KMS的性能数据-密钥管理服务(KMS)-阿里云帮助中心

KMS对QPS（每秒请求数）设置了配额，超过配额后请求将被限制。本文介绍KMS支持的QPS。

概述

您可以通过集成SDK通过共享网关或专属网关访问KMS，共享网关调用OpenAPI，专属网关根据您集成的SDK不同可以调用OpenAPI或实例API。详细介绍，请参见SDK参考。网关的差异点，请参见共享网关和专属网关的差异。

共享网关的QPS是针对每个阿里云账号进行限制，QPS为固定值不支持升配。专属网关的QPS是针对每个KMS实例进行限制，需要更高的QPS时，您可以通过升级KMS实例的计算性能配额来实现。

共享网关

下表列出了每个阿里云账号在单个地域中的QPS。

操作类型	OpenAPI	QPS
开通服务	开通密钥管理服务、查询密钥管理服务状态。列表中的API接口共享这一组配额。 OpenKmsService-为当前阿里云账号开通密钥管理服务 DescribeAccountKmsStatus-查询当前阿里云账号的密钥管理服务状态	1次/秒
实例管理	连接KMS实例、更新KMS实例绑定的VPC。列表中的API接口共享这一组配额。 ConnectKmsInstance-连接实例并配置网络 UpdateKmsInstanceBindVpc-更新实例分享VPC ReleaseKmsInstance-释放KMS按量付费实例	10次/秒
实例管理	GetKmsInstance-获取实例 ListKmsInstances-获取实例列表 GetDefaultKmsInstance-获取默认KMS实例 GetKmsInstanceQuotaInfos-获取实例配额信息	50次/秒
密钥管理操作	查询密钥、别名、标签等资源的元数据、属性或状态。列表中的API接口共享这一组配额。 GetParametersForImport-获取导入主密钥（CMK）材料的参数 DescribeKey-返回指定主密钥（CMK）的相关信息 ListKeys-查询调用者在调用地域的所有主密钥ID DescribeKeyVersion-查询指定密钥版本信息 ListKeyVersions-列出主密钥的所有密钥版本 GetPublicKey-获取非对称密钥公钥 ListAliases - 查询当前用户在当前地域的所有别名 ListAliasesByKeyId - 查询主密钥（CMK）所有别名 ListTagResources - 查询标签列表 DescribeRegions - 查询当前账号的可用地域列表	50次/秒
	查询密钥标签。 ListResourceTags-获取用户主密钥的标签	300次/秒
	创建密钥。 CreateKey - 创建一个主密钥	10次/秒
	创建别名，修改密钥、别名、标签等操作。列表中的API接口共享这一组配额。 ImportKeyMaterial - 导入密钥材料 EnableKey - 启用指定的主密钥进行加解密 DisableKey - 禁用指定的主密钥（CMK）进行加解密 SetDeletionProtection - 设置删除保护 ScheduleKeyDeletion - 申请删除一个指定的主密钥（CMK) CancelKeyDeletion - 撤销密钥删除 DeleteKeyMaterial - 删除已导入的密钥材料 UpdateKeyDescription - 更新主密钥描述信息 UpdateRotationPolicy CreateAlias - 给主密钥（CMK）创建一个别名 UpdateAlias - 更新主密钥（CMK）ID DeleteAlias - 删除别名 TagResources - 绑定标签 UntagResources - 解绑标签	30次/秒
密码运算操作	使用对称密钥进行生成数据密钥、加密、解密等操作。列表中的API接口共享这一组配额。 Encrypt - 使用对称主密钥加密明文 Decrypt - 解密密文 GenerateDataKey - 生成一个数据密钥 GenerateDataKeyWithoutPlaintext - 生成一个数据密钥，不需返回数据密钥明文内容。 GenerateAndExportDataKey-生成一个数据密钥并加密导出 ExportDataKey-使用传入的公钥加密导出数据密钥 ReEncrypt-对密文进行转加密	1000次/秒
