Controle de utilização de solicitações do AWS KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle de utilização de solicitações do AWS KMS

Para garantir que o AWS KMS possa fornecer respostas rápidas e confiáveis a solicitações de API de todos os clientes, ele controla a utilização solicitações de API que excedem determinados limites.

O Controle de utilização ocorre quando o AWS KMS rejeita uma solicitação que era válida e retorna um erro ThrottlingException semelhante ao seguinte. 

You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls. 
(Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID: <ID>

O AWS KMS acelera solicitações para as seguintes condições.

  • A taxa de solicitações por segundo excede a cota de solicitações do AWS KMS para uma conta e Região.

    Por exemplo, se os usuários na sua conta enviarem 1000 solicitações DescribeKey em um segundo, o AWS KMS limitará as solicitações DescribeKey nesse segundo.

    Para responder a um controle de utilização, use uma estratégia de recuo e repetição. Essa estratégia é implementada automaticamente para erros HTTP 400 em alguns SDKs da AWS.

  • Uma taxa intermitente ou alta sustentada de solicitações para alterar o estado da mesma chave do KMS. Essa condição é muitas vezes conhecida como "tecla de atalho".

    Por exemplo, se uma aplicação na sua conta enviar um série persistente de solicitações EnableKey e DisableKey para a mesma chave do KMS, o AWS KMS acelerará as solicitações. Esse controle de utilização ocorre mesmo quando as solicitações não excedem o limite de request-per-second solicitação paraDisableKey operaçõesEnableKey e.

    Para responder ao controle de utilização, ajuste a lógica da aplicação para que ela faça apenas as solicitações necessárias ou consolide as solicitações de várias funções.

  • Solicitações de operações em chaves KMS em um AWS CloudHSMarmazenamento de chaves podem ser limitadas a uma lower-than-expected taxa quando oAWS CloudHSM cluster do associado ao armazenamento deAWS CloudHSM chaves do está processando vários comandos, incluindo aqueles não relacionados ao armazenamento deAWS CloudHSM chaves.

    (OAWS KMS não mais limita solicitações de operações em chaves KMS em um armazenamento deAWS CloudHSM chaves quando não há sessões PKCS #11 disponíveis para oAWS CloudHSM cluster. Em vez disso, ele emite umKMSInternalException e recomenda que você repita sua solicitação.)

Para visualizar as tendências em suas taxas de solicitação, use o console do Service Quotas. Você também pode criar um CloudWatch alerta da Amazon para ser informado quando a taxa de solicitação atinge uma determinada porcentagem de um valor de cota. Para obter detalhes, consulte Gerencie suas taxas de solicitação deAWS KMS API usando o Service Quotas e a Amazon CloudWatch no BlogAWS de Segurança.

Todas asAWS KMS cotas do são ajustáveis, exceto a cota de recurso de tamanho do documento da política deAWS CloudHSM chaves e a cota de solicitação de armazenamento de chaves do. Para solicitar o aumento da cota, consulte Requesting a Quota Increase (Solicitar um aumento de cota) no Guia do usuário do Service Quotas. Para solicitar uma redução da cota, alterar uma cota que não está listada no Service Quotas ou alterar uma cota em uma Região da AWS onde o Service Quotas não esteja disponível para o AWS KMS, acesse o AWS Support Center e abra um caso.

nota

As cotas de solicitação de armazenamento de chaves personalizadas do AWS KMS não aparecem no console do Service Quotas. Não é possível visualizar ou gerenciar essas cotas usando as operações da API do Service Quotas. Para solicitar uma alteração em sua cota de solicitação de armazenamento de chaves externas, visite o AWS Support Center e crie um caso.