요청 할당량 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

요청 할당량

AWS KMS는 초당 요청되는 API 작업 수에 대한 할당량을 설정합니다. 요청 할당량은 API 작업과 다르며 AWS 리전 및 CMK 유형과 같은 요소를 포함합니다. API 요청 할당량을 초과하면AWS KMS 요청을 조절합니다..

참고

할당량을 초과해야 하는 경우 Service Quotas 할당량에서 할당량 증가를 요청할 수 있습니다. 사용Service Quotas또는RequestServiceQuotaIncrease작업을 사용합니다. 자세한 내용은 단원을 참조하십시오.할당량 증가 요청Service Quotas. Service QuotasAWS KMS에서 사용할 수 없습니다. AWS 리전 에 대한 자세한 내용은AWS SupportCenter사례를 생성합니다.

AWS KMS 할당량 증가 요청에 대한 도움말은 AWS KMS 할당량 증가 요청 단원을 참조하십시오.

에 대 한 요청 할당량을 초과 하는 경우GenerateDataKey작업을 사용하려면데이터 키 캐싱기능을 사용합니다.AWS Encryption SDK. 데이터 키를 다시 사용하면 AWS KMS에 대한 요청 빈도가 감소할 수 있습니다.

할당량 요청 외에도AWS KMS는 리소스 할당량을 사용하여 모든 사용자의 용량을 보장합니다. 자세한 내용은 단원을 참조하십시오리소스 할당량

각각에 대한 요청 할당량AWS KMSAPI 연산

이 표에는 서비스 할당량 할당량 코드 및 각 AWS KMS 요청 할당량의 기본값이 나열되어 있습니다.

참고

이 테이블의 모든 데이터를 보려면 가로 또는 세로로 스크롤해야 할 수도 있습니다.

할당량 이름 기본값(초당)

Cryptographic operations (symmetric) request rate

적용 대상:

  • Decrypt

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateRandom

  • ReEncrypt

이러한 공유 할당량은 AWS 리전 와 요청에 사용된 CMK 유형을 나타냅니다. 각 할당량은 별도로 계산됩니다.

  • 5,500(공유)

  • 다음 리전에서는 10,000(공유):

    • 미국 동부(오하이오), us-east-2

    • 아시아 태평양 (싱가포르), ap-southeast-1

    • 아시아 태평양 (시드니), ap-southeast-2

    • 아시아 태평양 (도쿄), ap-northeast-1

    • EU (프랑크푸르트), eu-central-1

    • 유럽 (런던), eu-west-2

  • 다음 리전에서는 50,000 (공유):

    • 미국 동부(버지니아 북부), us-east-1

    • 미국 서부(오리건), us-west-2

    • EU (아일랜드), eu-west-1

사용자 지정 키 스토어 할당량(대칭 CMK):

Cryptographic operations (RSA) request rate

적용 대상:

  • Decrypt

  • Encrypt

  • ReEncrypt

  • Sign

  • Verify

RSA CMK의 경우 500(공유)

Cryptographic operations (ECC) request rate

적용 대상:

  • Sign

  • Verify

타원 곡선(ECC) CMK의 경우 300(공유)

CancelKeyDeletion request rate

5

ConnectCustomKeyStore request rate

5

CreateAlias request rate

5

CreateCustomKeyStore request rate

5

CreateGrant request rate

50

CreateKey request rate

5

DeleteAlias request rate

15

DeleteCustomKeyStore request rate

5

DeleteImportedKeyMaterial request rate

5

DescribeCustomKeyStores request rate

5

DescribeKey request rate

2000

DisableKey request rate

5

DisableKeyRotation request rate

5

DisconnectCustomKeyStore request rate

5

EnableKey request rate

5

EnableKeyRotation request rate

15

GenerateDataKeyPair (ECC_NIST_P256) request rate

적용 대상:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

25

GenerateDataKeyPair (ECC_NIST_P384) request rate

적용 대상:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

10

GenerateDataKeyPair (ECC_NIST_P521) request rate

적용 대상:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

5

GenerateDataKeyPair (ECC_SECG_P256K1) request rate

적용 대상:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

25

GenerateDataKeyPair (RSA_2048) request rate

적용 대상:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

1

GenerateDataKeyPair (RSA_3072) request rate

적용 대상:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0.5(2초 간격으로 1)

GenerateDataKeyPair (RSA_4096) request rate

적용 대상:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0.1(10초 간격으로 1)

GetKeyPolicy request rate

1000

GetKeyRotationStatus request rate

1000

GetParametersForImport request rate

0.25(4초 간격으로 1)

