资源配额 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

资源配额

Amazon KMS 建立资源配额,以确保它能够为我们的所有客户提供快速而有弹性的服务。某些资源配额仅适用于您创建的资源,而不适用于 Amazon 服务为您创建的资源。如果您使用的资源不属于您的 Amazon Web Services 账户,例如 Amazon 拥有的密钥,那么这些资源不会计入相应配额。

如果已超出资源限制,那么创建该资源类型的其他请求会生成 LimitExceededException 错误消息。

密钥策略文档大小配额和按需轮换资源配额外,所有 Amazon KMS 资源配额均可调整。要请求提高限额,请参阅《服务限额用户指南》中的请求提高限额。要申请减少配额、更改未在 Service Quotas 中列出的配额,或者在没有服务配额 Amazon Web Services 区域 的情况下更改配额,请访问Amazon Web Services Support 中心并创建案例。 Amazon KMS

下表列出并描述了每个 Amazon Web Services 账户 区域的 Amazon KMS 资源配额。

限额名称 默认值 适用于 可调整
Amazon KMS keys 100000 客户管理密钥
每个 KMS 密钥的别名 50 客户创建的别名
每个 KMS 密钥的授权数 50000 客户管理密钥
密钥策略文档大小 32 KB(32,768 字节)

客户管理密钥

Amazon 托管式密钥

自定义密钥存储资源限额 10 Amazon Web Services 账户 和区域

除资源配额外,还 Amazon KMS 使用请求配额来确保服务的响应能力。有关更多信息,请参阅 请求配额

Amazon KMS keys:100000

在您的 Amazon Web Services 账户的每个区域中,您最多可以拥有 100000 个客户托管的密钥。此配额适用于所有 Amazon Web Services 区域 中的所有客户托管的密钥,不考虑其密钥规范密钥状态。每个 KMS 密钥都视为一个资源。Amazon 托管式密钥Amazon 拥有的密钥 不计入此限额。

每个 KMS 密钥的别名数:50

您最多可以将 50 个别名与每个客户托管密钥关联。 Amazon 关联的别名Amazon 托管式密钥不计入此配额。您在创建更新别名时可能会遇到此配额。

注意

仅当 KMS 密钥符合此配额时,kms: ResourceAliases 条件才有效。如果 KMS 密钥超出此配额,则由 kms:ResourceAliases 条件授权使用 KMS 密钥的委托人将被拒绝访问 KMS 密钥。有关更多信息,请参阅 由于别名配额而拒绝访问

每个 KMS 的别名密钥配额取代了限制每个区域中别名总数的每个区域的别名配额。 Amazon Web Services 账户 Amazon KMS 取消了每个区域的别名配额。

每个 KMS 密钥的授权数:50000

每个客户托管密钥最多可以拥有 50000 个授权数,其中包括与 Amazon KMS集成的Amazon 服务所创建的授权。此配额不适用于 Amazon 托管式密钥Amazon 拥有的密钥

此配额的作用之一是,您不能同时执行超过 50000 个使用相同 KMS 密钥的授权操作。在达到配额之后,您只能在停用或撤消了有效授权时才能在 KMS 密钥上创建新授权。

例如,当您将 Amazon Elastic Block Store (Amazon EBS) 卷附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例时,该卷将被解密,以便您能读取。为获得解密数据的权限,Amazon EBS 将为每个卷创建授权。因此,如果所有 Amazon EBS 卷都使用相同的 KMS 密钥,那么您一次附加的卷不能超过 50000 个。

密钥策略文档大小:32 KB

每个密钥策略文档的最大长度为 32 KB(32768 字节)。如果采用更大的策略文档来创建或更新 KMS 密钥的密钥策略,操作将失败。

此配额不可调整。您不能通过使用 Service Quotas 或在中创建案例来增加配额 Amazon Web Services Support。如果您的密钥策略已接近限制,请考虑使用授权而不是策略语句。授权特别适合临时权限或非常特定的权限。

每当您使用或PutKeyPolicy操作中的默认视图或策略视图来创建或更改密钥策略时 Amazon Web Services Management Console,都可以使用密钥策略文档。即使您使用 Amazon KMS 控制台中的默认视图(您不能在其中直接编辑 JSON 语句),此配额也适用于您的密钥策略文档。

自定义密钥存储资源限额:10

您最多可以在每个 Amazon Web Services 账户 地区创建 10 个自定义密钥存储库。如果您尝试创建更多内容,则CreateCustomKeyStore操作将失败。

此限额适用于每个账户和区域中的自定义密钥存储总数,包括所有 Amazon CloudHSM 密钥存储外部密钥存储,无论其连接状态如何。

按需轮换:10

每个 KMS 密钥最多可以按需轮换 10 次。如果您尝试执行更多按需轮换,则RotateKeyOnDemand操作将失败。

此限额不可调整。您不能通过使用 Service Quotas 或在中创建案例来增加配额 Amazon Web Services Support。为防止达到按需轮换配额,我们建议尽可能使用自动密钥轮换