リソースクォータ - AWS Key Management Service
AWS KMS keys: 100,000KMS キーごとのエイリアス: 50KMS キーあたりのグラント: 50,000カスタムキーストアのリソースクォータ: 10オンデマンドローテーション: 10

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リソースクォータ

AWS KMS は、リソースクォータを設け、すべてのお客様に迅速かつ回復力のあるサービスを提供できるようにします。一部のリソースクォータはユーザーが作成したリソースにのみ適用され、AWS のサービスによって作成されたリソースには適用されません。AWS 所有のキー など、使用するリソースで AWS アカウント に含まれていないものは、これらのクォータにはカウントされません。

リソースの上限を超えた場合、そのタイプの追加リソースの作成をリクエストすると、LimitExceededException エラーメッセージが生成されます。

オンデマンドローテーションリソースクォータを除き、すべての AWS KMS リソースクォータは調整可能です。クォータの引き上げをリクエストするには、「Service Quotas ユーザーガイド」の「クォータ引き上げリクエスト」を参照してください。クォータの引き下げリクエスト、Service Quotas に一覧表示されていないクォータの変更、AWS KMS の Service Quotas を使用できない AWS リージョン のクォータの変更を行うには、AWS サポート センターにアクセスしてケースを作成します。

次の表に、各 AWS アカウント アカウントとリージョンの AWS KMS リソースクォータを一覧表示し、その説明を示します。

クォータ名 デフォルト値 適用先 調整可能
AWS KMS keys 100,000 カスタマーマネージドキー 可能
KMS キーごとのエイリアス 50 カスタマー作成のエイリアス 可能
KMS キーごとのグラント 50,000 カスタマーマネージドキー 可能
カスタムキーストアのリソースクォータ 10 AWS アカウント とリージョン 可能
オンデマンドローテーション 10 カスタマーマネージドキー 不可

リソースクォータに加えて、AWS KMS はリクエストクォータを使用して、サービスの応答性を確保します。詳細については、「クォータのリクエスト」を参照してください。

AWS KMS keys: 100,000

AWS アカウント の各リージョンで、最大 100,000 個のカスタマーマネージドキーを持つことができます。このクォータは、キー仕様またはキーステータスに関係なく、すべての AWS リージョン ですべてのカスタマー管理キーに適用されます。各 KMS キーは 1 つのリソースと見なされます。AWS マネージドキー および AWS 所有のキー はこのクォータにはカウントされません。

KMS キーごとのエイリアス: 50

最大 50 個のエイリアスを各カスタマーマネージドキーに関連付けることができます。AWS により AWS マネージドキー に関連付けられているエイリアスは、このクォータにはカウントされません。エイリアスを作成または更新するときに、このクォータが発生することがあります。

注記

kms:ResourceAliases 条件は、KMS キーがこのクォータに適合している場合にのみ有効です。KMS キーがこのクォータを超えると、KMS キーを kms:ResourceAliases 条件で使用するよう認可されたプリンシパルは、KMS キーへのアクセスを拒否されます。詳細については、「エイリアスクォータによりアクセスが拒否された」を参照してください。

KMS キークォータごとのエイリアスは、AWS アカウント で各リージョンのエイリアスの合計数を制限するリージョンクォータごとのエイリアスに取って代わります。AWS KMS では、リージョンクォータごとのエイリアスが排除されました。

KMS キーあたりのグラント: 50,000

カスタマーマネージドキーは、AWS KMS と統合されている AWS サービスによって作成されるグラントを含めて、最大 50,000 個のグラントを持つことができます。このクォータは、AWS マネージドキー または AWS 所有のキー には適用されません。

このクォータの効果の 1 つは、同じ KMS キーを同時に使用する 50,000 を超える許可されたオペレーションを実行できないことです。このクォータ到達後は、アクティブなグラントが廃止または取り消しになった場合にのみ、KMS キーで新しいグラントを作成できます。

例えば、Amazon Elastic Block Store(Amazon EBS)ボリュームを Amazon Elastic Compute Cloud(Amazon EC2)インスタンスにアタッチすると、ボリュームは復号化され、読めるようになります。データを復号する許可を得るために、Amazon EBS は各ボリュームに対してグラントを作成します。したがって、すべての Amazon EBS ボリュームが同じ KMS キーを使用する場合、一度に 50,000 を超えるボリュームをアタッチすることはできません。

カスタムキーストアのリソースクォータ: 10

各 AWS アカウント とリージョンに最大 10 のカスタムキーストアを作成できます。さらに作成しようとすると、CreateCustomKeyStore オペレーションは失敗します。

このクォータは、接続状態に関わりなく、すべての AWS CloudHSM キーストア外部キーストアを含む、各アカウントとリージョンのカスタムキーストアの合計数に適用されます。

オンデマンドローテーション: 10

オンデマンドキーローテーションは、1 つの KMS キーごとに最大 10 回実行できます。これより多くのオンデマンドローテーションを実行しようとすると、RotateKeyOnDemand オペレーションは失敗します。

これは調整可能なクォータではありません。Service Quotas を使用したり、AWS サポート でケースを作成したりして、この値を増やすことはできません。オンデマンドローテーションクォータに到達するのを避けるため、可能な限り自動キーローテーションを使用することをお勧めします。