クォータのリクエスト

AWS KMS は、1 秒あたりに要求される API オペレーションの数にクォータを設定します。リクエストクォータは、API オペレーション、 AWS リージョン 、および CMK タイプなどのその他の要因によって異なります。API リクエストのクォータを超えると、AWS KMS はリクエストを調整します。。

注記

クォータを超える必要がある場合は、サービスクォータのクォータの増加を要求できます。 サービスクォータコンソール または RequestServiceQuota増加 操作を使用します。詳細については、「」を参照してください。クォータ引き上げのリクエスト()Service Quotas ユーザーガイド。のService QuotasAWS KMSは、以下のようになります。 AWS リージョン をご覧になりたい場合は、AWS Supportセンターケースを作成します。

AWS KMS クォータの引き上げをリクエストする方法については、「AWS KMS クォータの引き上げをリクエストする」を参照してください。

要求クォータを超えている場合、GenerateDataKeyオペレーションについては、以下のようになります。データキーキャッシュの機能AWS Encryption SDK。データキーを再利用することで、AWS KMS へのリクエストの頻度が低下することがあります。

リクエストクォータに加えて、AWS KMSでは、リソースクォータを使用して、すべてのユーザーの容量を確保します。詳細については、「」を参照してくださいリソースクォータ

各クォータをリクエストするAWS KMSAPI オペレーション

この表では、サービスクォータのクォータコードと、各 AWS KMS リクエストクォータのデフォルト値を示しています。

注記

このテーブルのすべてのデータを表示するには、水平または垂直にスクロールする必要がある場合があります。

クォータ名	デフォルト値 (1 秒あたり)
Cryptographic operations (symmetric) request rate 適用先.. Decrypt Encrypt GenerateDataKey GenerateDataKeyWithoutPlaintext GenerateRandom ReEncrypt	これらの共有クォータは、 AWS リージョン と、リクエストで使用される CMK のタイプによって異なります。各クォータは個別に計算されます。 5,500 (共有) 以下のリージョンでは 10,000（共有）: 米国東部 (オハイオ)、us-east-2 アジアパシフィック（シンガポール）、ap-southeast-1 アジアパシフィック（シドニー）、ap-southeast-2 アジアパシフィック（東京）、ap-norteast-1 ヨーロッパ（フランクフルト）、eu-Central-1 ヨーロッパ（ロンドン）、欧州西-2 以下のリージョンでは 50,000（共有）: 米国東部 (バージニア北部)、us-east-1 米国西部 (オレゴン)、us-west-2 ヨーロッパ（アイルランド）、eu-west-1 カスタムキーストアのクォータ (対称 CMK): カスタムキーストアごとに 1,800 (共有)。詳細については、「」を参照してくださいカスタムキーストアのクォータ
Cryptographic operations (RSA) request rate 適用先.. Decrypt Encrypt ReEncrypt Sign Verify	RSA CMK の場合は 500（共有）
Cryptographic operations (ECC) request rate 適用先.. Sign Verify	楕円曲線 (ECC) CMK の場合は 300 (共有)
CancelKeyDeletion request rate	5
ConnectCustomKeyStore request rate	5
CreateAlias request rate	5
CreateCustomKeyStore request rate	5
CreateGrant request rate	50
CreateKey request rate	5
DeleteAlias request rate	15
DeleteCustomKeyStore request rate	5
DeleteImportedKeyMaterial request rate	5
DescribeCustomKeyStores request rate	5
DescribeKey request rate	2000
DisableKey request rate	5
DisableKeyRotation request rate	5
DisconnectCustomKeyStore request rate	5
EnableKey request rate	5
EnableKeyRotation request rate	15
GenerateDataKeyPair (ECC_NIST_P256) request rate 適用先.. GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext	25
GenerateDataKeyPair (ECC_NIST_P384) request rate 適用先.. GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext	10
GenerateDataKeyPair (ECC_NIST_P521) request rate 適用先.. GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext	5
GenerateDataKeyPair (ECC_SECG_P256K1) request rate 適用先.. GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext	25
GenerateDataKeyPair (RSA_2048) request rate 適用先.. GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext	1
GenerateDataKeyPair (RSA_3072) request rate 適用先.. GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext	0.5 (2 秒に 1 回)
GenerateDataKeyPair (RSA_4096) request rate 適用先.. GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext	0.1 (10 秒に 1 回)
GetKeyPolicy request rate	1000
GetKeyRotationStatus request rate	1000
GetParametersForImport request rate	0.25 (4 秒に 1 回)
GetPublicKey request rate	2000
ImportKeyMaterial request rate	5
ListAliases request rate	500
ListGrants request rate	100
ListKeyPolicies request rate	100
ListKeys request rate	500
ListResourceTags request rate	2000
ListRetirableGrants request rate	100
PutKeyPolicy request rate	15
ReplicateKey request rate AReplicateKey操作は 1 つとしてカウントされますReplicateKeyリクエストと 2 つのCreateKeyリクエストをレプリカのリージョンで実行します。の 1 つCreateKey要求は、キーを作成する前に潜在的な問題を検出するためのドライランです。	5
RetireGrant request rate	30
RevokeGrant request rate	30
ScheduleKeyDeletion request rate	15
TagResource request rate	10
UntagResource request rate	5
UpdateAlias request rate	5
UpdateCustomKeyStore request rate	5
UpdateKeyDescription request rate	5
UpdatePrimaryRegion request rate あんUpdatePrimaryRegion操作は 2 つとしてカウントUpdatePrimaryRegionリクエスト、影響を受ける 2 つのリージョンのそれぞれに 1 つのリクエスト。	5

