如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。
请求配额
AWS KMS 对每秒请求的 API 操作数量设置了配额。有关列出每个 API 操作的每秒请求配额的表,请参阅 每个 AWS KMS API 操作的请求配额。
当您超过 API 请求配额后,AWS KMS 会限制 请求,即拒绝本应有效请求,并返回类似以下的 ThrottlingException 错误。要响应,请使用退避和重试策略
You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls. (Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID:<ID>
TheThethe 请求配额 与API操作不同, AWS 其他因素,例如 CMK 键入。
如果您需要超过配额,可以在 Service Quotas 中请求增加配额。使用 Service Quotas 控制台
有关请求增加 AWS KMS 配额的帮助,请参阅请求增加 AWS KMS 配额。
如果 GenerateDataKey 操作超出请求配额,请考虑使用 AWS 加密 SDK 的数据密钥缓存功能。重复使用数据密钥可减少向 AWS KMS 提出请求的频率。
除请求配额之外,AWS KMS 还使用资源配额来确保所有用户的容量。有关详细信息,请参阅 资源配额。
应用 请求配额
在查看请求配额时,请记住以下信息。
-
请求配额 适用于两者 客户管理 CMKs 和 AWS 管理 CMKs. 使用 AWS 拥有 CMKs 不计算 请求配额 对于您的 AWS 帐户,即使它们用于保护帐户中的资源。
-
限制基于上关于 CMKs 所有类型。此总数包括来自 AWS 账户中所有委托人的请求,包括来自代表您的 AWS 服务的请求。
-
每个请求配额都是单独计算的。例如,CreateKey 操作请求对于 CreateAlias 操作的请求配额没有影响。如果
CreateAlias请求受到限制,CreateKey请求仍可成功完成。 -
虽然加密操作共享一个配额,但共享配额是独立于其他操作的配额计算的。例如,对加密和解密操作的调用共享一个请求配额,但该配额独立于管理操作(如 EnableKey)的配额。例如, 欧洲(伦敦)区域,您可以在对称对称上执行10,000个加密操作 CMKs 加上 5
EnableKey每秒操作,不需要排除。
加密操作的共享配额
AWS KMS 加密操作共享请求配额。您可以请求任何由 CMK,因此加密操作的总数不超过 请求配额 对于该类型 CMK. 例外情况是 GenerateDataKeyPair 和 GenerateDataKeyPairWithoutPlaintext,它们共享单独的配额。
不同类型的配额 CMKs 单独计算。每个配额适用于在每个 1 秒间隔内,在具有给定密钥类型的 AWS 账户和区域中,针对这些操作的所有请求。
-
加密操作(对称)请求率 是使用symmetric的密码操作的共享请求配额 CMKs 在客户和区域。
例如,您可能正在使用 对称度 CMKs 在 AWS 每秒10,000个请求的共享配额的区域。如果您每秒发出 7000 个 GenerateDataKey 请求和 2000 个 Decrypt 请求,AWS KMS 不会限制您的请求。但是,如果您每秒发出 9500 个
GenerateDataKey请求和 1000 个加密请求,AWS KMS 会限制您的请求,因为请求数量超出了共享配额。 -
加密操作(RSA)请求率 是用于加密操作的共享请求配额 RSA非对称性 CMKs.
例如,每秒要求配额为500个操作,您可以制作200个 加密 请求和100 解密 RSA请求 CMKs 加密和解密,加上50 签名 请求和150 验证 RSA请求 CMKs 可以签署并验证。
-
加密操作(ECC)请求率 是用于加密操作的共享请求配额 椭圆曲线(ECC)不对称 CMKs.
例如,每秒要求配额为300个操作,您可以使用RSA进行100次签署请求和200次验证请求 CMKs 可以签署并验证。
不同密钥类型的配额也是单独计算的。例如, 亚太区域(新加坡),如果您使用对称和不对称的 CMKs,每秒最多可以使用symmetric进行10,000次呼叫 CMKs 加上 您的RSA非对称性每秒最多500次额外呼叫 CMKs, 加上 基于ECC,每秒多达300个额外请求 CMKs.
