クォータのリクエスト - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クォータのリクエスト

AWS KMS は、1 秒ごとにリクエストされたAPIオペレーション数のクォータを確立します。リクエストクォータは、 APIオペレーション、 AWS リージョン、およびKMSキータイプなどのその他の要因によって異なります。API リクエストクォータを超えると、 AWS KMS はリクエスト をスロットリングします

キーストア AWS KMS リクエストクォータ を除き、すべてのリクエストクォータは調整可能です。 AWS CloudHSMクォータの引き上げをリクエストするには、「Service Quotas ユーザーガイド」の「クォータ引き上げリクエスト」を参照してください。クォータの削減をリクエストしたり、Service Quotas にリストされていないクォータを変更したり、 の Service Quotas AWS リージョン が AWS KMS 利用できない のクォータを変更したりするには、 AWS Support センターにアクセスしてケースを作成してください。

GenerateDataKey オペレーションのリクエストクォータを超えている場合は、 のデータキーキャッシュ機能の使用を検討してください AWS Encryption SDK。データキーを再利用すると、 へのリクエストの頻度が低下する可能性があります AWS KMS。

リクエストクォータに加えて、 はリソースクォータ AWS KMS を使用してすべてのユーザーの容量を確保します。詳細については、「リソースクォータ」を参照してください。

リクエストレートのトレンドを表示するには、Service Quotas コンソールを使用してください。リクエストレートがクォータ値の特定の割合に達したときに警告する Amazon CloudWatch アラームを作成することもできます。詳細については、 AWS セキュリティブログAWS KMS APIService Quotas と Amazon を使用してリクエストレートを管理する CloudWatch」を参照してください。

各 AWS KMS APIオペレーションのリクエストクォータ

この表は、Service Quotas クォータコードと各 AWS KMS リクエストクォータのデフォルト値を示しています。キーストア AWS KMS リクエストクォータ を除き、すべてのリクエストクォータは調整可能です。 AWS CloudHSM

注記

この表のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。

クォータ名 デフォルト値 (1 秒あたりのリクエスト)

Cryptographic operations (symmetric) request rate

適用先:

  • Decrypt

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateMac

  • GenerateRandom

  • ReEncrypt

  • VerifyMac

これらの共有クォータは、 AWS リージョン およびリクエストで使用されるKMSキーのタイプによって異なります。各クォータは個別に計算されます。

  • 10,000 (共有)

  • 次のリージョンで 20,000 (共有)。

    • 米国東部 (オハイオ)、us-east-2

    • アジアパシフィック (シンガポール)、ap-southeast-1

    • アジアパシフィック (シドニー)、ap-southeast-2

    • アジアパシフィック (東京)、ap-norteast-1

    • ヨーロッパ (フランクフルト)、eu-central-1

    • ヨーロッパ (ロンドン)、eu–west-2

  • 次のリージョンで 100,000 (共有)。

    • 米国東部 (バージニア北部)、us-east-1

    • 米国西部 (オレゴン)、us-west-2

    • ヨーロッパ (アイルランド)、eu-west-1

Cryptographic operations (RSA) request rate

適用先:

  • Decrypt

  • Encrypt

  • ReEncrypt

  • Sign

  • Verify

RSA KMS キーに 1,000 (共有)

Cryptographic operations (ECC and SM2) request rate

適用先:

  • Decrypt— SM2 (中国リージョンのみ) KMSキーでのみサポートされます

  • DeriveSharedSecret

  • Encrypt— SM2 (中国リージョンのみ) KMSキーでのみサポートされます

  • ReEncrypt— SM2 (中国リージョンのみ) KMSキーでのみサポートされます

  • Sign

  • Verify

楕円曲線 () および (中国リージョンのみECC) KMSキーの場合は 1,000 SM2 (共有)

Custom key store request quotas

適用先:

  • Decrypt

  • DeriveSharedSecret

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateRandom

  • ReEncrypt

カスタムキーストアのリクエストクォータは、カスタムキーストアごとに個別に計算されます。
  • AWS CloudHSM キーストアごとに 1,800 (共有)

  • 外部キーストアごとに 1,800 (共有)

