本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
限制请求 Amazon KMS
为了确保 Amazon KMS 能够对所有客户的API请求提供快速、可靠的响应,它会限制超出特定界限的API请求。
当 Amazon KMS 拒绝原本可能有效的请求并返回类似以下ThrottlingException
错误时,就会发生@@ 限制。
You have exceeded the rate at which you may call KMS. Reduce the frequency of your calls. (Service: AWSKMS; Status Code: 400; Error Code: ThrottlingException; Request ID: <ID>
Amazon KMS 限制对以下条件的请求。
-
每秒的请求速率超过了账户和区域的 Amazon KMS 请求配额。
例如,如果您账户中的用户在一秒钟内提交 1000 个
DescribeKey
请求,则会在该秒钟内 Amazon KMS 限制所有后续DescribeKey
请求。要对限制进行响应,请使用退避和重试策略。在某些情况下,此策略会自动实现 HTTP 400 个错误 Amazon SDKs。
-
请求更改同一KMS密钥状态的突发或持续的高速率。这种情况通常称为“热键”。
例如,如果您账户中的某个应用程序持续发送一连串的
DisableKey
请求EnableKey
并请求相同的KMS密钥,则会 Amazon KMS 限制这些请求。即使请求未超过EnableKey
和DisableKey
操作的请求限制, request-per-second 也会发生这种限制。要响应限制,请调整您的应用程序逻辑,使其只发出必需的请求或合并多个函数的请求。
-
当与KMS密Amazon CloudHSM 钥存储库关联的 Amazon CloudHSM 集群正在处理大量命令(包括与密钥存储无关的命令)时,对 Amazon CloudHSM 密钥存储库中密 Amazon CloudHSM 钥的操作请求可能会受到限制。 lower-than-expected
(当集群Amazon KMS 没有可用的 PKCS #11 会话时,不再限制对KMS密钥库中密钥的 Amazon CloudHSM 操作请求。 Amazon CloudHSM 相反,它会抛出,
KMSInternalException
并建议您重试请求。)
要查看请求速率的趋势,请使用 Service Quotas 控制台
除按需轮换资源 Amazon KMS 配额和Amazon CloudHSM 密钥库请求配额外,所有配额均可调整。要请求提高限额,请参阅《服务限额用户指南》中的请求提高限额。要申请减少配额、更改未在 Service Quotas 中列出的配额,或者在没有服务配额 Amazon Web Services 区域 的情况下更改配额,请访问Amazon Web Services Support 中心
注意
Amazon KMS 自定义密钥库请求配额不会显示在 Service Quotas 控制台中。您无法使用 Service Quotas API 操作查看或管理这些配额。要请求更改您的外部密钥存储请求限额,请访问 Amazon Web Services Support 中心