リソースクォータ - AWS Key Management Service

リソースクォータ

AWS KMS は、リソースクォータを設け、すべてのお客様に迅速かつ回復力のあるサービスを提供できるようにします。一部のリソースクォータはユーザーが作成したリソースにのみ適用され、AWS のサービスによって作成されたリソースには適用されません。AWS 所有のキー など、使用するリソースで AWS アカウント に含まれていないものは、これらのクォータにはカウントされません。

リソースの上限を超えた場合、そのタイプの追加リソースの作成をリクエストすると、LimitExceededException エラーメッセージが生成されます。

すべての AWS KMS リソースクォータは、キーポリシードキュメントのサイズクォータを除いて、調整可能です。クォータの引き上げをリクエストするには、Service Quotas コンソール、または RequestServiceQuotaIncrease オペレーションを使用します。手順については、「AWS KMS クォータ引き上げのリクエスト」を参照してください。詳細については、「Service Quotas ユーザーガイド」の「クォータの引き上げのリクエスト」を参照してください。AWS KMS の Service Quotas を AWS リージョン で使用できない場合は、AWS Support センターにアクセスして、ケースを作成してください。

次の表に、各 AWS アカウント アカウントとリージョンの AWS KMS リソースクォータを一覧表示し、その説明を示します。

クォータ名 デフォルト値 適用先
AWS KMS keys 100,000 カスタマーマネージドキー
KMS キーごとのエイリアス 50 カスタマー作成のエイリアス
KMS キーごとのグラント 50,000 カスタマーマネージドキー
キーポリシードキュメントのサイズ 32 KB (32,768 バイト)

カスタマーマネージドキー

AWS マネージドキー

リソースクォータに加えて、AWS KMS はリクエストクォータを使用して、サービスの応答性を確保します。詳細については、「クォータのリクエスト」を参照してください。

AWS KMS keys: 100,000

AWS アカウント の各リージョンで、最大 100,000 個のカスタマーマネージドキーを持つことができます。このクォータは、キー仕様またはキーステータスに関係なく、すべての AWS リージョン ですべてのカスタマー管理キーに適用されます。各 KMS キーは、対称か非対称かに関らず、1 つのリソースと見なされます。AWS マネージドキー および AWS 所有のキー は、このクォータにはカウントされません。

KMS キーごとのエイリアス: 50

最大 50 個のエイリアスを各カスタマーマネージドキーに関連付けることができます。AWS により AWS マネージドキー に関連付けられているエイリアスは、このクォータにはカウントされません。エイリアスを作成または更新するときに、このクォータが発生することがあります。

注記

kms:ResourceAliases 条件は、KMS キーがこのクォータに適合している場合にのみ有効です。KMS キーがこのクォータを超えると、KMS キーを kms:ResourceAliases 条件で使用するよう認可されたプリンシパルは、KMS キーへのアクセスを拒否されます。詳細については、「エイリアスクォータによりアクセスが拒否された」を参照してください。

KMS キークォータごとのエイリアスは、AWS アカウント で各リージョンのエイリアスの合計数を制限するリージョンクォータごとのエイリアスに取って代わります。AWS KMS では、リージョンクォータごとのエイリアスが排除されました。

KMS キーあたりのグラント: 50,000

カスタマーマネージドキーは、AWS KMS と統合されている AWS サービスによって作成されるグラントを含めて、最大 50,000 個のグラントを持つことができます。このクォータは、AWS マネージドキー または AWS 所有のキー には適用されません。

このクォータの効果の 1 つは、同じ KMS キーを同時に使用する 50,000 を超える許可されたオペレーションを実行できないことです。このクォータ到達後は、アクティブなグラントが廃止または取り消しになった場合にのみ、KMS キーで新しいグラントを作成できます。

例えば、Amazon Elastic Block Store(Amazon EBS)ボリュームを Amazon Elastic Compute Cloud(Amazon EC2)インスタンスにアタッチすると、ボリュームは復号化され、読めるようになります。データを復号する許可を得るために、Amazon EBS は各ボリュームに対してグラントを作成します。したがって、すべての Amazon EBS ボリュームが同じ KMS キーを使用する場合、一度に 50,000 を超えるボリュームをアタッチすることはできません。

キーポリシードキュメントのサイズ: 32 KB

キーポリシードキュメントの最大長は 32 KB (32,768 バイト) です。より大きなポリシードキュメントを使用して KMS キーのキーポリシーを作成または更新すると、オペレーションは失敗します。

これは調整可能なクォータではありません。Service Quotas を使用したり、AWS Support でケースを作成したりして、この値を増やすことはできません。キーポリシーが制限に近づいている場合は、ポリシーステートメントの代わりにグラントの使用を検討してください。グラントは、一時的または特定のアクセス許可に特に適しています。

キーポリシードキュメントは、AWS Management Console のデフォルトビューまたはポリシービューあるいは PutKeyPolicy オペレーションを使用して、キーポリシーを作成または変更する際に必ず使用します。このクォータは、JSON ステートメントを直接編集しない AWS KMS コンソールでデフォルトビューを使用する場合にも、キーポリシードキュメントに適用されます。