GetPublicKey request rate

2000

ImportKeyMaterial request rate

5

ListAliases request rate

500

ListGrants request rate

100

ListKeyPolicies request rate

100

ListKeys request rate

500

ListResourceTags request rate

2000

ListRetirableGrants request rate

100

PutKeyPolicy request rate

15
ReplicateKey request rate

AReplicateKey공정이 1로 계산됩니다.ReplicateKey기본 키의 지역에서 요청하고 두 개의CreateKey복제본의 리전에 요청해야 합니다. 중 한 가지입니다.CreateKey요청은 키를 만들기 전에 잠재적 인 문제를 감지하는 마른 실행입니다.

5

RetireGrant request rate

30

RevokeGrant request rate

30

ScheduleKeyDeletion request rate

15

TagResource request rate

10

UntagResource request rate

5

UpdateAlias request rate

5

UpdateCustomKeyStore request rate

5

UpdateKeyDescription request rate

5

UpdatePrimaryRegion request rate

원래 요청 ping에 대한UpdatePrimaryRegion공정은 2로 계산됩니다.UpdatePrimaryRegion요청, 영향을 받는 두 리전에서 각각 하나의 요청입니다.

5

요청 할당량

요청 할당량을 검토할 때는 다음 정보에 유의하십시오.

  • 요청 할당량은 두 가지에 모두 적용됩니다.고객 관리형 CMKAWS관리형 CMK. 의 사용AWS소유 CMK에 대한 요청 할당량에 포함되지 않습니다 AWS 계정 에서 리소스를 보호하는 데 사용되는 경우에도 마찬가지입니다.

  • 요청 할당량은 FIPS 끝점 및 비 FIPS 끝점으로 전송된 요청에 적용됩니다. 목록을 보려면AWS KMS서비스 엔드포인트는AWS Key Management Service엔드포인트 및 할당량의AWS일반 참조서를 사용합니다.

  • 조절은 리전에 있는 모든 유형의 CMK에 대한 모든 요청을 기준으로 합니다. 이 합계에는 AWS 계정 에서 요청을 포함하여AWS서비스를 대신하여 서비스를 이용할 수 있습니다.

  • 각 요청 할당량은 독립적으로 계산됩니다. 예를 들어, 요청에 대한CreateKey작업에 대 한 요청 할당량에 영향을 주지 않습니다CreateAlias작업을 사용합니다. CreateAlias 요청이 조절되는 경우에도 CreateKey 요청이 성공적으로 완료될 수 있습니다.

  • 암호화 작업이 할당량을 공유하지만 공유 할당량은 다른 작업에 대한 할당량과 독립적으로 계산됩니다. 예를 들어 호출은Encrypt암호화 해제작업은 요청 할당량을 공유하지만 이 할당량은 관리 작업의 할당량과는 독립적입니다 (예:EnableKey. 예를 들어 유럽 (런던) 리전에서는 대칭 CMK에 대해 10,000개의 암호화 작업을 수행할 수 있습니다.더하기5EnableKey제한 없이 초당 작업을 수행할 수 있습니다.

암호화 작업에 대한 공유 할당량

AWS KMS 암호화 작업공유 요청 할당량 CMK에서 지원하는 암호화 작업의 조합을 요청할 수 있습니다. 이렇게 하면 총 암호화 작업 수가 CMK 유형에 대한 요청 할당량을 초과하지 않습니다. 할당량을 공유하는 GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext는 예외입니다.

다양한 유형의 CMK에 대한 할당량은 독립적으로 계산됩니다. 각 할당량은 이러한 작업에 대한 모든 요청에 AWS 계정 각 와 리전 (Region) 을 지정된 키 유형으로 지정합니다.

  • 암호화 작업(대칭) 요청 비율은 계정 및 리전에서 대칭 CMK를 사용하는 암호화 작업에 대한 공유 요청 할당량입니다.

    예를 들어, 다음을 사용할 수 있습니다.대칭 CMK에서 AWS 리전 초당 10,000 건의 요청 공유 할당량입니다. 초당 7,000건의 GenerateDataKey 요청 및 초당 2,000건의 Decrypt 요청을 수행해도 AWS KMS는 요청을 조절하지 않습니다. 그러나 매초 9,500건의 GenerateDataKey 요청과 1,000건의 Encrypt 요청을 하는 경우 공유 제한을 초과하므로 AWS KMS는 요청을 조절합니다.

