翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
クォータのリクエスト
AWS KMS は、1 秒あたりに要求される API オペレーションの数にクォータを設定します。リクエストクォータは、API オペレーション、AWS リージョン、および KMS キータイプなどのその他の要因によって異なります。API リクエストのクォータを超えると、AWS KMS はリクエストを調整します。
AWS KMS リクエストクォータは、AWS CloudHSM キーストアのリクエストクォータを除き、すべて調整可能です。クォータの引き上げをリクエストするには、「Service Quotas ユーザーガイド」の「クォータ引き上げリクエスト」を参照してください。クォータの引き下げリクエスト、Service Quotas に一覧表示されていないクォータの変更、AWS KMS の Service Quotas を使用できない AWS リージョン のクォータの変更を行うには、AWS Support センター
GenerateDataKey オペレーションのリクエストクォータを超えている場合は、AWS Encryption SDK のデータキーキャッシュ機能の使用を検討してください。データキーを再利用することで、AWS KMS へのリクエストの頻度が低下することがあります。
AWS KMS では、リクエストクォータに加えて、リソースクォータを使用してすべてのユーザーの容量を確保します。詳細については、「リソースクォータ」を参照してください。
リクエストレートのトレンドを表示するには、Service Quotas コンソール
トピック
AWS KMS API オペレーションごとにクォータをリクエストする
この表では、Service Quotas のクォータコードと、各 AWS KMS リクエストクォータのデフォルト値を示しています。AWS KMS リクエストクォータは、AWS CloudHSM キーストアのリクエストクォータを除き、すべて調整可能です。
注記
この表のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。
クォータ名 | デフォルト値 (1 秒あたりのリクエスト) |
---|---|
適用先:
|
これらの共有クォータは、AWS リージョン およびリクエストで使用される KMS キーのタイプによって異なります。各クォータは個別に計算されます。
|
適用先:
|
RSA KMS キーの場合は 1,000 (共有) |
適用先:
|
楕円曲線 (ECC) KMS キーおよび SM2 (中国リージョンのみ) KMS キーの場合は 1,000 (共有) |
適用先:
|
カスタムキーストアのリクエストクォータは、カスタムキーストアごとに個別に計算されます。
|
|
5 |
|
5 |
|
5 |
|
5 |
|
50 |
|
5 |
|
15 |
|
5 |
|
15 |
|
5 |
|
2000 |
|
5 |
|
5 |
|
5 |
|
5 |
|
15 |
適用先:
|
100 |
適用先:
|
100 |
適用先:
|
100 |
適用先:
|
100 |
適用先:
|
1 |
適用先:
|
0.5 (2 秒に 1 回) |
適用先:
|
0.1 (10 秒に 1 回) |
適用先:
|
25 |
|
1000 |
|
1000 |
|
0.25 (4 秒に 1 回) |
|
2000 |
|
15 |
|
500 |
|
100 |
|
100 |
|
500 |
|
100 |
|
2000 |
|
100 |
|
15 |
ReplicateKey request rate
|
5 |
|
50 |
|
50 |
|
5 |
|
15 |
|
10 |
|
5 |
|
5 |
|
5 |
|
5 |
|
5 |
リクエストクォータの適用
リクエストクォータを確認するときは、次の点に注意してください。
-
リクエストクォータは、カスタマーマネージドキーと AWS マネージドキー の両方に適用されます。AWS 所有のキー の使用は、アカウント内のリソースを保護するために使用される場合でも、AWS アカウント のリクエストクォータにはカウントされません。
-
リクエストクォータは、FIPS エンドポイントおよび非 FIPS エンドポイントに送信されるリクエストに適用されます。AWS KMS サービスエンドポイントのリストについては、「AWS 全般のリファレンス」の「AWS Key Management Service エンドポイントとクォータ」を参照してください。
-
スロットリングは、リージョン内のすべてのタイプの KMS キーに対するすべてのリクエストに基づいています。この合計には、ユーザーの代わりとなる AWS のサービスからのリクエストを含む、AWS アカウント のすべてのプリンシパルからのリクエストが含まれます。
-
各要求クォータは個別に計算されます。例えば、 CreateKey オペレーションのリクエストは、 CreateAlias オペレーションのリクエストクォータには影響しません。
CreateAlias
リクエストが調整されていても、CreateKey
リクエストは正常に完了できます。 -