リクエストクォータの適用

リクエストクォータを確認するときは、次の点に注意してください。

• リクエストクォータは、両方に適用されます。カスタマー管理の CMKおよびAWS管理の CMK。の使用AWS所有 CMKのリクエストクォータにはカウントされません。 AWS アカウント は、アカウント内のリソースを保護するために使用されている場合でも、これらのようになります。

• 要求クォータは、FIPS エンドポイントおよび FIPS 以外のエンドポイントに送信された要求に適用されます。のリストについては、AWS KMSサービスエンドポイントの詳細については、「AWS Key Management Serviceエンドポイントとクォータ()AWSの全般的なリファレンス

• スロットリングは、リージョン内のすべてのタイプの CMK に対するすべてのリクエストに基づいています。この合計には、以下のようになります。 AWS アカウント からのリクエストを含むAWSサービスには、ユーザーに代わって使用します。

• 各要求クォータは個別に計算されます。たとえば、 CreateKey オペレーションのリクエストは、 CreateAlias オペレーションのリクエストクォータには影響しません。CreateAlias リクエストが調整されていても、CreateKey リクエストは正常に完了できます。

• 暗号化オペレーションはクォータを共有しますが、共有クォータは他のオペレーションのクォータとは無関係に計算されます。たとえば、 Encryp t および Decrypt 操作の呼び出しは要求クォータを共有しますが、そのクォータは EnableKeyなどの管理操作のクォータとは無関係です。たとえば、ヨーロッパ（ロンドン）リージョンでは、対称 CMK に対して 10,000 の暗号化操作 と 、スロットルなしで 1 秒あたり 5 回の EnableKey 操作を実行できます。

暗号化オペレーションの共有クォータ

AWS KMS 暗号化オペレーション共有リクエストクォータを設定します。CMK でサポートされている暗号化操作の任意の組み合わせをリクエストできます。これにより、暗号化操作の合計数がそのタイプの CMK のリクエストクォータを超えないようにします。例外は、別個のクォータを共有する GenerateDataKeyPair と GenerateDataKeyPairWithoutPlaintext です。

異なるタイプの CMK のクォータは、個別に計算されます。各クォータは、これらのオペレーションに対するすべてのリクエストに適用されます。 AWS アカウント と 1 秒ごとに指定されたキータイプを持つリージョン。

• 暗号化オペレーション (対称) リクエストの頻度は、アカウントとリージョンで対称 CMK を使用する暗号化オペレーションの共有リクエストクォータです。

  たとえば、以下のようになります。対称 CMKで AWS リージョン 1 秒あたり 10,000 リクエストの共有クォータを持つ。毎秒 7,000 件の GenerateDataKey リクエストと毎秒 2,000 件の Decrypt リクエストを行う場合、AWS KMS はリクエストを制限しません。ただし、毎秒 9,500 件の GenerateDataKey リクエストと 1,000 件の Encrypt およびリクエストを行うと、共有クォータを超えているため、AWS KMS はリクエストを制限します。

