Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Quotas de ressources
AWS KMS établit des quotas de ressources afin d'être sûr de pouvoir fournir un service rapide et résilient à tous nos clients. Certains quotas de ressources s'appliquent uniquement aux ressources que vous créez, mais pas aux ressources que les services AWS créent pour vous. Les ressources que vous utilisez, mais qui ne sont pas dans votre Compte AWS, telles que les Clés détenues par AWS, ne sont pas prises en compte dans le calcul de ces quotas.
Si vous avez atteint une limite de ressources, les demandes de création d'une ressource supplémentaire de ce type génèrent un message d'erreur LimitExceededException.
Tous les quotas de ressources AWS KMS sont ajustables, à l'exception du quota de la taille du document de politique de clés. Pour demander une augmentation de quota, consultez Demande d'augmentation de quota dans le Guide de l'utilisateur Service Quotas. Pour demander une réduction de quota, pour modifier un quota qui ne figure pas dans la liste des Service Quotas, ou pour modifier un quota dans une Région AWS où les Service Quotas pour AWS KMS ne sont pas disponibles, rendez-vous dans le Centre AWS Support
Le tableau suivant répertorie et décrit les quotas de ressources AWS KMS dans chaque Compte AWS et région.
| Nom du quota | Valeur par défaut | S’applique à | Ajustable |
|---|---|---|---|
| AWS KMS keys | 100 000 | Clés gérées par le client | Oui |
| Alias par clé KMS | 50 | Alias créés par le client | Oui |
| Octrois par clé KMS | 50 000 | Clés gérées par le client | Oui |
| Taille du document de stratégie de clé | 32 Ko (32 768 octets) |
Clés gérées par le client Clés gérées par AWS |
Non |
| Quota de ressources du magasin de clé personnalisé | 10 | Compte AWS et région | Oui |
En plus des quotas de ressources, AWS KMS utilise des quotas de demandes pour assurer la réactivité du service. Pour plus de détails, veuillez consulter Quotas de demande.
AWS KMS keys :100 000
Vous pouvez avoir jusqu'à 100 000 clés gérées par le client dans chaque région de votre Compte AWS. Ce quota s'applique à toutes les clés gérées par le client dans toutes les Régions AWSindépendamment de leur Spécification de clé ou état de clé. Chaque clé KMS est considérée comme une ressource unique. Les Clés gérées par AWS et Clés détenues par AWS ne sont pas prises en compte dans ce quota.
Alias par clé KMS : 50
Vous pouvez associer jusqu'à 50 alias avec chaque clé gérée par le client. Les alias qu'AWS associe aux Clés gérées par AWS ne sont pas pris en compte dans ce quota. Vous pouvez rencontrer ce quota lorsque vous créez ou mettez à jour un alias.
Note
La ResourceAliases condition kms : n'est effective que lorsque la clé KMS est conforme à ce quota. Si une clé KMS dépasse ce quota, les mandataires autorisés à utiliser la clé KMS par la condition kms:ResourceAliases se voient refuser l'accès à la clé KMS. Pour plus de détails, veuillez consulter Accès refusé en raison d'un quota d'alias.
Le quota d'alias par clé KMS remplace le quota d'alias par région qui limitait le nombre total d'alias dans chaque région d'un Compte AWS. AWS KMS a éliminé le quota d'alias par région.
Octrois par clé KMS : 50 000
Chaque clé gérée par le client peut avoir jusqu'à 50 000 octrois, y compris les octrois créés par les services AWS qui sont intégrés à AWS KMS
L'un des effets de ce quota est que vous ne pouvez pas exécuter plus de 50 000 opérations autorisées par octroi qui utilisent simultanément la même clé KMS. Une fois que vous avez atteint le quota, vous pouvez créer de nouveaux octrois sur la clé KMS uniquement lorsqu'un octroi actif est retiré ou révoqué.
Par exemple, lorsque vous attachez un volume Amazon Elastic Block Store (Amazon EBS) à une instance Amazon Elastic Compute Cloud (Amazon EC2), le volume est déchiffré afin que vous puissiez le lire. Pour obtenir l'autorisation de déchiffrer les données, Amazon EBS crée un octroi pour chaque volume. Par conséquent, si tous vos volumes Amazon EBS utilisent la même clé KMS, vous ne pouvez pas attacher plus de 50 000 volumes en même temps.
Taille du document de stratégie de clé : 32 Ko
La longueur maximale de chaque document de stratégie de clé est 32 Ko (32 768 octets). Si vous utilisez un document de stratégie plus volumineux pour créer ou mettre à jour la stratégie d'une clé KMS, l'opération échoue.
Il ne s'agit pas d'un quota ajustable. Vous ne pouvez pas l'augmenter en utilisant Service Quotas ou en créant une requête dans AWS Support. Si votre stratégie de clé approche de la limite, envisagez d'utiliser les octrois plutôt que des instructions de stratégie. Les subventions sont particulièrement bien adaptées aux autorisations temporaires ou très spécifiques.
Vous utilisez un document de politique clé chaque fois que vous créez ou modifiez une politique clé en utilisant la vue ou la vue de stratégie par défaut dans l'AWS Management Consoleopération ou dans l'PutKeyPolicyopération. Cette limite s'applique à votre document de stratégie de clé, même si vous utilisez la vue par défaut dans la console AWS KMS, où vous ne modifiez pas directement les instructions JSON.
Quota de ressources des magasins de clés personnalisés : 10
Vous pouvez créer jusqu'à 10 magasins de clés personnalisés dans chaque Compte AWS et région. Si vous essayez d'en créer d'autres, l'CreateCustomKeyStoreopération échoue.
Ce quota s'applique au nombre total de magasins de clés personnalisés dans chaque compte et région, y compris tous les magasins de clés AWS CloudHSM et les magasins de clés externes, quel que soit leur état de connexion.
