本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Key Management Service 终端节点和配额
以下是该服务的服务端点和服务限额。要以编程方式连接到 AWS 服务,请使用终端节点。除标准 AWS 终端节点外,一些 AWS 服务还提供选定区域的FIPS终端节点。有关更多信息,请参阅 AWS 服务端点。服务配额,也称为限制,是您的 AWS 账户的最大服务资源或操作数量。有关更多信息,请参阅 AWS 服务配额。
注意
AWS 建议在您的应用程序中使用区域STS终端节点,并避免使用全局(旧版)STS终端节点。区域STS端点可减少延迟、内置冗余并提高会话令牌的有效性。有关配置应用程序以使用区域STS终端节点的更多信息,请参阅工具参考指南中的AWS STS 区域化终端节点。AWS SDKs有关全局(传统) AWS STS 终端节点的更多信息,包括如何监控此端点的使用情况,请参阅AWS 安全博客中的如何使用区域 AWS STS 终端节点。
服务端点
| 区域名称 | 区域 | 端点 | 协议 |
|---|---|---|---|
| 美国东部(俄亥俄州) | us-east-2 |
kms.us-east-2.amazonaws.com kms-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
| 美国东部(弗吉尼亚州北部) | us-east-1 |
kms.us-east-1.amazonaws.com kms-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
| 美国西部(加利福尼亚北部) | us-west-1 |
kms.us-west-1.amazonaws.com kms-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
| 美国西部(俄勒冈州) | us-west-2 |
kms.us-west-2.amazonaws.com kms-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
| 非洲(开普敦) | af-south-1 |
kms.af-south-1.amazonaws.com kms-fips.af-south-1.amazonaws.com |
HTTPS HTTPS |
| 亚太地区(香港) | ap-east-1 |
kms.ap-east-1.amazonaws.com kms-fips.ap-east-1.amazonaws.com |
HTTPS HTTPS |
| 亚太地区(海得拉巴) | ap-south-2 |
kms.ap-south-2.amazonaws.com kms-fips.ap-south-2.amazonaws.com |
HTTPS HTTPS |
| 亚太地区(雅加达) | ap-southeast-3 |
kms.ap-southeast-3.amazonaws.com kms-fips.ap-southeast-3.amazonaws.com |
HTTPS HTTPS |
| 亚太地区(马来西亚) | ap-southeast-5 |
kms.ap-southeast-5.amazonaws.com kms-fips.ap-southeast-5.amazonaws.com |
HTTPS HTTPS |
| 亚太地区(墨尔本) | ap-southeast-4 |
kms.ap-southeast-4.amazonaws.com kms-fips.ap-southeast-4.amazonaws.com |
HTTPS HTTPS |
| 亚太地区(孟买) | ap-south-1 |
kms.ap-south-1.amazonaws.com kms-fips.ap-south-1.amazonaws.com |
HTTPS HTTPS |
| 亚太地区(大阪) | ap-northeast-3 |
kms.ap-northeast-3.amazonaws.com kms-fips.ap-northeast-3.amazonaws.com |
HTTPS HTTPS |
| 亚太地区(首尔) | ap-northeast-2 |
kms.ap-northeast-2.amazonaws.com kms-fips.ap-northeast-2.amazonaws.com |
HTTPS HTTPS |
| 亚太地区(新加坡) | ap-southeast-1 |
kms.ap-southeast-1.amazonaws.com kms-fips.ap-southeast-1.amazonaws.com |
HTTPS HTTPS |
| 亚太地区(悉尼) | ap-southeast-2 |
kms.ap-southeast-2.amazonaws.com kms-fips.ap-southeast-2.amazonaws.com |
HTTPS HTTPS |
| 亚太地区(东京) | ap-northeast-1 |
kms.ap-northeast-1.amazonaws.com kms-fips.ap-northeast-1.amazonaws.com |
HTTPS HTTPS |
| 加拿大(中部) | ca-central-1 |
kms.ca-central-1.amazonaws.com kms-fips.ca-central-1.amazonaws.com |
HTTPS HTTPS |
| 加拿大西部(卡尔加里) | ca-west-1 |
kms.ca-west-1.amazonaws.com kms-fips.ca-west-1.amazonaws.com |
HTTPS HTTPS |
| 欧洲地区(法兰克福) | eu-central-1 |
kms.eu-central-1.amazonaws.com kms-fips.eu-central-1.amazonaws.com |
HTTPS HTTPS |
| 欧洲地区(爱尔兰) | eu-west-1 |
kms.eu-west-1.amazonaws.com kms-fips.eu-west-1.amazonaws.com |
HTTPS HTTPS |
| 欧洲地区(伦敦) | eu-west-2 |
kms.eu-west-2.amazonaws.com kms-fips.eu-west-2.amazonaws.com |
HTTPS HTTPS |
| 欧洲地区(米兰) | eu-south-1 |
kms.eu-south-1.amazonaws.com kms-fips.eu-south-1.amazonaws.com |
HTTPS HTTPS |
| 欧洲地区(巴黎) | eu-west-3 |
kms.eu-west-3.amazonaws.com kms-fips.eu-west-3.amazonaws.com |
HTTPS HTTPS |
| 欧洲(西班牙) | eu-south-2 |
