クォータのリクエストを適用する暗号化オペレーションの共有クォータユーザーに代わって API が実行するリクエストクロスアカウントリクエストカスタムキーストアのクォータ各 AWS KMS API オペレーションのクォータのリクエスト

クォータのリクエスト

AWS KMS は、1 秒あたりに要求される API オペレーションの数にクォータを設定します。各 API オペレーションの 1 秒あたりのクォータのリクエストを示す表については、「各 AWS KMS API オペレーションのクォータのリクエスト」を参照してください。

API のクォータのリクエストを超えると、リクエストが AWS KMS調整されます。つまり、有効なリクエストを拒否し、次のような ThrottlingException エラーを返します。応答するには、バックオフと再試行戦略を使用します。


You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls. 
(Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID: <ID>

クォータのリクエストは、API オペレーション、AWS リージョン、および CMK タイプなどのその他の要因によって異なります。

注記

クォータを超える必要がある場合は、サービスクォータでクォータの増加をリクエストします。サービスクォータコンソールまたは RequestServiceQuotaIncrease オペレーションを使用します。詳細については、サービスクォータユーザーガイドの「クォータ引き上げのリクエスト」を参照してください。AWS リージョンで AWS KMS のサービスクォータが利用できない場合は、AWS サポートセンターにアクセスしてケースを作成してください。

AWS KMS クォータの引き上げをリクエストする方法については、「AWS KMS クォータの引き上げをリクエストする」を参照してください。

GenerateDataKey オペレーションのクォータのリクエストを超えている場合は、AWS 暗号化 SDK のデータキーキャッシュ機能の使用を検討してください。データキーを再利用することで、AWS KMS へのリクエストの頻度が低下することがあります。

クォータのリクエストに加えて、AWS KMS では、リソースクォータを使用して、すべてのユーザーの容量を確保します。詳細については、「リソースクォータ」を参照してください。

トピック

クォータのリクエストを適用する
暗号化オペレーションの共有クォータ
ユーザーに代わって API が実行するリクエスト
クロスアカウントリクエスト
カスタムキーストアのクォータ
各 AWS KMS API オペレーションのクォータのリクエスト

クォータのリクエストを適用する

クォータのリクエストを確認する際には、次の点に注意してください。

クォータのリクエストは、カスタマー管理 CMK とAWS 管理 CMK の両方に適用されます。AWS 所有の CMK の使用は、アカウント内のリソースを保護するために使用されている場合でも、AWS アカウントのクォータのリクエストにはカウントされません。
スロットリングは、リージョン内のすべてのタイプの CMK に対するすべてのリクエストに基づいています。この合計には、ユーザーに代わる AWS のサービスからのリクエストを含む、AWS アカウント内のすべてのプリンシパルからのリクエストが含まれます。
それぞれクォータのリクエストが個別に計算されます。たとえば、CreateKey オペレーションに対するリクエストは、CreateAlias オペレーションに対するリクエストのクォータのリクエストには影響しません。CreateAlias リクエストが調整されていても、CreateKey リクエストは正常に完了できます。
暗号化オペレーションはクォータを共有しますが、共有クォータは他のオペレーションのクォータとは無関係に計算されます。たとえば、Encrypt および Decrypt オペレーションの呼び出しはクォータのリクエストを共有しますが、そのクォータは EnableKey などの管理オペレーションのクォータとは無関係です。たとえば、欧州 (ロンドン) リージョンでは、対称 CMK に対して 10,000 の暗号化オペレーションと 1 秒あたり 5 回の EnableKey オペレーションを調整なしで実行できます。

暗号化オペレーションの共有クォータ

AWS KMS 暗号化オペレーションはクォータのリクエストを共有します。CMK でサポートされている暗号化オペレーションの任意の組み合わせをリクエストできます。これにより、暗号化オペレーションの総数がその種類の CMK に対するクォータのリクエストを超えないようにできます。例外は、別個のクォータを共有する GenerateDataKeyPair と GenerateDataKeyPairWithoutPlaintext です。

異なるタイプの CMK のクォータは、個別に計算されます。各クォータは、1 秒ごとに指定されたキータイプを持つ AWS アカウントおよびリージョンにおけるこれらのオペレーションに対するすべてのリクエストに適用されます。

