请求配额
Amazon KMS 对每秒请求的 API 操作数量设置了配额。请求配额因 API 操作、Amazon Web Services 区域 及其他因素(例如 KMS 密钥类型)而异。当您超过 API 请求配额时,Amazon KMS 会限制请求。
如果您需要超出此配额,您可以在 Service Quotas 中请求增加配额。使用 Service Quotas 控制台
有关请求增加 Amazon KMS 配额的帮助,请参阅请求增加 Amazon KMS 配额。
如果您超出 GenerateDataKey 操作的请求配额,请考虑使用 Amazon Encryption SDK 的数据密钥缓存功能。重复使用数据密钥可减少向 Amazon KMS 提出请求的频率。
除请求配额之外,Amazon KMS 还使用资源配额来确保所有用户的容量。有关详细信息,请参阅资源配额。
要查看请求速率的趋势,请使用 Service Quotas 控制台
每个 Amazon KMS API 操作的请求配额
此表列出了 Service Quotas 的配额代码和每个 Amazon KMS 请求配额的默认值。
您可能需要水平或垂直滚动才能查看此表中的所有数据。
| 配额名称 | 默认值(每秒) |
|---|---|
|
适用对象:
|
这些共享配额因 Amazon Web Services 区域 和请求中使用的 KMS 密钥类型而异。每个配额都单独计算。
自定义密钥存储配额(对称 KMS 密钥):
|
适用对象:
|
500(共享),对于 RSA KMS 密钥 |
适用对象:
|
300(共享),对于椭圆曲线 (ECC) KMS 密钥 |
|
5 |
|
5 |
|
5 |
|
5 |
|
50 |
|
5 |
|
15 |
|
5 |
|
5 |
|
5 |
|
2000 |
|
5 |
|
5 |
|
5 |
|
5 |
|
15 |
|
适用对象:
|
25 |
|
适用对象:
|
10 |
|
适用对象:
|
5 |
|
适用对象:
|
25 |
|
适用对象:
|
1 |
|
适用对象:
|
0.5(每 2 秒间隔为 1) |
|
适用对象:
|
0.1(每 10 秒间隔为 1) |
|
1000 |
|
1000 |
|
0.25(每 4 秒间隔为 1) |
|
2000 |
|
5 |
|
500 |
|
100 |
|
100 |
|
500 |
|
2000 |
|
100 |
|
15 |
ReplicateKey request rate
|
5 |
|
30 |
|
30 |
|
15 |
|
10 |
|
5 |
|
5 |
|
5 |
|
5 |
|
5 |
应用请求配额
审查请求配额时,请记住以下信息。
-
请求配额同时适用于客户托管密钥和 Amazon 托管式密钥。使用 Amazon 拥有的密钥 不会计入 Amazon Web Services 账户 的请求配额,即使该密钥是用于保护账户中的资源。
-
请求配额适用于发送到 FIPS 终端节点和非 FIPS 终端节点的请求。有关 Amazon KMS 服务终端节点的列表,请参阅 Amazon 一般参考中的 Amazon Key Management Service 终端节点和配额。
-
限制基于对区域内所有类型 KMS 密钥的所有请求。此总数包括来自 Amazon Web Services 账户 中所有委托人的请求,包括来自代表您的 Amazon 服务的请求。
-
每个请求配额都是单独计算的。例如,CreateKey 操作的请求对于 CreateAlias 操作的请求配额没有影响。如果
CreateAlias请求受到限制,CreateKey请求仍可成功完成。 -
虽然加密操作共享一个配额,但共享配额是独立于其他操作的配额计算的。例如,对 Encrypt 和 Decrypt 操作的调用共享一个请求配额,但该配额独立于管理操作(如 EnableKey)的配额。例如,在欧洲(伦敦)区域,每秒可使用对称 KMS 密钥执行 10000 次加密操作,加上 5 次
EnableKey操作,而不受限制。
加密操作的共享配额
Amazon KMS 加密操作共享请求配额。您可以请求 KMS 密钥支持的加密操作的任意组合,只要加密操作的总数不超过该 KMS 密钥类型的请求配额。例外情况是 GenerateDataKeyPair 和 GenerateDataKeyPairWithoutPlaintext,它们共享单独的配额。
不同类型的 KMS 密钥的配额单独计算。每个配额适用于在每个 1 秒间隔内,在具有给定密钥类型的 Amazon Web Services 账户 和区域中,针对这些操作的所有请求。
