クォータのリクエスト - AWS Key Management Service

クォータのリクエスト

AWS KMS は、1 秒あたりに要求される API オペレーションの数にクォータを設定します。リクエストクォータは、API オペレーション、AWS リージョン、および KMS キータイプなどのその他の要因によって異なります。API リクエストのクォータを超えると、AWS KMS は、リクエストを調整します

注記

クォータを超える必要がある場合は、Service Quotas のクォータの増加を要求できます。Service Quotas コンソール または RequestServiceQuotaIncrease オペレーションを使用します。詳細については、Service Quotas ユーザーガイドクォータの引き上げのリクエストを参照してください。AWS KMS の Service Quotas を AWS リージョン で使用できない場合は、AWS Support センターにアクセスして、ケースを作成してください。

AWS KMS クォータの引き上げをリクエストする方法については、「AWS KMS クォータ引き上げのリクエスト」を参照してください。

GenerateDataKey オペレーションのリクエストクォータを超えている場合は、AWS Encryption SDK のデータキーキャッシュ機能の使用を検討してください。データキーを再利用することで、AWS KMS へのリクエストの頻度が低下することがあります。

AWS KMS では、リクエストクォータに加えて、リソースクォータを使用してすべてのユーザーの容量を確保します。詳細については、「リソースクォータ」を参照してください。

リクエストレートのトレンドを表示するには、Service Quotas コンソールを使用してください。リクエストレートがクォータ値の一定の割合に達したときに警告する Amazon CloudWatch アラームを作成することもできます。詳細については、AWS Security Blog の「Manage your AWS KMS API request rates using Service Quotas and Amazon CloudWatch」を参照してください。

AWS KMS API オペレーションごとにクォータをリクエストする

この表では、Service Quotas のクォータコードと、各 AWS KMS リクエストクォータのデフォルト値を示しています。

注記

この表のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。

クォータ名 デフォルト値 (1 秒あたり)

Cryptographic operations (symmetric) request rate

適用先:

  • Decrypt

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateMac

  • GenerateRandom

  • ReEncrypt

  • VerifyMac

これらの共有クォータは、AWS リージョン およびリクエストで使用される KMS キーのタイプによって異なります。各クォータは個別に計算されます。

  • 5,500 (共有)

  • 以下のリージョンでは 10,000(共有):

    • 米国東部 (オハイオ)、us-east-2

    • アジアパシフィック (シンガポール)、ap-southeast-1

    • アジアパシフィック (シドニー)、ap-southeast-2

    • アジアパシフィック (東京)、ap-norteast-1

    • ヨーロッパ (フランクフルト)、eu-central-1

    • ヨーロッパ (ロンドン)、eu–west-2

  • 以下のリージョンでは 50,000 (共有):

    • 米国東部 (バージニア北部)、us-east-1

    • 米国西部 (オレゴン)、us-west-2

    • ヨーロッパ (アイルランド)、eu-west-1

カスタムキーストアのクォータ (対称 KMS キー):

Cryptographic operations (RSA) request rate

適用先:

  • Decrypt

  • Encrypt

  • ReEncrypt

  • Sign

  • Verify

RSA KMS キーの場合は 500 (共有)

Cryptographic operations (ECC) request rate

適用先:

  • Sign

  • Verify

楕円曲線 (ECC) KMS キーの場合は 300 (共有)

CancelKeyDeletion request rate

5

ConnectCustomKeyStore request rate

5

CreateAlias request rate

5

CreateCustomKeyStore request rate

5

CreateGrant request rate

50

CreateKey request rate

5

DeleteAlias request rate

15

DeleteCustomKeyStore request rate

5

DeleteImportedKeyMaterial request rate

5

DescribeCustomKeyStores request rate

5

DescribeKey request rate

2000

DisableKey request rate

5

DisableKeyRotation request rate

5

DisconnectCustomKeyStore request rate

5

EnableKey request rate

5

EnableKeyRotation request rate

15

GenerateDataKeyPair (ECC_NIST_P256) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

25

GenerateDataKeyPair (ECC_NIST_P384) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

10

GenerateDataKeyPair (ECC_NIST_P521) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

5

GenerateDataKeyPair (ECC_SECG_P256K1) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

25

GenerateDataKeyPair (RSA_2048) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

1

GenerateDataKeyPair (RSA_3072) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0.5 (2 秒に 1 回)

GenerateDataKeyPair (RSA_4096) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0.1 (10 秒に 1 回)

