci kustom dihitung terhadap tingkat permintaan operasi Kriptografi (simetris) untuk akun dan kuota permintaan toko kunci khusus untuk penyimpanan kunci khusus.
Tingkat permintaan operasi kriptografi (RSA) adalah kuota permintaan bersama untuk operasi kriptografi menggunakan kunci KMS asimetris RSA.

Misalnya, dengan kuota permintaan 500 operasi per detik, Anda dapat membuat 200 permintaan Enkripsi dan 100 permintaan Dekripsi dengan kunci RSA KMS yang dapat mengenkripsi dan mendekripsi, ditambah 50 permintaan Tanda Tangan dan 150 permintaan Verifikasi dengan kunci RSA KMS yang dapat menandatangani dan memverifikasi.
Tingkat permintaan operasi kriptografi (ECC) adalah kuota permintaan bersama untuk operasi kriptografi menggunakan kunci KMS asimetris kurva elips (ECC).

Misalnya, dengan kuota permintaan 300 operasi per detik, Anda dapat membuat 100 permintaan Tanda Tangan dan 200 permintaan Verifikasi dengan kunci RSA KMS yang dapat menandatangani dan memverifikasi.
Tingkat permintaan operasi kriptografi (khusus Wilayah SM - China) adalah kuota permintaan bersama untuk operasi kriptografi menggunakan kunci KMS asimetris SM.

Misalnya, dengan kuota permintaan 300 operasi per detik, Anda dapat membuat 100 permintaan Enkripsi dan 100 permintaan Dekripsi dengan kunci SM2 KMS yang dapat mengenkripsi dan mendekripsi, ditambah 50 permintaan Tanda Tangan dan 50 permintaan Verifikasi dengan kunci SM2 KMS yang dapat menandatangani dan memverifikasi.
Kuota permintaan toko kunci kustom adalah kuota permintaan bersama untuk operasi kriptografi pada kunci KMS di toko kunci kustom. Kuota ini dihitung secara terpisah untuk setiap toko kunci kustom.

Operasi kriptografi pada kunci KMS enkripsi simetris di toko kunci kustom dihitung terhadap tingkat permintaan operasi Kriptografi (simetris) untuk akun dan kuota permintaan toko kunci khusus untuk penyimpanan kunci khusus.

Kuota untuk berbagai jenis kunci dihitung secara terpisah. Misalnya, di Wilayah Asia Pasifik (Singapura), jika Anda menggunakan kunci KMS simetris dan asimetris, Anda dapat melakukan hingga 10.000 panggilan per detik dengan kunci KMS simetris (termasuk kunci HMAC) ditambah hingga 500 panggilan tambahan per detik dengan kunci KMS asimetris RSA Anda, ditambah hingga 300 permintaan tambahan per detik dengan kunci KMS berbasis ECC Anda.

Permintaan API yang dibuat atas nama Anda

Anda dapat membuat permintaan API secara langsung atau dengan menggunakan layanan AWS terintegrasi yang membuat permintaan API untuk AWS KMS atas nama Anda. Kuota berlaku untuk kedua jenis permintaan.

Misalnya, Anda mungkin menyimpan data di Amazon S3 menggunakan enkripsi sisi server dengan kunci KMS (SSE-KMS). Setiap kali Anda mengunggah atau mengunduh objek S3 yang dienkripsi dengan SSE-KMS, Amazon S3 membuat permintaan GenerateDataKey (untuk unggahan) atau Decrypt (untuk unduhan) untuk AWS KMS atas nama Anda. Permintaan ini dihitung terhadap kuota Anda, jadi AWS KMS batasi permintaan jika Anda melebihi total gabungan 5.500 (atau 10.000 atau 50.000 tergantung padaWilayah AWS) unggahan atau unduhan per detik objek S3 yang dienkripsi dengan SSE-KMS.

