本文为您介绍密钥管理服务KMS(Key Management Service)的使用限制。

KMS是一个区域化的服务,在不同地域的使用限制相对独立。KMS支持的地域详情,请参见请求结构

资源配额

KMS设置了资源配额,为您提供快速而具有弹性的服务。某些资源配额只适用于您创建的资源,而不适用于阿里云产品为您创建的资源。如果您使用的资源不属于您的云账户,那么这些资源不会计入相应配额。

如果已达到资源限制,那么创建该资源类型的其他请求会生成Rejected.LimitExceeded错误消息。

下表列出了每个阿里云账户和地域中的KMS资源配额。如果您有提高数量限制的需求,可以提交工单申请。

资源类型 默认配额 配额说明
用户主密钥(CMK) 200 同一地域内创建的CMK总数
别名 300 同一地域内创建的别名总数
CMK的密钥版本 10000 同一地域内创建的所有CMK中的密钥版本总数

请求配额

KMS对每秒请求的API操作数量设置了配额。超过API请求配额后,KMS会限制请求(即拒绝本来有效的请求),并返回类似以下的错误响应。针对此类可通过重试解决的错误类型,可以在应用中引入请求的退避和重试策略,详情请参见使用指数退避方法对请求错误进行重试

{
  "HttpStatus": 429
  "Code": "Rejected.Throttling"
  "Message": "QPS Limit Exceeded"
  "RequestId": "e85db688-a2d3-44ca-9790-4259********"
}

下表列出了每个阿里云账户和地域中的KMS请求配额。如果您有提高数量限制的需求,可以提交工单申请。

表 1. 密钥每秒默认请求配额
CMK的规格 创建操作 密码运算操作 只读操作 写操作

Aliyun_AES_256

Aliyun_SM4

10 750 20 10

RSA_2048

10 200 20 10

EC_P256

EC_P256K

EC_SM2

10 200 20 10
说明 密钥的默认请求配额按照操作类型分组,每一个分组内的所有接口共享这一分组的请求配额。每个分组定义如下:
  • 创建操作:包含CreateKey接口,请参见CreateKey
  • 密码运算操作:包含对应密钥规格支持的密码运算接口,请参见密码运算
  • 只读操作:包含与CMK、别名、CMK标签相关,不改变资源元数据、属性或状态的操作。
  • 写操作:包含与CMK、别名、CMK标签相关,改变资源元数据、属性或状态的操作。