リソースクォータ

AWS KMS は、リソースクォータを設け、すべてのお客様に迅速かつ回復力のあるサービスを提供できるようにします。一部のリソースクォータは、ユーザーが作成したリソースにのみ適用され、AWS のサービスによって作成されたリソースには適用されません。使用しているが、AWSアカウントにはないリソース。 AWS所有 CMKs、これらのクォータにはカウントしないでください。

リソースの上限に達した場合、そのタイプの追加リソースの作成を要求すると、LimitExceededException エラーメッセージが生成されます。

次の表に、各 AWS アカウントとリージョンの AWS KMS リソースクォータとその説明を示します。クォータを超える必要がある場合は、サービスクォータ でクォータの増加をリクエストします。サービスクォータ コンソールまたは RequestServiceQuotaIncrease オペレーションを使用します。詳細については、サービスクォータ ユーザーガイドの「クォータ引き上げのリクエスト」を参照してください。AWS リージョンで AWS KMS の サービスクォータ が利用できない場合は、AWS サポート センターにアクセスしてケースを作成してください。

AWS KMS クォータの引き上げをリクエストする方法については、「AWS KMS クォータの引き上げをリクエストする」を参照してください。

クォータ名	デフォルト値	適用先
カスタマーマスターキー (CMKs)	10,000*	顧客管理 CMKs
地域ごとの別名	10,000*	カスタマー作成のエイリアス
CMKあたりのエイリアス数	(50)	カスタマー作成のエイリアス
付与額 CMK	10,000*	顧客管理 CMKs
年1回、所定の元金に対する助成金 CMK	500**	顧客管理 CMKs AWS 管理 CMKs
キーポリシードキュメントのサイズ	32 KB (32,768 バイト)	顧客管理 CMKs AWS 管理 CMKs

リソースクォータに加えて、AWS KMS は クォータのリクエスト を使用してサービスの応答性を確保します。詳細については、「クォータのリクエスト」を参照してください。

カスタマーマスターキー (CMKs): 10.000

10.000人まで 顧客管理 CMKs 地域ごとに AWS アカウント。このクォータはすべての 対称 および 非対称 顧客管理 CMKs 関係なく キー状態. 各 CMK — 対称か非対称か — は 1 つのリソースと見なされます。 AWS 管理 CMKs および AWS 所有 CMKs このクォータにはカウントされません。

地域ごとの別名: 10,000*

最大10.000個まで作成できます。 エイリアス それぞれに AWS アカウントの地域。エイリアス AWS がアカウント内に作成(aws/<service-name>、このクォータにはカウントしません。

スコアを カスタマーマスターキー クォータまた、 昇給をリクエストする 地域クォータごとのエイリアス。

あたりのエイリアス数 CMK: (50)

50人まで関連付けることができます エイリアス それぞれに 顧客管理 CMK. エイリアス AWS のアソシエイト AWS 管理 CMKs このクォータにはカウントされません。この割当は、 作成 または 更新 エイリアス。

付与額 CMK: 10,000*

各 顧客管理 CMK 最大10.000個まで 助成金作成権限を含む AWS 統合されたサービス AWS KMS. このクォータは以下には適用されません。 AWS 管理 CMKs または AWS 所有 CMKs.

このクォータの1つの効果は、同じクォータを使用する1万件を超える権限のある操作を実行できないことです。 CMK 同時に行います。クォータに達したら、 CMK アクティブな付与が失効または取り消された場合のみ。

たとえば、Amazon Elastic Block Store (Amazon EBS) ボリュームを Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチするとき、ボリュームは読めるように復号されます。データを復号するアクセス許可を取得するため、Amazon EBS はボリュームごとに許可を作成します。ただし、1件の交付金は1件につき10.000件までです。 CMK. したがって、 Amazon EBS ボリュームは同じ CMK一度に10.000を超えるボリュームを接続することはできません。

年1回、所定の元金に対する助成金 CMK: 500**

A CMK 同じ被供与者の元本に対して500件を超える交付金を供与することはできません。被付与者プリンシパルは、付与のアクセス許可を取得する ID です。

このクォータは、 CMK 確認することができます。以下に適用されます。 顧客管理 CMKs および AWS 管理 CMKs、ただし、 AWS所有 CMKs.

注記

ListGrants オペレーションの出力を使用して、同じ被付与者プリンシパルを持つ権限の数を計算するときは、注意してください。

通常、ListGrants レスポンスの GranteePrincipal フィールドには、許可の被付与者プリンシパルが含まれます。ただし、許可の被付与者プリンシパルが AWS サービスの場合、GranteePrincipal フィールドにはサービスプリンシパルが含まれます。サービスプリンシパルは、複数の異なる被付与者プリンシパルを表す場合があります。

このクォータは、AWS リソースの使用に実際的な影響を与える可能性があります。たとえば、500以上の Amazon WorkSpaces 暗号化されています。 CMK. WorkSpace を起動すると、Amazon WorkSpaces は WorkSpace を復号して使用できるようにする許可を作成します。各 WorkSpace の許可は一意ですが、すべての許可が同じ被付与者プリンシパルを持ちます。

キーポリシードキュメントのサイズ 32 KB

各キーポリシードキュメントの最大長は 32 KB (32,768 バイト) です。大規模なポリシー文書を使用して、 CMK、操作は失敗します。

キーポリシードキュメントは JSON 形式のポリシーステートメントの集合です。重要なポリシー文書内の記述は、 CMK どのように使えるかを考えます また、 IAM ポリシーと権限を使用して、 CMK、ただし CMK 重要なポリシー文書が必要です。

キーポリシードキュメントは、AWS マネジメントコンソール のデフォルトのビューまたはポリシービュー、または PutKeyPolicy オペレーションを使用してキーポリシーを作成または変更するときに使用します。このクォータは、JSON ステートメントを直接編集しない AWS KMS コンソールでデフォルトビューを使用する場合でも、キーポリシードキュメントに適用されます。