• 暗号化オペレーション (RSA) リクエストの頻度は、RSA 非対称 CMK を使用する暗号化オペレーションの共有リクエストクォータです。

  たとえば、1 秒あたり 500 オペレーションのリクエストクォータでは、暗号化および復号化が可能なRSA CMKを使用して、200 の 暗号化 要求と 100 の 復号 化要求を実行できます。さらに、50 の 署名 要求と 150 の 検証要求を実行できます。 要求に署名および検証できる RSA CMK を使用します。

• 暗号化オペレーション (ECC) リクエストの頻度は、楕円曲線 (ECC) 非対称 CMK を使用する暗号化オペレーションの共有リクエストクォータです。

  たとえば、リクエストクォータが 1 秒あたり 300 オペレーションであれば、署名と検証が可能な RSA CMK を使用して、100 件の署名リクエストと 200 件の検証リクエストを行うことができます。

異なるキータイプのクォータも個別に計算されます。たとえば、アジアパシフィック（シンガポール）リージョンで、対称 CMK と非対称 CMK の両方を使用する場合、対称 CMK を使用して 1 秒あたり最大 10,000 件の呼び出しを行うことができます。プラス記号RSA 非対称CMKを使用すると、毎秒最大 500 コールの追加が可能プラス記号ECC ベースの CMK を使用すると、1 秒あたり最大 300 のリクエストを追加できます。

ユーザーに代わって API が実行するリクエスト

API が直接リクエストを行うこと、あるいは統合された AWS サービスを使用して、ユーザーに代わって API が AWS KMS にリクエストを行うようにできます。クォータはどちらの種類のリクエストにも適用されます。

たとえば、以下のようになります。サーバー側の暗号化を使用して Amazon S3 にデータを保存できます。AWS KMS(SSE-KMS) である。SSE-KMS を使って暗号化された S3 オブジェクトをアップロードまたはダウンロードするたびに、Amazon S3 はGenerateDataKey（アップロード用）またはDecrypt(ダウンロード用) リクエストをAWS KMSはユーザーに代わって行います。これらのリクエストはクォータにカウントされるため、AWS KMS合計5,500 件（または 10,000 件または 30,000 件）を超えた場合、はリクエストを調整します。 AWS リージョン ) は、SSE-KMS を使って暗号化された S3 オブジェクトの 1 秒あたりのアップロード数またはダウンロード数の総数がアップロード数またはダウンロード

クロスアカウントリクエスト

1 つのアプリケーション AWS アカウント は、別のアカウントが所有する CMK を使用します。これはクロスアカウントリクエスト。クロスアカウントリクエストでは、AWS KMS は、CMK を所有するアカウントではなく、リクエストを行うアカウントを調整します。たとえば、アカウント A のアプリケーションがアカウント B の CMK を使用する場合、CMK の使用はアカウント A のクォータにのみ適用されます。

カスタムキーストアのクォータ

AWS KMS カスタムキーストアは、対称 CMK のみをサポートしています。カスタムキーストアで CMK を使用する暗号化操作は、各 カスタムキーストア で 1 秒あたり 1,800 操作の要求クォータを共有します。ただし、このクォータが持つ意味は、オペレーションによって異なります。GenerateDataKey、GenerateDataKeyWithoutPlaintext や、GenerateRandom といったオペレーションは、Encrypt、Decrypt や ReEncrypt オペレーションの 1 秒あたりおよそ 3 倍のクォータを消費します。

たとえば、Encrypt や Decrypt のオペレーションのみをリクエストしていれば、1 秒あたり約 1,800 オペレーションを実行できます。一方、GenerateDataKey オペレーションを繰り返しリクエストした場合、パフォーマンスは 1 秒あたり約 600 オペレーションになります。GenerateDataKey と Decrypt のオペレーションをおよそ半々の割合で実行した場合、1 秒あたり約 1,200 オペレーションを実行できます。

他の AWS KMS クォータとは異なり、カスタムキーストアのクォータは調整できません。Service Quotas を使用したり、AWS Support。

注記

カスタムキーストアに関連付けられている AWS CloudHSM クラスターが、カスタムキーストアに関連しないものを含む多数のコマンドを処理している場合、予想よりも低い速度で AWS KMS ThrottlingException が発生する可能性があります。この問題が発生した場合は、AWS KMS へのリクエストの頻度を下げる、関連のないコマンドの処理を減らす、またはカスタムキーストアに専用の AWS CloudHSM クラスターを使用するなどの対策を取ります。