资源配额 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

资源配额

Amazon KMS 设置了资源配额,可确保为所有客户提供快速而具有弹性的服务。某些资源配额仅适用于您创建的资源,而不适用于Amazon服务为您创建。您使用的资源,但不在 Amazon Web Services 账户 之外的压缩算法(例如Amazon拥有的 CMK,不计入这些配额。

如果已超过资源限制,那么创建该类型的其他资源的请求将生成LimitExceededException错误消息。

下表列出并介绍了Amazon KMS资源配额 Amazon Web Services 账户 和区域。如果您需要超过配额,您可以请求增加 Service Quotas。使用Service Quttas 控制台RequestServiceQuotaIncreaseoperation. 有关详细信息,请参阅。请求增加配额中的Service Quotas 用户指南。如果 Service QuotasAmazon KMS中不可用 Amazon Web Services 区域 ,请访问Amazon Web Services SupportCenter并创建案例。

有关请求增加 Amazon KMS 配额的帮助,请参阅请求增加 Amazon KMS 配额

配额名称 默认值 适用于
客户主密钥 (CMK) 10000 客户托管 CMK
每个 CMK 的别名 50 客户创建的别名
每个 CMK 的授权数 50000 客户托管 CMK
密钥策略文档大小 32 KB(32,768 字节)

客户托管 CMK

Amazon 托管 CMK

除了资源配额外,Amazon KMS使用请求配额以确保服务的响应能力。有关详细信息,请参阅 请求配额

客户主密钥 (CMK):10000

您最多可以有 10000客户托管 CMK在您的每个区域 Amazon Web Services 账户 。此配额适用于所有对称不对称客户托管 CMK,无论其键状态。每个 CMK(无论是对称还是非对称)都被视为一个资源。Amazon托管 CMKAmazon拥有的 CMK不计入此配额。

每个 CMK 的别名:50

您最多可以关联 50别名与每个客户托管 CMK。别名Amazon关联对象Amazon托管 CMK不计入此配额。您可能会遇到此配额时create或者更新别名。

注意

这些区域有:KMS: 资源别名条件只有当 CMK 符合此配额时才有效。如果 CMK 超出此配额,则由kms:ResourceAliases条件被拒绝访问 CMK。有关详细信息,请参阅 由于别名配额而拒绝访问

每个 CMK 的别名配额替换了 “每个区域的别名” 配额,该配额限制了 Amazon Web Services 账户 。Amazon KMS已经取消了 “每区域别名” 配额。

每个 CMK 的授权数:50000

EACH客户托管 CMK最高可以具有 50000Grant,包括由Amazon与集成的服务Amazon KMS。此配额不适用于 Amazon 托管 CMKAmazon 拥有的 CMK

此配额的作用之一是,您不能同时执行超过 50,000 个使用相同 CMK 的授权操作。在达到配额之后,您只能在停用或撤消了有效授权时才能在 CMK 上创建新授权。例如,当您将 Amazon EElastic Block Store (Amazon EBS) 卷附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例时,该卷将被解密,以便您能读取。为获得解密数据的权限,Amazon EBS 将为每个卷创建授权。因此,如果所有 Amazon EBS 卷都使用相同的 CMK,那么您一次附加的卷不能超过 50,000 个。

Amazon KMS取消了每个中央银行每个给定本金的补助金配额.

密钥策略文档大小:32 KB

每个最大长度密钥策略文档为 32 KB(32,768 字节)。如果采用更大的策略文档来创建或更新 CMK 的密钥策略,操作将失败。

不像其他Amazon KMS配额,此配额不可调整。您不能使用 Service Quotas 或通过在Amazon Web Services Support。如果密钥策略已接近限制,请考虑使用Grant而不是策略语句。授权特别适合临时权限或非常特定的权限。

每当您创建或更改密钥策略时,您都可以使用密钥策略文档,方法是使用默认视图或者策略视图中的Amazon Web Services Management Console,或PutKeyPolicyoperation. 此配额适用于您的密钥策略文档,即使您使用默认视图中的Amazon KMS控制台,您不会直接编辑 JSON 语句。