资源配额 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

资源配额

AWS KMS 设置了资源配额,可确保为所有客户提供快速而具有弹性的服务。某些资源配额只适用于您创建的资源,而不适用于 AWS 服务为您创建的资源。您使用的资源,但不属于AWS帐户,例如 AWS拥有 CMKs,请勿根据这些配额计数。

如果已达到资源限制,那么创建该资源类型的其他请求会生成 LimitExceededException 错误消息。

下表列出并阐释了每个 AWS 账户和区域中的 AWS KMS 资源配额。如果您需要超过配额,可以在 Service Quotas 中请求增加配额。使用 Service Quotas 控制台RequestServiceQuotaIncrease 操作。有关详细信息,请参阅 Service Quotas 用户指南 中的请求提高配额。如果适用于 AWS KMS 的 Service Quotas 在该 AWS 区域中不可用,请访问 AWS Support 中心并创建一个案例。

有关请求增加 AWS KMS 配额的帮助,请参阅请求增加 AWS KMS 配额

配额名称 默认值。 适用于
客户主密钥 (CMKs) 10,000* 客户管理 CMKs
每个地区别名 10,000* 客户创建的别名
每CMK别名 50。 客户创建的别名
津贴 CMK 10,000* 客户管理 CMKs
给定负责人 CMK 500**

客户管理 CMKs

AWS 管理 CMKs

密钥策略文档大小 32 KB(32,768 字节)

客户管理 CMKs

AWS 管理 CMKs

除了资源配额之外,AWS KMS 使用请求配额来确保服务的响应能力。有关详细信息,请参阅 请求配额

客户主密钥 (CMKs):10,000

您可以拥有高达10,000个数据 客户管理 CMKs 在您的 AWS 账户。此配额适用于所有 对称度不对称 客户管理 CMKs 无论他们 关键状态. 每个 CMK — 无论对称或不对称 — 被视为一个资源。 AWS 管理 CMKsAWS 拥有 CMKs 不要计算此配额。

每个地区别名: 10,000*

您可以创建高达10,000 别名 在每个 AWS 您的帐户区域。别名 AWS 在您的帐户中创建,例如AWS/<service-name>,不要计算此配额。

如果您增加 客户主密钥 配额您也许需要 请求增加 每个区域配额中的别名。

别名 CMK: 50。

您可以将最多50人关联 别名 每个 客户管理 CMK. 别名 AWS 员工 AWS 管理 CMKs 不要计算此配额。您可能会遇到此配额 创建更新 别名。

津贴 CMK: 10,000*

每个 客户管理 CMK 最多可达10,000人 津贴,包括由 AWS 与 AWS KMS. 此配额不适用于 AWS 管理 CMKsAWS 拥有 CMKs.

此配额的一个效果是,您不能执行超过10,000个授权授权的操作,这些操作使用相同的 CMK 同时。达到配额后,您可以在 CMK 只有当活动授予已退休或撤销时。

例如,当您将 Amazon Elastic Block Store (Amazon EBS) 卷附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例时,该卷将被解密,以便您能读取。为获得解密数据的权限,Amazon EBS 将为每个卷创建授权。但是,您不能在每个 CMK. 因此,如果 Amazon EBS 卷使用相同 CMK,一次无法连接超过10,000个卷。

给定负责人 CMK: 500**

A CMK 对于同一位受赠人,不能拥有500多个捐赠。被授权者委托人 是获取授权中的权限的身份。

此配额为每个计算单独计算 CMK 在帐户中。它适用于 客户管理 CMKsAWS 管理 CMKs,但不是 AWS拥有 CMKs.

注意

使用 ListGrants 操作的输出来计算同一被授权者委托人的授权数时,请保持谨慎。

ListGrants 响应中的 GranteePrincipal 字段通常包含授权的被授权者委托人。但是,当授权中的被授权者委托人是 AWS 服务时,GranteePrincipal 字段包含服务委托人,该委托人可能表示多个不同的被授权者委托人。

此配额可能会对您使用 AWS 资源产生实际影响。例如,它阻止您启动超过500个 Amazon WorkSpaces 相同的加密 CMK. 当您启动工作区时,Amazon WorkSpaces 会创建一个允许其解密工作区以便您可以使用它的授权。每个工作区授权都是唯一的,但是所有授权具有相同的被授权者委托人。

密钥策略文档大小 32 KB

每个密钥策略文档的最大长度为 32 KB(32768 字节)。如果您使用更大的策略文件创建或更新关键策略的 CMK,操作失败。

密钥策略文档是一个 JSON 格式的策略语句集合。关键政策文件中的声明确定谁拥有使用 CMK 以及他们如何使用。您也可以使用 IAM 控制访问 CMK,但每个 CMK 必须有关键策略文档。

每当您使用 AWS 管理控制台中的默认视图策略视图,或使用 PutKeyPolicy 操作创建或更改密钥策略时,都要用到密钥策略文档。此配额适用于密钥策略文档,即使您使用 AWS KMS 控制台中的默认视图(无需直接编辑 JSON 语句)也是如此。