Cotas de solicitações - AWS Key Management Service
Solicite cotas para cada operação de AWS KMS APIAplicar cotas de solicitaçõesCotas compartilhadas para operações de criptografiaSolicitações de API dofeitas em seu nomeSolicitações entre contasCotas de solicitação de armazenamento de chaves personalizadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Cotas de solicitações

AWS KMS estabelece cotas para o número de operações de API solicitadas em cada segundo. As cotas de solicitação diferem de acordo com a operação da API Região da AWS, a e outros fatores, como o tipo de chave KMS. Quando você excede uma cota de solicitação de API, AWS KMS limita a solicitação.

Todas as cotas de AWS KMS solicitação são ajustáveis, exceto a cota de solicitação do armazenamento de AWS CloudHSM chaves. Para solicitar um aumento da cota, consulte Requesting a quota increase no Guia do usuário do Service Quotas. Para solicitar uma redução de cota, alterar uma cota que não está listada nas Cotas de Serviço ou alterar uma cota em uma área em que as Cotas de Região da AWS Serviço não estejam disponíveis, visite AWS Support o Centro e crie um caso. AWS KMS

Se você estiver excedendo a cota de solicitação para a GenerateDataKeyoperação, considere usar o recurso de armazenamento em cache da chave de dados do. AWS Encryption SDK A reutilização de chaves de dados pode reduzir a frequência de suas solicitações para o. AWS KMS

Além de solicitar cotas, AWS KMS usa cotas de recursos para garantir a capacidade de todos os usuários. Para obter detalhes, consulte Cotas de recurso.

Para visualizar as tendências em suas taxas de solicitação, use o console do Service Quotas. Você também pode criar um CloudWatch alarme da Amazon que o alerta quando sua taxa de solicitação atingir uma determinada porcentagem do valor da cota. Para obter detalhes, consulte Gerenciar suas taxas de solicitação de AWS KMS API usando Service Quotas e Amazon CloudWatch no Blog de AWS Segurança.

Solicite cotas para cada operação de AWS KMS API

Esta tabela lista o código da cota de Service Quotas e o valor padrão para cada AWS KMS cota de solicitação. Todas as cotas de AWS KMS solicitação são ajustáveis, exceto a cota de solicitação do armazenamento de AWS CloudHSM chaves.

nota

Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados nessa tabela.

Nome da cota Valor padrão (solicitações por segundo)

Cryptographic operations (symmetric) request rate

Aplica-se a:

  • Decrypt

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateMac

  • GenerateRandom

  • ReEncrypt

  • VerifyMac

Essas cotas compartilhadas variam de acordo com o tipo Região da AWS e o tipo de chave KMS usada na solicitação. Cada cota é calculada separadamente.

  • 5.500 (compartilhado)

  • 10.000 (compartilhado) nas seguintes regiões:

    • Leste dos EUA (Ohio), us-east-2

    • Ásia-Pacífico (Singapura), ap-southeast-1

    • Ásia-Pacífico (Sydney), ap-southeast-2

    • Ásia-Pacífico (Tóquio), ap-northeast-1

    • Europa (Frankfurt), eu-central-1

    • Europa (Londres), eu-west-2

  • 50.000 (compartilhadas) nas seguintes regiões:

    • Leste dos EUA (Norte da Virgínia), us-east-1

    • Oeste dos EUA (Oregon), us-west-2

    • Europa (Irlanda), eu-west-1

Cryptographic operations (RSA) request rate

Aplica-se a:

  • Decrypt

  • Encrypt

  • ReEncrypt

  • Sign

  • Verify

500 (compartilhadas) para chaves do KMS RSA

Cryptographic operations (ECC and SM2) request rate

Aplica-se a:

  • Decrypt— compatível somente com chaves KMS SM2 (somente regiões da China)

  • Encrypt— compatível somente com chaves KMS SM2 (somente regiões da China)

  • ReEncrypt— compatível somente com chaves KMS SM2 (somente regiões da China)

  • Sign

  • Verify

300 (compartilhadas) para chaves KMS de curva elíptica (ECC) e SM2 (somente regiões da China)

Custom key store request quotas

Aplica-se a:

  • Decrypt

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • GenerateRandom

  • ReEncrypt

 As cotas de solicitação de armazenamento de chaves personalizadas são calculadas separadamente para cada armazenamento de chaves personalizadas.