kms.eu-south-2.amazonaws.com kms-fips.eu-south-2.amazonaws.com |
HTTPS HTTPS |
| 欧洲地区(斯德哥尔摩) | eu-north-1 |
kms.eu-north-1.amazonaws.com kms-fips.eu-north-1.amazonaws.com |
HTTPS HTTPS |
| 欧洲(苏黎世) | eu-central-2 |
kms.eu-central-2.amazonaws.com kms-fips.eu-central-2.amazonaws.com |
HTTPS HTTPS |
| 以色列(特拉维夫) | il-central-1 |
kms.il-central-1.amazonaws.com kms-fips.il-central-1.amazonaws.com |
HTTPS HTTPS |
| 中东(巴林) | me-south-1 |
kms.me-south-1.amazonaws.com kms-fips.me-south-1.amazonaws.com |
HTTPS HTTPS |
| 中东 (UAE) | me-central-1 |
kms.me-central-1.amazonaws.com kms-fips.me-central-1.amazonaws.com |
HTTPS HTTPS |
| 南美洲(圣保罗) | sa-east-1 |
kms.sa-east-1.amazonaws.com kms-fips.sa-east-1.amazonaws.com |
HTTPS HTTPS |
| AWS GovCloud (美国东部) | us-gov-east-1 |
kms.us-gov-east-1.amazonaws.com kms-fips.us-gov-east-1.amazonaws.com |
HTTPS HTTPS |
| AWS GovCloud (美国西部) | us-gov-west-1 |
kms.us-gov-west-1.amazonaws.com kms-fips.us-gov-west-1.amazonaws.com |
HTTPS HTTPS |
服务限额
| 名称 | 默认值 | 可调整 | 描述 |
|---|---|---|---|
| 每个别名数 CMK | 每个受支持的区域:50 个 | 是 |
该账户的每个 AWS 区域CMK允许的客户创建的别名的最大数量。 AWS 在您的账户中 AWS 创建的带有 aws/ 前缀的别名不计入此配额。别名是客户主密钥 (CMK) 的友好名称。每个别名都与一个相关联CMK,但CMK可以有多个别名。 |
| CancelKeyDeletion 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 CancelKeyDeletion 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| ConnectCustomKeyStore 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 ConnectCustomKeyStore 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| CreateAlias 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 CreateAlias 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| CreateCustomKeyStore 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 CreateCustomKeyStore 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| CreateGrant 请求速率 | 每个受支持的区域:每秒 50 个 | 是 |
每秒最大 CreateGrant 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| CreateKey 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 CreateKey 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| 加密操作 (ECC&SM2) 请求速率 | 每个受支持的区域:每秒 1000 个 | 是 |
使用ECCKMS密钥进行请求的最大值 DeriveSharedSecret、签名和验证请求以及每秒使用SM2(仅限中国区域)密KMS钥解密、加密、签名和验证请求。 DeriveSharedSecret当您达到此配额时,将在剩余的时间间隔内KMS拒绝此类请求。 |
| 加密操作 (RSA) 请求速率 | 每个受支持的区域:每秒 1000 个 | 是 |
RSACMKs每秒的最大加密操作请求数。此共享配额适用于使用加密、解密 ReEncrypt、签名和验证请求。RSA CMKs当您达到此配额时,将在剩余的时间间隔内KMS拒绝此类请求。 |
| 加密操作(对称)请求速率 |
us-east-1:每秒 100,000 us-east-2:每秒 20,000 us-west-2:每秒 100,000 ap-northeast-1:每秒 20,000 ap-southeast-1:每秒 20,000 ap-southeast-2:每秒 20,000 eu-central-1:每秒 20,000 eu-west-1:每秒 100,000 eu-west-2:每秒 20,000 支持的所有其他区域:每秒 10,000 |
是 |
每秒对称的加密操作的最大请求CMK数。此共享配额适用于解密、加密、、 GenerateDataKey、 GenerateDataKeyWithoutPlaintext、 GenerateMac GenerateRandom ReEncrypt、和请求。 VerifyMac 当您达到此配额时,将在剩余的时间间隔内KMS拒绝此类请求。 |
| 自定义密钥存储 | 每个受支持的区域:10 个 | 是 |
此 AWS 账户的每个 AWS 区域允许的最大自定义密钥存储数量。此配额适用于自定义密钥存储库的总数,包括 AWS 云HSM密钥存储库和外部密钥存储库,无论其连接状态如何。 |
| 客户主密钥 (CMKs) | 每个受支持的区域:10 万个 | 是 |
该 AWS 账户的每个 AWS 区域CMKs允许管理的最大客户数量。此配额不适用于 AWS 托管CMKs。 |
| DeleteAlias 请求速率 | 每个受支持的区域:每秒 15 个 | 是 |