CancelKeyDeletion request rate

5

ConnectCustomKeyStore request rate

5

CreateAlias request rate

5

CreateCustomKeyStore request rate

5

CreateGrant request rate

50

CreateKey request rate

5

DeleteAlias request rate

15

DeleteCustomKeyStore request rate

5

DeleteImportedKeyMaterial request rate

15

DescribeCustomKeyStores request rate

5

DescribeKey request rate

2000

DisableKey request rate

5

DisableKeyRotation request rate

5

DisconnectCustomKeyStore request rate

5

EnableKey request rate

5

EnableKeyRotation request rate

15

GenerateDataKeyPair (ECC_NIST_P256) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P384) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P521) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_SECG_P256K1) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (RSA_2048) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

1

GenerateDataKeyPair (RSA_3072) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0.5 (2 秒に 1 回)

GenerateDataKeyPair (RSA_4096) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0.1 (10 秒に 1 回)

GenerateDataKeyPair (SM2 — China Regions only) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

25

GetKeyPolicy request rate

1,000

GetKeyRotationStatus request rate

1,000

GetParametersForImport request rate

0.25 (4 秒に 1 回)

GetPublicKey request rate

2000

ImportKeyMaterial request rate

15

ListAliases request rate

500

ListGrants request rate

100

ListKeyPolicies request rate

100

ListKeys request rate

500

ListKeyRotations request rate

100

ListResourceTags request rate

2000

ListRetirableGrants request rate

100

PutKeyPolicy request rate

15
ReplicateKey request rate

ReplicateKey オペレーションは、プライマリキーのリージョンでは 1 つ ReplicateKey リクエスト、レプリカのリージョンでは 2 つの CreateKey リクエストとしてカウントされます。以下のうち 1 つの CreateKey リクエストは、キー作成前に潜在的な問題を検出するためのドライランです。

5

RetireGrant request rate

50

RevokeGrant request rate

50

RotateKeyOnDemand request rate

5

ScheduleKeyDeletion request rate

15

TagResource request rate

10

UntagResource request rate

5

UpdateAlias request rate

5

UpdateCustomKeyStore request rate

5

UpdateKeyDescription request rate

5

UpdatePrimaryRegion request rate

UpdatePrimaryRegion オペレーションは、2 つの影響を受けるリージョンごとに、1 つのリクエストとしてカウントされる、2 つの UpdatePrimaryRegion リクエストです。

5

リクエストクォータの適用

リクエストクォータを確認するときは、次の点に注意してください。

  • リクエストクォータは、カスタマーマネージドキーAWS マネージドキー の両方に適用されます。の使用はAWS 所有のキー、 アカウントのリソースを保護するために使用されている場合でも AWS アカウント、 のリクエストクォータにはカウントされません。

  • リクエストクォータは、エンドポイントおよび FIPS以外のFIPSエンドポイントに送信されるリクエストに適用されます。 AWS KMS サービスエンドポイントのリストについては、「」のAWS Key Management Service 「 エンドポイントとクォータ」を参照してください AWS 全般のリファレンス。

  • スロットリングは、リージョン内のすべてのタイプのKMSキーに対するすべてのリクエストに基づいています。この合計には、ユーザーに代わって のサービスからのリクエストを含む AWS アカウント、 内のすべてのプリンシパルからの AWS リクエストが含まれます。

  • 各要求クォータは個別に計算されます。例えば、 CreateKeyオペレーションのリクエストは、 CreateAliasオペレーションのリクエストクォータには影響しません。CreateAlias リクエストが調整されていても、CreateKey リクエストは正常に完了できます。

  • 暗号化オペレーションはクォータを共有しますが、共有クォータは他のオペレーションのクォータとは無関係に計算されます。例えば、Encrypt および Decrypt オペレーションの呼び出しはリクエストクォータを共有しますが、そのクォータは などの管理オペレーションのクォータとは無関係ですEnableKey。例えば、欧州 (ロンドン) リージョンでは、対称KMSキーに対して 10,000 回の暗号化オペレーションに加えて、スロットリングなしで 1 秒あたり 5 回のEnableKeyオペレーションを実行できます。