  • 1.800 (compartilhados) para cada armazenamento de AWS CloudHSM chaves

  • 1.800 (compartilhado) para cada armazenamento de chaves externas

CancelKeyDeletion request rate

 5

ConnectCustomKeyStore request rate

 5

CreateAlias request rate

 5

CreateCustomKeyStore request rate

 5

CreateGrant request rate

 50

CreateKey request rate

 5

DeleteAlias request rate

 15

DeleteCustomKeyStore request rate

 5

DeleteImportedKeyMaterial request rate

 5

DescribeCustomKeyStores request rate

 5

DescribeKey request rate

 2000

DisableKey request rate

 5

DisableKeyRotation request rate

 5

DisconnectCustomKeyStore request rate

 5

EnableKey request rate

 5

EnableKeyRotation request rate

 15

GenerateDataKeyPair (ECC_NIST_P256) request rate

Aplica-se a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P384) request rate

Aplica-se a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_NIST_P521) request rate

Aplica-se a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (ECC_SECG_P256K1) request rate

Aplica-se a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

100

GenerateDataKeyPair (RSA_2048) request rate

Aplica-se a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

1

GenerateDataKeyPair (RSA_3072) request rate

Aplica-se a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0,5 (1 em cada intervalo de 2 segundos)

GenerateDataKeyPair (RSA_4096) request rate

Aplica-se a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

0,1 (1 em cada intervalo de 10 segundos)

GenerateDataKeyPair (SM2 — China Regions only) request rate

Aplica-se a:

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

25

GetKeyPolicy request rate

 1000

GetKeyRotationStatus request rate

 1000

GetParametersForImport request rate

 0,25 (1 em cada intervalo de 4 segundos)

GetPublicKey request rate

 2000

ImportKeyMaterial request rate

 5

ListAliases request rate

 500

ListGrants request rate

 100

ListKeyPolicies request rate

 100

ListKeys request rate

 500

ListKeyRotations request rate

 100

ListResourceTags request rate

 2000

ListRetirableGrants request rate

 100

PutKeyPolicy request rate

 15
ReplicateKey request rate

Uma operação ReplicateKey conta como uma solicitação ReplicateKey na região da chave primária e duas solicitações CreateKey na região da réplica. Uma das solicitações CreateKey é uma simulação para detectar possíveis problemas antes de criar a chave.

5

RetireGrant request rate

 30

RevokeGrant request rate

 30

RotateKeyOnDemand request rate

 5

ScheduleKeyDeletion request rate

 15

TagResource request rate

 10

UntagResource request rate

 5

UpdateAlias request rate

 5

UpdateCustomKeyStore request rate

 5

UpdateKeyDescription request rate

 5

UpdatePrimaryRegion request rate

Uma operação UpdatePrimaryRegionconta como duas solicitações UpdatePrimaryRegion; uma solicitação em cada uma das duas regiões afetadas.

 5

Aplicar cotas de solicitações

Ao analisar as cotas de solicitações, tenha em mente as seguintes informações.

  • Cotas de solicitações aplicam-se achaves gerenciadas pelo cliente e a Chaves gerenciadas pela AWS. O uso de Chaves pertencentes à AWSnão conta nas cotas de solicitação para você Conta da AWS, mesmo quando elas são usadas para proteger recursos em sua conta.

  • Cotas de solicitações aplicam-se a solicitações enviadas a endpoints FIPS e não FIPS. Para obter uma lista de endpoints de AWS KMS serviço, consulte AWS Key Management Service endpoints e cotas no. Referência geral da AWS

  • O controle de utilização é baseado em todas as solicitações em chaves do KMS de todos os tipos na região. Esse total inclui solicitações de todos os diretores do Conta da AWS, incluindo solicitações de AWS serviços em seu nome.

  • Cada cota de solicitações é calculada de maneira independente. Por exemplo, as solicitações da CreateKeyoperação não têm efeito na cota de solicitações da CreateAliasoperação. Se as solicitações CreateAlias forem limitadas, as solicitações CreateKey ainda poderão ser concluídas com êxito.

  • Embora as operações de criptografia compartilhem uma cota, a cota compartilhada é calculada independentemente das cotas de outras operações. Por exemplo, as chamadas para as operações Encrypt e Decrypt compartilham uma cota de solicitação, mas essa cota é independente da cota para operações de gerenciamento, como. EnableKey Por exemplo, na região Europa (Londres), é possível executar 10.000 operações de criptografia em chaves do KMS simétricas mais 5 operações EnableKey por segundo sem que haja limitação.

