クォータのリクエスト - AWS Key Management Service
各 AWS KMS API オペレーションのリクエストクォータリクエストクォータの適用暗号化オペレーションの共有クォータユーザーに代わって API が実行するリクエストクロスアカウントリクエストカスタムキーストアのリクエストクォータ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クォータのリクエスト

AWS KMS は、1 秒ごとにリクエストされた API オペレーションの数のクォータを確立します。リクエストクォータは、API オペレーション AWS リージョン、、および KMS キータイプなどのその他の要因によって異なります。API リクエストのクォータを超えると、 AWS KMS はリクエストをスロットリングします

キーストア AWS KMS のリクエストクォータを除き、すべてのリクエストクォータは調整可能です。 AWS CloudHSMクォータの引き上げをリクエストするには、「Service Quotas ユーザーガイド」の「クォータ引き上げリクエスト」を参照してください。クォータの引き下げをリクエストしたり、Service Quotas にリストされていないクォータを変更したり、 の Service Quotas AWS リージョン が AWS KMS 利用できない のクォータを変更したりするには、 AWS サポート センターにアクセスしてケースを作成してください。

GenerateDataKey オペレーションのリクエストクォータを超えている場合は、 AWS Encryption SDKのデータキーキャッシュ機能の使用を検討してください。データキーを再利用すると、 へのリクエストの頻度が低下する可能性があります AWS KMS。

リクエストクォータに加えて、 はリソースクォータ AWS KMS を使用してすべてのユーザーの容量を確保します。詳細については、「リソースクォータ」を参照してください。

リクエストレートのトレンドを表示するには、Service Quotas コンソールを使用してください。リクエストレートがクォータ値の一定の割合に達したときに警告する Amazon CloudWatch アラームを作成することもできます。詳細については、 AWS セキュリティブログService Quotas と Amazon CloudWatch を使用して AWS KMS API リクエストレートを管理する」を参照してください。

各 AWS KMS API オペレーションのリクエストクォータ

この表は、各 AWS KMS リクエストクォータの Service Quotas クォータコードとデフォルト値を示しています。キーストア AWS KMS のリクエストクォータを除き、すべてのリクエストクォータは調整可能です。 AWS CloudHSM

注記

この表のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。

クォータ名 デフォルト値 (1 秒あたりのリクエスト)

Cryptographic operations (symmetric) request rate

適用先:

  • Decrypt

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateMac

  • GenerateRandom

  • ReEncrypt

  • VerifyMac

これらの共有クォータは、 AWS リージョン およびリクエストで使用される KMS キーのタイプによって異なります。各クォータは個別に計算されます。

  • 10,000 (共有)

  • 以下のリージョンでは 20,000 (共有):

    • 米国東部 (オハイオ)、us-east-2

    • アジアパシフィック (シンガポール)、ap-southeast-1

    • アジアパシフィック (シドニー)、ap-southeast-2

    • アジアパシフィック (東京)、ap-norteast-1

    • ヨーロッパ (フランクフルト)、eu-central-1

    • ヨーロッパ (ロンドン)、eu–west-2

  • 以下のリージョンでは 100,000 (共有):

    • 米国東部 (バージニア北部)、us-east-1

    • 米国西部 (オレゴン)、us-west-2

    • ヨーロッパ (アイルランド)、eu-west-1

Cryptographic operations (RSA) request rate

適用先:

  • Decrypt

  • Encrypt

  • ReEncrypt

  • Sign

  • Verify

RSA KMS キーの場合は 1,000 (共有)

Cryptographic operations (ECC and SM2) request rate

適用先:

  • Decrypt — SM2 (中国リージョンのみ) KMS キーでのみサポート

  • DeriveSharedSecret

  • Encrypt — SM2 (中国リージョンのみ) KMS キーでのみサポート

  • ReEncrypt — SM2 (中国リージョンのみ) KMS キーでのみサポート

  • Sign

  • Verify

楕円曲線 (ECC) KMS キーおよび SM2 (中国リージョンのみ) KMS キーの場合は 1,000 (共有)

Custom key store request quotas

適用先:

  • Decrypt

  • DeriveSharedSecret

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateRandom

  • ReEncrypt

 カスタムキーストアのリクエストクォータは、カスタムキーストアごとに個別に計算されます。

  • AWS CloudHSM キーストアごとに 1,800 (共有)

  • 外部キーストアごとに 1,800 (共有)

CancelKeyDeletion request rate

 5

ConnectCustomKeyStore request rate

 5

CreateAlias request rate

 5

CreateCustomKeyStore request rate

 5

CreateGrant request rate

 50

CreateKey request rate

 5

DeleteAlias request rate

 15

DeleteCustomKeyStore request rate

 5

DeleteImportedKeyMaterial request rate

 15

DescribeCustomKeyStores request rate

 5

DescribeKey request rate

 2000

DisableKey request rate

 5

DisableKeyRotation request rate

 5

DisconnectCustomKeyStore request rate

 5

EnableKey request rate

 5

EnableKeyRotation request rate

 15

GenerateDataKeyPair (ECC_NIST_P256) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P384) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P521) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_SECG_P256K1) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (RSA_2048) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

1

GenerateDataKeyPair (RSA_3072) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0.5 (2 秒に 1 回)

GenerateDataKeyPair (RSA_4096) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0.1 (10 秒に 1 回)

GenerateDataKeyPair (SM2 — China Regions only) request rate

適用先:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

25

GetKeyPolicy request rate

 1,000

GetKeyRotationStatus request rate

 1,000

GetParametersForImport request rate

 0.25 (4 秒に 1 回)

GetPublicKey request rate

 2000

ImportKeyMaterial request rate

 15

ListAliases request rate

 500

ListGrants request rate

 100

ListKeyPolicies request rate

 100

ListKeys request rate

 500

ListKeyRotations request rate

 100

ListResourceTags request rate

 2000

ListRetirableGrants request rate

 100

PutKeyPolicy request rate

 15
ReplicateKey request rate

ReplicateKey オペレーションは、プライマリキーのリージョンでは 1 つ ReplicateKey リクエスト、レプリカのリージョンでは 2 つの CreateKey リクエストとしてカウントされます。以下のうち 1 つの CreateKey リクエストは、キー作成前に潜在的な問題を検出するためのドライランです。

 5

RetireGrant request rate

 50

RevokeGrant request rate

 50

RotateKeyOnDemand request rate

 5

ScheduleKeyDeletion request rate

 15

TagResource request rate

 10

UntagResource request rate

 5

UpdateAlias request rate

 5

UpdateCustomKeyStore request rate

 5

UpdateKeyDescription request rate

 5

UpdatePrimaryRegion request rate

UpdatePrimaryRegion オペレーションは、2 つの影響を受けるリージョンごとに、1 つのリクエストとしてカウントされる、2 つの UpdatePrimaryRegion リクエストです。

 5

リクエストクォータの適用

リクエストクォータを確認するときは、次の点に注意してください。

  • リクエストクォータは、カスタマーマネージドキーAWS マネージドキー の両方に適用されます。の使用は、 アカウントのリソースを保護するために使用されている場合でも AWS アカウント、 のリクエストクォータにはカウントAWS 所有のキーされません。

  • リクエストクォータは、FIPS エンドポイントおよび非 FIPS エンドポイントに送信されるリクエストに適用されます。 AWS KMS サービスエンドポイントのリストについては、「」のAWS Key Management Service 「 エンドポイントとクォータ」を参照してください AWS 全般のリファレンス。

  • スロットリングは、リージョン内のすべてのタイプの KMS キーに対するすべてのリクエストに基づいています。この合計には、ユーザーに代わって のサービスからのリクエストを含む AWS アカウント、 のすべてのプリンシパルからの AWS リクエストが含まれます。

  • 各要求クォータは個別に計算されます。例えば、 CreateKey オペレーションのリクエストは、 CreateAlias オペレーションのリクエストクォータには影響しません。CreateAlias リクエストが調整されていても、CreateKey リクエストは正常に完了できます。