每秒最大 DeleteAlias 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| DeleteCustomKeyStore 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 DeleteCustomKeyStore 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| DeleteImportedKeyMaterial 请求速率 | 每个受支持的区域:每秒 15 个 | 是 |
每秒最大 DeleteImportedKeyMaterial 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| DescribeCustomKeyStores 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 DescribeCustomKeyStores 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| DescribeKey 请求速率 | 每个受支持的区域:每秒 2,000 个 | 是 |
每秒最大 DescribeKey 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| DisableKey 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 DisableKey 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| DisableKeyRotation 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 DisableKeyRotation 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| DisconnectCustomKeyStore 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 DisconnectCustomKeyStore 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| EnableKey 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 EnableKey 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| EnableKeyRotation 请求速率 | 每个受支持的区域:每秒 15 个 | 是 |
每秒最大 EnableKeyRotation 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| GenerateDataKeyPair (ECC_ NIST _P256) 请求速率 | 每个受支持的区域:每秒 100 个 | 是 |
每秒生成 ECC _ NIST _P256 数据密钥对的最大请求数。此共享配额适用于对 GenerateDataKeyPair ECC _ NIST _P256 数据密钥对的 GenerateDataKeyPairWithoutPlaintext 请求。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此类请求。 |
| GenerateDataKeyPair (ECC_ NIST _P384) 请求速率 | 每个受支持的区域:每秒 100 个 | 是 |
每秒生成 ECC _ NIST _P384 数据密钥对的最大请求数。此共享配额适用于对 GenerateDataKeyPair ECC _ NIST _P384 数据密钥对的 GenerateDataKeyPairWithoutPlaintext 请求。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此类请求。 |
| GenerateDataKeyPair (ECC_ NIST _P521) 请求速率 | 每个受支持的区域:每秒 100 个 | 是 |
每秒生成 ECC _ NIST _P521 数据密钥对的最大请求数。此共享配额适用于 ECC _ NIST _P521 数据密钥对 GenerateDataKeyPair 和 GenerateDataKeyPairWithoutPlaintext 请求。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此类请求。 |
| GenerateDataKeyPair (ECC_ SECG _P256K1) 请求速率 | 每个受支持的区域:每秒 100 个 | 是 |
每秒生成 ECC _ SECG _P256K1 数据密钥对的最大请求数。此共享配额适用于 ECC _ SECG _P256K1 数据密钥对 GenerateDataKeyPair 和 GenerateDataKeyPairWithoutPlaintext 请求。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此类请求。 |
| GenerateDataKeyPair (RSA_2048) 请求速率 | 每个受支持的区域:每秒 1 个 | 是 |
每秒生成 RSA _2048 个数据密钥对的最大请求数。此共享配额适用于对 GenerateDataKeyPair RSA _2048 数据密钥对的 GenerateDataKeyPairWithoutPlaintext 请求。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此类请求。 |
| GenerateDataKeyPair (RSA_3072) 请求速率 | 每个受支持的区域:每秒 0.5 个 | 是 |
每秒生成 RSA _3072 个数据密钥对的最大请求数。此共享配额适用于对 GenerateDataKeyPair RSA _3072 数据密钥对的 GenerateDataKeyPairWithoutPlaintext 请求。默认情况下,KMS允许每 2 秒间隔内发出一个请求。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此类请求。 |
| GenerateDataKeyPair (RSA_4096) 请求速率 | 每个受支持的区域:每秒 0.1 个 | 是 |
每秒生成 RSA _4096 个数据密钥对的最大请求数。此共享配额适用于 GenerateDataKeyPair 对 RSA _4096 个数据密钥对的 GenerateDataKeyPairWithoutPlaintext 请求。默认情况下,KMS允许每 10 秒间隔内发出一个请求。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此类请求。 |
| GetKeyPolicy 请求速率 | 每个受支持的区域:每秒 1000 个 | 是 |
