運用管理

AWS のサービスクォータはなぜ存在するのか - 共有インフラを守るマルチテナント設計

AWS のサービスクォータ (旧サービス制限) が単なる制約ではなく、マルチテナント環境で他の顧客を守るための設計であることを、ノイジーネイバー問題、ソフトリミットとハードリミットの違い、引き上げ申請の裏側から解説します。

約 3 分で読めます

サービスクォータの本質 - 他の顧客を守る仕組み

AWS のサービスクォータ (旧称: サービス制限) は、各アカウントが使用できるリソースの上限です。EC2 インスタンスの起動数、Lambda の同時実行数、S3 バケットの数、VPC の数など、ほぼすべてのリソースにクォータが設定されています。これらのクォータは、ユーザーを不便にするために存在するのではありません。AWS のインフラはマルチテナントです。物理的なサーバー、ネットワーク、ストレージを複数の顧客が共有しています。1 つのアカウントが無制限にリソースを消費すると、同じ物理インフラを共有する他の顧客のパフォーマンスが劣化します。これが「ノイジーネイバー問題」です。サービスクォータは、各テナントのリソース消費に上限を設けることで、ノイジーネイバー問題を防止します。コントロールプレーン (API) にもクォータがあります。EC2 の DescribeInstances API は 1 秒あたり 100 リクエストが上限です。1 つのアカウントが API を大量に呼び出すと、コントロールプレーンの処理能力が圧迫され、他のアカウントの API 呼び出しが遅延します。

ソフトリミットとハードリミット

クォータには 2 種類あります。ソフトリミット (調整可能なクォータ) は、Service Quotas コンソールまたは AWS サポートへの申請で引き上げ可能です。EC2 のオンデマンドインスタンスの vCPU 数 (デフォルト: リージョンあたり各インスタンスファミリーで異なる)、Lambda の同時実行数 (デフォルト: 1,000)、S3 バケット数 (デフォルト: 100) などがソフトリミットです。ハードリミット (調整不可能なクォータ) は、サービスの設計上の制約であり、引き上げできません。IAM ポリシーのサイズ上限 (6,144 文字)、CloudFormation のスタックあたりのリソース数 (500)、S3 オブジェクトの最大サイズ (5TB) などがハードリミットです。ハードリミットは、サービスの内部アーキテクチャに起因する制約です。IAM ポリシーのサイズ上限は、ポリシーの評価パフォーマンスを保証するために設定されています。ポリシーが大きすぎると、API 呼び出しのたびに行われるポリシー評価のレイテンシが増加し、すべての API 呼び出しに影響します。

クォータ引き上げ申請の裏側

Service Quotas コンソールから引き上げ申請を送信すると、何が起きるのでしょうか。一部のクォータは自動承認されます。S3 バケット数の引き上げ (100→1,000) などは、申請後数分で自動的に承認されます。これらのクォータは、引き上げても他の顧客への影響が小さいため、自動化されています。一方、EC2 の vCPU クォータの大幅な引き上げ (例: 1,000→10,000) は、AWS のキャパシティチームによる手動レビューが必要です。レビューでは、申請されたリージョンの物理的なキャパシティに余裕があるか、申請者のアカウントの利用実績が申請量に見合っているか、が確認されます。新規アカウントでいきなり大量のリソースを申請すると、不正利用 (暗号通貨マイニングなど) の疑いで却下されることがあります。利用実績を積み上げてから段階的に引き上げるのが確実です。クォータ引き上げの処理時間は、自動承認なら数分、手動レビューなら数時間から数日です。本番環境のローンチ前に余裕を持って申請してください。

デフォルトクォータが低い理由

新規アカウントのデフォルトクォータは意図的に低く設定されています。EC2 のオンデマンド vCPU は、新規アカウントではインスタンスファミリーごとに 5〜32 vCPU 程度です。この低いデフォルト値には 3 つの理由があります。第 1 に、不正利用の防止です。盗まれたクレジットカードで作成されたアカウントが大量の EC2 インスタンスを起動して暗号通貨をマイニングする、という不正利用は AWS にとって深刻な問題です。デフォルトクォータを低くすることで、不正利用の被害を最小限に抑えます。第 2 に、意図しない高額請求の防止です。設定ミスで Auto Scaling が暴走し、数千台のインスタンスが起動してしまうケースがあります。クォータがなければ、数時間で数万ドルの請求が発生します。第 3 に、キャパシティプランニングです。AWS は各リージョンの物理的なキャパシティを管理しています。すべてのアカウントが同時に最大クォータまでリソースを使用しても対応できるよう、キャパシティを計画しています。デフォルトクォータが低ければ、必要なキャパシティの見積もりが容易になります。

