Cotas de solicitações
O AWS KMS estabelece cotas para o número de operações de API solicitadas a cada segundo. As cotas de solicitações diferem de acordo com a operação da API, com a Região da AWS e com outros fatores, como o tipo de chave do KMS. Quando você exceder uma cota de solicitações de API, o AWS KMS limita as solicitações.
Todas as cotas de solicitação do AWS KMS são ajustáveis, exceto a cota de solicitação para chaves do KMS em um armazenamento de chaves personalizado. Para solicitar um aumento de cota, use o console do Service Quotas
Se você estiver excedendo a cota de solicitações para a operação GenerateDataKey, considere usar o recurso de cache de chave de dados do AWS Encryption SDK. Reutilizar chaves de dados pode reduzir a frequência de suas solicitações ao AWS KMS.
Além das cotas de solicitações, o AWS KMS usa cotas de recursos para garantir a capacidade para todos os usuários. Para obter mais detalhes, consulte Cotas de recurso.
Para visualizar as tendências em suas taxas de solicitação, use o console do Service Quotas
Tópicos
Cotas de solicitações para cada operação de API do AWS KMS
Esta tabela lista o código de cota do Service Quotas e o valor padrão para cada cota de solicitação do AWS KMS.
Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados nessa tabela.
Nome da cota | Valor padrão (por segundo) |
---|---|
Aplica-se a:
|
Essas cotas compartilhadas variam de acordo com a Região da AWS e com o tipo de chave do KMS usado na solicitação. Cada cota é calculada separadamente.
Cota de armazenamentos de chaves personalizados (chaves do KMS simétricas):
|
Aplica-se a:
|
500 (compartilhadas) para chaves do KMS RSA |
Aplica-se a:
|
300 (compartilhadas) para chaves do KMS de curva elíptica (ECC) |
Aplica-se a:
|
300 (compartilhada) para chaves do KMS SM2 (somente nas regiões da China) |
|
5 |
|
5 |
|
5 |
|
5 |
|
50 |
|
5 |
|
15 |
|
5 |
|
5 |
|
5 |
|
2000 |
|
5 |
|
5 |
|
5 |
|
5 |
|
15 |
Aplica-se a:
|
25 |
Aplica-se a:
|
10 |
Aplica-se a:
|
5 |
Aplica-se a:
|
25 |
Aplica-se a:
|
1 |
Aplica-se a:
|
0,5 (1 em cada intervalo de 2 segundos) |
Aplica-se a:
|
0,1 (1 em cada intervalo de 10 segundos) |
Aplica-se a:
|
25 |
|
1000 |
|
1000 |
|
0,25 (1 em cada intervalo de 4 segundos) |
|
2000 |
|
5 |
|
500 |
|
100 |
|
100 |
|
500 |
|
2000 |
|
100 |
|
15 |
ReplicateKey request rate
Uma operação |
5 |
|
30 |
|
30 |
|
15 |
|
10 |
|
5 |
|
5 |
|
5 |
|
5 |
Uma operação |
5 |
Aplicar cotas de solicitações
Ao analisar as cotas de solicitações, tenha em mente as seguintes informações.
-
Cotas de solicitações aplicam-se achaves gerenciadas pelo cliente e a Chaves gerenciadas pela AWS. O uso de Chaves pertencentes à AWS não conta em relação às cotas de solicitações da sua Conta da AWS, mesmo quando elas são usadas para proteger os recursos da sua conta.
-
Cotas de solicitações aplicam-se a solicitações enviadas a endpoints FIPS e não FIPS. Para obter uma lista completa dos endpoints de serviços do AWS KMS, consulte Endpoints e cotas do AWS Key Management Service, Referência geral da AWS.
-
O controle de utilização é baseado em todas as solicitações em chaves do KMS de todos os tipos na região. Esse total inclui solicitações de todas as entidades principais da Conta da AWS, incluindo solicitações de serviços da AWS em seu nome.
-
Cada cota de solicitações é calculada de maneira independente. Por exemplo, as solicitações para a operação CreateKey não têm efeito sobre a cota de solicitações para a operação CreateAlias. Se as solicitações
CreateAlias
forem limitadas, as solicitaçõesCreateKey
ainda poderão ser concluídas com êxito. -
Embora as operações de criptografia compartilhem uma cota, a cota compartilhada é calculada independentemente das cotas de outras operações. Por exemplo, as chamadas para as operações Encrypt e Decrypt compartilham uma cota de solicitações, mas essa cota é independente da cota para operações de gerenciamento, como EnableKey. Por exemplo, na região Europa (Londres), é possível executar 10.000 operações de criptografia em chaves do KMS simétricas mais 5 operações
EnableKey
por segundo sem que haja limitação.
Cotas compartilhadas para operações de criptografia
As operações de criptografia do AWS KMS compartilham cotas de solicitações. É possível solicitar qualquer combinação de operações de criptografia compatíveis com a chave do KMS, para que o número total de operações de criptografia não exceda a cota de solicitações desse tipo de chave do KMS. As exceções são GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext, que compartilham uma cota separada.
As cotas para diferentes tipos de chaves do KMS são calculadas de maneira independente. Cada cota aplica-se a todas as solicitações para essas operações na conta Conta da AWS e na região com o tipo de chave fornecido em cada intervalo de um segundo.
-
A taxa de solicitações de operações de criptografia (simétricas) é a cota de solicitações compartilhadas para operações de criptografia que usam chaves do KMS simétricas em uma conta e região. Essa cota se aplica a operações criptográficas com chaves de criptografia simétrica e chaves de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash), que também são simétricas.
