リソースクォータ
AWS KMS は、リソースクォータを設け、すべてのお客様に迅速かつ回復力のあるサービスを提供できるようにします。一部のリソースクォータはユーザーが作成したリソースにのみ適用され、AWS のサービスによって作成されたリソースには適用されません。AWS 所有のキー など、使用するリソースで AWS アカウント に含まれていないものは、これらのクォータにはカウントされません。
リソースの上限を超えた場合、そのタイプの追加リソースの作成をリクエストすると、LimitExceededException
エラーメッセージが生成されます。
すべての AWS KMS リソースクォータは、キーポリシードキュメントサイズのクォータとカスタムキーストアのリソースクォータを除いて完全に調整可能です。クォータの引き上げをリクエストするには、「Service Quotas ユーザーガイド」の「Requesting a quota increase」(クォータ引き上げリクエスト) を参照してください。クォータの引き下げリクエスト、Service Quotas に一覧表示されていないクォータの変更、AWS KMS の Service Quotas を使用できない AWS リージョン のクォータの変更を行うには、AWS Support センター
次の表に、各 AWS アカウント アカウントとリージョンの AWS KMS リソースクォータを一覧表示し、その説明を示します。
クォータ名 | デフォルト値 | 適用先 | 調整可能 |
---|---|---|---|
AWS KMS keys | 100,000 | カスタマーマネージドキー | はい |
KMS キーごとのエイリアス | 50 | カスタマー作成のエイリアス | はい |
KMS キーごとのグラント | 50,000 | カスタマーマネージドキー | はい |
キーポリシードキュメントのサイズ | 32 KB (32,768 バイト) |
カスタマーマネージドキー AWS マネージドキー |
いいえ |
カスタムキーストアのリソースクォータ | 10 | AWS アカウント とリージョン | いいえ |
リソースクォータに加えて、AWS KMS はリクエストクォータを使用して、サービスの応答性を確保します。詳細については、「クォータのリクエスト」を参照してください。
AWS KMS keys: 100,000
AWS アカウント の各リージョンで、最大 100,000 個のカスタマーマネージドキーを持つことができます。このクォータは、キー仕様またはキーステータスに関係なく、すべての AWS リージョン ですべてのカスタマー管理キーに適用されます。各 KMS キーは 1 つのリソースと見なされます。AWS マネージドキー および AWS 所有のキー はこのクォータにはカウントされません。
KMS キーごとのエイリアス: 50
最大 50 個のエイリアスを各カスタマーマネージドキーに関連付けることができます。AWS により AWS マネージドキー に関連付けられているエイリアスは、このクォータにはカウントされません。エイリアスを作成または更新するときに、このクォータが発生することがあります。
kms:ResourceAliases 条件は、KMS キーがこのクォータに適合している場合にのみ有効です。KMS キーがこのクォータを超えると、KMS キーを kms:ResourceAliases
条件で使用するよう認可されたプリンシパルは、KMS キーへのアクセスを拒否されます。詳細については、「エイリアスクォータによりアクセスが拒否された」を参照してください。
KMS キークォータごとのエイリアスは、AWS アカウント で各リージョンのエイリアスの合計数を制限するリージョンクォータごとのエイリアスに取って代わります。AWS KMS では、リージョンクォータごとのエイリアスが排除されました。
KMS キーあたりのグラント: 50,000
各カスタマーマネージドキーは、AWS KMS と統合されている AWS サービス
このクォータの効果の 1 つは、同じ KMS キーを同時に使用する 50,000 を超える許可されたオペレーションを実行できないことです。このクォータ到達後は、アクティブなグラントが廃止または取り消しになった場合にのみ、KMS キーで新しいグラントを作成できます。
例えば、Amazon Elastic Block Store(Amazon EBS)ボリュームを Amazon Elastic Compute Cloud(Amazon EC2)インスタンスにアタッチすると、ボリュームは復号化され、読めるようになります。データを復号する許可を得るために、Amazon EBS は各ボリュームに対してグラントを作成します。したがって、すべての Amazon EBS ボリュームが同じ KMS キーを使用する場合、一度に 50,000 を超えるボリュームをアタッチすることはできません。
キーポリシードキュメントのサイズ: 32 KB
各キーポリシードキュメントの最大長は 32 KB (32,768 バイト) です。より大きなポリシードキュメントを使用して KMS キーのキーポリシーを作成または更新すると、オペレーションは失敗します。
これは調整可能なクォータではありません。Service Quotas を使用したり、AWS Support でケースを作成したりして、この値を増やすことはできません。キーポリシーが制限に近づいている場合は、ポリシーステートメントの代わりにグラントの使用を検討してください。グラントは、一時的または特定のアクセス許可に特に適しています。
キーポリシードキュメントは、AWS Management Console のデフォルトビューまたはポリシービューあるいは PutKeyPolicy オペレーションを使用して、キーポリシーを作成または変更する際に必ず使用します。このクォータは、JSON ステートメントを直接編集しない AWS KMS コンソールでデフォルトビューを使用する場合にも、キーポリシードキュメントに適用されます。
カスタムキーストアのリソースクォータ: 10
各 AWS アカウント とリージョンに最大 10 のカスタムキーストアを作成できます。さらに作成しようとすると、CreateCustomKeyStore オペレーションは失敗します。
このクォータは、接続状態に関わりなく、すべての AWS CloudHSM キーストア と 外部キーストアを含む、各アカウントとリージョンのカスタムキーストアの合計数に適用されます。
これは調整可能なクォータではありません。Service Quotas を使用したり、AWS Support でケースを作成したりして、この値を増やすことはできません。カスタムキーストアのすべてを使用していない場合は、未使用で長い間切断されているカスタムキーストアを削除することを検討してください。削除する前に、カスタムキーストアで削除するいずれの KMS キーも暗号文の復号に不要であることを確認します。