本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
请求配额
Amazon KMS 为每秒请求的 API 操作数量设定配额。请求配额因 API 操作 Amazon Web Services 区域、和其他因素(例如 KMS 密钥类型)而异。当您超过 API 请求配额时, Amazon KMS 会限制该请求。
除Amazon CloudHSM 密钥库 Amazon KMS 请求配额外,所有请求配额均可调整。要请求提高配额,请参阅《服务配额用户指南》中的请求提高配额。要申请减少配额、更改未在 Service Quotas 中列出的配额,或者在没有服务配额 Amazon Web Services 区域 的情况下更改配额,请访问Amazon Web Services 支持 中心
如果您超出了GenerateDataKey操作的请求配额,请考虑使用的数据密钥缓存功能 Amazon Encryption SDK。重复使用数据密钥可能会将您的请求频率降至 Amazon KMS.
除了请求配额外,还 Amazon KMS 使用资源配额来确保所有用户的容量。有关详细信息,请参阅资源配额。
要查看请求速率的趋势,请使用 Service Quotas 控制台
每个 Amazon KMS API 操作的请求配额
下表列出了 S ervice Quotas 配额代码和每个 Amazon KMS 请求配额的默认值。除Amazon CloudHSM 密钥库 Amazon KMS 请求配额外,所有请求配额均可调整。
注意
您可能需要水平或垂直滚动才能查看此表中的所有数据。
| 限额名称 | 默认值(每秒请求数) |
|---|---|
|
适用对象:
|
这些共享配额因请求中使用的 KMS 密钥 Amazon Web Services 区域 和类型而异。每个配额都单独计算。
|
适用对象:
|
RSA KMS 密钥为 1000(共享): |
适用对象:
|
椭圆曲线 (ECC) 和(仅限 SM2 中国区域)KMS 密钥为 1,000(共享) |
|
适用对象:
|
自定义密钥存储限额 针对每个自定义密钥存储单独计算
|
|
5 |
|
5 |
|
5 |
|
5 |
|
50 |
|
5 |
|
15 |
|
5 |
|
15 |
|
5 |
|
2000 |
|
5 |
|
5 |
|
5 |
|
5 |
|
15 |
|
适用对象:
|
100 |
|
适用对象:
|
100 |
|
适用对象:
|
100 |
|
适用对象:
|
100 |
|
适用对象:
|
1 |
|
适用对象:
|
0.5(每 2 秒间隔为 1) |
|
适用对象:
|
0.1(每 10 秒间隔为 1) |
|
适用对象:
|
25 |
|
1000 |
|
1000 |
|
0.25(每 4 秒间隔为 1) |
|
2000 |
|
15 |
|
500 |
|
100 |
|
100 |
|
500 |
|
100 |
|
2000 |
|
100 |
|
15 |
ReplicateKey request rate
|
5 |
|
50 |
|
50 |
|
5 |
|
15 |
|
10 |
|
5 |
|
5 |
|
5 |
|
5 |
|
5 |
应用请求配额
审查请求配额时,请记住以下信息。
-
请求配额同时适用于客户托管密钥和 Amazon 托管式密钥。的使用Amazon 拥有的密钥不计入您的请求配额 Amazon Web Services 账户,即使这些配额用于保护您账户中的资源也是如此。
-
请求配额适用于发送到 FIPS 终端节点和非 FIPS 终端节点的请求。有关 Amazon KMS 服务终端节点的列表,请参阅中的Amazon Key Management Service 终端节点和配额 Amazon Web Services 一般参考。
-
限制基于对区域内所有类型 KMS 密钥的所有请求。此总数包括来自所有委托人的请求 Amazon Web Services 账户,包括代表您的 Amazon 服务部门提出的请求。
-
每个请求配额都是单独计算的。例如,对CreateKey操作的请求不会影响该CreateAlias操作的请求配额。如果
CreateAlias请求受到限制,CreateKey请求仍可成功完成。 -
虽然加密操作共享一个配额,但共享配额是独立于其他操作的配额计算的。例如,对 Encrypt 和 Decrypt 操作的调用共享请求配额,但该配额与管理操作的配额无关,例如。EnableKey例如,在欧洲(伦敦)区域,每秒可使用对称 KMS 密钥执行 10000 次加密操作,加上 5 次
EnableKey操作,而不受限制。
加密操作的共享配额
Amazon KMS 加密操作共享请求配额。您可以请求 KMS 密钥支持的加密操作的任意组合,只要加密操作的总数不超过该 KMS 密钥类型的请求配额。唯一的例外是GenerateDataKeyPair和 GenerateDataKeyPairWithoutPlaintext,它们共享单独的配额。
不同类型的 KMS 密钥的配额单独计算。每个配额适用于在每隔一秒钟的时间间隔内使用给定密钥类型在 Amazon Web Services 账户 和区域中执行这些操作的所有请求。
-
加密操作(对称)请求速率是在账户和区域中使用对称 KMS 密钥进行加密操作的共享请求配额。此配额适用于使用对称加密密钥和 HMAC 密钥的加密操作,这些密钥也是对称的。
例如,您可能在共享配额为每秒 10,000 个请求的 Amazon Web Services 区域 中使用对称 KMS 密钥。当你每秒发出 7,000 个GenerateDataKey请求和每秒 2,000 个解密请求时, Amazon KMS 不会限制你的请求。但是,如果您每秒发出 9500 个
GenerateDataKey请求和 1000 个加密请求, Amazon KMS 会限制您的请求,因为请求数量超出了共享配额。对 自定义密钥存储 中 对称加密 KMS 密钥 的加密操作将会计入账户的加密操作(对称)请求率 和自定义密钥存储的 自定义密钥存储请求限额。
