本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資源配額
AWS KMS 會建立資源配額,以確保它可以為所有客戶提供快速且彈性的服務。有些資源配額僅適用於您建立的資源,但不適用於 AWS 服務為您建立的資源。您使用但並非位於您 AWS 帳戶中的資源 (例如 AWS 擁有的金鑰) 不會計入這些配額中。
如果您已超出資源限制,請求建立該類型的其他資源會產生 LimitExceededException
錯誤訊息。
除了隨需輪換 AWS KMS 資源配額之外,所有資源配額皆可調整。 隨需輪換:10若要請求提高配額,請參閱《Service Quotas 使用者指南》中的請求提高配額。若要請求減少配額、變更 Service Quotas 中未列出的配額,或在 AWS KMS 無法使用 AWS 區域 Service Quotas 的 中變更配額,請造訪 AWS 支援 中心
下表列出並說明每個 AWS 帳戶 和 區域中 AWS KMS 的資源配額。
配額名稱 | 預設值 | 適用對象 | 可調整 |
---|---|---|---|
AWS KMS keys | 100,000 | 客戶受管金鑰 | 是 |
每個 KMS 金鑰的別名 | 50 | 客戶建立的別名 | 是 |
每個 KMS 金鑰的授予 | 50,000 | 客戶受管金鑰 | 是 |
自訂金鑰存放區資源配額 | 10 | AWS 帳戶 和 區域 | 是 |
隨需輪換 | 10 | 客戶受管金鑰 | 否 |
除了資源配額之外, AWS KMS 也會使用請求配額來確保服務的回應能力。如需詳細資訊,請參閱 請求配額。
AWS KMS keys:100,000 個
在您 AWS 帳戶的每個區域,您最多可有 100,000 個客戶受管金鑰。此配額適用於所有 AWS 區域 中所有的客戶受管金鑰,與其金鑰規格或金鑰狀態無關。每個 KMS 金鑰都會被視為一個資源。AWS 受管金鑰 和 AWS 擁有的金鑰 不會計入此配額。
每個 KMS 金鑰的別名:50
您最多可以將 50 個別名與每個客戶受管金鑰關聯。與 AWS 關聯的別名AWS 受管金鑰不會計入此配額。建立或更新別名時,您可能會遇到此配額。
注意
僅當 KMS 金鑰符合此配額時,kms:ResourceAliases 條件才會有效。如果 KMS 金鑰超過此配額,則會拒絕透過 kms:ResourceAliases
條件授權使用 KMS 金鑰的委託人存取 KMS 金鑰。如需詳細資訊,請參閱 因別名配額而拒絕存取。
每個 KMS 金鑰配額的別名會取代每個區域配額的別名,限制 a AWS 帳戶. AWS KMS has 每個區域配額的別名總數。
每個 KMS 金鑰的授予:50,000
每個客戶受管金鑰最多可有 50,000 個授予,包括與 AWS KMS整合的AWS 服務
此配額的其中一個效果是,您無法同時執行超過 50,000 個使用相同 KMS 金鑰的授予授權操作。達到配額後,只有在作用中的授予已淘汰或撤銷時,您才能在 KMS 金鑰上建立新的授予。
例如,當您將 Amazon Elastic Block Store (Amazon EBS) 磁碟區連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體時,磁碟區便會解密,讓您可以讀取。為了取得解密資料的許可,Amazon EBS 會為每個磁碟區建立授予。因此,如果您所有的 Amazon EBS 磁碟區都使用相同的 KMS 金鑰,您無法一次連接超過 50,000 個磁碟區。
自訂金鑰存放區資源配額:10
您可以在每個 AWS 帳戶 和 區域中建立最多 10 個自訂金鑰存放區。如果您嘗試建立更多,則 CreateCustomKeyStore 操作會失敗。
此配額適用於每個帳戶和區域中自訂金鑰存放區的總數,包括 AWS CloudHSM 金鑰存放區和外部金鑰存放區,無論其連接狀態為何。
隨需輪換:10
您可以執行隨需金鑰輪換,每個 KMS 金鑰最多 10 次。如果您嘗試執行更多隨需輪換,RotateKeyOnDemand 操作會失敗。
此配額不可調整。您無法透過使用 Service Quotas 或在其中建立案例來增加配額 AWS 支援。為了防止達到隨需輪換配額,我們建議您盡可能使用自動金鑰輪換。