クォータの監視と自動化

Service Quotas は CloudWatch と統合されており、クォータの使用率をメトリクスとして取得できます。たとえば、EC2 の vCPU クォータの使用率が 80% を超えたら CloudWatch アラームを発火させ、SNS で通知する設定が可能です。クォータに達してからでは遅いため、事前に監視して余裕を持って引き上げ申請を行うことが重要です。Trusted Advisor もクォータの使用率を監視しています。Business サポート以上のプランでは、Trusted Advisor がクォータの使用率が 80% を超えたサービスを自動的に検出し、ダッシュボードに表示します。AWS Organizations を使用している場合、Service Quotas のクォータリクエストテンプレートを使用して、新規アカウント作成時に自動的にクォータ引き上げを申請できます。組織内のすべてのアカウントに統一されたクォータを適用することで、アカウントごとに手動で申請する手間を省けます。クォータ管理を体系的に学ぶには、専門書籍 (Amazon)が参考になります。

関連するサービス

AWS Trusted AdvisorAWS 環境のコスト最適化、パフォーマンス、セキュリティ、耐障害性をチェックし改善を推奨するサービス

関連する記事

AWS の API スロットリングの仕組み - トークンバケットアルゴリズムと 429 エラーの正体AWS API のレート制限がトークンバケットアルゴリズムで実装されている仕組み、バーストキャパシティの概念、サービスごとの制限値の違い、スロットリング回避の実践的な対策を解説します。AWS の障害ドメイン設計 - AZ・リージョン・パーティションの 3 層構造が守る可用性の仕組みAWS のインフラが AZ (障害隔離)、リージョン (地理的分離)、パーティション (政治的分離) の 3 層で設計されている理由と、各層の障害がどこまで波及するかを具体的な事例とともに解説します。AWS の料金計算の裏側 - 1 秒課金・100ms 課金・リクエスト課金はどう計測されているのかEC2 の 1 秒課金、Lambda の 1ms 課金、S3 のリクエスト課金など、AWS の多様な課金粒度がどのように計測・集計・請求されているのかを、メータリングシステムの仕組みから解説します。

同じテーマの記事

AWS の内部時刻同期の仕組み - Amazon Time Sync Service とうるう秒スミアリングの設計AWS が独自に運用する Amazon Time Sync Service の仕組み、GPS と原子時計による高精度時刻源、うるう秒をスミアリングで吸収する設計判断、分散システムにおける時刻同期の重要性を解説します。AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。アーキテクチャレビュー - AWS Well-Architected Tool でワークロードを体系的に評価するAWS Well-Architected Tool を使ったワークロードのアーキテクチャレビューを解説。6 つの柱に基づく評価、改善計画の策定、カスタムレンズの活用を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS の障害報告書 (COE) から学ぶ分散システムの教訓 - 過去の大規模障害が変えた設計原則AWS が公開した Correction of Errors (COE) と障害報告書から、S3 障害、us-east-1 の DNS 障害、Kinesis 障害など過去の大規模インシデントの根本原因と、それが AWS の設計原則をどう変えたかを解説します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。AWS Backup による一元バックアップ管理 - バックアッププランとクロスリージョン保護EC2・RDS・DynamoDB など複数サービスのバックアップを統一ポリシーで一元管理する。Vault Lock による WORM 保護と復元テストの自動化を紹介します。

内容が近い記事・サービス

AWS Service QuotasAWS サービスの利用上限値を一元管理し、上限引き上げリクエストの送信やアラート設定を行えるサービスLambda の 15 分制限はなぜ 15 分なのか - サーバーレスの設計制約に隠された合理性Lambda の最大実行時間 15 分、メモリ上限 10GB、ペイロード 6MB など、サーバーレスの各種制限がなぜその値に設定されているのかを、Firecracker の設計思想とマルチテナント運用の観点から解説します。AWS の API スロットリングの仕組み - トークンバケットアルゴリズムと 429 エラーの正体AWS API のレート制限がトークンバケットアルゴリズムで実装されている仕組み、バーストキャパシティの概念、サービスごとの制限値の違い、スロットリング回避の実践的な対策を解説します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。Lambda の同時実行 1,000 の裏側 - Firecracker ウォームプールとワーカーマネージャーの仕組みLambda が同時実行数 1,000 のデフォルト制限内でマイクロ VM を管理する仕組み、ウォームプールによる再利用戦略、ワーカーマネージャーの配置判断、コールドスタート率を下げる内部最適化を解説します。