As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Cotas de solicitações
AWS KMS estabelece cotas para o número de API operações solicitadas em cada segundo. As cotas de solicitação diferem de acordo com a API operação Região da AWS, a e outros fatores, como o tipo de KMS chave. Quando você excede uma cota de API solicitação, AWS KMS limita a solicitação.
Todas as cotas de AWS KMS solicitação são ajustáveis, exceto a cota de solicitação do armazenamento de AWS CloudHSM chaves. Para solicitar o aumento da quota, consulte Solicitar um aumento de quota no Guia do usuário do Service Quotas. Para solicitar uma redução de cota, alterar uma cota que não está listada nas Cotas de Serviço ou alterar uma cota em uma área em que as Cotas de Região da AWS Serviço não estejam disponíveis, visite AWS Support o Centro e crie um caso. AWS KMS
Se você estiver excedendo a cota de solicitação para a GenerateDataKeyoperação, considere usar o recurso de armazenamento em cache da chave de dados do. AWS Encryption SDK A reutilização de chaves de dados pode reduzir a frequência de suas solicitações para o. AWS KMS
Além de solicitar cotas, AWS KMS usa cotas de recursos para garantir a capacidade de todos os usuários. Para obter detalhes, consulte Cotas de recurso.
Para visualizar as tendências em suas taxas de solicitação, use o console do Service Quotas
Tópicos
Solicite cotas para cada operação AWS KMS API
Esta tabela lista o código da cota de Service Quotas e o valor padrão para cada AWS KMS cota de solicitação. Todas as cotas de AWS KMS solicitação são ajustáveis, exceto a cota de solicitação do armazenamento de AWS CloudHSM chaves.
nota
Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados nessa tabela.
Nome da cota | Valor padrão (solicitações por segundo) |
---|---|
Aplica-se a:
|
Essas cotas compartilhadas variam de acordo com Região da AWS e com o tipo de KMS chave usada na solicitação. Cada cota é calculada separadamente.
|
Aplica-se a:
|
1.000 (compartilhado) para RSA KMS chaves |
Aplica-se a:
|
1.000 (compartilhadas) para teclas de curva elíptica (ECC) e SM2 (somente regiões da China) KMS |
Aplica-se a:
|
As cotas de solicitação de armazenamento de chaves personalizadas são calculadas separadamente para cada armazenamento de chaves personalizadas.
|
|
5 |
|
5 |
|
5 |
|
5 |
|
50 |
|
5 |
|
15 |
|
5 |
|
15 |
|
5 |
|
2000 |
|
5 |
|
5 |
|
5 |
|
5 |
|
15 |
Aplica-se a:
|
100 |
Aplica-se a:
|
100 |
Aplica-se a:
|
100 |
Aplica-se a:
|
100 |
Aplica-se a:
|
1 |
Aplica-se a:
|
0,5 (1 em cada intervalo de 2 segundos) |
Aplica-se a:
|
0,1 (1 em cada intervalo de 10 segundos) |
Aplica-se a:
|
25 |
|
1000 |
|
1000 |
|
0,25 (1 em cada intervalo de 4 segundos) |
|
2000 |
|
15 |
|
500 |
|
100 |
|
100 |
|
500 |
|
100 |
|
2000 |
|
100 |
|
15 |
ReplicateKey request rate
Uma operação |
5 |
|
50 |
|
50 |
|
5 |
|
15 |
|
10 |
|
5 |
|
5 |
|
5 |
|
5 |
Uma operação |
5 |
Aplicar cotas de solicitações
Ao analisar as cotas de solicitações, tenha em mente as seguintes informações.
-
Cotas de solicitações aplicam-se achaves gerenciadas pelo cliente e a Chaves gerenciadas pela AWS. O uso de Chaves pertencentes à AWSnão conta nas cotas de solicitação para você Conta da AWS, mesmo quando elas são usadas para proteger recursos em sua conta.
-
As cotas de solicitação se aplicam às solicitações enviadas para FIPS endpoints e não endpoints. FIPS Para obter uma lista de endpoints de AWS KMS serviço, consulte AWS Key Management Service endpoints e cotas no. Referência geral da AWS
-
A limitação é baseada em todas as solicitações em KMS chaves de todos os tipos na região. Esse total inclui solicitações de todos os diretores do Conta da AWS, incluindo solicitações de AWS serviços em seu nome.
