本文为您介绍密钥管理服务KMS(Key Management Service)的使用限制。

KMS是一个区域化的服务,在不同地域的使用限制相对独立。关于KMS支持的地域,请参见支持的地域

资源配额

KMS设置了资源配额,为您提供快速而具有弹性的服务。某些资源配额只适用于您创建的资源,而不适用于阿里云产品为您创建的资源。如果您使用的资源不属于您的阿里云账号,那么这些资源不会计入相应配额。

如果已达到资源限制,那么创建该资源类型的其他请求会生成Rejected.LimitExceeded错误消息。

下表列出了每个阿里云账号和地域中的KMS资源配额。

资源类型 默认配额 配额说明
用户主密钥(CMK) 200 同一地域内创建的CMK总数
别名 300 同一地域内创建的别名总数
CMK的密钥版本 10000 同一地域内创建的所有CMK中的密钥版本总数

请求配额

KMS对每秒请求的API操作数量设置了配额。超过API请求配额后,KMS会限制请求(即拒绝本来有效的请求),并返回类似以下的错误响应。针对此类可通过重试解决的错误类型,可以在应用中引入请求的退避和重试策略。更多信息,请参见使用指数退避方法对请求错误进行重试

{
  "HttpStatus": 429,
  "Code": "Rejected.Throttling",
  "Message": "QPS Limit Exceeded",
  "RequestId": "e85db688-a2d3-44ca-9790-4259etas154f"
}

下表列出了每个阿里云账号和地域中的KMS请求配额。

表 1. 密钥每秒默认请求配额
CMK的规格 创建操作 密码运算操作 只读操作 写操作
  • Aliyun_AES_256
  • Aliyun_SM4
10 750 20 10
  • RSA_2048
  • RSA_3072
10 200 20 10
  • EC_P256
  • EC_P256K
  • EC_SM2
10 200 20 10

密钥的默认请求配额按照操作类型分组,每一个分组内的所有接口共享这一分组的请求配额。每个分组定义如下:

  • 创建操作:包含CreateKey接口,请参见CreateKey
  • 密码运算操作:包含对应密钥规格支持的密码运算接口,请参见密钥服务接口
  • 只读操作:包含与CMK、别名、CMK标签相关,不改变资源元数据、属性或状态的操作。
  • 写操作:包含与CMK、别名、CMK标签相关,改变资源元数据、属性或状态的操作。