暗号化オペレーション (対称) リクエストの頻度は、アカウントとリージョンで対称 CMK を使用する暗号化オペレーションの共有リクエストクォータです。

たとえば、1 秒あたり 10,000 リクエストの共有クォータを持つ AWS リージョンで対称 CMK を使用しているとします。毎秒 7,000 件の GenerateDataKey リクエストと毎秒 2,000 件の Decrypt リクエストを行う場合、AWS KMS はリクエストを制限しません。ただし、毎秒 9,500 件の GenerateDataKey リクエストと 1,000 件の Encrypt およびリクエストを行うと、共有クォータを超えているため、AWS KMS はリクエストを制限します。
暗号化オペレーション (RSA) リクエストの頻度は、RSA 非対称 CMK を使用する暗号化オペレーションの共有リクエストクォータです。

たとえば、リクエストクォータが 1 秒あたり 500 オペレーションであれば、暗号化と復号が可能な RSA CMK で 200 件の暗号化リクエストと 100 件の復号リクエスト、さらに署名と検証が可能な RSA CMK で 50 件の署名リクエストと 150 件の検証リクエストを行うことができます。
暗号化オペレーション (ECC) リクエストの頻度は、楕円曲線 (ECC) 非対称 CMK を使用する暗号化オペレーションの共有リクエストクォータです。

たとえば、リクエストクォータが 1 秒あたり 300 オペレーションであれば、署名と検証が可能な RSA CMK を使用して、100 件の署名リクエストと 200 件の検証リクエストを行うことができます。

異なるキータイプのクォータも個別に計算されます。たとえば、アジアパシフィック (シンガポール) リージョンで、対称 CMK と非対称 CMK の両方を使用する場合、対称 CMK で 1 秒あたり最大 10,000 件の呼び出しと RSA 非対称 CMK で 1 秒あたり最大 500 件の追加呼び出し、さらに ECC ベースの CMK を使用して 1 秒あたり最大 300 件の追加リクエストを行うことができます。

ユーザーに代わって API が実行するリクエスト

API が直接リクエストを行うこと、あるいは統合された AWS サービスを使用して、ユーザーに代わって API が AWS KMS にリクエストを行うようにできます。クォータはどちらの種類のリクエストにも適用されます。

たとえば、AWS KMS (SSE-KMS) でサーバー側の暗号化を使用して、Amazon S3 にデータを保存するとします。SSE-KMS で暗号化された S3 オブジェクトをアップロードまたはダウンロードするたびに、Amazon S3 はユーザーに代わって GenerateDataKey (アップロードの場合) または Decrypt (ダウンロードの場合) リクエストを AWS KMS に対して行います。これらのリクエストはクォータに対してカウントされるため、SSE-KMS を使って暗号化された S3 オブジェクトの 1 秒あたりのアップロード数またはダウンロード数の総数が合計 5,500 件（または AWS リージョンにより 10,000 件または 30,000 件）を超えた場合、AWS KMS はリクエストを調整します。

クロスアカウントリクエスト

1 つの AWS アカウントのアプリケーションが異なるアカウントが所持する CMK を使用する場合、これはクロスアカウントリクエストと呼ばれます。クロスアカウントリクエストでは、AWS KMS は、CMK を所有するアカウントではなく、リクエストを行うアカウントを調整します。たとえば、アカウント A のアプリケーションがアカウント B の CMK を使用する場合、CMK の使用はアカウント A のクォータにのみ適用されます。

カスタムキーストアのクォータ

AWS KMS カスタムキーストアは、対称 CMK のみをサポートしています。カスタムキーストアの CMK を使用する暗号化オペレーションでは、カスタムキーストアごとに 1 秒あたり 1,800 オペレーションのクォータのリクエストを共有します。ただし、このクォータが持つ意味は、オペレーションによって異なります。GenerateDataKey、GenerateDataKeyWithoutPlaintext や、GenerateRandom といったオペレーションは、Encrypt、Decrypt や ReEncrypt オペレーションの 1 秒あたりおよそ 3 倍のクォータを消費します。

たとえば、Encrypt や Decrypt のオペレーションのみをリクエストしていれば、1 秒あたり約 1,800 オペレーションを実行できます。一方、GenerateDataKey オペレーションを繰り返しリクエストした場合、パフォーマンスは 1 秒あたり約 600 オペレーションになります。GenerateDataKey と Decrypt のオペレーションをおよそ半々の割合で実行した場合、1 秒あたり約 1,200 オペレーションを実行できます。

他の AWS KMS クォータとは異なり、カスタムキーストアのクォータは調整できません。サービスクォータを使用したり、AWS サポートでケースを作成したりして、引き上げることはできません。