-
加密操作 (RSA) 请求速率 是使用 RSA 非对称 KMS 密钥的加密操作的共享请求配额。
例如,如果请求配额为每秒 1000 个操作,您可以使用可以加密和解密的 RSA KMS 密钥发出 400 个 Encrypt 请求和 200 个 Decrypt 请求;另外,通过可以签名和验证的 RSA KMS 密钥发出 250 个 Sign 请求和 150 个 Verify 请求。
-
加密操作(ECC)请求速率是使用椭圆曲线(ECC)非对称 KMS 密钥和 SM 非对称 KMS 密钥的加密操作的共享请求配额。
例如,请求配额为每秒 1,000 个操作,您可以使用可以签名和验证的 ECC KMS 密钥发出 400 个签名请求和 200 个验证请求,再加上 250 个签名请求和 150 个使用可以签名和验证的 SM2 KMS 密钥进行验证请求。
-
自定义密钥存储请求限额是对自定义密钥存储中 KMS 密钥进行加密操作的共享请求限额。此限制针对每个自定义密钥存储单独计算。
对 自定义密钥存储 中 对称加密 KMS 密钥 的加密操作将会计入账户的加密操作(对称)请求率和自定义密钥存储的 自定义密钥存储请求限额。
不同密钥类型的配额也是单独计算的。例如,在亚太地区(新加坡)区域中,如果同时使用对称 KMS 密钥和非对称 KMS 密钥,则使用对称 KMS 密钥(包括 HMAC 密钥)每秒最多可发出 10000 次调用,另外加上使用 RSA 非对称 KMS 密钥每秒最多可发出 500 次调用,另外再加上使用基于 ECC 的 KMS 密钥每秒最多可发出 300 个请求。
代表您发出的 API 请求
您可以直接发出 API 请求,也可以使用代表您发出 API 请求 Amazon KMS 的集成 Amazon 服务。该配额对两种类型的请求都适用。
例如,您可以使用借助 KMS 密钥的服务器端加密 (SSE-KMS),将数据存储在 Amazon S3 中。每次您上传或下载使用 SSE-KMS 加密的 S3 对象时,Amazon S3 都会代表您发出GenerateDataKey(用于上传)或Decrypt(用于下载)请求。 Amazon KMS 这些请求计入您的配额,因此,如果您每秒上传或下载使用 SSE-KM Amazon KMS S 加密的 S3 对象的总数超过 5,500 个(或 10,000 或 50,000 个,视您而定 Amazon Web Services 区域),则会限制这些请求。
跨账户请求
当一个应用程序 Amazon Web Services 账户 使用另一个账户拥有的 KMS 密钥时,它被称为跨账户请求。对于跨账户请求, Amazon KMS 会限制发出请求的帐户,而不是拥有 KMS 密钥的账户。例如,如果账户 A 中的应用程序使用账户 B 中的 KMS 密钥,那么仅对该 KMS 密钥的使用应用账户 A 中的配额。
自定义密钥存储请求限额
Amazon KMS 维护对自定义密钥存储库中的 KMS 密钥进行加密操作的请求配额。这些请求限额针对每个自定义密钥存储单独计算。
| 自定义密钥存储请求限额 | 每个自定义密钥存储的默认值(每秒请求数) | 可调整 |
|---|---|---|
| Amazon CloudHSM 密钥库请求配额 | 1800 | 否 |
| 外部密钥存储 请求限额 | 1800 | 是 |
注意
Amazon KMS 自定义密钥库请求配额不会显示在 Service Quotas 控制台中。您无法通过服务限额 API 操作查看或管理这些限额。要请求更改您的外部密钥存储请求限额,请访问 Amazon Web Services 支持 中心
如果与 Amazon CloudHSM 密钥库关联的 Amazon CloudHSM 集群正在处理大量命令,包括那些与自定义密钥存储无关的命令,那么你可能会得到一个 Amazon KMS
ThrottlingException速 lower-than-expected率。如果发生这种情况,请将请求速率降低到 Amazon KMS,减少不相关的负载,或者为 Amazon CloudHSM 密钥存储使用专用 Amazon CloudHSM 集群。
Amazon KMS 报告指标中外部密钥存储请求的ExternalKeyStoreThrottle CloudWatch 限制。您可以使用此指标来查看节流模式、创建警报和调整外部密钥存储请求限额。
对自定义密钥存储中的 KMS 密钥进行 加密操作 的请求将计入这两个限额:
-
加密操作(对称)请求率限额(每账户)
对自定义密钥存储中 KMS 密钥进行加密操作的请求将计入每个 Amazon Web Services 账户 和区域的
Cryptographic operations (symmetric) request rate限额。例如,在美国东部(弗吉尼亚北部)(us-east-1), Amazon Web Services 账户 每个对称加密 KMS 密钥每秒最多可以有 100,000 个请求,包括在自定义密钥存储中使用 KMS 密钥的请求。 自定义密钥存储请求限额(每自定义密钥存储)
对自定义密钥存储中 KMS 密钥进行加密操作的请求也将计入每秒 1800 次操作的
Custom key store request quota。这些限额针对每个自定义密钥存储单独计算。它们可能包括来自多个 Amazon Web Services 账户 在自定义密钥存储中使用 KMS 密钥的请求。
例如,对美国东部(弗吉尼亚北部)(us-east-1)地区的自定义密钥存储库(任一类型)中的 KMS 密钥进行加密操作计Cryptographic operations (symmetric) request rate入其账户和区域的账户级别配额(每秒 100,000 个请求),计Custom key
store request quota入其自定义密钥存储的(每秒 1,800 个请求)。但是,对自定义密钥存储库中的 KMS 密钥进行管理操作的请求仅适用于其账户级别配额(每秒 15 个请求)。PutKeyPolicy