暗号化オペレーションの共有クォータ

AWS KMS 暗号化オペレーションはリクエストクォータを共有します。暗号化オペレーションの総数がそのタイプのKMSキーのリクエストクォータを超えないように、KMSキーでサポートされている暗号化オペレーションの任意の組み合わせをリクエストできます。例外は GenerateDataKeyPairと でGenerateDataKeyPairWithoutPlaintext、個別のクォータを共有します。

さまざまなタイプのKMSキーのクォータは個別に計算されます。各クォータは、1 秒間隔で指定されたキータイプを持つ AWS アカウント およびリージョンで、これらのオペレーションに対するすべてのリクエストに適用されます。

  • 暗号化オペレーション (対称) リクエストレートは、アカウントとリージョンで対称KMSキーを使用する暗号化オペレーションの共有リクエストクォータです。このクォータは、対称暗号化キーと対称HMAC暗号化キーを使用した暗号化オペレーションに適用されます。

    例えば、1 秒あたり 10,000 リクエストの共有クォータ AWS リージョン を持つ で対称KMSキーを使用しているとします。1 秒あたり 7,000 件のGenerateDataKeyリクエストと 1 秒あたり 2,000 件の Decrypt リクエストを行う場合、リクエストをスロット AWS KMS リングしないでください。ただし、毎秒 9,500 件の GenerateDataKey リクエストと 1,000 件の Encrypt リクエストを行うと、共有クォータを超えているため、 AWS KMS はリクエストを制限します。

    カスタムキーストア対称暗号化KMSキーに対する暗号化オペレーションは、アカウントの暗号化オペレーション (対称) リクエストレートカスタムキーストアのカスタムキーストアリクエストクォータの両方にカウントされます。

  • 暗号化オペレーション (RSA) リクエストレートは、RSA非対称KMSキー を使用する暗号化オペレーションの共有リクエストクォータです。

    例えば、1 秒あたり 1,000 オペレーションのリクエストクォータを使用すると、暗号化および復号できるRSAKMSキーを使用して 400 の Encrypt リクエストと 200 の Decrypt リクエスト、さらに署名および検証できるRSAKMSキーを使用して 250 の Sign リクエストと 150 Verify リクエストを行うことができます。

  • 暗号化オペレーション (ECC) リクエストレートは、楕円曲線 (ECC) 非対称KMSキー と SM 非対称キー を使用する暗号化オペレーションの共有リクエストクォータですKMS

    例えば、1 秒あたり 1,000 オペレーションのリクエストクォータを使用すると、署名と検証が可能なECCKMSキーを使用して 400 件の署名リクエストと 200 件の検証リクエスト、さらに署名と検証が可能なSM2KMSキーを使用して 250 件の署名リクエストと https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html150 件の検証リクエストを実行できます。

  • カスタムキーストアのリクエストクォータは、カスタムキーストアのKMSキーに対する暗号化オペレーションの共有リクエストクォータです。このクォータは、各カスタムキーストアで個別に計算されます。

    カスタムキーストア対称暗号化KMSキーに対する暗号化オペレーションは、アカウントの暗号化オペレーション (対称) リクエストレートカスタムキーストアのカスタムキーストアリクエストクォータの両方にカウントされます。

異なるキータイプのクォータも個別に計算されます。例えば、アジアパシフィック (シンガポール) リージョンでは、対称キーと非対称KMSキーの両方を使用する場合、対称KMSキー ( キーを含むHMAC) で 1 秒あたり最大 10,000 回の呼び出し、RSA非対称KMSキーで 1 秒あたり最大 500 回の呼び出し、ECCおよび ベースのKMSキーで 1 秒あたり最大 300 回の追加のリクエストを行うことができます。

API ユーザーに代わって行われたリクエスト

API リクエストは、直接行うか、 AWS KMS ユーザーに代わって にAPIリクエストを行う統合 AWS サービスを使用して行うことができます。クォータはどちらの種類のリクエストにも適用されます。