注記

カスタムキーストアに関連付けられている AWS CloudHSM クラスターが、カスタムキーストアに関連しないものを含む多数のコマンドを処理している場合、予想よりも低い速度で AWS KMS ThrottlingException が発生する可能性があります。この問題が発生した場合は、AWS KMS へのリクエストの頻度を下げる、関連のないコマンドの処理を減らす、またはカスタムキーストアに専用の AWS CloudHSM クラスターを使用するなどの対策を取ります。

各 AWS KMS API オペレーションのクォータのリクエスト

この表では、サービスクォータのクォータコードと、各 AWS KMS リクエストクォータのデフォルト値を示しています。

クォータ名	デフォルト値 (1 秒あたり)
`Cryptographic operations (symmetric) request rate` 適用先.. `Decrypt` `Encrypt` `GenerateDataKey` `GenerateDataKeyWithoutPlaintext` `GenerateRandom` `ReEncrypt`	これらの共有クォータは、AWS のリージョンおよびリクエストで使用される CMK タイプによって異なります。各クォータは個別に計算されます。 5,500 (共有) 以下のリージョンでは 10,000（共有）: 米国東部 (オハイオ), us-east-2 アジアパシフィック (シンガポール), ap-southeast-1 アジアパシフィック (シドニー), ap-southeast-2 アジアパシフィック (東京), ap-northeast-1 欧州 (フランクフルト), eu-central-1 欧州 (ロンドン), eu-west-2 以下のリージョンでは 30,000（共有）: 米国東部（バージニア北部）, us-east-1 米国西部 (オレゴン), us-west-2 欧州 (アイルランド), eu-west-1 カスタムキーストアのクォータ (対称 CMK): カスタムキーストアごとに 1,800 (共有)。詳細については、「カスタムキーストアのクォータ」を参照してください。
`Cryptographic operations (RSA) request rate` 適用先.. `Decrypt` `Encrypt` `ReEncrypt` `Sign` `Verify`	RSA CMK の場合は 500（共有）
`Cryptographic operations (ECC) request rate` 適用先.. `Sign` `Verify`	楕円曲線 (ECC) CMK の場合は 300 (共有)
`CancelKeyDeletion request rate`	5
`ConnectCustomKeyStore request rate`	5
`CreateAlias request rate`	5
`CreateCustomKeyStore request rate`	5
`CreateGrant request rate`	50
`CreateKey request rate`	5
`DeleteAlias request rate`	5
`DeleteCustomKeyStore request rate`	5
`DeleteImportedKeyMaterial request rate`	5
`DescribeCustomKeyStores request rate`	5
`DescribeKey request rate`	100
`DisableKey request rate`	5
`DisableKeyRotation request rate`	5
`DisconnectCustomKeyStore request rate`	5
`EnableKey request rate`	5
`EnableKeyRotation request rate`	5
`GenerateDataKeyPair (ECC_NIST_P256) request rate` 適用先.. `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	25
`GenerateDataKeyPair (ECC_NIST_P384) request rate` 適用先.. `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	10
`GenerateDataKeyPair (ECC_NIST_P521) request rate` 適用先.. `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	5
`GenerateDataKeyPair (ECC_SECG_P256K1) request rate` 適用先.. `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	25
`GenerateDataKeyPair (RSA_2048) request rate` 適用先.. `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	1
`GenerateDataKeyPair (RSA_3072) request rate` 適用先.. `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0.5 (2 秒に 1 回)
`GenerateDataKeyPair (RSA_4096) request rate` 適用先.. `GenerateDataKeyPair` `GenerateDataKeyPairWithoutPlaintext`	0.1 (10 秒に 1 回)
`GetKeyPolicy request rate`	30
`GetKeyRotationStatus request rate`	30
`GetParametersForImport request rate`	0.25 (4 秒に 1 回)
`GetPublicKey request rate`	5
`ImportKeyMaterial request rate`	5
`ListAliases request rate`	100
`ListGrants request rate`	100
`ListKeyPolicies request rate`	100
`ListKeys request rate`	100
`ListResourceTags request rate`	100
`ListRetirableGrants request rate`	5
`PutKeyPolicy request rate`	5
`RetireGrant request rate`	15
`RevokeGrant request rate`	15
`ScheduleKeyDeletion request rate`	5
`TagResource request rate`	5
`UntagResource request rate`	5
`UpdateAlias request rate`	5
`UpdateCustomKeyStore request rate`	5
`UpdateKeyDescription request rate`	5

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

リソースクォータ

AWS KMS クォータの引き上げをリクエストする