Permintaan lintas akun

Ketika aplikasi dalam satu Akun AWS menggunakan kunci KMS yang dimiliki oleh akun yang berbeda, itu dikenal sebagai permintaan lintas akun. Untuk permintaan lintas akun, AWS KMS batasi akun yang membuat permintaan, bukan akun yang memiliki kunci KMS. Misalnya, jika aplikasi di akun A menggunakan kunci KMS di akun B, penggunaan kunci KMS hanya berlaku untuk kuota di akun A.

Kuota permintaan toko kunci khusus

AWS KMSmempertahankan kuota permintaan untuk operasi kriptografi pada kunci KMS di toko kunci khusus. Kuota permintaan ini dihitung secara terpisah untuk setiap toko kunci kustom.

Kuota permintaan toko kunci kustom	Nilai default (permintaan per detik) untuk setiap toko kunci kustom	Dapat disesuaikan
AWS CloudHSMkuota permintaan toko kunci	1800	Tidak
Kuota permintaan toko kunci eksternal	1800	Ya

catatan

AWS KMSkuota permintaan toko kunci kustom tidak muncul di konsol Service Quotas. Anda tidak dapat melihat atau mengelola kuota ini dengan menggunakan operasi Service Quotas API. Untuk meminta perubahan pada kuota permintaan penyimpanan kunci eksternal Anda, kunjungi AWS SupportPusat dan buat kasus.

Jika AWS CloudHSM cluster yang terkait dengan penyimpanan AWS CloudHSM kunci memproses banyak perintah, termasuk yang tidak terkait dengan penyimpanan kunci khusus, Anda mungkin mendapatkan AWS KMS ThrottlingException lower-than-expected tarif tertentu. Jika ini terjadi, turunkan tingkat permintaan AndaAWS KMS, kurangi beban yang tidak terkait, atau gunakan AWS CloudHSM klaster khusus untuk penyimpanan AWS CloudHSM kunci Anda.

AWS KMSmelaporkan pembatasan permintaan penyimpanan kunci eksternal dalam metrik. ExternalKeyStoreThrottle CloudWatch Anda dapat menggunakan metrik ini untuk melihat pola pembatasan, membuat alarm, dan menyesuaikan kuota permintaan penyimpanan kunci eksternal Anda.

Permintaan untuk operasi kriptografi pada kunci KMS di toko kunci khusus diperhitungkan dalam dua kuota:

Kuota tingkat permintaan operasi kriptografi (simetris) (per akun)

Permintaan untuk operasi kriptografi pada kunci KMS di toko kunci kustom dihitung terhadap Cryptographic operations (symmetric) request rate kuota untuk masing-masing Akun AWS dan Wilayah. Misalnya, di US East (Virginia N.) (us-east-1), masing-masing Akun AWS dapat memiliki hingga 50.000 permintaan per detik pada kunci KMS enkripsi simetris, termasuk permintaan yang menggunakan kunci KMS di toko kunci kustom.
Kuota permintaan toko kunci kustom (per toko kunci kustom)

Permintaan untuk operasi kriptografi pada kunci KMS di toko kunci khusus juga dihitung terhadap 1.800 operasi per detik. Custom key store request quota Kuota ini dihitung secara terpisah untuk setiap toko kunci kustom. Mereka mungkin menyertakan permintaan dari beberapa Akun AWS yang menggunakan kunci KMS di toko kunci khusus.

Misalnya, operasi Enkripsi pada kunci KMS di toko kunci kustom (salah satu jenisnya) di Wilayah AS Timur (Virginia Utara) (us-timur-1) dihitung terhadap kuota Cryptographic operations (symmetric) request rate tingkat akun (50.000 permintaan per detik) untuk akun dan Wilayahnya, dan menuju Custom key store request quota (1.800 permintaan per detik) untuk penyimpanan kunci kustomnya. Namun, permintaan untuk operasi manajemen, seperti PutKeyPolicy, pada kunci KMS di toko kunci khusus hanya berlaku untuk kuota tingkat akunnya (15 permintaan per detik).

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kuota sumber daya

Melakukan throttling permintaan