制限
AWS KMS リソースには、各リージョンおよび各 AWS アカウントに適用される制限があります。一部の制限は、すべてのリソースに適用されます。その他は作成するリソースのみに適用されますが、アカウントで AWS サービスが作成するリソースには適用されません。使用するリソースは、AWS 所有の CMK などの AWS アカウントには含まれていませんが、これらの制限にはカウントされません。
このトピックでは、AWS KMS リソースの制限と AWS KMS API オペレーションのレート制限について説明します。また、サービスクォータ でほとんどの AWS リージョンの AWS KMS 制限を表示することもできます。サービスクォータ コンソール、または ListServiceQuotas および GetServiceQuota API オペレーションを使用します。詳細については、サービスクォータ ユーザーガイドの「サービスクォータの表示」を参照してください。
重要
これらの制限を超える必要がある場合は、サービスクォータ の制限の引き上げをリクエストできます。サービスクォータ コンソールまたは RequestServiceQuotaIncrease API を使用します。詳細については、サービスクォータ ユーザーガイドの「クォータ増加のリクエスト」を参照してください。AWS リージョンで AWS KMS の サービスクォータ が利用できない場合は、AWS サポート センターにアクセスしてケースを作成してください。
| リソース | デフォルトの制限 | 適用先 |
|---|---|---|
| カスタマーマスターキー (CMK) | 10,000 | カスタマー管理の CMK |
| エイリアス | 10,000 | カスタマー作成のエイリアス |
| CMK あたりの許可 | 10,000 | カスタマー管理の CMK |
| CMK キーあたりの特定のプリンシパルの権限 | 500 |
カスタマー管理の CMK AWS 管理の CMK |
| キーポリシードキュメントのサイズ | 32 KB (32,768 バイト) |
カスタマー管理の CMK AWS 管理の CMK |
| 1 秒あたりのリクエスト | API オペレーションによって異なります。表を参照してください。 |
カスタマー管理の CMK AWS 管理の CMK |
注記
1 秒あたりのリクエスト数の制限を超えている場合は、AWS 暗号化 SDK のデータキーキャッシュ機能の使用を検討してください。すべての暗号化操作に対して新しいデータキーをリクエストする代わりに、データキーを再利用することで、AWS KMS へのリクエストの頻度が低下することがあります。
カスタマーマスターキー (CMK): 10,000
AWS アカウントのリージョンごとに最大 1,000 個のカスタマー管理の CMK を設定できます。この制限は、キーの状態にかかわらず、すべてのカスタマー管理 CMK に適用されます。AWS 管理の CMK とAWS が所有する CMK はこの制限には含まれません。AWS リージョンでさらに多くの CMK をリクエストするには、サービスクォータ を使用します。AWS リージョンで AWS KMS の サービスクォータ が利用できない場合は、AWS サポート センターにアクセスしてケースを作成してください。
ただし、AWS マネジメントコンソール から大量の CMK を管理すると、パフォーマンスが許容できる速度を下回る可能性があります。リージョンに大量の CMK がある場合は、AWS SDK または AWS コマンドラインツールによりプログラムで管理することをお勧めします。
エイリアス: 10,000
アカウントのリージョンごとに最大 10,000 個のエイリアスを作成できます。アカウントで AWS が作成するエイリアス (aws/<service-name> など) は、この制限に含まれません。
エイリアスとは、CMK にマッピングできる表示名です。各エイリアスは 1 つの CMK だけにマッピングされ、複数のエイリアスを同じ CMK にマッピングできます。
サービスクォータ を使用したり、AWS サポート センターでケースを作成したりするなどして、CMK の制限を引き上げる場合は、エイリアス数の引き上げもリクエストしなければならない場合があります。
CMK あたりの許可: 10,000
各カスタマー管理の CMK は、AWS KMS と統合される AWS サービスによって作成される権限を含めて、最大 10,000 個の権限を持つことができます。この制限は、AWS 管理の CMK には適用されません。
この制限の 1 つの効果は、同じ CMK を同時に使用する 10,000 を超える許可されたオペレーションを実行できないことです。この制限に達した場合、アクティブな許可がリタイアまたは取り消された場合にのみ、CMK で新しい許可を作成できます。
たとえば、Amazon Elastic Block Store (Amazon EBS) は、各 Amazon EBS ボリュームのデータキーを復号するアクセス許可に別個の許可を使用します。したがって、特定の CMK を使用する 10,000 を超える Amazon EBS ボリュームを一度に Amazon EC2 インスタンスにアタッチすることはできません。
権限付与はキーポリシーに代わるものです。これは、特定の許可のための高度なメカニズムです。