GetKeyPolicy request rate

1000

GetKeyRotationStatus request rate

1000

GetParametersForImport request rate

0.25 (4 秒に 1 回)

GetPublicKey request rate

2000

ImportKeyMaterial request rate

5

ListAliases request rate

500

ListGrants request rate

100

ListKeyPolicies request rate

100

ListKeys request rate

500

ListResourceTags request rate

2000

ListRetirableGrants request rate

100

PutKeyPolicy request rate

15
ReplicateKey request rate

ReplicateKey オペレーションは、プライマリキーのリージョンでは 1 つ ReplicateKey リクエスト、レプリカのリージョンでは 2 つの CreateKey リクエストとしてカウントされます。以下のうち 1 つの CreateKey リクエストは、キー作成前に潜在的な問題を検出するためのドライランです。

5

RetireGrant request rate

30

RevokeGrant request rate

30

ScheduleKeyDeletion request rate

15

TagResource request rate

10

UntagResource request rate

5

UpdateAlias request rate

5

UpdateCustomKeyStore request rate

5

UpdateKeyDescription request rate

5

UpdatePrimaryRegion request rate

UpdatePrimaryRegion オペレーションは、2 つの影響を受けるリージョンごとに、1 つのリクエストとしてカウントされる、2 つの UpdatePrimaryRegion リクエストです。

5

リクエストクォータの適用

リクエストクォータを確認するときは、次の点に注意してください。

  • リクエストクォータは、カスタマーマネージドキーAWS マネージドキー の両方に適用されます。AWS 所有のキー の使用は、アカウント内のリソースを保護するために使用される場合でも、AWS アカウント のリクエストクォータにはカウントされません。

  • リクエストクォータは、FIPS エンドポイントおよび非 FIPS エンドポイントに送信されるリクエストに適用されます。AWS KMS サービスエンドポイントのリストについては、AWS 全般リファレンスの AWS Key Management Service エンドポイントとクォータを参照してください。

  • スロットリングは、リージョン内のすべてのタイプの KMS キーに対するすべてのリクエストに基づいています。この合計には、ユーザーの代わりとなる AWS のサービスからのリクエストを含む、AWS アカウント のすべてのプリンシパルからのリクエストが含まれます。

  • 各要求クォータは個別に計算されます。例えば、 CreateKey オペレーションのリクエストは、 CreateAlias オペレーションのリクエストクォータには影響しません。CreateAlias リクエストが調整されていても、CreateKey リクエストは正常に完了できます。

  • 暗号化オペレーションはクォータを共有しますが、共有クォータは他のオペレーションのクォータとは無関係に計算されます。例えば、 Encryp t および Decrypt オペレーションの呼び出しは要求クォータを共有しますが、そのクォータは EnableKeyなどの管理オペレーションのクォータとは無関係です。例えば、欧州 (ロンドン) リージョンでは、対称 KMS キーに対して 10,000 オペレーションの暗号化オペレーションに加えて、スロットルなしで 1 秒あたり 5 回の EnableKey オペレーションを実行できます。

暗号化オペレーションの共有クォータ

AWS KMS 暗号化オペレーションは、リクエストクォータを共有します。KMS キーでサポートされている暗号化オペレーションの任意の組み合わせをリクエストできます。これにより、暗号化オペレーションの合計数がそのタイプの KMS キーのリクエストクォータを超過しません。例外は、別個のクォータを共有する GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext です。

異なるタイプの KMS キーのクォータは、個別に計算されます。各クォータは、1 秒間隔の特定のキータイプを持つ AWS アカウント およびリージョンで、これらのオペレーションに対するすべてのリクエストに適用されます。

  • 暗号化オペレーション (対称) リクエストの頻度は、アカウントとリージョンで対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。このクォータは、対称暗号化キーと、同じく対称である HMAC キーでの暗号化オペレーションに適用されます。

    例えば、1 秒あたり 10,000 リクエストの共有クォータを持つ AWS リージョン で対称 KMS キーを使用しているとします。毎秒 7,000 件の GenerateDataKey リクエストと毎秒 2,000 件の Decrypt リクエストを行う場合、AWS KMS はリクエストを制限しません。ただし、毎秒 9,500 件の GenerateDataKey リクエストと 1,000 件の Encrypt およびリクエストを行うと、共有クォータを超えているため、AWS KMS はリクエストを制限します。

  • 暗号化オペレーション (RSA) リクエストの頻度は、RSA 非対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。

