翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
クォータのリクエスト
AWS KMS は、1 秒ごとにリクエストされたAPIオペレーション数のクォータを確立します。リクエストクォータは、 APIオペレーション、 AWS リージョン、およびKMSキータイプなどのその他の要因によって異なります。API リクエストクォータを超えると、 AWS KMS はリクエスト をスロットリングします。
キーストア AWS KMS リクエストクォータ を除き、すべてのリクエストクォータは調整可能です。 AWS CloudHSMクォータの引き上げをリクエストするには、「Service Quotas ユーザーガイド」の「クォータ引き上げリクエスト」を参照してください。クォータの削減をリクエストしたり、Service Quotas にリストされていないクォータを変更したり、 の Service Quotas AWS リージョン が AWS KMS 利用できない のクォータを変更したりするには、 AWS Support センター
GenerateDataKey オペレーションのリクエストクォータを超えている場合は、 のデータキーキャッシュ機能の使用を検討してください AWS Encryption SDK。データキーを再利用すると、 へのリクエストの頻度が低下する可能性があります AWS KMS。
リクエストクォータに加えて、 はリソースクォータ AWS KMS を使用してすべてのユーザーの容量を確保します。詳細については、「リソースクォータ」を参照してください。
リクエストレートのトレンドを表示するには、Service Quotas コンソール
トピック
各 AWS KMS APIオペレーションのリクエストクォータ
この表は、Service Quotas クォータコードと各 AWS KMS リクエストクォータのデフォルト値を示しています。キーストア AWS KMS リクエストクォータ を除き、すべてのリクエストクォータは調整可能です。 AWS CloudHSM
注記
この表のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。
クォータ名 | デフォルト値 (1 秒あたりのリクエスト) |
---|---|
適用先:
|
これらの共有クォータは、 AWS リージョン およびリクエストで使用されるKMSキーのタイプによって異なります。各クォータは個別に計算されます。
|
適用先:
|
RSA KMS キーに 1,000 (共有) |
適用先:
|
楕円曲線 () および (中国リージョンのみECC) KMSキーの場合は 1,000 SM2 (共有) |
適用先:
|
カスタムキーストアのリクエストクォータは、カスタムキーストアごとに個別に計算されます。
|
|
5 |
|
5 |
|
5 |
|
5 |
|
50 |
|
5 |
|
15 |
|
5 |
|
15 |
|
5 |
|
2000 |
|
5 |
|
5 |
|
5 |
|
5 |
|
15 |
適用先:
|
100 |
適用先:
|
100 |
適用先:
|
100 |
適用先:
|
100 |
適用先:
|
1 |
適用先:
|
0.5 (2 秒に 1 回) |
適用先:
|
0.1 (10 秒に 1 回) |
適用先:
|
25 |
|
1,000 |
|
1,000 |
|
0.25 (4 秒に 1 回) |
|
2000 |
|
15 |
|
500 |
|
100 |
|
100 |
|
500 |
|
100 |
|
2000 |
|
100 |
|
15 |
ReplicateKey request rate
|
5 |
|
50 |
|
50 |
|
5 |
|
15 |
|
10 |
|
5 |
|
5 |
|
5 |
|
5 |
|
5 |
リクエストクォータの適用
リクエストクォータを確認するときは、次の点に注意してください。
-
リクエストクォータは、カスタマーマネージドキーと AWS マネージドキー の両方に適用されます。の使用はAWS 所有のキー、 アカウントのリソースを保護するために使用されている場合でも AWS アカウント、 のリクエストクォータにはカウントされません。
-
リクエストクォータは、エンドポイントおよび FIPS以外のFIPSエンドポイントに送信されるリクエストに適用されます。 AWS KMS サービスエンドポイントのリストについては、「」のAWS Key Management Service 「 エンドポイントとクォータ」を参照してください AWS 全般のリファレンス。
-
スロットリングは、リージョン内のすべてのタイプのKMSキーに対するすべてのリクエストに基づいています。この合計には、ユーザーに代わって のサービスからのリクエストを含む AWS アカウント、 内のすべてのプリンシパルからの AWS リクエストが含まれます。
-
各要求クォータは個別に計算されます。例えば、 CreateKeyオペレーションのリクエストは、 CreateAliasオペレーションのリクエストクォータには影響しません。
CreateAlias
リクエストが調整されていても、CreateKey
リクエストは正常に完了できます。 -
