资源配额 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

资源配额

AWS KMS 设置了资源配额,可确保为所有客户提供快速而具有弹性的服务。某些资源配额仅适用于您创建的资源,而不适用于 AWS 服务为您创建的资源。您使用的但不属于您AWS账户中的资源(如 AWS 拥有的 CMKs )不计入这些配额。

如果已达到资源限制,那么创建该资源类型的其他请求会生成 LimitExceededException 错误消息。

下表列出并阐释了每个 AWS KMS 账户和区域中的 AWS 资源配额。如果您需要超过配额,可以在 Service Quotas 中请求增加配额。使用 Service Quotas 控制台RequestServiceQuotaIncrease 操作。有关详细信息,请参阅 Service Quotas 用户指南 中的请求提高配额。如果适用于 AWS KMS 的 Service Quotas 在该 AWS 区域中不可用,请访问 AWS Support 中心并创建一个案例。

有关请求增加 AWS KMS 配额的帮助,请参阅请求增加 AWS KMS 配额

配额名称 默认值 适用于
客户主密钥 (CMKs) 10000 客户托管 CMKs
每个 CMK 的别名数 50 客户创建的别名
每个的授权数 CMK 50,000 客户托管 CMKs
每个给定委托人的授权数 CMK 500

客户托管 CMKs

AWS 托管 CMKs

密钥策略文档大小 32 KB(32,768 字节)

客户托管 CMKs

AWS 托管 CMKs

除了资源配额之外,AWS KMS 使用请求配额来确保服务的响应能力。有关详细信息,请参阅 请求配额

客户主密钥 (CMKs): 10,000

您最多可以CMKs在您的 账户的每个区域中管理 10000 个AWS客户。此配额适用于托管的所有对称和非对称客户,CMKs无论其密钥状态如何。每个 CMK — 对称或非对称—都被视为一种资源。 AWS 托管CMKsAWS拥有CMKs的 不计入此配额。

每个的别名数CMK:50

您最多可以将 50 个别名与每个客户管理CMK的 关联。与 AWS 托管AWS关联的别名CMKs不计入此配额。创建更新别名时,您可能会遇到此配额。

注意

kms:ResourceAliases 条件仅在 CMK 符合此配额时有效。如果 CMK 超出此配额,则CMKkms:ResourceAliases按条件授权使用 的委托人将被拒绝访问 CMK。有关详细信息,请参阅 由于别名配额,访问被拒绝

每个CMK配额的别名数将替换每个区域的别名数配额,该配额限制了AWS账户每个区域中的总别名数。 AWS KMS 已消除每个区域的别名数配额。

每个的授权数CMK:50,000

每个 托管客户CMK最多可以拥有 50000 个授权,包括与 AWS集成的 AWS KMS 服务所创建的授权。此配额不适用于AWS托管CMKsAWS拥有的 CMKs

此配额的作用之一是,您不能CMK同时执行超过 50,000 个使用相同 的授权操作。达到配额后CMK,您只能在停用或撤销了有效授权时,才能在 上创建新授权。

例如,当您将 Amazon Elastic Block Store (Amazon EBS) 卷附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例时,该卷将被解密,以便您能读取。为获得解密数据的权限,Amazon EBS 将为每个卷创建授权。因此,如果您的所有Amazon EBS卷都使用相同的 CMK,则您一次附加的卷不能超过 50,000 个。

每个给定委托人的授权数CMK:500

同一被授权者委托人的授权CMK不能超过 500 个。被授权者委托人 是获取授权中的权限的身份。

此配额是为账户CMK中的每个 单独计算的。它适用于客户托管CMKs和管理的 AWS CMKs ,但不适用于 AWS 拥有的 CMKs

注意

使用 ListGrants 操作的输出来计算同一被授权者委托人的授权数时,请保持谨慎。

ListGrants 响应中的 GranteePrincipal 字段通常包含授权的被授权者委托人。但是,当授权中的被授权者委托人是 AWS 服务时,GranteePrincipal 字段包含服务委托人,该委托人可能表示多个不同的被授权者委托人。

此配额可能会对您使用 AWS 资源产生实际影响。例如,它阻止您使用相同的 启动 500 个以上的Amazon WorkSpaces加密CMK。当您启动工作区时,Amazon WorkSpaces 会创建一个允许其解密工作区以便您可以使用它的授权。每个工作区授权都是唯一的,但是所有授权具有相同的被授权者委托人。

密钥策略文档大小:32 KB

每个密钥策略文档的最大长度为 32 KB(32768 字节)。如果您使用更大的策略文档来创建或更新 的密钥策略CMK,操作将失败。

密钥策略文档是一个 JSON 格式的策略语句集合。密钥策略文档中的语句确定谁有权使用 CMK 以及如何使用它。您还可以使用 IAM 策略和授权来控制对 的访问CMK,但每个 CMK 都必须有一个密钥策略文档。

每当您使用 或 PutKeyPolicy 操作中的默认视图或AWS 管理控制台策略视图创建或更改密钥策略时,都可以使用密钥策略文档。此配额适用于您的密钥策略文档,即使您在 控制台中使用默认视图AWS KMS,不直接编辑 JSON 语句。