  • 暗号化オペレーションはクォータを共有しますが、共有クォータは他のオペレーションのクォータとは無関係に計算されます。例えば、Encrypt および Decrypt オペレーションの呼び出しはリクエストクォータを共有しますが、そのクォータは EnableKey などの管理オペレーションのクォータとは無関係です。例えば、欧州 (ロンドン) リージョンでは、対称 KMS キーに対して 10,000 オペレーションの暗号化オペレーションに加えて、スロットルなしで 1 秒あたり 5 回の EnableKey オペレーションを実行できます。

暗号化オペレーションの共有クォータ

AWS KMS 暗号化オペレーションはリクエストクォータを共有します。KMS キーでサポートされている暗号化オペレーションの任意の組み合わせをリクエストできます。これにより、暗号化オペレーションの合計数がそのタイプの KMS キーのリクエストクォータを超過しません。例外は、別個のクォータを共有する GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext です。

異なるタイプの KMS キーのクォータは、個別に計算されます。各クォータは、1 秒間隔で指定されたキータイプを持つ AWS アカウント およびリージョンで、これらのオペレーションに対するすべてのリクエストに適用されます。

  • 暗号化オペレーション (対称) リクエストの頻度は、アカウントとリージョンで対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。このクォータは、対称暗号化キーと、同じく対称である HMAC キーでの暗号化オペレーションに適用されます。

    例えば、1 秒あたり 10,000 リクエストの共有クォータ AWS リージョン を持つ で対称 KMS キーを使用しているとします。1 秒あたり 7,000 件の GenerateDataKey リクエストと 1 秒あたり 2,000 件の Decrypt リクエストを行う場合、 AWS KMS はリクエストをスロットリングしません。ただし、毎秒 9,500 件の GenerateDataKey リクエストと 1,000 件の Encrypt リクエストを行うと、共有クォータを超えているため、 AWS KMS はリクエストを制限します。

    カスタムキーストア内の対称暗号化 KMS キーに対する暗号化オペレーションは、アカウントの暗号化オペレーション (対称) リクエストレートおよびカスタムキーストアのカスタムキーストアのリクエストクォータの両方にカウントされます。

  • 暗号化オペレーション (RSA) リクエストの頻度は、RSA 非対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。

    例えば、1 秒あたり 1,000 オペレーションのリクエストクォータでは、暗号化および復号が可能な RSA KMS キーを使用して、400 件の Encrypt リクエストと 200 件の Decrypt リクエストを実行できます。加えて、署名と検証が可能な RSA KMS キーを使用して、250 件の Sign リクエストと 150 件の Verify リクエストを実行できます。

  • 暗号化オペレーション (ECC) リクエストレートは、楕円曲線 (ECC) 非対称 KMS キーおよび SM 非対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。

    例えば、1 秒あたり 1,000 オペレーションのリクエストクォータでは、署名と検証が可能な ECC KMS キーを使用して、400 件の Sign リクエストと 200 件の Verify リクエストを実行できます。加えて、署名と検証が可能な SM2 KMS キーを使用して、250 件の Sign リクエストと 150 件の Verify リクエストを実行できます。

  • カスタムキーストアのリクエストクォータは、カスタムキーストアの KMS キーに対する暗号化オペレーションの共有リクエストクォータです。このクォータは、各カスタムキーストアで個別に計算されます。

    カスタムキーストア内の対称暗号化 KMS キーに対する暗号化オペレーションは、アカウントの暗号化オペレーション (対称) リクエストレートおよびカスタムキーストアのカスタムキーストアのリクエストクォータの両方にカウントされます。

異なるキータイプのクォータも個別に計算されます。例えば、アジアパシフィック (シンガポール) リージョンでは、対称および非対称の KMS キーの両方を使用する場合、対称 KMS キー (HMAC キーを含む) を使用した 1 秒あたり最大 10,000 件の呼び出しに加えて、RSA 非対称 KMS キーを使用した 1 秒あたり最大 500 件の追加呼び出しと、ECC ベースの KMS キーを使用した 1 秒あたり最大 300 件の追加リクエストを実行できます。

ユーザーに代わって API が実行するリクエスト

API リクエストは、直接行うか、 AWS KMS ユーザーに代わって に API リクエストを行う統合 AWS サービスを使用して行うことができます。クォータはどちらの種類のリクエストにも適用されます。