-
Cada cota de solicitações é calculada de maneira independente. Por exemplo, as solicitações da CreateKeyoperação não têm efeito na cota de solicitações da CreateAliasoperação. Se as solicitações
CreateAlias
forem limitadas, as solicitaçõesCreateKey
ainda poderão ser concluídas com êxito. -
Embora as operações de criptografia compartilhem uma cota, a cota compartilhada é calculada independentemente das cotas de outras operações. Por exemplo, as chamadas para as operações Encrypt e Decrypt compartilham uma cota de solicitação, mas essa cota é independente da cota para operações de gerenciamento, como. EnableKey Por exemplo, na região da Europa (Londres), você pode realizar 10.000 operações criptográficas em KMS chaves simétricas mais 5
EnableKey
operações por segundo sem ser limitado.
Cotas compartilhadas para operações de criptografia
AWS KMS operações criptográficas compartilham cotas de solicitação. Você pode solicitar qualquer combinação das operações criptográficas suportadas pela KMS chave, para que o número total de operações criptográficas não exceda a cota de solicitação desse tipo de chave. KMS As exceções são GenerateDataKeyPaire GenerateDataKeyPairWithoutPlaintext, que compartilham uma cota separada.
As cotas para diferentes tipos de KMS chaves são calculadas de forma independente. Cada cota se aplica a todas as solicitações dessas operações na região Conta da AWS e com o tipo de chave determinado em cada intervalo de um segundo.
-
A taxa de solicitação de operações criptográficas (simétricas) é a cota de solicitação compartilhada para operações criptográficas usando KMS chaves simétricas em uma conta e região. Essa cota se aplica a operações criptográficas com chaves e HMAC chaves de criptografia simétricas, que também são simétricas.
Por exemplo, você pode estar usando KMSchaves simétricas em uma Região da AWS com uma cota compartilhada de 10.000 solicitações por segundo. Quando você faz 7.000 GenerateDataKeysolicitações por segundo e 2.000 solicitações Decrypt por segundo, AWS KMS não restringe suas solicitações. No entanto, quando você faz 9.500 solicitações
GenerateDataKey
e 1.000 solicitações Encrypt por segundo, o AWS KMS limita as solicitações porque elas excedem a cota compartilhada.As operações criptográficas nas chaves de criptografia simétricas em um armazenamento de KMS chaves personalizadas contam tanto para a taxa de solicitação de operações criptográficas (simétricas) da conta quanto para a cota de solicitação do armazenamento de chaves personalizadas para o armazenamento de chaves personalizadas.
-
Por exemplo, com uma cota de 1.000 operações por segundo, você pode fazer 400 solicitações de criptografia e 200 solicitações de descriptografia com RSA KMS chaves que podem criptografar e descriptografar, além de 250 solicitações de assinatura e 150 solicitações de verificação com chaves que podem assinar e verificar. RSA KMS
-
Por exemplo, com uma cota de solicitações de 1.000 operações por segundo, você pode fazer 400 solicitações de assinatura e 200 solicitações de verificação com ECC KMS chaves que podem assinar e verificar, além de 250 solicitações de assinatura e 150 solicitações de verificação com SM2 KMS chaves que podem assinar e verificar.
-
A cota de solicitação de armazenamento de chaves personalizadas é a cota de solicitação compartilhada para operações criptográficas em KMS chaves em um armazenamento de chaves personalizado. Essa cota é calculada separadamente para cada armazenamento de chaves personalizado.
As operações criptográficas nas chaves de criptografia simétricas em um armazenamento de KMS chaves personalizadas contam tanto para a taxa de solicitação de operações criptográficas (simétricas) da conta quanto para a cota de solicitação do armazenamento de chaves personalizadas para o armazenamento de chaves personalizadas.
As cotas para diferentes tipos de chave também são calculadas de forma independente. Por exemplo, na região Ásia-Pacífico (Cingapura), se você usar KMS chaves simétricas e assimétricas, poderá fazer até 10.000 chamadas por segundo com chaves simétricas (incluindo KMS HMAC chaves), além de até 500 chamadas adicionais por segundo com suas chaves RSA assimétricas, além de até 300 solicitações adicionais por segundo com suas KMS chaves baseadas. ECC KMS
APIsolicitações feitas em seu nome
Você pode fazer API solicitações diretamente ou usando um AWS serviço integrado que faz API solicitações AWS KMS em seu nome. A cota se aplica a ambos os tipos de solicitações.