Cotas compartilhadas para operações de criptografia

AWS KMS operações criptográficas compartilham cotas de solicitação. É possível solicitar qualquer combinação de operações de criptografia compatíveis com a chave do KMS, para que o número total de operações de criptografia não exceda a cota de solicitações desse tipo de chave do KMS. As exceções são GenerateDataKeyPaire GenerateDataKeyPairWithoutPlaintext, que compartilham uma cota separada.

As cotas para diferentes tipos de chaves do KMS são calculadas de maneira independente. Cada cota se aplica a todas as solicitações dessas operações na região Conta da AWS e com o tipo de chave determinado em cada intervalo de um segundo.

  • A taxa de solicitações de operações de criptografia (simétricas) é a cota de solicitações compartilhadas para operações de criptografia que usam chaves do KMS simétricas em uma conta e região. Essa cota se aplica a operações criptográficas com chaves de criptografia simétrica e chaves de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash), que também são simétricas.

    Por exemplo, você pode estar usando chaves KMS simétricas em uma Região da AWS cota compartilhada de 10.000 solicitações por segundo. Quando você faz 7.000 GenerateDataKeysolicitações por segundo e 2.000 solicitações Decrypt por segundo, AWS KMS não restringe suas solicitações. No entanto, quando você faz 9.500 solicitações GenerateDataKey e 1.000 solicitações Encrypt por segundo, o AWS KMS limita as solicitações porque elas excedem a cota compartilhada.

    As operações criptográficas nas chaves do KMS de criptografia simétrica em um armazenamento de chaves personalizadas contam tanto para a taxa de solicitação de operações criptográficas (simétricas) da conta quanto para a cota de solicitação de armazenamento de chaves personalizadas para o armazenamento de chaves personalizadas.

  • A taxa de solicitações de operações de criptografia (RSA) é a cota de solicitações compartilhadas de operações de criptografia que usam chaves do KMS assimétricas RSA.

    Por exemplo, com uma cota de solicitações de 500 operações por segundo, é possível fazer 200 solicitações Encrypt e 100 solicitações Decrypt com chaves do KMS RSA que podem criptografar e descriptografar, além de 50 solicitações Sign e 150 solicitações Verify com chaves do KMS RSA que podem assinar e verificar.

  • A taxa de solicitações de operações de criptografia (ECC) é a cota de solicitações compartilhadas de operações de criptografia que usam chaves do KMS assimétricas de curva elíptica (ECC).

    Por exemplo, com uma cota de solicitações de 300 operações por segundo, é possível fazer 100 solicitações Sign e 200 solicitações Verify com chaves do KMS RSA que podem assinar e verificar.

  • A taxa de solicitações de operações de criptografia (SM - somente nas regiões da China) é a cota de solicitações compartilhada para operações criptográficas que usam chaves do KMS assimétricas SM.

    Por exemplo, com uma cota de solicitações de 300 operações por segundo, é possível fazer 100 solicitações Encrypt e 100 solicitações Decrypt com chaves do KMS SM2 que podem criptografar e descriptografar, mais de 50 solicitações Sign e 50 solicitações Verify com chaves do KMS SM2 que podem assinar e verificar.

  • A cota de solicitação de armazenamento de chaves personalizadas corresponde à cota de solicitação compartilhada para operações criptográficas em chaves do KMS em um armazenamento de chaves personalizadas. Essa cota é calculada separadamente para cada armazenamento de chaves personalizado.

    As operações criptográficas nas chaves do KMS de criptografia simétrica em um armazenamento de chaves personalizadas contam tanto para a taxa de solicitação de operações criptográficas (simétricas) da conta quanto para a cota de solicitação de armazenamento de chaves personalizadas para o armazenamento de chaves personalizadas.

As cotas para diferentes tipos de chave também são calculadas de forma independente. Por exemplo, na região Ásia-Pacífico (Singapura), se usar chaves do KMS simétricas e assimétricas, você poderá fazer até 10.000 chamadas por segundo com chaves do KMS simétricas (incluindo chaves de HMAC) mais até 500 chamadas adicionais por segundo com suas chaves do KMS assimétricas RSA, mais até 300 solicitações adicionais por segundo com suas chaves do KMS baseadas em ECC.

Solicitações de API dofeitas em seu nome

Você pode fazer solicitações de API diretamente ou usando um AWS serviço integrado que faz solicitações de API AWS KMS em seu nome. A cota se aplica a ambos os tipos de solicitações.