たとえば、KMS キー (SSE-KMS) によるサーバー側の暗号化を使用して Amazon S3 にデータを保存できます。SSE-KMS で暗号化された S3 オブジェクトをアップロードまたはダウンロードするたびに、Amazon S3 はユーザーに代わって GenerateDataKey (アップロードの場合) または Decrypt (ダウンロードの場合) リクエストを AWS KMS に作成します。これらのリクエストはクォータにカウントされるため、SSE-KMS で暗号化された S3 オブジェクトの 1 秒あたりのアップロードまたはダウンロードの合計数が 5,500 (または に応じて 10,000 または 50,000 AWS リージョン) を超える場合、 はリクエスト AWS KMS を調整します。

クロスアカウントリクエスト

ある のアプリケーションが別のアカウントが所有する KMS キー AWS アカウント を使用する場合、クロスアカウントリクエストと呼ばれます。クロスアカウントリクエストでは、 AWS KMS は、KMS キーを所有するアカウントではなく、リクエストを行うアカウントを調整します。例えば、アカウント A のアプリケーションがアカウント B の KMS キーを使用する場合、KMS キーの使用はアカウント A のクォータにのみ適用されます。

カスタムキーストアのリクエストクォータ

AWS KMS は、カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストクォータを維持します。これらのリクエストクォータは、カスタムキーストアごとに個別に計算されます。

カスタムキーストアのリクエストクォータ 各カスタムキーストアのデフォルト値 (リクエスト数/秒) 調整可能
AWS CloudHSM キーストアリクエストクォータ 1800 いいえ
外部キーストアのリクエストクォータ 1800 はい
注記

AWS KMS カスタムキーストアのリクエストクォータは Service Quotas コンソールに表示されません。Service Quotas API オペレーションを使用して、これらのクォータを表示または管理することはできません。外部キーストアのリクエストクォータへの変更をリクエストするには、AWS サポート センターにアクセスしてケースを作成します。

AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターが、カスタムキーストアとは無関係なコマンドなど、多数のコマンドを処理している場合、lower-than-expectedレートThrottlingExceptionで AWS KMS が発生する可能性があります。その場合は、リクエストレートを に下げるか AWS KMS、無関係な負荷を減らすか、 AWS CloudHSM キーストアに専用 AWS CloudHSM クラスターを使用します。

AWS KMS は、ExternalKeyStoreThrottleCloudWatch メトリクスで外部キーストアリクエストのスロットリングを報告します。このメトリクスを使用して、スロットリングパターンを表示したり、アラームを作成したり、外部キーストアのリクエストクォータを調整したりできます。

カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストは、2 クォータにカウントされます。

  • 暗号化オペレーション (対称) のリクエストレートクォータ (アカウントあたり)

    カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストは、各 AWS アカウント およびリージョンの Cryptographic operations (symmetric) request rate クォータにカウントされます。例えば、米国東部 (バージニア北部) (us-east-1) では、カスタムキーストアで KMS キーを使用するリクエストを含め、対称暗号化 KMS キーに対して 1 秒あたり最大 100,000 リクエスト AWS アカウント を設定できます。

  • カスタムキーストアのリクエストクォータ (カスタムキーストアあたり)

    カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストも、1 秒あたり 1,800 オペレーションの Custom key store request quota にカウントされます。これらのクォータは、カスタムキーストアごとに個別に計算されます。カスタムキーストアで KMS キー AWS アカウント を使用する複数の からのリクエストが含まれる場合があります。

例えば、米国東部 (バージニア北部) (us-east-1) リージョンのカスタムキーストア (タイプを問わず) の KMS キーに対する Encrypt オペレーションは、そのアカウントとリージョンのCryptographic operations (symmetric) request rateアカウントレベルのクォータ (1 秒あたり 100,000 リクエスト) と、カスタムキーストアの Custom key store request quota (1 秒あたり 1,800 リクエスト) に対してカウントされます。ただし、カスタムキーストア内の KMS キーに対する管理操作 (PutKeyPolicy など) のリクエストは、アカウントレベルのクォータ (1 秒あたり 15 リクエスト) にのみ適用されます。