Por exemplo, você pode estar usando chaves do KMS simétricas em uma Região da AWS com uma cota compartilhada de 10.000 solicitações por segundo. Quando você faz 7.000 solicitações GenerateDataKey por segundo e 2.000 solicitações Decrypt por segundo, o AWS KMS não limita suas solicitações. No entanto, quando você faz 9.500 solicitações
GenerateDataKey
e 1.000 solicitações Encrypt por segundo, o AWS KMS limita as solicitações porque elas excedem a cota compartilhada. -
A taxa de solicitações de operações de criptografia (RSA) é a cota de solicitações compartilhadas de operações de criptografia que usam chaves do KMS assimétricas RSA.
Por exemplo, com uma cota de solicitações de 500 operações por segundo, é possível fazer 200 solicitações Encrypt e 100 solicitações Decrypt com chaves do KMS RSA que podem criptografar e descriptografar, além de 50 solicitações Sign e 150 solicitações Verify com chaves do KMS RSA que podem assinar e verificar.
-
A taxa de solicitações de operações de criptografia (ECC) é a cota de solicitações compartilhadas de operações de criptografia que usam chaves do KMS assimétricas de curva elíptica (ECC).
Por exemplo, com uma cota de solicitações de 300 operações por segundo, é possível fazer 100 solicitações Sign e 200 solicitações Verify com chaves do KMS RSA que podem assinar e verificar.
-
A taxa de solicitações de operações de criptografia (SM - somente nas regiões da China) é a cota de solicitações compartilhada para operações criptográficas que usam chaves do KMS assimétricas SM.
Por exemplo, com uma cota de solicitações de 300 operações por segundo, é possível fazer 100 solicitações Encrypt e 100 solicitações Decrypt com chaves do KMS SM2 que podem criptografar e descriptografar, mais de 50 solicitações Sign e 50 solicitações Verify com chaves do KMS SM2 que podem assinar e verificar.
As cotas para diferentes tipos de chave também são calculadas de forma independente. Por exemplo, na região Ásia-Pacífico (Singapura), se usar chaves do KMS simétricas e assimétricas, você poderá fazer até 10.000 chamadas por segundo com chaves do KMS simétricas (incluindo chaves de HMAC) mais até 500 chamadas adicionais por segundo com suas chaves do KMS assimétricas RSA, mais até 300 solicitações adicionais por segundo com suas chaves do KMS baseadas em ECC.
Solicitações de API dofeitas em seu nome
Você pode fazer solicitações de API diretamente ou usando um serviço integrado da AWS que faz solicitações de API para o AWS KMS em seu nome. A cota se aplica a ambos os tipos de solicitações.
Por exemplo, você pode armazenar dados no Amazon S3 usando a criptografia no lado do servidor com uma chave do KMS (SSE-KMS). Cada vez que você carregar ou baixar um objeto do S3 criptografado com SSE-KMS, o Amazon S3 fará uma solicitação GenerateDataKey
(para uploads) ou Decrypt
(para downloads) para o AWS KMS em seu nome. Essas solicitações são contabilizadas em relação à cota. Portanto, o AWS KMS limitará as solicitações se você exceder um total combinado de 5.500 (ou 10.000 ou 50.000 dependendo de sua Região da AWS) uploads ou downloads por segundo de objetos do S3 criptografados com SSE-KMS.
Solicitações entre contas
Quando uma aplicação em uma Conta da AWS usa uma chave do KMS de propriedade de outra conta, isso é conhecido como uma solicitação entre contas. Nas solicitações entre contas, o AWS KMS limita a conta que faz as solicitações, e não a conta que possui a chave do KMS. Por exemplo, se uma aplicação na conta A usar uma chave do KMS na conta B, o uso da chave do KMS será aplicado somente às cotas na conta A.
Cota do armazenamento de chaves personalizado
Armazenamentos personalizados de chaves do AWS KMS são compatíveis apenas com chaves do KMS de criptografia simétrica. As chaves do KMS em cada armazenamento de chaves personalizado compartilham uma cota de solicitações Cryptographic operations (symmetric) request rate
de 1.800 operações por segundo. Essa cota é calculada separadamente para cada armazenamento de chaves personalizado.
No entanto, nem todas as operações usam a cota igualmente. As operações GenerateDataKey
, GenerateDataKeyWithoutPlaintext
e GenerateRandom
usam aproximadamente três vezes mais do que a cota por segundo das operações Encrypt
, Decrypt
e ReEncrypt
.
Por exemplo, se você estiver solicitando apenas operações Encrypt
e Decrypt
, poderá executar aproximadamente 1.800 operações por segundo. Se, em vez disso, você solicitar operações GenerateDataKey
repetidas, a performance poderá ser mais perto de 600 operações por segundo. Para aplicações padrão que consistem em mais ou menos igual número de operações GenerateDataKey
e Decrypt
, você pode esperar cerca de 1.200 operações por segundo.
A cota de armazenamento de chaves personalizado não é ajustável. Não é possível aumentá-la usando o Service Quotas nem criando um caso no AWS Support.
Se o cluster do AWS CloudHSM que está associado ao armazenamento de chaves personalizado está processando vários comandos, incluindo aqueles não relacionados ao armazenamento de chaves personalizado, você pode obter um ThrottlingException
do AWS KMS a uma taxa menor que o esperado. Se isso ocorrer, diminua a taxa de solicitações para o AWS KMS, reduza a carga independente ou use um cluster do AWS CloudHSM dedicado para o armazenamento de chaves personalizado.