-
加密操作(对称)请求速率是在账户和区域中使用对称 KMS 密钥进行加密操作的共享请求配额。
例如,您可以在 Amazon Web Services 区域 中使用对称 KMS 密钥在,其每秒具有 10000 个请求的共享配额。如果您每秒发出 7000 个 GenerateDataKey 请求和 2000 个 Decrypt 请求,Amazon KMS 不会限制您的请求。但是,如果您每秒发出 9500 个
GenerateDataKey请求和 1000 个加密请求,Amazon KMS 会限制您的请求,因为请求数量超出了共享配额。 -
加密操作 (RSA) 请求速率 是使用 RSA 非对称 KMS 密钥的加密操作的共享请求配额。
例如,如果请求配额为每秒 500 个操作,您可以使用可以加密和解密的 RSA KMS 密钥发出 200 个 Encrypt 请求和 100 个 Decrypt 请求;另外,通过可以签名和验证的 RSA KMS 密钥发出 50 个 Sign 请求和 150 个 Verify 请求。
-
加密操作 (ECC) 请求速率 是使用椭圆曲线 (ECC) 非对称 KMS 密钥的加密操作的共享请求配额。
例如,如果请求配额为每秒 300 个操作,您可以使用可以签名和验证的 RSA KMS 密钥发出 100 个签名请求和 200 个验证请求。
不同密钥类型的配额也是单独计算的。例如,在亚太地区(新加坡)区域中,如果同时使用对称 KMS 密钥和非对称 KMS 密钥,则使用对称 KMS 密钥每秒最多可发出 10000 次调用,另外加上使用 RSA 非对称 KMS 密钥每秒最多可发出 500 次调用,另外再加上使用基于 ECC 的 KMS 密钥每秒最多可发出 300 个请求。
代表您发出的 API 请求
您可以直接发出 API 请求,也可以使用集成的 Amazon 服务代表您向 Amazon KMS 发出 API 请求。该配额对两种类型的请求都适用。
例如,您可以使用借助 KMS 密钥的服务器端加密 (SSE-KMS),将数据存储在 Amazon S3 中。每次上传或下载使用 SSE-KMS 进行加密的 S3 对象时,Amazon S3 都会代表您向 Amazon KMS 发出 GenerateDataKey(用于上传)或 Decrypt(用于下载)请求。这些请求将计入配额,因此,如果使用 SSE-KMS 加密的 S3 对象的上传或下载总数超过每秒 5500(也可能是 10000 或 30000,具体取决于 Amazon Web Services 区域),Amazon KMS 将限制请求。
跨账户请求
当一个 Amazon Web Services 账户 中的应用程序使用其他账户拥有的 KMS 密钥时,这称为跨账户请求。对于跨账户请求,Amazon KMS 会限制发出请求的帐户,而不是拥有 KMS 密钥的账户。例如,如果账户 A 中的应用程序使用账户 B 中的 KMS 密钥,那么仅对该 KMS 密钥的使用应用账户 A 中的配额。
自定义密钥存储配额
Amazon KMS 自定义密钥存储仅支持对称 KMS 密钥。使用自定义密钥存储中的 KMS 密钥的加密操作共享一个请求配额,该配额为每个自定义密钥存储每秒 1800 次操作。但是,并非所有操作都同等地使用配额。GenerateDataKey、GenerateDataKeyWithoutPlaintext 和 GenerateRandom 操作使用的每秒配额约为 Encrypt、Decrypt 和 ReEncrypt 操作使用的每秒配额的 3 倍。
例如,如果您仅请求 Encrypt 和 Decrypt 操作,则每秒可执行约 1800 次操作。相反,如果您请求重复的 GenerateDataKey 操作,则性能可能更接近每秒 600 次操作。对于由大致相同数量的 GenerateDataKey 和 Decrypt 操作组成的应用程序模式,您可以预期每秒大约 1200 次操作。
与其他 Amazon KMS 配额不同,自定义密钥存储配额不可调整。您不能使用 Service Quotas 或通过在 Amazon Web Services Support 中创建案例来增加它。
如果与自定义密钥存储关联的 Amazon CloudHSM 正在处理大量命令(包括与自定义密钥存储不相关的命令),则您可能以低于预期速率的速率获得 Amazon KMS ThrottlingException。如果发生此情况,请降低向 Amazon KMS 发出请求的速率,减少不相关的负载或对自定义密钥存储使用专用 Amazon CloudHSM 集群。