各許可は 1 つの CMK にアタッチされます。この許可には、CMK、CMK の ID、および非付与者が実行できるオペレーションのリストを使用する許可を受けるプリンシパルが含まれます。ユーザーまたは AWS KMS に統合された AWS サービスは、非付与者がいつ、どのように CMK を使用できるかを決定する権限を使用できます。
CMK キーあたりの特定のプリンシパルの権限: 500
特定の CMK について、最大 500 個の権限で、同じ非付与者プリンシパルを指定できます。この制限は、AWS 管理の CMK を含むすべての CMK に適用されます。
たとえば、複数の Amazon EBS ボリュームを暗号化し、1 つの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチすることがあります。暗号化された各ボリュームに一意なアクセス権限が作成され、これらのすべての許可には同じ被付与者プリンシパル (EC2 インスタンスと関連付けられた、IAM が引き受けたロールユーザー) があります。各許可は、指定された CMK を使用して EBS ボリュームの一意のデータ暗号化キーを復号化するアクセス権限を付与します。CMK ごとに、同じ EC2 インスタンスを被付与者プリンシパルとして指定する、最大 500 個の権限を持つことができます。これは実質的に、特定の CMK の EC2 インスタンスごとに、暗号化された EBS ボリュームを 500 個より多く作成できないことを意味します。
キーポリシードキュメントのサイズ: 32 KB
各キーポリシードキュメントの最大長は 32 KB (32,768 バイト) です。ドキュメントがこの長さを超えた場合、キーポリシードキュメントを使用してキーポリシーを設定または変更するオペレーションは失敗します。この制限を超えた場合は、サービスクォータ を使用して制限の引き上げを申請することができます。AWS リージョンで AWS KMS の サービスクォータ が利用できない場合は、AWS サポート センターにアクセスしてケースを作成してください。
キーポリシードキュメントは JSON 形式のポリシーステートメントの集合です。キーポリシードキュメントのステートメントは、CMK の使用を許可されているユーザーとその使用方法を決定します。CMK へのアクセスをコントロールするために IAM のポリシーとアクセス許可を使用することもできますが、すべての CMK にはキーポリシードキュメントが必要です。
AWS マネジメントコンソール の デフォルトビューまたはポリシービューを使用するか、PutKeyPolicy API オペレーションを使用して、キーポリシードキュメントを作成できます。これらの方法のいずれもキーポリシードキュメントに基づきます。
1 秒あたりのリクエスト数: 可変
AWS KMS は、API オペレーションに合わせて、さまざまな制限で API リクエストを調整します。スロットルとは、1 秒あたりのリクエスト数制限を超えたことにより、AWS
KMS が有効なリクエストを拒否することを意味します。リクエストが抑制調整されると、AWS KMS は ThrottlingException エラーを返します。以下の表に示しているのは、各 API オペレーションと、AWS KMS がそのオペレーションに合わせてリクエストを調整するポイントです。
この制限は、AWS 管理の CMK を含むすべての CMK に適用されます。
注記
この制限を超えた場合は、サービスクォータ を使用して制限の引き上げを申請することができます。 AWS リージョンで AWS KMS の サービスクォータ が利用できない場合は、AWS サポート センターにアクセスしてケースを作成してください。
GenerateDataKey API オペレーションの 1 秒あたりのリクエスト数の制限を超えている場合は、AWS 暗号化 SDK のデータキーキャッシュ機能の使用を検討してください。データキーを再利用することで、AWS KMS へのリクエストの頻度が低下することがあります。
共有される制限
次の表の 1 行目の API オペレーションでは、1 秒あたりのリクエスト数の 5,500 件 (または 10,000 件) の制限を共有しています。たとえば、共有される制限が
1 秒あたり 5,500 件のリクエストで、1 秒あたり 3,000 件の GenerateDataKey リクエストと 1 秒あたり 1,000 件の Decrypt リクエストを行う場合、AWS KMS はリクエストを調整しません。ただし、1 秒あたり 5,000 件の GenerateDataKey と 1,000 件の Encrypt のリクエストを行うと、AWS KMS はリクエストを調整します。これは、共有される制限内のオペレーションで 1 秒あたり 5,500 件を超えるリクエストを実行したためです。
残りの API オペレーションでは、1 秒あたりのリクエスト数の制限はオペレーションごとに固有です。つまり、制限は共有されません。
ユーザーに代わって API が実行するリクエスト
API が直接リクエストを行うこと、あるいは統合された AWS サービスを使用して、ユーザーに代わって API が AWS KMS にリクエストを行うようにできます。制限はどちらの種類のリクエストにも適用されます。
たとえば、AWS KMS (SSE-KMS) でサーバー側の暗号化を使用して、Amazon S3 にデータを保存するとします。SSE-KMS で暗号化された S3