暗号化オペレーションはクォータを共有しますが、共有クォータは他のオペレーションのクォータとは無関係に計算されます。例えば、Encrypt および Decrypt オペレーションの呼び出しはリクエストクォータを共有しますが、そのクォータは などの管理オペレーションのクォータとは無関係ですEnableKey。例えば、欧州 (ロンドン) リージョンでは、対称KMSキーに対して 10,000 回の暗号化オペレーションに加えて、スロットリングなしで 1 秒あたり 5 回の
EnableKey
オペレーションを実行できます。
暗号化オペレーションの共有クォータ
AWS KMS 暗号化オペレーションはリクエストクォータを共有します。暗号化オペレーションの総数がそのタイプのKMSキーのリクエストクォータを超えないように、KMSキーでサポートされている暗号化オペレーションの任意の組み合わせをリクエストできます。例外は GenerateDataKeyPairと でGenerateDataKeyPairWithoutPlaintext、個別のクォータを共有します。
さまざまなタイプのKMSキーのクォータは個別に計算されます。各クォータは、1 秒間隔で指定されたキータイプを持つ AWS アカウント およびリージョンで、これらのオペレーションに対するすべてのリクエストに適用されます。
-
暗号化オペレーション (対称) リクエストレートは、アカウントとリージョンで対称KMSキーを使用する暗号化オペレーションの共有リクエストクォータです。このクォータは、対称暗号化キーと対称HMAC暗号化キーを使用した暗号化オペレーションに適用されます。
例えば、1 秒あたり 10,000 リクエストの共有クォータ AWS リージョン を持つ で対称KMSキーを使用しているとします。1 秒あたり 7,000 件のGenerateDataKeyリクエストと 1 秒あたり 2,000 件の Decrypt リクエストを行う場合、リクエストをスロット AWS KMS リングしないでください。ただし、毎秒 9,500 件の
GenerateDataKey
リクエストと 1,000 件の Encrypt リクエストを行うと、共有クォータを超えているため、 AWS KMS はリクエストを制限します。カスタムキーストアの対称暗号化KMSキーに対する暗号化オペレーションは、アカウントの暗号化オペレーション (対称) リクエストレートとカスタムキーストアのカスタムキーストアリクエストクォータの両方にカウントされます。
-
暗号化オペレーション (RSA) リクエストレートは、RSA非対称KMSキー を使用する暗号化オペレーションの共有リクエストクォータです。
例えば、1 秒あたり 1,000 オペレーションのリクエストクォータを使用すると、暗号化および復号できるRSAKMSキーを使用して 400 の Encrypt リクエストと 200 の Decrypt リクエスト、さらに署名および検証できるRSAKMSキーを使用して 250 の Sign リクエストと 150 Verify リクエストを行うことができます。
-
暗号化オペレーション (ECC) リクエストレートは、楕円曲線 (ECC) 非対称KMSキー と SM 非対称キー を使用する暗号化オペレーションの共有リクエストクォータですKMS。
例えば、1 秒あたり 1,000 オペレーションのリクエストクォータを使用すると、署名と検証が可能なECCKMSキーを使用して 400 件の署名リクエストと 200 件の検証リクエスト、さらに署名と検証が可能なSM2KMSキーを使用して 250 件の署名リクエストと https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html150 件の検証リクエストを実行できます。
-
カスタムキーストアのリクエストクォータは、カスタムキーストアのKMSキーに対する暗号化オペレーションの共有リクエストクォータです。このクォータは、各カスタムキーストアで個別に計算されます。
カスタムキーストアの対称暗号化KMSキーに対する暗号化オペレーションは、アカウントの暗号化オペレーション (対称) リクエストレートとカスタムキーストアのカスタムキーストアリクエストクォータの両方にカウントされます。
異なるキータイプのクォータも個別に計算されます。例えば、アジアパシフィック (シンガポール) リージョンでは、対称キーと非対称KMSキーの両方を使用する場合、対称KMSキー ( キーを含むHMAC) で 1 秒あたり最大 10,000 回の呼び出し、RSA非対称KMSキーで 1 秒あたり最大 500 回の呼び出し、ECCおよび ベースのKMSキーで 1 秒あたり最大 300 回の追加のリクエストを行うことができます。
API ユーザーに代わって行われたリクエスト
API リクエストは、直接行うか、 AWS KMS ユーザーに代わって にAPIリクエストを行う統合 AWS サービスを使用して行うことができます。クォータはどちらの種類のリクエストにも適用されます。
例えば、KMSキー (SSE-) によるサーバー側の暗号化を使用して Amazon S3 にデータを保存できますKMS。SSE- で暗号化された S3 オブジェクトをアップロードまたはダウンロードするたびにKMS、Amazon S3 はユーザーに代わって GenerateDataKey
