Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

资源配额

Amazon KMS 设置了资源配额，可确保为所有客户提供快速而具有弹性的服务。某些资源配额只适用于您创建的资源，而不适用于 Amazon 服务为您创建的资源。如果您使用的资源不属于您的 Amazon Web Services 账户，例如 Amazon 拥有的密钥，那么这些资源不会计入相应配额。

如果已超出资源限制，那么创建该资源类型的其他请求会生成 LimitExceededException 错误消息。

所有 Amazon KMS 资源配额均可调整，但密钥策略文档大小配额除外。要请求提高限额，请参阅《服务限额用户指南》中的请求提高限额。要申请减少限额、更改服务限额中未列出的限额，或在 Amazon KMS 服务限额不可用的 Amazon Web Services 区域 中更改限额，请访问 Amazon Web Services Support 中心并创建案例。

下表列出并阐释了每个 Amazon Web Services 账户 和区域中的 Amazon KMS 资源配额。

除了资源配额之外，Amazon KMS 使用请求配额来确保服务的响应能力。有关更多信息，请参阅 请求配额。

Amazon KMS keys：100000

在您的 Amazon Web Services 账户的每个区域中，您最多可以拥有 100000 个客户托管的密钥。此配额适用于所有 Amazon Web Services 区域中的所有客户托管的密钥，不考虑其密钥规范或密钥状态。每个 KMS 密钥都视为一个资源。Amazon 托管式密钥 和 Amazon 拥有的密钥 不计入此限额。

每个 KMS 密钥的别名数：50

您最多可以将 50 个别名与每个客户托管密钥关联。Amazon 与 Amazon 托管式密钥 关联的别名不计入此配额。您在创建或更新别名时可能会遇到此配额。

每个 KMS 密钥的别名数量配额将替换每个区域别名数量的配额，后者限制 Amazon Web Services 账户 的每个区域中的别名总数。Amazon KMS 消除了每个区域别名数量的配额。

每个 KMS 密钥的授权数：50000

每个客户托管密钥最多可以拥有 50000 个授权数，其中包括与 Amazon KMS 集成的 Amazon 服务所创建的授权。此配额不适用于 Amazon 托管式密钥 或 Amazon 拥有的密钥。

此配额的作用之一是，您不能同时执行超过 50000 个使用相同 KMS 密钥的授权操作。在达到配额之后，您只能在停用或撤消了有效授权时才能在 KMS 密钥上创建新授权。

例如，当您将 Amazon Elastic Block Store (Amazon EBS) 卷附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例时，该卷将被解密，以便您能读取。为获得解密数据的权限，Amazon EBS 将为每个卷创建授权。因此，如果所有 Amazon EBS 卷都使用相同的 KMS 密钥，那么您一次附加的卷不能超过 50000 个。

密钥策略文档大小：32 KB

每个密钥策略文档的最大长度为 32 KB（32768 字节）。如果采用更大的策略文档来创建或更新 KMS 密钥的密钥策略，操作将失败。

此配额不可调整。您不能使用 Service Quotas 或通过在 Amazon Web Services Support 中创建案例来增加它。如果您的密钥策略已接近限制，请考虑使用授权而不是策略语句。授权特别适合临时权限或非常特定的权限。

每当您使用或PutKeyPolicy操作中的默认视图或策略视图创建或更改密钥策略时Amazon Web Services Management Console，都可以使用密钥策略文档。即使您使用 Amazon KMS 控制台中的默认视图（您不能在其中直接编辑 JSON 语句），此配额也适用于您的密钥策略文档。

自定义密钥存储资源限额：10

您最多可以在每个 Amazon Web Services 账户 和区域创建 10 个自定义密钥存储。如果您尝试创建更多内容，则CreateCustomKeyStore操作将失败。

此限额适用于每个账户和区域中的自定义密钥存储总数，包括所有 Amazon CloudHSM 密钥存储和外部密钥存储，无论其连接状态如何。