Por exemplo, você pode armazenar dados no Amazon S3 usando criptografia do lado do servidor com uma KMS chave (-). SSE KMS Sempre que você carrega ou baixa um objeto do S3 criptografado com SSE -KMS, o Amazon S3 faz GenerateDataKey
uma solicitação AWS KMS (para uploads) Decrypt
ou (para downloads) em seu nome. Essas solicitações contam para sua cota, portanto, reduz AWS KMS as solicitações se você exceder um total combinado de 5.500 (ou 10.000 ou 50.000, dependendo da sua Região da AWS) uploads ou downloads por segundo de objetos do S3 criptografados com -. SSE KMS
Solicitações entre contas
Quando um aplicativo em um Conta da AWS usa uma KMS chave pertencente a uma conta diferente, isso é conhecido como solicitação entre contas. Para solicitações entre contas, AWS KMS limita a conta que faz as solicitações, não a conta que possui a chave. KMS Por exemplo, se um aplicativo na conta A usa uma KMS chave na conta B, o uso da KMS chave se aplica somente às cotas na conta A.
Cotas de solicitação de armazenamento de chaves personalizadas
AWS KMS mantém cotas de solicitação para operações criptográficas nas KMS chaves em um armazenamento de chaves personalizado. Essas cotas de solicitação são calculadas separadamente para cada armazenamento de chaves personalizadas.
Cota de solicitações do armazenamento de chaves personalizado | Valor padrão (solicitações por segundo) para cada armazenamento de chaves personalizadas | Ajustável |
---|---|---|
AWS CloudHSM cota de solicitação de armazenamento de chaves | 1800 | Não |
Cota de solicitação de armazenamento de chaves externas | 1800 | Sim |
nota
AWS KMS as cotas de solicitação de armazenamento de chaves personalizadas não aparecem no console Service Quotas. Você não pode visualizar ou gerenciar essas cotas usando operações de Cotas de ServiçoAPI. Para solicitar uma alteração em sua cota de solicitação de armazenamento de chaves externas, visite o AWS Support Center
Se o AWS CloudHSM cluster associado a um armazenamento de AWS CloudHSM chaves estiver processando vários comandos, incluindo aqueles não relacionados ao armazenamento de chaves personalizadas, você poderá receber um AWS KMS
ThrottlingException
em uma lower-than-expected taxa. Se isso ocorrer, reduza sua taxa de solicitação AWS KMS, reduza a carga não relacionada ou use um AWS CloudHSM cluster dedicado para seu armazenamento de AWS CloudHSM chaves.
AWS KMS relata a limitação de solicitações externas de armazenamento de chaves na ExternalKeyStoreThrottle CloudWatch métrica. É possível usar essa métrica para visualizar padrões de controle de utilização, criar alarmes e ajustar a cota de solicitação de armazenamento de chaves externas.
Uma solicitação para uma operação criptográfica em uma KMS chave em um armazenamento de chaves personalizado conta para duas cotas:
-
Cota de taxa de solicitação de operações criptográficas (simétricas) (por conta)
As solicitações de operações criptográficas em KMS chaves em um armazenamento de chaves personalizado contam para a
Cryptographic operations (symmetric) request rate
cota de cada região Conta da AWS . Por exemplo, no Leste dos EUA (Norte da Virgínia) (us-east-1), Conta da AWS cada um pode ter até 50.000 solicitações por segundo em chaves de KMS criptografia simétrica, incluindo solicitações que usam KMS uma chave em um armazenamento de chaves personalizado. Cota de solicitação de armazenamento de chaves personalizadas (por armazenamento de chaves personalizadas)
As solicitações de operações criptográficas em KMS chaves em um armazenamento de chaves personalizado também contam para 1.800 operações por segundo.
Custom key store request quota
Essas cotas são calculadas separadamente para cada armazenamento de chaves personalizadas. Eles podem incluir solicitações de várias pessoas Contas da AWS que usam KMS chaves no armazenamento de chaves personalizadas.
Por exemplo, uma operação de criptografia em uma KMS chave em um armazenamento de chaves personalizadas (qualquer tipo) na região Leste dos EUA (Norte da Virgínia) (us-east-1) conta para Cryptographic operations (symmetric) request rate
a cota em nível de conta (50.000 solicitações por segundo) para sua conta e região e para Custom key
store request quota
uma (1.800 solicitações por segundo) para seu armazenamento de chaves personalizadas. No entanto, uma solicitação de uma operação de gerenciamento PutKeyPolicy, como em uma KMS chave em um armazenamento de chaves personalizadas, se aplica somente à cota em nível de conta (15 solicitações por segundo).