(アップロードの場合) または Decrypt
(ダウンロードの場合) リクエストを AWS KMS に送ります。これらのリクエストはクォータにカウントされるため、 SSEで暗号化された S3 オブジェクトの 1 秒あたりのアップロードまたはダウンロードの合計が 5,500 (または に応じて 10,000 または 50,000 AWS リージョン) を超える場合、 はリクエスト AWS KMS を調整しますKMS。
クロスアカウントリクエスト
ある のアプリケーションが別のアカウントが所有するKMSキー AWS アカウント を使用する場合、クロスアカウントリクエスト と呼ばれます。クロスアカウントリクエストの場合、 はKMSキーを所有するアカウントではなく、リクエストを行うアカウントを AWS KMS スロットリングします。例えば、アカウント A のアプリケーションがアカウント B のKMSキーを使用する場合、KMSキーの使用はアカウント A のクォータにのみ適用されます。
カスタムキーストアのリクエストクォータ
AWS KMS は、カスタムKMSキーストア のキーに対する暗号化オペレーションのリクエストクォータを維持します。 カスタムキーストアこれらのリクエストクォータは、カスタムキーストアごとに個別に計算されます。
カスタムキーストアのリクエストクォータ | 各カスタムキーストアのデフォルト値 (リクエスト数/秒) | 調整可能 |
---|---|---|
AWS CloudHSM キーストアリクエストクォータ | 1800 | なし |
外部キーストアのリクエストクォータ | 1800 | あり |
注記
AWS KMS カスタムキーストアのリクエストクォータは Service Quotas コンソールに表示されません。Service Quotas APIオペレーションを使用してこれらのクォータを表示または管理することはできません。外部キーストアのリクエストクォータへの変更をリクエストするには、AWS Support センター
AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターが、カスタムキーストアに関連しないコマンドなど、多数のコマンドを処理している場合、 AWS KMS を lower-than-expected 一定のレートThrottlingException
で取得できます。その場合は、リクエストレートを に下げるか AWS KMS、無関係な負荷を減らすか、 AWS CloudHSM キーストアに専用 AWS CloudHSM クラスターを使用します。
AWS KMS は、 ExternalKeyStoreThrottle CloudWatch メトリクス内の外部キーストアリクエストのスロットリングを報告します。このメトリクスを使用して、スロットリングパターンを表示したり、アラームを作成したり、外部キーストアのリクエストクォータを調整したりできます。
カスタムキーストアのKMSキーに対する暗号化オペレーションのリクエストは、次の 2 つのクォータにカウントされます。
-
暗号化オペレーション (対称) のリクエストレートクォータ (アカウントあたり)
カスタムKMSキーストアのキーに対する暗号化オペレーションのリクエストは、各
Cryptographic operations (symmetric) request rate
AWS アカウント およびリージョンのクォータにカウントされます。例えば、米国東部 (バージニア北部) (us-east-1) では、各 は、カスタムKMSキーストアでKMSキーを使用するリクエストを含め、対称暗号化キーに対して 1 秒あたり最大 50,000 リクエストを持つ AWS アカウント ことができます。 カスタムキーストアのリクエストクォータ (カスタムキーストアあたり)
カスタムキーストアのKMSキーに対する暗号化オペレーションのリクエストも、1 秒あたり 1,800 オペレーション
Custom key store request quota
の にカウントされます。これらのクォータは、カスタムキーストアごとに個別に計算されます。カスタムKMSキーストアでキー AWS アカウント を使用する複数の からのリクエストが含まれる場合があります。
例えば、米国東部 (バージニア北部) (us-east-1) リージョンのカスタムキーストア (いずれかのタイプ) のKMSキーに対する Encrypt オペレーションは、そのアカウントとリージョンのCryptographic operations (symmetric) request rate
アカウントレベルのクォータ (1 秒あたり 50,000 リクエスト)、およびカスタムキーストアの Custom key store request quota
(1 秒あたり 1,800 リクエスト) に対してカウントされます。ただし、カスタムキーストアのKMSキーに対する などの管理オペレーションのリクエストはPutKeyPolicy、アカウントレベルのクォータ (1 秒あたり 15 リクエスト) にのみ適用されます。