每秒最大 GetKeyPolicy 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| GetKeyRotationStatus 请求速率 | 每个受支持的区域:每秒 1000 个 | 是 |
每秒最大 GetKeyRotationStatus 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| GetParametersForImport 请求速率 | 每个受支持的区域:每秒 0.25 个 | 是 |
每秒最大 GetParametersForImport 请求数。KMS允许每 4 秒间隔内 GetParametersForImport 发出一个请求。在间隔期间,会拒绝对此操作的任何其他请求。 |
| GetPublicKey 请求速率 | 每个受支持的区域:每秒 2,000 个 | 是 |
每秒最大 GetPublicKey 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| 每人补助金 CMK | 每个受支持的区域:50,000 个 | 是 |
所管理的每位客户允许的最大授权数量CMK。此配额包括 AWS 服务创建的授权,但不适用于 AWS 托管CMKs。 |
| ImportKeyMaterial 请求速率 | 每个受支持的区域:每秒 15 个 | 是 |
每秒最大 ImportKeyMaterial 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| ListAliases 请求速率 | 每个受支持的区域:每秒 500 个 | 是 |
每秒最大 ListAliases 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| ListGrants 请求速率 | 每个受支持的区域:每秒 100 个 | 是 |
每秒最大 ListGrants 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| ListKeyPolicies 请求速率 | 每个受支持的区域:每秒 100 个 | 是 |
每秒最大 ListKeyPolicies 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| ListKeyRotations 请求速率 | 每个受支持的区域:每秒 100 个 | 是 |
每秒最大 ListKeyRotations 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| ListKeys 请求速率 | 每个受支持的区域:每秒 500 个 | 是 |
每秒最大 ListKeys 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| ListResourceTags 请求速率 | 每个受支持的区域:每秒 2,000 个 | 是 |
每秒最大 ListResourceTags 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| ListRetirableGrants 请求速率 | 每个受支持的区域:每秒 100 个 | 是 |
每秒最大 ListRetirableGrants 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| PutKeyPolicy 请求速率 | 每个受支持的区域:每秒 15 个 | 是 |
每秒最大 PutKeyPolicy 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| ReplicateKey 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 ReplicateKey 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| RetireGrant 请求速率 | 每个受支持的区域:每秒 50 个 | 是 |
每秒最大 RetireGrant 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| RevokeGrant 请求速率 | 每个受支持的区域:每秒 50 个 | 是 |
每秒最大 RevokeGrant 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| RotateKeyOnDemand 请求速率 | 每个受支持的区域:每秒 5 个 | 否 | 每秒最大 RotateKeyOnDemand 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| ScheduleKeyDeletion 请求速率 | 每个受支持的区域:每秒 15 个 | 是 |
每秒最大 ScheduleKeyDeletion 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| TagResource 请求速率 | 每个受支持的区域:每秒 10 个 | 是 |
每秒最大 TagResource 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| UntagResource 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 UntagResource 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| UpdateAlias 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 UpdateAlias 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| UpdateCustomKeyStore 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 UpdateCustomKeyStore 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| UpdateKeyDescription 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 UpdateKeyDescription 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| UpdatePrimaryRegion 请求速率 | 每个受支持的区域:每秒 5 个 | 是 |
每秒最大 UpdatePrimaryRegion 请求数。当您达到此配额时,将在剩余的时间间隔内KMS拒绝此操作的请求。 |
| 按需轮换 CMK | 每个受支持的区域:10 个 | 否 | 每个客户托管密钥允许的最大按需轮换次数。此配额不适用于 AWS 托管密钥。 |