Por exemplo, você pode armazenar dados no Amazon S3 usando a criptografia no lado do servidor com uma chave do KMS (SSE-KMS). Sempre que você carrega ou baixa um objeto do S3 criptografado com SSE-KMS, o Amazon S3 faz uma solicitação GenerateDataKey (para uploads) ou Decrypt (para downloads) em seu nome. AWS KMS Essas solicitações contam para sua cota, portanto, limita AWS KMS as solicitações se você exceder um total combinado de 5.500 (ou 10.000 ou 50.000, dependendo da sua Região da AWS) upload ou download por segundo de objetos do S3 criptografados com SSE-KMS.

Solicitações entre contas

Quando um aplicativo em um Conta da AWS usa uma chave KMS de propriedade de uma conta diferente, isso é conhecido como solicitação entre contas. Nas solicitações entre contas, o AWS KMS limita a conta que faz as solicitações, e não a conta que possui a chave do KMS. Por exemplo, se uma aplicação na conta A usar uma chave do KMS na conta B, o uso da chave do KMS será aplicado somente às cotas na conta A.

Cotas de solicitação de armazenamento de chaves personalizadas

AWS KMS mantém cotas de solicitação para operações criptográficas nas chaves KMS em um armazenamento de chaves personalizado. Essas cotas de solicitação são calculadas separadamente para cada armazenamento de chaves personalizadas.

Cota de solicitações do armazenamento de chaves personalizado Valor padrão (solicitações por segundo) para cada armazenamento de chaves personalizadas Ajustável
AWS CloudHSM cota de solicitação de armazenamento de chaves 1800 Não
Cota de solicitação de armazenamento de chaves externas 1800 Sim
nota

AWS KMS as cotas de solicitação de armazenamento de chaves personalizadas não aparecem no console Service Quotas. Não é possível visualizar ou gerenciar essas cotas usando as operações da API do Service Quotas. Para solicitar uma alteração em sua cota de solicitação de armazenamento de chaves externas, visite o AWS Support Center e crie um caso.

Se o AWS CloudHSM cluster associado a um armazenamento de AWS CloudHSM chaves estiver processando vários comandos, incluindo aqueles não relacionados ao armazenamento de chaves personalizadas, você poderá receber um AWS KMS ThrottlingException em uma lower-than-expected taxa. Se isso ocorrer, reduza sua taxa de solicitação AWS KMS, reduza a carga não relacionada ou use um AWS CloudHSM cluster dedicado para seu armazenamento de AWS CloudHSM chaves.

AWS KMS relata a limitação de solicitações externas de armazenamento de chaves na ExternalKeyStoreThrottle CloudWatch métrica. É possível usar essa métrica para visualizar padrões de controle de utilização, criar alarmes e ajustar a cota de solicitação de armazenamento de chaves externas.

Uma solicitação para uma operação criptográfica em uma chave do KMS em um armazenamento de chaves personalizadas é contabilizada para duas cotas:

  • Cota de taxa de solicitação de operações criptográficas (simétricas) (por conta)

    As solicitações de operações criptográficas em chaves do KMS em um armazenamento de chaves personalizadas são contabilizadas na cota Cryptographic operations (symmetric) request rate para cada região e Conta da AWS . Por exemplo, no Leste dos EUA (Norte da Virgínia) (us-east-1), cada Conta da AWS pode ter até 50 mil solicitações por segundo em chaves do KMS de criptografia simétrica, incluindo solicitações que usam uma chave do KMS em um armazenamento de chaves personalizadas.

  • Cota de solicitação de armazenamento de chaves personalizadas (por armazenamento de chaves personalizadas)

    As solicitações de operações criptográficas em chaves do KMS em um armazenamento de chaves personalizadas também são contabilizadas para Custom key store request quota de 1.800 operações por segundo. Essas cotas são calculadas separadamente para cada armazenamento de chaves personalizadas. Eles podem incluir solicitações de várias pessoas Contas da AWS que usam chaves KMS no armazenamento de chaves personalizadas.

Por exemplo, uma operação Encrypt em uma chave do KMS em um armazenamento de chaves personalizadas (de qualquer tipo) na região Leste dos EUA (Norte da Virgínia) (us-east-1) será contabilizada para a cota em nível de conta da Cryptographic operations (symmetric) request rate (50 mil solicitações por segundo) para sua conta e região, e para a Custom key store request quota (1.800 solicitações por segundo) para seu armazenamento de chaves personalizadas. No entanto, uma solicitação para uma operação de gerenciamento PutKeyPolicy, como em uma chave KMS em um armazenamento de chaves personalizadas, se aplica somente à cota em nível de conta (15 solicitações por segundo).