    例えば、1 秒あたり 500 オペレーションのリクエストクォータでは、暗号化および復号が可能な RSA KMS キーを使用して、200 件の Encrypt リクエストと 100 件の Decrypt リクエストを実行できます。加えて、署名と検証が可能な RSA KMS キーを使用して、50 件の Sign リクエストと 150 件の Verify リクエストを実行できます。

  • 暗号化オペレーション (ECC) リクエストの頻度は、楕円曲線 (ECC) 非対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。

    例えば、リクエストクォータが 1 秒あたり 300 オペレーションであれば、署名と検証が可能な RSA KMS キーを使用して、100 件の署名リクエストと 200 件の検証リクエストを実行できます。

異なるキータイプのクォータも個別に計算されます。例えば、アジアパシフィック (シンガポール) リージョンでは、対称および非対称の KMS キーの両方を使用する場合、対称 KMS キー (HMAC キーを含む) を使用した 1 秒あたり最大 10,000 件の呼び出しに加えて、RSA 非対称 KMS キーを使用した 1 秒あたり最大 500 件の追加呼び出しと、ECC ベースの KMS キーを使用した 1 秒あたり最大 300 件の追加リクエストを実行できます。

ユーザーに代わって API が実行するリクエスト

API が直接リクエストを行うこと、あるいは統合された AWS サービスを使用して、ユーザーに代わって API が AWS KMS にリクエストを行うようにできます。クォータはどちらの種類のリクエストにも適用されます。

たとえば、KMS キー (SSE-KMS) によるサーバー側の暗号化を使用して Amazon S3 にデータを保存できます。SSE-KMS で暗号化された S3 オブジェクトをアップロードまたはダウンロードするたびに、Amazon S3 はユーザーの代わりに、AWS KMS に GenerateDataKey (アップロード用) または Decrypt (ダウンロード用) リクエストを作成します。これらのリクエストはクォータに対してカウントされるため、AWS KMS は、SSE-KMS を使用して暗号化された S3 オブジェクトの 1 秒あたりのアップロード数またはダウンロード数の合計が 5,500 件 (または使用している AWS リージョンに応じて 10,000 件もしくは 50,000 件) を超える場合にリクエストをスロットルします。

クロスアカウントリクエスト

1 つの AWS アカウント のアプリケーションが、異なるアカウントの所有する KMS キーを使用することは、クロスアカウントリクエストと呼ばれます。クロスアカウントリクエストでは、AWS KMS は、KMS キーを所有するアカウントではなく、リクエストを行うアカウントを調整します。例えば、アカウント A のアプリケーションがアカウント B の KMS キーを使用する場合、KMS キーの使用はアカウント A のクォータにのみ適用されます。

カスタムキーストアのクォータ

AWS KMS カスタムキーストアは、対称暗号化 KMS キーのみをサポートします。カスタムキーストアで KMS キーを使用する暗号化オペレーションでは、各カスタムキーストアで 1 秒あたり 1,800 オペレーションのリクエストクォータを共有します。ただし、このクォータが持つ意味は、オペレーションによって異なります。GenerateDataKeyGenerateDataKeyWithoutPlaintext や、GenerateRandom といったオペレーションは、EncryptDecryptReEncrypt オペレーションの 1 秒あたりおよそ 3 倍のクォータを消費します。

例えば、EncryptDecrypt のオペレーションのみをリクエストしていれば、1 秒あたり約 1,800 オペレーションを実行できます。一方、GenerateDataKey オペレーションを繰り返しリクエストした場合、パフォーマンスは 1 秒あたり約 600 オペレーションになります。GenerateDataKeyDecrypt のオペレーションをおよそ半々の割合で実行した場合、1 秒あたり約 1,200 オペレーションを実行できます。

他の AWS KMS クォータとは異なり、カスタムキーストアのクォータは調整できません。Service Quotas を使用したり、AWS Support でケースを作成したりして、この値を増やすことはできません。

注記

カスタムキーストアに関連付けられている AWS CloudHSM クラスターが、カスタムキーストアに関連しないものを含む多数のコマンドを処理している場合、予想よりも低い速度で AWS KMS ThrottlingException が発生する可能性があります。この問題が発生した場合は、AWS KMS へのリクエストの頻度を下げる、関連のないコマンドの処理を減らす、またはカスタムキーストアに専用の AWS CloudHSM クラスターを使用するなどの対策を取ります。