本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
资源配额
Amazon KMS 设置了资源配额,可确保为所有客户提供快速而具有弹性的服务。某些资源配额只适用于您创建的资源,而不适用于 Amazon 服务为您创建的资源。如果您使用的资源不属于您的 Amazon Web Services 账户,例如 Amazon 拥有的密钥,那么这些资源不会计入相应配额。
如果已超出资源限制,那么创建该资源类型的其他请求会生成 LimitExceededException
错误消息。
所有 Amazon KMS 资源限额均可调整,但按需轮换资源限额除外。要请求提高限额,请参阅《服务限额用户指南》中的请求提高限额。要申请减少限额、更改服务限额中未列出的限额,或在 Amazon KMS 服务限额不可用的 Amazon Web Services 区域 中更改限额,请访问 Amazon Web Services Support 中心
下表列出并阐释了每个 Amazon Web Services 账户 和区域中的 Amazon KMS 资源配额。
限额名称 | 默认值 | 适用于 | 可调整 |
---|---|---|---|
Amazon KMS keys | 100000 | 客户管理密钥 | 是 |
每个 KMS 密钥的别名 | 50 | 客户创建的别名 | 是 |
每个 KMS 密钥的授权数 | 50000 | 客户管理密钥 | 是 |
自定义密钥存储资源限额 | 10 | Amazon Web Services 账户 和区域 | 是 |
按需轮换 | 10 | 客户管理密钥 | 否 |
除了资源配额之外,Amazon KMS 使用请求配额来确保服务的响应能力。有关详细信息,请参阅请求配额。
Amazon KMS keys:100000
在您的 Amazon Web Services 账户的每个区域中,您最多可以拥有 100000 个客户托管的密钥。此配额适用于所有 Amazon Web Services 区域中的所有客户托管的密钥,不考虑其密钥规范或密钥状态。每个 KMS 密钥都视为一个资源。Amazon 托管式密钥 和 Amazon 拥有的密钥 不计入此限额。
每个 KMS 密钥的别名数:50
您最多可以将 50 个别名与每个客户托管密钥关联。Amazon 与 Amazon 托管式密钥 关联的别名不计入此配额。您在创建或更新别名时可能会遇到此配额。
注意
kms:ResourceAliases 条件仅在 KMS 密钥符合此配额时有效。如果 KMS 密钥超出此配额,则由 kms:ResourceAliases
条件授权使用 KMS 密钥的委托人将被拒绝访问 KMS 密钥。有关详细信息,请参阅由于别名配额而拒绝访问。
每个 KMS 密钥的别名数量配额将替换每个区域别名数量的配额,后者限制 Amazon Web Services 账户 的每个区域中的别名总数。Amazon KMS 消除了每个区域别名数量的配额。
每个 KMS 密钥的授权数:50000
每个客户托管密钥最多可以拥有 50000 个授权数,其中包括与 Amazon KMS 集成的 Amazon 服务所创建的授权
此配额的作用之一是,您不能同时执行超过 50000 个使用相同 KMS 密钥的授权操作。在达到配额之后,您只能在停用或撤消了有效授权时才能在 KMS 密钥上创建新授权。
例如,当您将 Amazon Elastic Block Store (Amazon EBS) 卷附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例时,该卷将被解密,以便您能读取。为获得解密数据的权限,Amazon EBS 将为每个卷创建授权。因此,如果所有 Amazon EBS 卷都使用相同的 KMS 密钥,那么您一次附加的卷不能超过 50000 个。
自定义密钥存储资源限额:10
您最多可以在每个 Amazon Web Services 账户 和区域创建 10 个自定义密钥存储。如果您尝试创建更多,CreateCustomKeyStore 操作将失败。
此限额适用于每个账户和区域中的自定义密钥存储总数,包括所有 Amazon CloudHSM 密钥存储和外部密钥存储,无论其连接状态如何。
按需轮换:10
您最多可以对每个 KMS 密钥执行按需轮换 10 次。如果您尝试执行更多次按需轮换,则 RotateKeyOnDemand 操作将失败。
此配额不可调整。您不能使用 Service Quotas 或通过在 Amazon Web Services Support 中创建案例来增加它。为防止达到按需轮换限额,我们建议尽可能使用自动密钥轮换。