本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資源配額
AWS KMS 建立資源配額,以確保它能夠為所有客戶提供快速而有彈性的服務。某些資源配額僅適用於您建立的資源,而不適用於 AWS 服務為您建立的資源。您使用但並非位於您 AWS 帳戶中的資源 (例如 AWS 擁有的金鑰) 不會計入這些配額中。
如果您已超出資源限制,請求建立該類型的其他資源會產生 LimitExceededException 錯誤訊息。
除了隨需輪替 AWS KMS 資源配額外,所有資源配額均可調整。若要請求提高配額,請參閱《Service Quotas 使用者指南》中的請求提高配額。若要要求減少配額、變更未列在「Service Quotas」中的配額,或變更無法使用「Service Quotas」的 AWS KMS 配額,請造訪AWS Support 中心
下表列出並說明各 AWS 帳戶 區域中的 AWS KMS 資源配額。
| 配額名稱 | 預設值 | 適用對象 | 可調整 |
|---|---|---|---|
| AWS KMS keys | 100,000 | 客戶受管金鑰 | 是 |
| 每個KMS金鑰的別名 | 50 | 客戶建立的別名 | 是 |
| 每個KMS金鑰的授權 | 50,000 | 客戶受管金鑰 | 是 |
| 自訂金鑰存放區資源配額 | 10 | AWS 帳戶 和地區 | 是 |
| 按需旋轉 | 10 | 客戶受管金鑰 | 否 |
除了資源配額之外,還 AWS KMS 會使用要求配額來確保服務的回應速度。如需詳細資訊,請參閱 請求配額。
AWS KMS keys:100,000 個
在您 AWS 帳戶的每個區域,您最多可有 100,000 個客戶受管金鑰。此配額適用於所有 AWS 區域 中所有的客戶受管金鑰,與其金鑰規格或金鑰狀態無關。每個KMS鍵被認為是一個資源。 AWS 受管金鑰並且AWS 擁有的金鑰不要計入此配額。
每個KMS金鑰別名:50
您最多可以將 50 個別名與每個客戶受管金鑰關聯。與 AWS 關聯的別名AWS 受管金鑰不會計入此配額。建立或更新別名時,您可能會遇到此配額。
注意
kms: ResourceAliases 條件只有在金KMS鑰符合此配額時才有效。如果KMS金鑰超出此配額,則授權依據kms:ResourceAliases條件使用KMS金鑰的主參與者會遭到拒絕存取KMS金鑰。如需詳細資訊,請參閱 因別名配額而拒絕存取。
每個KMS索引鍵配額的別名會取代每個區域的別名配額,該配額會限制的每個區域中的別名總數 AWS 帳戶。 AWS KMS 已取消「每個區域的別名」配額。
每個KMS金鑰的授權:5 萬
每個客戶受管金鑰最多可有 50,000 個授予,包括與 AWS KMS整合的AWS 服務
此配額的其中一個影響是,您無法同時執行使用相同KMS金鑰的 50,000 個以上的授權作業。達到配額後,只有當作用中的授權已淘汰或撤銷時,您才能在KMS金鑰上建立新授權。
例如,當您將 Amazon 彈性區塊存放區 (AmazonEBS) 磁碟區連接到 Amazon 彈性運算雲端 (AmazonEC2) 執行個體時,磁碟區會解密,以便您讀取該磁碟區。若要取得解密資料的權限,Amazon EBS 會為每個磁碟區建立授權。因此,如果所有 Amazon EBS 磁碟區都使用相同的KMS金鑰,則一次無法連接超過 50,000 個磁碟區。
自訂金鑰存放區資源配額:10
您可以在每個區域 AWS 帳戶 和區域中建立最多 10 個自訂金鑰存放區。如果您嘗試建立更多,作CreateCustomKeyStore業會失敗。
此配額適用於每個帳戶和區域中自訂金鑰存放區的總數,包括 AWS CloudHSM 金鑰存放區和外部金鑰存放區,無論其連接狀態為何。
按需旋轉:10
每個金鑰最多可以執行 10 次隨選KMS金鑰輪換。如果您嘗試執行更多隨選旋轉,則RotateKeyOnDemand作業會失敗。
此配額不可調整。您無法透過使用「Service Quotas」或在中建立案例來增加它 AWS Support。為了避免達到隨需輪替配額,我們建議盡可能使用自動按鍵輪換。