代表您发出的 API 请求
您可以直接发出 API 请求,也可以使用集成的 AWS 服务代表您向 AWS KMS 发出 API 请求。该配额对两种类型的请求都适用。
例如,您可以使用借助 AWS KMS 的服务器端加密 (SSE-KMS),将数据存储在 Amazon S3 中。每次上传或下载使用 SSE-KMS 进行加密的 S3
对象时,Amazon S3 都会代表您向 AWS KMS 发出 GenerateDataKey(用于上传)或 Decrypt(用于下载)请求。这些请求将计入配额,因此,如果使用 SSE-KMS 加密的 S3 对象的上传或下载总数超过每秒 5500(也可能是 10000 或 30000,具体取决于
AWS 区域),AWS KMS 将限制请求。
跨账户请求
一个应用程序时 AWS 帐户使用 CMK 由不同账户所有,称为 跨账户请求. 对于跨账户请求, AWS KMS 将请求提交的帐户而非 CMK. 例如,如果帐户A中的应用程序使用A CMK 在账户B中, CMK 使用仅适用于帐户A中的配额。
自定义密钥存储配额
AWS KMS 自定义密钥门店仅支持对称 CMKs. 使用 CMKs 在 自定义钥匙店 分享 请求配额 每个自定义密钥门店每秒运行1,800次。但是,并非所有操作都同等地使用配额。GenerateDataKey、GenerateDataKeyWithoutPlaintext 和 GenerateRandom 操作使用的每秒配额约为 Encrypt、Decrypt 和 ReEncrypt 操作使用的每秒配额的 3 倍。
例如,如果您仅请求 Encrypt 和 Decrypt 操作,则每秒可执行约 1800 次操作。相反,如果您请求重复的 GenerateDataKey 操作,则性能可能更接近每秒 600 次操作。对于由大致相同数量的 GenerateDataKey 和 Decrypt 操作组成的应用程序模式,您可以预期每秒大约 1200 次操作。
与其他 AWS KMS 配额不同,自定义密钥存储配额不可调整。您不能使用 Service Quotas 或通过在 AWS Support 中创建案例来增加它。
如果与自定义密钥存储关联的 AWS CloudHSM 正在处理大量命令(包括与自定义密钥存储不相关的命令),则您可能以低于预期速率的速率获得 AWS KMS ThrottlingException。如果发生此情况,请降低向 AWS KMS 发出请求的速率,减少不相关的负载或对自定义密钥存储使用专用 AWS CloudHSM 集群。
每个 AWS KMS API 操作的请求配额
此表列出了服务配额的配额代码和每个 AWS KMS 请求配额的默认值。
| 配额名称 | 默认值(每秒) |
|---|---|
|
适用于
|
这些共享配额与 AWS 和 CMK 请求中使用。每个配额都单独计算。
自定义密钥存储配额(对称 CMKs):
|
|
适用于
|
RSA500(共享) CMKs |
|
适用于
|
椭圆曲线(ECC)的300(共享) CMKs |
|
|
5* |
|
|
5 |
|
|
5 |
|
|
5* |
|
|
50。 |
|
|
5* |
|
|
5 |
|
|
5 |
|
|
5 |
|
|
5* |
|
|
1000* |
|
|
5* |
|
|
5 |
|
|
5 |
|
|
5 |
|
|
5* |
|
适用于
|
25* |
|
适用于
|
10* |
|
适用于
|
5* |
|
适用于
|
25* |
|
适用于
|
1 |
|
适用于
|
0.5(每 2 秒间隔为 1) |
|
适用于
|
0.1(每 10 秒间隔为 1) |
|
|
1000* |
|
|
1000* |
|
|
0.25(每 4 秒间隔为 1) |
|
|
5* |
|
|
5* |
|
|
100人 |
|
|
100人 |
|
|
100人 |
|
|
100人 |
|
|
100人 |
|
|
5 |
|
|
5* |
|
|
-15 |
|
|
-15 |
|
|
5* |
|
|
5 |
|
|
5 |
|
|
5 |
|
|
5 |
|
|
5* |