暗号化オペレーションはクォータを共有しますが、共有クォータは他のオペレーションのクォータとは無関係に計算されます。例えば、Encrypt および Decrypt オペレーションの呼び出しはリクエストクォータを共有しますが、そのクォータは EnableKey などの管理オペレーションのクォータとは無関係です。例えば、欧州 (ロンドン) リージョンでは、対称 KMS キーに対して 10,000 オペレーションの暗号化オペレーションに加えて、スロットルなしで 1 秒あたり 5 回の
EnableKey
オペレーションを実行できます。
暗号化オペレーションの共有クォータ
AWS KMS 暗号化オペレーションは、リクエストクォータを共有します。KMS キーでサポートされている暗号化オペレーションの任意の組み合わせをリクエストできます。これにより、暗号化オペレーションの合計数がそのタイプの KMS キーのリクエストクォータを超過しません。例外は、別個のクォータを共有する GenerateDataKeyPair と GenerateDataKeyPairWithoutPlaintext です。
異なるタイプの KMS キーのクォータは、個別に計算されます。各クォータは、1 秒間隔の特定のキータイプを持つ AWS アカウント およびリージョンで、これらのオペレーションに対するすべてのリクエストに適用されます。
-
暗号化オペレーション (対称) リクエストの頻度は、アカウントとリージョンで対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。このクォータは、対称暗号化キーと、同じく対称である HMAC キーでの暗号化オペレーションに適用されます。
例えば、1 秒あたり 10,000 リクエストの共有クォータを持つ AWS リージョン で対称 KMS キーを使用しているとします。毎秒 7,000 件の GenerateDataKey リクエストと毎秒 2,000 件の Decrypt リクエストを行う場合、AWS KMS はリクエストを制限しません。ただし、毎秒 9,500 件の
GenerateDataKey
リクエストと 1,000 件の Encrypt リクエストを行うと、共有クォータを超えているため、AWS KMS はリクエストを制限します。カスタムキーストア内の対称暗号化 KMS キーに対する暗号化オペレーションは、アカウントの暗号化オペレーション (対称) リクエストレートおよびカスタムキーストアのカスタムキーストアのリクエストクォータの両方にカウントされます。
-
暗号化オペレーション (RSA) リクエストの頻度は、RSA 非対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。
例えば、1 秒あたり 1,000 オペレーションのリクエストクォータでは、暗号化および復号が可能な RSA KMS キーを使用して、400 件の Encrypt リクエストと 200 件の Decrypt リクエストを実行できます。加えて、署名と検証が可能な RSA KMS キーを使用して、250 件の Sign リクエストと 150 件の Verify リクエストを実行できます。
-
暗号化オペレーション (ECC) リクエストレートは、楕円曲線 (ECC) 非対称 KMS キーおよび SM 非対称 KMS キーを使用する暗号化オペレーションの共有リクエストクォータです。
例えば、1 秒あたり 1,000 オペレーションのリクエストクォータでは、署名と検証が可能な ECC KMS キーを使用して、400 件の Sign リクエストと 200 件の Verify リクエストを実行できます。加えて、署名と検証が可能な SM2 KMS キーを使用して、250 件の Sign リクエストと 150 件の Verify リクエストを実行できます。
-
カスタムキーストアのリクエストクォータは、カスタムキーストアの KMS キーに対する暗号化オペレーションの共有リクエストクォータです。このクォータは、各カスタムキーストアで個別に計算されます。
カスタムキーストア内の対称暗号化 KMS キーに対する暗号化オペレーションは、アカウントの暗号化オペレーション (対称) リクエストレートおよびカスタムキーストアのカスタムキーストアのリクエストクォータの両方にカウントされます。
異なるキータイプのクォータも個別に計算されます。例えば、アジアパシフィック (シンガポール) リージョンでは、対称および非対称の KMS キーの両方を使用する場合、対称 KMS キー (HMAC キーを含む) を使用した 1 秒あたり最大 10,000 件の呼び出しに加えて、RSA 非対称 KMS キーを使用した 1 秒あたり最大 500 件の追加呼び出しと、ECC ベースの KMS キーを使用した 1 秒あたり最大 300 件の追加リクエストを実行できます。
ユーザーに代わって API が実行するリクエスト
API が直接リクエストを行うこと、あるいは統合された AWS サービスを使用して、ユーザーに代わって API が AWS KMS にリクエストを行うようにできます。クォータはどちらの種類のリクエストにも適用されます。
たとえば、KMS キー (SSE-KMS) によるサーバー側の暗号化を使用して Amazon S3 にデータを保存できます。SSE-KMS で暗号化された S3 オブジェクトをアップロードまたはダウンロードするたびに、Amazon S3 はユーザーの代わりに、AWS KMS に GenerateDataKey
