Cotas de recurso - AWS Key Management Service

Cotas de recurso

AWS KMSO estabelece cotas de recurso para garantir que ele possa fornecer um serviço rápido e resiliente a todos os nossos clientes. Algumas cotas de recursos se aplicam apenas aos recursos criados por você, mas não aos recursos criados pelos serviços da AWS. Os recursos que você usa, mas que não estão na sua Conta da AWS , como o chaves de propriedade da AWS , não contam em relação a essas cotas.

Se você exceder um limite de recurso, as solicitações para criar um recurso adicional desse tipo geram uma mensagem de erro LimitExceededException.

A tabela a seguir lista e descreve as cotas de recursos do AWS KMS em cada Conta da AWS e região. Se precisar exceder uma cota, solicite um aumento de cota no Service Quotas. Utilize o console do Service Quotas ou a operação RequestServiceQuotaIncrease. Para detalhes, consulte Solicitar um aumento de cota no Manual do usuário do Service Quotas. Se o Service Quotas para AWS KMS não estiver disponível na sua Região da AWS , visite o Centro de AWS Support e crie um caso.

Para obter ajuda para solicitar um aumento de uma cota do AWS KMS, consulte Solicitar um aumento de cota do AWS KMS.

Nome da cota Valor padrão Aplica-se a
AWS KMS keys 10.000 Chaves gerenciadas pelo cliente
Aliases por chave do KMS 50 Aliases criados pelo cliente
Concessões por chave do KMS 50.000 Chaves gerenciadas pelo cliente
Tamanho do documento da política de chaves 32 KB (32.768 bytes)

Chaves gerenciadas pelo cliente

Chaves gerenciadas pela AWS

Além de cotas de recursos, o AWS KMS usa cotas de solicitações para garantir a capacidade de resposta do serviço. Para obter mais detalhes, consulte Cotas de solicitações.

AWS KMS keys: 10.000

Você pode ter até 10.000 chaves gerenciadas pelo cliente em cada região da sua Conta da AWS . Essa cota se aplica a todas as CMKs simétricas e assimétricas gerenciadas pelo cliente, independentemente do estado da chave delas. Cada chave do KMS, seja simétrica ou assimétrica, é considerada um recurso. Chaves gerenciadas pela AWS e chaves de propriedade da AWS não contam para essa cota.

Aliases por chave do KMS: 50

É possível associar até 50 aliases a cada chave gerenciada pelo cliente. Os aliases que a AWS associa a Chaves gerenciadas pela AWS não contam em relação a essa cota. É possível encontrar essa cota ao criar ou atualizar um alias.

nota

A condição KMS:ResourceAlias será efetiva apenas quando a chave do KMS estiver em conformidade com essa cota. Se uma chave do KMS exceder essa cota, as entidades principais autorizadas a usar essa chave pela condição kms:ResourceAliases terão acesso negado a ela. Para obter mais detalhes, consulte Acesso negado devido à cota de aliases.

A cota de Aliases por chave do KMS substitui a cota de Aliases por região que limitava o número total de aliases em cada Região de uma Conta da AWS . O AWS KMS eliminou a cota de Aliases por região.

Concessões por chave do KMS: 50.000

Cada chave gerenciada pelo cliente pode ter até 50.000 concessões, incluindo as concessões criadas pelos serviços da AWS integrados ao AWS KMS. Essa cota não se aplica a Chaves gerenciadas pela AWS ou a chaves de propriedade da AWS .

Um efeito dessa cota é que não é possível executar mais de 50.000 operações autorizadas por concessão que usam a mesma chave do KMS ao mesmo tempo. Depois de atingir a cota, será possível criar concessões na chave do KMS apenas quando uma concessão ativa for retirada ou revogada.

Por exemplo, quando você anexa um volume do Amazon Elastic Block Store (Amazon EBS) a uma instância do Amazon Elastic Compute Cloud (Amazon EC2), o volume é descriptografado para poder ser lido. Para obter permissão para descriptografar os dados, o Amazon EBS cria uma concessão para cada volume. Portanto, se todos os volumes do Amazon EBS usarem a mesma chave do KMS, não será possível anexar mais de 50.000 volumes de uma vez.

Tamanho do documento da política de chaves: 32 KB

O tamanho máximo de cada documento de política de chaves é 32 KB (32.768 bytes). Se você usar um documento de política maior para criar ou atualizar a política de chaves de uma chave do KMS, a operação falhará.

Ao contrário de outras cotas do AWS KMS, essa cota não é ajustável. Não é possível aumentá-la usando o Service Quotas nem criando um caso no AWS Support. Se a política de chave estiver se aproximando do limite, considere o uso de concessões em vez de declarações de política. Concessões são particularmente úteis para permissões temporárias ou extremamente específicas.

Use um documento de política de chaves sempre que criar ou alterar uma política de chaves usando a exibição padrão ou a exibição de política no AWS Management Console ou a operação PutKeyPolicy. Essa cota se aplica ao documento de política de chaves, mesmo se usar a visualização padrão no console do AWS KMS, no qual você não edita as instruções JSON diretamente.