资源配额 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

资源配额

Amazon KMS 设置了资源配额,可确保为所有客户提供快速而具有弹性的服务。某些资源配额只适用于您创建的资源,而不适用于 Amazon 服务为您创建的资源。如果您使用的资源不属于您的 Amazon Web Services 账户,例如 Amazon 拥有的密钥,那么这些资源不会计入相应配额。

如果已超出资源限制,那么创建该资源类型的其他请求会生成 LimitExceededException 错误消息。

所有 Amazon KMS 资源配额均可调整,但密钥策略文档大小配额除外。要请求提高配额,请使用 Service Quotas 控制台RequestServiceQuotaIncrease 操作。有关说明,请参阅请求增加 Amazon KMS 配额。有关详细信息,请参阅 Service Quotas 用户指南中的请求增加配额。如果 Amazon KMS 的服务限额在 Amazon Web Services 区域 中不可用,请访问 Amazon Web Services Support 中心并创建案例。

下表列出并阐释了每个 Amazon Web Services 账户 和区域中的 Amazon KMS 资源配额。

配额名称 默认值 适用于
Amazon KMS keys 100000 客户托管密钥
每个 KMS 密钥的别名 50 客户创建的别名
每个 KMS 密钥的授权数 50000 客户托管密钥
密钥策略文档大小 32 KB(32,768 字节)

客户托管密钥

Amazon 托管式密钥

除了资源配额之外,Amazon KMS 使用请求配额来确保服务的响应能力。有关详细信息,请参阅请求配额

Amazon KMS keys:100000

在您的 Amazon Web Services 账户的每个区域中,您最多可以拥有 100000 个客户托管的密钥。此配额适用于所有 Amazon Web Services 区域中的所有客户托管的密钥,不考虑其密钥规范密钥状态。每个 KMS 密钥(无论是对称还是非对称)都被视为一个资源。Amazon 托管式密钥Amazon 拥有的密钥 不计入此配额。

每个 KMS 密钥的别名数:50

您最多可以将 50 个别名与每个客户托管密钥关联。Amazon 与 Amazon 托管式密钥 关联的别名不计入此配额。您在创建更新别名时可能会遇到此配额。

注意

kms:ResourceAliases 条件仅在 KMS 密钥符合此配额时有效。如果 KMS 密钥超出此配额,则由 kms:ResourceAliases 条件授权使用 KMS 密钥的委托人将被拒绝访问 KMS 密钥。有关详细信息,请参阅由于别名配额而拒绝访问

每个 KMS 密钥的别名数量配额将替换每个区域别名数量的配额,后者限制 Amazon Web Services 账户 的每个区域中的别名总数。Amazon KMS 消除了每个区域别名数量的配额。

每个 KMS 密钥的授权数:50000

每个客户托管密钥最多可以拥有 50000 个授权数,其中包括与 Amazon KMS 集成的 Amazon 服务所创建的授权。此配额不适用于 Amazon 托管式密钥Amazon 拥有的密钥

此配额的作用之一是,您不能同时执行超过 50000 个使用相同 KMS 密钥的授权操作。在达到配额之后,您只能在停用或撤消了有效授权时才能在 KMS 密钥上创建新授权。

例如,当您将 Amazon Elastic Block Store (Amazon EBS) 卷附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例时,该卷将被解密,以便您能读取。为获得解密数据的权限,Amazon EBS 将为每个卷创建授权。因此,如果所有 Amazon EBS 卷都使用相同的 KMS 密钥,那么您一次附加的卷不能超过 50000 个。

密钥策略文档大小:32 KB

每个密钥策略文档的最大长度为 32 KB(32768 字节)。如果采用更大的策略文档来创建或更新 KMS 密钥的密钥策略,操作将失败。

此配额不可调整。您不能使用 Service Quotas 或通过在 Amazon Web Services Support 中创建案例来增加它。如果您的密钥策略已接近限制,请考虑使用授权而不是策略语句。授权特别适合临时权限或非常特定的权限。

每当您通过使用 Amazon Web Services Management Console 中的默认视图策略视图PutKeyPolicy 操作创建或更改密钥策略时,您都使用密钥策略文档。即使您使用 Amazon KMS 控制台中的默认视图(您不能在其中直接编辑 JSON 语句),此配额也适用于您的密钥策略文档。