オブジェクトをアップロードまたはダウンロードするたびに、Amazon S3 はユーザーに代わって GenerateDataKey (アップロードの場合) または Decrypt (ダウンロードの場合) リクエストを AWS KMS に対して行います。これらのリクエストは制限に対してカウントされるため、SSE-KMS を使って暗号化された
S3 オブジェクトの 1 秒あたりのアップロード数またはダウンロード数の総数が合計 5,500 件 (または 10,000 件) を超えた場合、AWS KMS はリクエストを調整します。
クロスアカウントリクエスト
1 つの AWS アカウントのアプリケーションが異なるアカウントが所持する CMK を使用する場合、これはクロスアカウントリクエストと呼ばれます。クロスアカウントリクエストでは、AWS KMS は、CMK を所有するアカウントではなく、リクエストを行うアカウントを調整します。たとえば、A アカウントと B アカウントにアプリケーションを所有し、その両方が C アカウントの CMK を使用するとします。この場合、1 秒あたりのリクエスト制限は A アカウントと B アカウントに別々に適用されますが、C アカウントには適用されません。
カスタムキーストアの制限
カスタムキーストアの CMK を使用する暗号化オペレーションでは、単一のカスタムキーストアでのスロットル制限が 1 秒あたり 1,800 オペレーションに設定されています。ただし、この制限が持つ意味は、オペレーションによって異なります。GenerateDataKey や GenerateDataKeyWithoutPlaintext、GenerateRandom といったオペレーションは、Encrypt や Decrypt、ReEncrypt オペレーションのおよそ 3 倍を消費します。
たとえば、Encrypt や Decrypt のオペレーションのみをリクエストしていれば、1 秒あたり約 1,800 オペレーションを実行できます。一方、GenerateDataKey オペレーションを繰り返しリクエストした場合、パフォーマンスは 1 秒あたり約 600 オペレーションになります。GenerateDataKey と Decrypt のオペレーションをおよそ半々の割合で実行した場合、1 秒あたり約 1,200 オペレーションを実行できます。
他の AWS KMS 制限とは異なり、サービスクォータ を使用するか、AWS サポート でケースを作成してこの制限を引き上げることはできません。
注記
カスタムキーストアに関連付けられている AWS CloudHSM クラスターが、カスタムキーストアに関連しないものを含む多数のコマンドを処理している場合、予想よりも低い速度で
AWS KMS ThrottlingException が発生する可能性があります。この問題が発生した場合は、AWS KMS へのリクエストの頻度を下げる、関連のないコマンドの処理を減らす、またはカスタムキーストアに専用の
AWS CloudHSM クラスターを使用するなどの対策を取ります。
各 AWS KMS API オペレーションの 1 秒あたりの制限リクエスト数
| API オペレーション | 1 秒あたりのリクエスト数の制限 |
|---|---|
|
|
5,500 (共有) 以下のリージョンでは 10,000 (共有):
カスタムキーストアごとに 1,800 (共有)。詳細については、「カスタムキーストアの制限」を参照してください。 |
CancelKeyDeletion |
5 |
ConnectCustomKeyStore |
5 |
CreateAlias |
5 |
CreateCustomKeyStore |
5 |
CreateGrant |
50 |
CreateKey |
5 |
DeleteAlias |
5 |
DeleteCustomKeyStore |
5 |
DeleteImportedKeyMaterial |
5 |
DescribeCustomKeyStores |
5 |
DescribeKey |
100 |
DisableKey |
5 |
DisableKeyRotation |
5 |
DisconnectCustomKeyStore |
5 |
EnableKey |
5 |
EnableKeyRotation |
5 |
GetKeyPolicy |
30 |
GetKeyRotationStatus |
30 |
GetParametersForImport |
0.25 (レートが 4 秒あたりで 1 つを超える場合に AWS KMS はリクエストを調整します) |
ImportKeyMaterial |
5 |
ListAliases |
100 |
ListGrants |
100 |
ListKeyPolicies |
100 |
ListKeys |
100 |
ListResourceTags |
100 |
ListRetirableGrants |
5 |
PutKeyPolicy |
5 |
RetireGrant |
15 |
RevokeGrant |
15 |
ScheduleKeyDeletion |
5 |
TagResource |
5 |
UntagResource |
5 |
UpdateAlias |
5 |
UpdateCustomKeyStore |
5 |
UpdateKeyDescription |
5 |