例えば、KMSキー (SSE-) によるサーバー側の暗号化を使用して Amazon S3 にデータを保存できますKMS。SSE- で暗号化された S3 オブジェクトをアップロードまたはダウンロードするたびにKMS、Amazon S3 はユーザーに代わって GenerateDataKey (アップロードの場合) または Decrypt (ダウンロードの場合) リクエストを AWS KMS に送ります。これらのリクエストはクォータにカウントされるため、 SSEで暗号化された S3 オブジェクトの 1 秒あたりのアップロードまたはダウンロードの合計が 5,500 (または に応じて 10,000 または 50,000 AWS リージョン) を超える場合、 はリクエスト AWS KMS を調整しますKMS。

クロスアカウントリクエスト

ある のアプリケーションが別のアカウントが所有するKMSキー AWS アカウント を使用する場合、クロスアカウントリクエスト と呼ばれます。クロスアカウントリクエストの場合、 はKMSキーを所有するアカウントではなく、リクエストを行うアカウントを AWS KMS スロットリングします。例えば、アカウント A のアプリケーションがアカウント B のKMSキーを使用する場合、KMSキーの使用はアカウント A のクォータにのみ適用されます。

カスタムキーストアのリクエストクォータ

AWS KMS は、カスタムKMSキーストア のキーに対する暗号化オペレーションのリクエストクォータを維持します。 カスタムキーストアこれらのリクエストクォータは、カスタムキーストアごとに個別に計算されます。

カスタムキーストアのリクエストクォータ 各カスタムキーストアのデフォルト値 (リクエスト数/秒) 調整可能
AWS CloudHSM キーストアリクエストクォータ 1800 なし
外部キーストアのリクエストクォータ 1800 あり
注記

AWS KMS カスタムキーストアのリクエストクォータは Service Quotas コンソールに表示されません。Service Quotas APIオペレーションを使用してこれらのクォータを表示または管理することはできません。外部キーストアのリクエストクォータへの変更をリクエストするには、AWS Support センターにアクセスしてケースを作成します。

AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターが、カスタムキーストアに関連しないコマンドなど、多数のコマンドを処理している場合、 AWS KMS を lower-than-expected 一定のレートThrottlingExceptionで取得できます。その場合は、リクエストレートを に下げるか AWS KMS、無関係な負荷を減らすか、 AWS CloudHSM キーストアに専用 AWS CloudHSM クラスターを使用します。

AWS KMS は、 ExternalKeyStoreThrottle CloudWatch メトリクス内の外部キーストアリクエストのスロットリングを報告します。このメトリクスを使用して、スロットリングパターンを表示したり、アラームを作成したり、外部キーストアのリクエストクォータを調整したりできます。

カスタムキーストアのKMSキーに対する暗号化オペレーションのリクエストは、次の 2 つのクォータにカウントされます。

  • 暗号化オペレーション (対称) のリクエストレートクォータ (アカウントあたり)

    カスタムKMSキーストアのキーに対する暗号化オペレーションのリクエストは、各 Cryptographic operations (symmetric) request rate AWS アカウント およびリージョンのクォータにカウントされます。例えば、米国東部 (バージニア北部) (us-east-1) では、各 は、カスタムKMSキーストアでKMSキーを使用するリクエストを含め、対称暗号化キーに対して 1 秒あたり最大 50,000 リクエストを持つ AWS アカウント ことができます。

  • カスタムキーストアのリクエストクォータ (カスタムキーストアあたり)

    カスタムキーストアのKMSキーに対する暗号化オペレーションのリクエストも、1 秒あたり 1,800 オペレーションCustom key store request quotaの にカウントされます。これらのクォータは、カスタムキーストアごとに個別に計算されます。カスタムKMSキーストアでキー AWS アカウント を使用する複数の からのリクエストが含まれる場合があります。

例えば、米国東部 (バージニア北部) (us-east-1) リージョンのカスタムキーストア (いずれかのタイプ) のKMSキーに対する Encrypt オペレーションは、そのアカウントとリージョンのCryptographic operations (symmetric) request rateアカウントレベルのクォータ (1 秒あたり 50,000 リクエスト)、およびカスタムキーストアの Custom key store request quota (1 秒あたり 1,800 リクエスト) に対してカウントされます。ただし、カスタムキーストアのKMSキーに対する などの管理オペレーションのリクエストはPutKeyPolicy、アカウントレベルのクォータ (1 秒あたり 15 リクエスト) にのみ適用されます。