密钥管理服务KMS(Key Management Service)根据调用的API不同提供的性能数据不同,性能数据越高费用也越高。本文介绍KMS的具体性能数据。
概述
KMS提供了两种API,KMS API和KMS实例API。需要注意的是,KMS API请求配额是针对每个阿里云账号进行限制,KMS实例API性能数据是针对每个KMS实例进行限制。
KMS API
KMS对每秒请求的API操作数量设置了配额,超过API请求配额后,KMS会限制请求(即拒绝本来有效的请求)并返回类似如下示例的错误响应。针对此类可通过重试解决的错误响应,您可以在应用中引入请求的退避和重试策略。
{
"HttpStatus": 429,
"Code": "Rejected.Throttling",
"Message": "QPS Limit Exceeded",
"RequestId": "e85db688-a2d3-44ca-9790-4259etas154f"
}
下表列出了每个阿里云账号在单个地域中的KMS请求配额。
操作类型 | 涉及的API | 配额 |
密钥管理操作 | 查询密钥、别名、标签等资源的元数据、属性或状态。列表中的API接口共享这一组配额。 | 50次/秒 |
创建密钥。 | 10次/秒 | |
创建别名,修改密钥、别名、标签等操作。列表中的API接口共享这一组配额。 | 30次/秒 | |
密码运算操作 | 使用对称密钥进行生成数据密钥、加密、解密等操作。列表中的API接口共享这一组配额。 说明 仅支持在云产品服务端加密时使用这组接口。更多信息,请参见云产品集成KMS加密概述。 | 750次/秒 |
使用非对称密钥进行加密解密、签名验签操作。列表中的API接口共享这一组配额。 说明 仅支持在云产品服务端加密时使用这组接口。更多信息,请参见云产品集成KMS加密概述。 | 200次/秒 | |
凭据相关操作 | 创建或删除凭据。列表中的API接口共享这一组配额。 | 10次/秒 |
查询凭据信息及获取凭据值。列表中的API接口共享这一组配额。 | 450次/秒 | |
查询凭据列表、凭据元数据信息等低频读写操作。列表中的API接口共享这一组配额。 | 40次/秒 | |
凭据轮转。 | 50次/小时 | |
其他操作 | 开通密钥管理服务、查询密钥管理服务状态。列表中的API接口共享这一组配额。 | 1次/秒 |
KMS实例API
仅软件密钥管理实例和硬件密钥管理实例支持使用KMS实例API。
KMS实例对API请求不设置调用次数上限,而是采用“尽力而为”的方式,即最大限度地使用实例计算和存储资源来处理API请求。您在购买KMS实例时,可以根据业务需求选择合适的计算性能。
测试场景说明
KMS处理对称算法时的性能数据,是在密钥规格为Aliyun_AES_256、对32字节数据进行GCM加密或解密的测试场景下得到的数据。
KMS处理非对称算法时的性能数据,是在密钥规格为RSA_2048、对32字节数据进行签名的测试场景下得到的数据。
KMS获取凭据值时的性能数据,是在凭据值为32字节的测试场景下得到的数据。
测试硬件密钥管理实例的性能数据时,KMS已经连接密码机集群,且密码机集群中的密码机数量大于等于2个。
软件密钥管理实例
下表列出KMS软件密钥管理实例各使用场景下的性能数据参考值。
如果您需要购买计算性能为10000(次/秒)或20000(次/秒)的软件密钥管理实例,请通过售前在线咨询联系商务经理申请。
操作类型 | API接口 | 计算性能为1000(次/秒) | 计算性能为2000(次/秒) | 计算性能为4000(次/秒) | 计算性能为10000(次/秒) | 计算性能为20000(次/秒) |
处理对称算法 | 使用对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 | 1000 | 2000 | 4000 | 10000 | 20000 |
处理非对称算法 | 使用非对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 | 200 | 300 | 500 | 1300 | 2500 |
获取公钥 | 获取指定非对称密钥的公钥。 | 1000 | 2000 | 4000 | 10000 | 20000 |
使用凭据 | 获取凭据值。 | 500 | 1000 | 2000 | 4000 | 4000 |
生成随机数 | 生成一个随机数。 | 1000 | 2000 | 4000 | 10000 | 20000 |
硬件密钥管理实例
下表列出KMS硬件密钥管理实例各使用场景下的性能数据参考值。
操作类型 | API接口 | 计算性能为2000(次/秒) | 计算性能为4000(次/秒) | 计算性能为6000(次/秒) |
处理对称算法 | 使用对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 | 2000 | 4000 | 6000 |
处理非对称算法 | 使用非对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 | 300 | 500 | 700 |
获取公钥 | 获取指定非对称密钥的公钥。 | 2000 | 4000 | 6000 |
使用凭据 | 获取凭据值。 | 1000 | 2000 | 3000 |
生成随机数 | 生成一个随机数。 | 2000 | 4000 | 6000 |