Controle de utilização de solicitações do AWS KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle de utilização de solicitações do AWS KMS

Para garantir que o AWS KMS possa fornecer respostas rápidas e confiáveis a solicitações de API de todos os clientes, ele controla a utilização solicitações de API que excedem determinados limites.

O Controle de utilização ocorre quando o AWS KMS rejeita uma solicitação que era válida e retorna um erro ThrottlingException semelhante ao seguinte. 

You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls. 
(Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID: <ID>

O AWS KMS acelera solicitações para as seguintes condições.

  • A taxa de solicitações por segundo excede a cota de solicitações do AWS KMS para uma conta e Região.

    Por exemplo, se os usuários na sua conta enviarem 1000 solicitações DescribeKey em um segundo, o AWS KMS limitará as solicitações DescribeKey nesse segundo.

    Para responder a um controle de utilização, use uma estratégia de recuo e repetição. Essa estratégia é implementada automaticamente para erros HTTP 400 em alguns SDKs da AWS.

  • Uma taxa intermitente ou alta sustentada de solicitações para alterar o estado da mesma chave do KMS. Essa condição é muitas vezes conhecida como "tecla de atalho".

    Por exemplo, se uma aplicação na sua conta enviar um série persistente de solicitações EnableKey e DisableKey para a mesma chave do KMS, o AWS KMS acelerará as solicitações. Essa limitação ocorre mesmo que as solicitações não excedam o limite de request-per-second solicitações para as operações EnableKey e. DisableKey

    Para responder ao controle de utilização, ajuste a lógica da aplicação para que ela faça apenas as solicitações necessárias ou consolide as solicitações de várias funções.

  • As solicitações de operações em chaves KMS em um armazenamento de AWS CloudHSM chaves podem ser limitadas a uma lower-than-expected taxa quando o AWS CloudHSM cluster associado ao armazenamento de AWS CloudHSM chaves está processando vários comandos, incluindo aqueles não relacionados ao armazenamento de chaves. AWS CloudHSM

    (O AWS KMS não mais restringe solicitações de operações em chaves do KMS em um armazenamento de chaves do AWS CloudHSM quando não há sessões PKCS #11 disponíveis para o cluster do AWS CloudHSM. Em vez disso, ele emite um KMSInternalException e recomenda repetir a solicitação.)

Para visualizar as tendências em suas taxas de solicitação, use o console do Service Quotas. Você também pode criar um CloudWatch alarme da Amazon que o alerta quando sua taxa de solicitação atingir uma determinada porcentagem do valor da cota. Para obter detalhes, consulte Gerenciar suas taxas de solicitação de AWS KMS API usando Service Quotas e Amazon CloudWatch no Blog de AWSSegurança.

Todas as cotas do AWS KMS são ajustáveis, exceto a cota de recursos de tamanho do documento da política de chaves e a cota de solicitação de armazenamento de chaves AWS CloudHSM. Para solicitar um aumento da cota, consulte Requesting a quota increase no Guia do usuário do Service Quotas. Para solicitar uma redução da cota, alterar uma cota que não está listada no Service Quotas ou alterar uma cota em uma Região da AWS onde o Service Quotas não esteja disponível para o AWS KMS, acesse o AWS Support Center e abra um caso.

nota

As cotas de solicitação de armazenamento de chaves personalizadas do AWS KMS não aparecem no console do Service Quotas. Não é possível visualizar ou gerenciar essas cotas usando as operações da API do Service Quotas. Para solicitar uma alteração em sua cota de solicitação de armazenamento de chaves externas, visite o AWS Support Center e crie um caso.