リソースクォータ

AWS KMS は、リソースクォータを設け、すべてのお客様に迅速かつ回復力のあるサービスを提供できるようにします。一部のリソースクォータは、ユーザーが作成したリソースにのみ適用され、AWS のサービスによって作成されたリソースには適用されません。AWS 所有の CMKs など、使用するリソースで、AWS アカウントに含まれていないものは、これらのクォータにはカウントされません。

リソースの上限に達した場合、そのタイプの追加リソースの作成を要求すると、LimitExceededException エラーメッセージが生成されます。

次の表に、各 AWS KMS アカウントとリージョンの AWS リソースクォータとその説明を示します。クォータを超える必要がある場合は、サービスクォータ でクォータの増加をリクエストします。サービスクォータ コンソールまたは RequestServiceQuotaIncrease オペレーションを使用します。詳細については、サービスクォータ ユーザーガイドの「クォータ引き上げのリクエスト」を参照してください。AWS リージョンで AWS KMS の サービスクォータ が利用できない場合は、AWS サポート センターにアクセスしてケースを作成してください。

AWS KMS クォータの引き上げをリクエストする方法については、「AWS KMS クォータの引き上げをリクエストする.」を参照してください。

クォータ名	デフォルト値	Applies to
カスタマーマスターキー (CMKs)	10,000	カスタマー管理の CMKs
リージョンごとのエイリアス	10,000	カスタマー作成のエイリアス
CMK ごとのエイリアス	50	カスタマー作成のエイリアス
あたりの許可 CMK	50,000	カスタマー管理の CMKs
あたりの特定のプリンシパルの権限 CMK	500	カスタマー管理の CMKs AWS 管理の CMKs
キーポリシードキュメントのサイズ	32 KB (32,768 バイト)	カスタマー管理の CMKs AWS 管理の CMKs

リソースクォータに加えて、AWS KMS は クォータのリクエスト を使用してサービスの応答性を確保します。詳細については、「」を参照してください。クォータのリクエスト.

カスタマーマスターキー (CMKs): 10,000

アカウントのリージョンごとに最大 10,000 個のカスタマー管理の CMKs を設定できます。AWSこのクォータは、キーの状態に関係なく、すべての対称およびCMKs非対称カスタマー管理の に適用されます。各 CMK — は、対称または非対称 — が 1 つのリソースであると見なされます。 マネージド AWS および CMKs 所有 は、このクォータにはカウントされません。AWSCMKs

リージョンごとのエイリアス:10,000

アカウントの各 リージョンに最大 10,000 個のエイリアスAWSを作成できます。アカウントで AWS が作成するエイリアス (aws/ など)<service-name>の場合、このクォータにはカウントされません。

クォータを引き上げる場合、リージョンあたりのエイリアス数のカスタマーマスターキー引き上げをリクエストする必要もあります。AWS KMS クォータの引き上げをリクエストする

あたりのエイリアス: 50CMK: 50

各カスタマー管理 に、最大 50 のエイリアスCMKを関連付けることができます。が AWS マネージド AWS に関連付けたエイリアスは、このクォータにカウントされません。CMKsエイリアスを作成または更新するときに、このクォータが発生することがあります。

注記

kms:ResourceAliasesResourceAliases がこのクォータに準拠している場合にのみ有効です。CMKがこのクォータを超える場合、CMK 条件によって CMK の使用が許可されているプリンシパルは、kms:ResourceAliases へのアクセスを拒否されます。CMK

あたりの許可: 50,000CMK: 50,000

各カスタマー管理のCMK は、 と統合される サービスによって作成された権限を含めて、最大 50,000 個の権限を指定できます。AWSAWS KMSこのクォータは、AWS 管理の CMKs または AWS 所有の CMKs. には適用されません。

このクォータの 1 つの効果は、同じ CMK を同時に使用する許可されたオペレーションが 50,000 個を超える場合です。このクォータに達した場合、アクティブな許可がリタイアまたは取り消された場合にのみ、CMK で新しい許可を作成できます。

たとえば、Amazon Elastic Block Store (Amazon EBS) ボリュームを Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチするとき、ボリュームは読めるように復号されます。データを復号するアクセス許可を取得するため、Amazon EBS はボリュームごとに許可を作成します。したがって、すべての Amazon EBS ボリュームで同じ CMK が使用されている場合、一度に 50,000 個を超えるボリュームはアタッチできません。

あたりの特定のプリンシパルの権限: 500CMK: 500

CMK は、同じ被付与者プリンシパルに対して 500 を超える許可を持つことはできません。被付与者プリンシパルは、付与のアクセス許可を取得する ID です。

このクォータは、アカウントで CMK ごとに個別に計算されます。これは、カスタマー管理の CMKs および AWS 管理の CMKs に適用されますが、AWS 所有の CMKs. には適用されません。

注記

ListGrants オペレーションの出力を使用して、同じ被付与者プリンシパルを持つ許可の数を計算するときは注意が必要です。

通常、ListGrants レスポンスの GranteePrincipal フィールドには、許可の被付与者プリンシパルが含まれます。ただし、許可の被付与者プリンシパルが AWS サービスの場合、GranteePrincipal フィールドにはサービスプリンシパルが含まれます。サービスプリンシパルは、複数の異なる被付与者プリンシパルを表す場合があります。

このクォータは、AWS リソースの使用に実際的な影響を与える可能性があります。たとえば、同じ Amazon WorkSpaces で暗号化された 500 回を超える CMK. の起動を防ぐことができます。を起動すると、WorkSpace は Amazon WorkSpaces を復号して使用できるようにする許可を作成します。WorkSpace各 WorkSpace 許可は一意ですが、すべての許可が同じ被付与者プリンシパルを持ちます。

キーポリシードキュメントのサイズ: 32 KB

各キーポリシードキュメントの最大長は 32 KB (32,768 バイト) です。より大きなポリシードキュメントを使用して CMK のキーポリシーを作成または更新すると、オペレーションは失敗します。

キーポリシードキュメントは、JSON 形式のポリシーステートメントのコレクションです。キーポリシードキュメントのステートメントは、CMK の使用を許可されているユーザーとその使用方法を決定します。IAM へのアクセスをコントロールするために CMK のポリシーとアクセス許可を使用することもできますが、すべての CMK にはキーポリシードキュメントが必要です。

キーポリシードキュメントは、 のデフォルトビューまたはポリシービューAWS マネジメントコンソール、あるいは PutKeyPolicy オペレーションを使用してキーポリシーを作成または変更するときに使用します。このクォータは、JSON ステートメントを直接編集しない コンソールでデフォルトビューAWS KMSを使用する場合でも、キーポリシードキュメントに適用されます。