密码运算操作	使用非对称密钥进行加密解密、签名验签操作。列表中的API接口共享这一组配额。 AsymmetricSign-使用非对称密钥进行签名 AsymmetricVerify-使用非对称密钥进行验签 AsymmetricDecrypt-使用非对称密钥进行解密 AsymmetricEncrypt-使用非对称密钥进行加密	200次/秒
凭据相关操作	创建或删除凭据。列表中的API接口共享这一组配额。 CreateSecret - 创建凭据 DeleteSecret - 删除凭据对象	10次/秒
	查询凭据信息及获取凭据值。列表中的API接口共享这一组配额。 DescribeSecret - 查询凭据的元数据信息 GetSecretValue - 获取凭据值	450次/秒
	查询凭据列表、凭据元数据信息等低频读写操作。列表中的API接口共享这一组配额。 ListSecrets - 查询当前用户在当前地域创建的所有凭据 ListSecretVersionIds - 查询凭据的所有版本信息 PutSecretValue - 为凭据存入一个新版本的凭据值 UpdateSecret - 更新凭据的元数据 UpdateSecretVersionStage - 更新凭据的版本状态 GetRandomPassword - 获得一个随机口令字符串 UpdateSecretRotationPolicy - 更新动态凭据的轮转策略 RestoreSecret - 恢复被删除的凭据	40次/秒
	凭据轮转。 RotateSecret - 主动轮转动态凭据	50次/小时
资源策略	设置密钥或凭据资源策略。列表中的API接口共享这一组配额。 SetKeyPolicy-设置密钥策略 SetSecretPolicy-设置凭据策略	10次/秒
资源策略	获取密钥或凭据资源策略。列表中的API接口共享这一组配额。 GetKeyPolicy-查询密钥策略 GetSecretPolicy-查询凭据策略	50次/秒
应用接入点（AAP）	获取AAP相关的网络策略、访问策略、应用接入点等操作。列表中的API接口共享这一组配额。 DescribeNetworkRule-获取网络规则 ListNetworkRules-获取网络规则列表 DescribePolicy-获取访问策略 ListPolicies-获取访问策略列表 DescribeApplicationAccessPoint-获取应用接入点 ListApplicationAccessPoints-获取应用接入点列表 ListClientKeys-获取应用身份凭证列表 GetClientKey-获取应用身份凭证	50次/秒
应用接入点（AAP）	创建AAP相关的网络策略、访问策略、应用接入点等操作。列表中的API接口共享这一组配额。 CreateNetworkRule-创建网络规则 DeleteNetworkRule - 删除网络规则 UpdateNetworkRule - 更新网络规则 CreatePolicy - 创建访问策略 DeletePolicy - 删除访问策略 UpdatePolicy - 更新访问策略 CreateApplicationAccessPoint - 创建应用接入点 DeleteApplicationAccessPoint - 删除应用接入点 UpdateApplicationAccessPoint - 更新应用接入点 CreateClientKey - 创建应用身份凭证 DeleteClientKey - 删除应用身份凭证	10次/秒

专属网关

重要

专属网关对API请求不设置调用次数上限，而是采用“尽力而为”的方式，即最大限度地使用实例计算和存储资源来处理API请求。您在购买KMS实例时，可以根据业务需求选择合适的计算性能。

测试场景说明

KMS处理对称算法时的性能数据，是在密钥规格为Aliyun_AES_256、对32字节数据进行GCM加密或解密的测试场景下得到的数据。
KMS处理非对称算法时的性能数据，是在密钥规格为RSA_2048、对32字节数据进行签名的测试场景下得到的数据。
KMS获取凭据值时的性能数据，是在凭据值为32字节的测试场景下得到的数据。
测试硬件密钥管理实例的性能数据时，KMS已经连接密码机集群，且密码机集群中的密码机数量大于等于2个。