(アップロード用) または Decrypt
(ダウンロード用) リクエストを作成します。これらのリクエストはクォータに対してカウントされるため、AWS KMS は、SSE-KMS を使用して暗号化された S3 オブジェクトの 1 秒あたりのアップロード数またはダウンロード数の合計が 5,500 件 (または使用している AWS リージョンに応じて 10,000 件もしくは 50,000 件) を超える場合にリクエストをスロットルします。
クロスアカウントリクエスト
1 つの AWS アカウント のアプリケーションが、異なるアカウントの所有する KMS キーを使用することは、クロスアカウントリクエストと呼ばれます。クロスアカウントリクエストでは、AWS KMS は、KMS キーを所有するアカウントではなく、リクエストを行うアカウントを調整します。例えば、アカウント A のアプリケーションがアカウント B の KMS キーを使用する場合、KMS キーの使用はアカウント A のクォータにのみ適用されます。
カスタムキーストアのリクエストクォータ
AWS KMS は、カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストクォータを維持します。これらのリクエストクォータは、カスタムキーストアごとに個別に計算されます。
カスタムキーストアのリクエストクォータ | 各カスタムキーストアのデフォルト値 (リクエスト数/秒) | 調整可能 |
---|---|---|
AWS CloudHSM キーストアのリクエストクォータ | 1800 | 不可 |
外部キーストアのリクエストクォータ | 1800 | 可能 |
注記
AWS KMS カスタムキーストアのリクエストクォータは、Service Quotas コンソールに表示されません。Service Quotas API オペレーションを使用して、これらのクォータを表示または管理することはできません。外部キーストアのリクエストクォータへの変更をリクエストするには、AWS Support センター
AWS CloudHSM キーストアに関連付けられている AWS CloudHSM クラスターがカスタムキーストアに関連しないものを含む多数のコマンドを処理している場合、予想よりも低いレートで AWS KMS ThrottlingException
が発生する可能性があります。この問題が発生した場合は、AWS KMS へのリクエストレートを下げる、関連のないコマンドの処理を減らす、AWS CloudHSM キーストアで専用の AWS CloudHSM クラスターを使用するなどの対策を取ります。
AWS KMS は、外部キーストアリクエストのスロットリングを、ExternalKeyStoreThrottle CloudWatch メトリクスで報告します。このメトリクスを使用して、スロットリングパターンを表示したり、アラームを作成したり、外部キーストアのリクエストクォータを調整したりできます。
カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストは、2 クォータにカウントされます。
-
暗号化オペレーション (対称) のリクエストレートクォータ (アカウントあたり)
カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストは、各 AWS アカウント およびリージョンの
Cryptographic operations (symmetric) request rate
クォータにカウントされます。例えば、米国東部 (バージニア北部) (us-east-1) の場合、各 AWS アカウント は、カスタムキーストアで KMS キーを使用するリクエストを含め、対称暗号化 KMS キーに対して 1 秒あたり最大 5 万リクエストを処理できます。 カスタムキーストアのリクエストクォータ (カスタムキーストアあたり)
カスタムキーストアの KMS キーに対する暗号化オペレーションのリクエストも、1 秒あたり 1,800 オペレーションの
Custom key store request quota
にカウントされます。これらのクォータは、カスタムキーストアごとに個別に計算されます。カスタムキーストアで KMS キーを使用する、複数の AWS アカウント からのリクエストが含まれる場合があります。
例えば、米国東部 (バージニア北部) (us-east-1) リージョンのカスタムキーストア (いずれかのタイプ) の KMS キーに対する暗号化オペレーションは、アカウントとリージョンの Cryptographic operations (symmetric) request rate
アカウントレベルのクォータ (1秒あたり5万リクエスト)、およびカスタムキーストアの Custom key
store request quota
(1秒あたり1,800 リクエスト) にカウントされます。ただし、カスタムキーストア内の KMS キーに対する管理操作 (PutKeyPolicy など) のリクエストは、アカウントレベルのクォータ (1 秒あたり 15 リクエスト) にのみ適用されます。