リソースクォータ - AWS Key Management Service

リソースクォータ

AWS KMS は、リソースクォータを設け、すべてのお客様に迅速かつ回復力のあるサービスを提供できるようにします。一部のリソースクォータはユーザーが作成したリソースにのみ適用され、AWS のサービスによって作成されたリソースには適用されません。AWS 所有のキー など、使用するリソースで AWS アカウント に含まれていないものは、これらのクォータにはカウントされません。

リソースの上限を超えた場合、そのタイプの追加リソースの作成をリクエストすると、LimitExceededException エラーメッセージが生成されます。

次の表に、各 AWS アカウント アカウントとリージョンの AWS KMS リソースクォータを一覧表示し、その説明を示します。クォータを超える必要がある場合は、Service Quotas のクォータの増加を要求できます。Service Quotas コンソール または RequestServiceQuotaIncrease オペレーションを使用します。詳細については、Service Quotas ユーザーガイドクォータの引き上げのリクエストを参照してください。AWS KMS の Service Quotas を AWS リージョン で使用できない場合は、AWS Support センターにアクセスして、ケースを作成してください。

AWS KMS クォータの引き上げをリクエストする方法については、「AWS KMS クォータ引き上げのリクエスト」を参照してください。

クォータ名 デフォルト値 Applies to
AWS KMS keys 10,000 カスタマーマネージドキー
KMS キーごとのエイリアス 50 カスタマー作成のエイリアス
KMS キーごとの権限 50,000 カスタマーマネージドキー
キーポリシードキュメントのサイズ 32 KB (32,768 バイト)

カスタマーマネージドキー

AWS マネージドキー

リソースクォータに加えて、AWS KMS はリクエストクォータを使用して、サービスの応答性を確保します。詳細については、「クォータのリクエスト」を参照してください。

AWS KMS keys: 10,000

AWS アカウント の各リージョンで、最大 10,000 個のカスタマーマネージドキーを持つことができます。このクォータはキーステータスに関わらず、すべての対称および非対称カスタマーマネージドキーに適用されます。各 KMS キーは、対称か非対称かに関らず、1 つのリソースと見なされます。AWS マネージドキー および AWS 所有のキー は、このクォータにはカウントされません。

KMS キーごとのエイリアス: 50

最大 50 個のエイリアスを各カスタマーマネージドキーに関連付けることができます。AWS により AWS マネージドキー に関連付けられているエイリアスは、このクォータにはカウントされません。エイリアスを 作成 または 更新 するときに、このクォータが発生することがあります。

注記

kms:ResourceAliases 条件は、KMS キーがこのクォータに適合している場合にのみ有効です。KMS キーがこのクォータを超えると、KMS キーを kms:ResourceAliases 条件で使用するよう認可されたプリンシパルは、KMS キーへのアクセスを拒否されます。詳細については、「エイリアスクォータによりアクセスが拒否された」を参照してください。

KMS キークォータごとのエイリアスは、AWS アカウント で各リージョンのエイリアスの合計数を制限するリージョンクォータごとのエイリアスに取って代わります。AWS KMS では、リージョンクォータごとのエイリアスが排除されました。

KMS キーあたりの権限: 50,000

カスタマーマネージドキーは、AWS KMS と統合されている AWS サービスによって作成される権限を含めて、最大 50,000 個の権限を持つことができます。このクォータは、AWS マネージドキー または AWS 所有のキー には適用されません。

このクォータの効果の 1 つは、同じ KMS キーを同時に使用する 50,000 を超える許可されたオペレーションを実行できないことです。このクォータ到達後は、アクティブな権限が使用停止または取り消しになった場合にのみ、KMS キーで新しい権限を作成できます。

例えば、Amazon Elastic Block Store(Amazon EBS)ボリュームを Amazon Elastic Compute Cloud(Amazon EC2)インスタンスにアタッチすると、ボリュームは復号化され、読めるようになります。データを復号化する許可を得るために、Amazon EBS は各ボリュームに対して許可を作成します。したがって、すべての Amazon EBS ボリュームが同じ KMS キーを使用する場合、一度に 50,000 を超えるボリュームをアタッチすることはできません。

キーポリシードキュメントのサイズ: 32 KB

キーポリシードキュメントの最大長は 32 KB (32,768 バイト) です。より大きなポリシードキュメントを使用して KMS キーのキーポリシーを作成または更新すると、オペレーションは失敗します。

他の AWS KMS クォータとは異なり、このクォータは調整できません。Service Quotas を使用したり、AWS Support でケースを作成したりして、この値を増やすことはできません。キーポリシーが制限に近づいている場合は、ポリシーステートメントの代わりに権限の使用を検討してください。権限は、一時的または特定のアクセス許可に特に適しています。

キーポリシードキュメントは、AWS Management Console のデフォルトビューまたはポリシービューあるいは PutKeyPolicy オペレーションを使用して、キーポリシーを作成または変更する際に必ず使用します。このクォータは、JSON ステートメントを直接編集しない AWS KMS コンソールでデフォルトビューを使用する場合にも、キーポリシードキュメントに適用されます。