リソースクォータ
AWS KMS は、リソースクォータを設け、すべてのお客様に迅速かつ回復力のあるサービスを提供できるようにします。一部のリソースクォータはユーザーが作成したリソースにのみ適用され、AWS のサービスによって作成されたリソースには適用されません。AWS 所有のキー など、使用するリソースで AWS アカウント に含まれていないものは、これらのクォータにはカウントされません。
リソースの上限を超えた場合、そのタイプの追加リソースの作成をリクエストすると、LimitExceededException
エラーメッセージが生成されます。
次の表に、各 AWS アカウント アカウントとリージョンの AWS KMS リソースクォータを一覧表示し、その説明を示します。クォータを超える必要がある場合は、Service Quotas のクォータの増加を要求できます。Service Quotas コンソール
AWS KMS クォータの引き上げをリクエストする方法については、「AWS KMS クォータ引き上げのリクエスト」を参照してください。
クォータ名 | デフォルト値 | Applies to |
---|---|---|
AWS KMS keys | 10,000 | カスタマーマネージドキー |
KMS キーごとのエイリアス | 50 | カスタマー作成のエイリアス |
KMS キーごとの権限 | 50,000 | カスタマーマネージドキー |
キーポリシードキュメントのサイズ | 32 KB (32,768 バイト) |
カスタマーマネージドキー AWS マネージドキー |
リソースクォータに加えて、AWS KMS はリクエストクォータを使用して、サービスの応答性を確保します。詳細については、「クォータのリクエスト」を参照してください。
AWS KMS keys: 10,000
AWS アカウント の各リージョンで、最大 10,000 個のカスタマーマネージドキーを持つことができます。このクォータはキーステータスに関わらず、すべての対称および非対称カスタマーマネージドキーに適用されます。各 KMS キーは、対称か非対称かに関らず、1 つのリソースと見なされます。AWS マネージドキー および AWS 所有のキー は、このクォータにはカウントされません。
KMS キーごとのエイリアス: 50
最大 50 個のエイリアスを各カスタマーマネージドキーに関連付けることができます。AWS により AWS マネージドキー に関連付けられているエイリアスは、このクォータにはカウントされません。エイリアスを 作成 または 更新 するときに、このクォータが発生することがあります。
kms:ResourceAliases 条件は、KMS キーがこのクォータに適合している場合にのみ有効です。KMS キーがこのクォータを超えると、KMS キーを kms:ResourceAliases
条件で使用するよう認可されたプリンシパルは、KMS キーへのアクセスを拒否されます。詳細については、「エイリアスクォータによりアクセスが拒否された」を参照してください。
KMS キークォータごとのエイリアスは、AWS アカウント で各リージョンのエイリアスの合計数を制限するリージョンクォータごとのエイリアスに取って代わります。AWS KMS では、リージョンクォータごとのエイリアスが排除されました。
KMS キーあたりの権限: 50,000
各カスタマーマネージドキーは、AWS KMS と統合されている AWS サービス
このクォータの効果の 1 つは、同じ KMS キーを同時に使用する 50,000 を超える許可されたオペレーションを実行できないことです。このクォータ到達後は、アクティブな権限が使用停止または取り消しになった場合にのみ、KMS キーで新しい権限を作成できます。
例えば、Amazon Elastic Block Store(Amazon EBS)ボリュームを Amazon Elastic Compute Cloud(Amazon EC2)インスタンスにアタッチすると、ボリュームは復号化され、読めるようになります。データを復号化する許可を得るために、Amazon EBS は各ボリュームに対して許可を作成します。したがって、すべての Amazon EBS ボリュームが同じ KMS キーを使用する場合、一度に 50,000 を超えるボリュームをアタッチすることはできません。
キーポリシードキュメントのサイズ: 32 KB
各キーポリシードキュメントの最大長は 32 KB (32,768 バイト) です。より大きなポリシードキュメントを使用して KMS キーのキーポリシーを作成または更新すると、オペレーションは失敗します。
他の AWS KMS クォータとは異なり、このクォータは調整できません。Service Quotas を使用したり、AWS Support でケースを作成したりして、この値を増やすことはできません。キーポリシーが制限に近づいている場合は、ポリシーステートメントの代わりに権限の使用を検討してください。権限は、一時的または特定のアクセス許可に特に適しています。
キーポリシードキュメントは、AWS Management Console のデフォルトビューまたはポリシービューあるいは PutKeyPolicy オペレーションを使用して、キーポリシーを作成または変更する際に必ず使用します。このクォータは、JSON ステートメントを直接編集しない AWS KMS コンソールでデフォルトビューを使用する場合にも、キーポリシードキュメントに適用されます。