软件密钥管理实例的QPS

下表列出KMS软件密钥管理实例各使用场景下的QPS参考值。

说明

如果您需要购买计算性能为10000（次/秒）或20000（次/秒）的软件密钥管理实例，请联系商务经理申请。

操作类型	OpenAPI	实例API	计算性能为1000（次/秒）	计算性能为2000（次/秒）	计算性能为4000（次/秒）	计算性能为10000（次/秒）	计算性能为20000（次/秒）
处理对称算法	使用对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 Encrypt - 使用对称主密钥加密明文 Decrypt - 解密密文 GenerateDataKey - 生成一个数据密钥 GenerateDataKeyWithoutPlaintext - 生成一个数据密钥，不需返回数据密钥明文内容。	使用对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 AdvanceEncrypt AdvanceDecrypt AdvanceGenerateDataKey Encrypt Decrypt GenerateDataKey	1000	2000	4000	10000	20000
处理非对称算法	使用非对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 AsymmetricEncrypt - 使用非对称密钥进行加密 AsymmetricDecrypt - 使用非对称密钥进行解密 AsymmetricSign - 使用非对称密钥进行签名 AsymmetricVerify - 使用非对称密钥进行验签	使用非对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 Encrypt Decrypt Sign Verify	200	300	500	1300	2500
获取公钥	获取指定非对称密钥的公钥。 GetPublicKey - 获取非对称密钥公钥	获取指定非对称密钥的公钥。GetPublicKey	1000	2000	4000	10000	20000
使用凭据	获取凭据值。 GetSecretValue - 获取凭据值	获取凭据值。 GetSecretValue	500	1000	2000	4000	4000
生成随机数	不涉及	生成一个随机数。 GenerateRandom	1000	2000	4000	10000	20000
生成数据密钥对	不涉及	生成数据密钥对。列表中的API接口共享这一组配额。 GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext AdvanceGenerateDataKeyPair AdvanceGenerateDataKeyPairWithoutPlaintext	1	1	1	1	1

硬件密钥管理实例的QPS

下表列出KMS硬件密钥管理实例各使用场景下的QPS参考值。

操作类型	OpenAPI	实例API	计算性能为2000（次/秒）	计算性能为4000（次/秒）	计算性能为6000（次/秒）
处理对称算法	使用对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 Encrypt - 使用对称主密钥加密明文 Decrypt - 解密密文 GenerateDataKey - 生成一个数据密钥 GenerateDataKeyWithoutPlaintext - 生成一个数据密钥，不需返回数据密钥明文内容。	使用对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 AdvanceEncrypt AdvanceDecrypt AdvanceGenerateDataKey Encrypt Decrypt GenerateDataKey	2000	4000	6000
处理非对称算法	使用非对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 AsymmetricEncrypt - 使用非对称密钥进行加密 AsymmetricDecrypt - 使用非对称密钥进行解密 AsymmetricSign - 使用非对称密钥进行签名 AsymmetricVerify - 使用非对称密钥进行验签	使用非对称密钥对数据进行加密解密、生成数据密钥等操作。列表中的API接口共享这一组配额。 Encrypt Decrypt Sign Verify	300	500	700
获取公钥	获取指定非对称密钥的公钥。 GetPublicKey - 获取非对称密钥公钥	获取指定非对称密钥的公钥。 GetPublicKey	2000	4000	6000
使用凭据	获取凭据值。 GetSecretValue - 获取凭据值	获取凭据值。 GetSecretValue	1000	2000	3000
生成随机数	不涉及	生成一个随机数。 GenerateRandom	2000	4000	6000
生成数据密钥对	不涉及	生成数据密钥对。列表中的API接口共享这一组配额。 GenerateDataKeyPair GenerateDataKeyPairWithoutPlaintext AdvanceGenerateDataKeyPair AdvanceGenerateDataKeyPairWithoutPlaintext	1	1	1