Controle de utilização de solicitações do AWS KMS - AWS Key Management Service

Controle de utilização de solicitações do AWS KMS

Para garantir que o AWS KMS possa fornecer respostas rápidas e confiáveis a solicitações de API de todos os clientes, ele controla a utilização solicitações de API que excedem determinados limites.

O Controle de utilização ocorre quando o AWS KMS rejeita uma solicitação que era válida e retorna um erro ThrottlingException semelhante ao seguinte.

You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls. (Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID: <ID>

O AWS KMS acelera solicitações para as seguintes condições.

  • A taxa de solicitações por segundo excede a cota de solicitações do AWS KMS para uma conta e Região.

    Por exemplo, se os usuários na sua conta enviarem 1000 solicitações DescribeKey em um segundo, o AWS KMS limitará as solicitações DescribeKey nesse segundo.

    Para responder a um controle de utilização, use uma estratégia de recuo e repetição. Essa estratégia é implementada automaticamente para erros HTTP 400 em alguns SDKs da AWS.

  • Uma taxa intermitente ou alta sustentada de solicitações para alterar o estado da mesma chave do KMS. Essa condição é muitas vezes conhecida como "tecla de atalho".

    Por exemplo, se uma aplicação na sua conta enviar um série persistente de solicitações EnableKey e DisableKey para a mesma chave do KMS, o AWS KMS acelerará as solicitações. Esse controle de utilização ocorre mesmo quando as solicitações não excedem o limite de solicitação por segundo para operações EnableKey e DisableKey.

    Para responder ao controle de utilização, ajuste a lógica da aplicação para que ela faça apenas as solicitações necessárias ou consolide as solicitações de várias funções.

  • Solicitações de operações em chaves KMS em armazenamentos de chaves personalizados podem ser limitadas a uma taxa menor do que o esperado quando o cluster do AWS CloudHSM associado ao armazenamento de chaves personalizadas está processando vários comandos, incluindo aqueles não relacionados ao armazenamento de chaves personalizadas.

    O AWS KMS também limita solicitações de operações em chaves KMS em armazenamentos de chaves personalizadas quando não há sessões PKCS11 disponíveis para o cluster AWS CloudHSM. Isso geralmente ocorre durante períodos de alto tráfego de intermitência quando sessões adicionais são necessárias para atender ao tráfego.

Para visualizar as tendências em suas taxas de solicitação, use o console do Service Quotas. Você também pode criar um alerta do Amazon CloudWatch para ser informado quando a taxa de solicitação atinge uma determinada porcentagem de um valor de cota. Para obter detalhes, consulte Manage your AWS KMS API request rates using Service Quotas and Amazon CloudWatch (Gerenciar taxas de solicitação de API do AWS usando o Service Quotas e o Amazon CloudWatch) no Blog de segurança da .

Todas as cotas do AWS KMS são ajustáveis, exceto a cota de recurso de tamanho do documento da política de chaves e a cota de solicitação para chaves do KMS em um armazenamento de chaves personalizado. Para solicitar um aumento de cota, use o console do Service Quotas ou a operação RequestServiceQuotaIncrease. Para obter instruções, consulte Solicitação de aumentos de cota do AWS KMS. Para detalhes, consulte Solicitar um aumento de cota no Manual do usuário do Service Quotas. Se o Service Quotas para AWS KMS não estiver disponível na sua Região da AWS, acesse o Centro de AWS Support e crie um caso.