  • RSA(암호화 작업) 요청 비율RSA 비대칭 CMK를 사용하는 암호화 작업에 대한 공유 요청 할당량입니다.

    예를 들어 요청 할당량이 초당 500건인 경우, 암호화 및 해독이 가능한 RSA CMK로 200개의 암호화 요청 및 100개의 해독 요청을, 서명 및 확인이 가능한 RSA CMK로 50개의 서명 요청 및 150개의 확인 요청을 할 수 있습니다.

  • ECC(암호화 작업) 요청 비율ECC(타원 곡선) 비대칭 CMK를 사용하는 암호화 작업에 대한 공유 요청 할당량입니다.

    예를 들어 요청 할당량이 초당 300건인 경우, 서명 및 확인이 가능한 RSA CMK를 사용하여 100개의 서명 요청과 200개의 확인 요청을 만들 수 있습니다.

다른 키 유형에 대한 할당량도 독립적으로 계산됩니다. 예를 들어 아시아 태평양 (싱가포르) 리전에서는 대칭 CMK와 비대칭 CMK를 모두 사용하는 경우 대칭 CMK로 초당 최대 10,000건의 호출을 할 수 있습니다.더하기RSA 비대칭 CMK를 사용하여 초당 최대 500회의 추가 호출더하기ECC 기반 CMK로 초당 최대 300개의 추가 요청

자동으로 이루어지는 API 요청

사용자가 직접, 또는 자동으로 에 API 요청을 해주는 통합 AWS 서비스를 AWS KMS이용해 API 요청을 할 수 있습니다. 이 할당량은 두 유형의 요청에 모두 적용됩니다.

예를 들어 서버 측 암호화를 사용하여 Amazon S3 데이터를 저장할 수 있습니다.AWS KMS(SSE-KMS). SSE-KMS로 암호화되는 S3 객체를 업로드하거나 다운로드할 때마다 Amazon S3 는GenerateDataKey(업로드용) 또는Decrypt(다운로드의 경우)AWS KMS는 사용자를 대신하여 사용합니다. 이러한 요청은 할당량에 계산되므로AWS KMS는 총 합이 5,500 (또는 10,000 또는 30,000) 을 초과하는 경우 요청을 조절합니다. AWS 리전 ) 는 SSE-KMS로 암호화된 S3 객체를 초당 업로드 또는 다운로드합니다.

교차 계정 요청

응용 프로그램이 하나의 경우 AWS 계정 에서는 다른 계정에서 소유한 CMK를 사용합니다.교차 계정 요청. 교차 계정 요청의 경우, AWS KMS는 CMK를 소유한 계정이 아니라 요청을 하는 계정을 조절합니다. 예를 들어 계정 A의 애플리케이션이 계정 B의 CMK를 사용하는 경우 CMK 사용은 계정 A의 할당량에만 적용됩니다.

사용자 지정 키 스토어 할당량

AWS KMS 사용자 지정 키 스토어는 대칭 CMK만 지원합니다. 에서 CMK를 사용 하는 암호화 작업사용자 지정 키 스토어각 사용자 지정 키 스토어에 대해 초당 1,800개 작업의 요청 할당량을 공유합니다. 그러나 모든 작업이 할당량을 균등하게 사용하는 것은 아닙니다. GenerateDataKey, GenerateDataKeyWithoutPlaintextGenerateRandom 작업은 Encrypt, DecryptReEncrypt 작업에 비해 초당 할당량을 약 3배 사용합니다.

예를 들어 EncryptDecrypt 작업만 요청할 경우 대략 초당 1,800회 작업을 수행할 수 있습니다. 하지만 반복적인 GenerateDataKey 작업을 요청할 경우 성능은 초당 600회 작업 정도가 될 것입니다. 거의 동일한 수의 GenerateDataKeyDecrypt 작업으로 구성된 애플리케이션 패턴에서는 대략 초당 1,200회 작업을 예상할 수 있습니다.

다른 AWS KMS 할당량과 달리, 사용자 지정 키 스토어 할당량은 조정할 수 없습니다. Service Quotas 사용하거나AWS Support.

참고

사용자 지정 키 스토어에 연결된 AWS CloudHSM 클러스터가 해당 사용자 지정 키 스토어와 관련되지 않은 명령을 포함해 다수의 명령을 처리 중인 경우에는 예상보다 낮은 속도에서 AWS KMS ThrottlingException이 반환될 수 있습니다. 이 경우 요청 속도를 AWS KMS로 낮추거나 사용자 지정 키 스토어 전용 AWS CloudHSM 클러스터를 사용하십시오.