IAM と AWS STSクォータ - AWS Identity and Access Management
IAM 名前の要件IAM オブジェクトクォータIAM Access Analyzer のクォータIAM Roles Anywhere クォータSTS リクエストのクォータIAM 文字制限および STS 文字制限

IAM と AWS STSクォータ

AWS Identity and Access Management (IAM) と AWS Security Token Service (STS) には、オブジェクトのサイズを制限するクォータがあります。これは、オブジェクトに名前を付ける方法、作成できるオブジェクトの数、オブジェクトを渡すときに使用できる文字数に影響します。

注記

IAM の使用状況とクォータに関するアカウントレベルの情報を取得するには、GetAccountSummary API オペレーション、または get-account-summary AWS CLI コマンドを使用します。

IAM 名前の要件

IAM の名前には以下の要件と制約があります。

  • ポリシードキュメントには、次の Unicode 文字のみを含めることができます。水平タブ (U+0009)、ラインフィード (U+000A)、キャリッジリターン (U+000D)、および U+0020~U+00FF の範囲内の文字。

  • ユーザー、グループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書、およびパスの名前は、英数字で指定する必要があります。これには、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、アンダースコア (_)、ハイフン (-) も含まれます。パス名の前後にはスラッシュ (/) を指定する必要があります。

  • ユーザー、グループ、ロール、インスタンスプロファイルの名前は、アカウント内で一意である必要があります。大文字と小文字は区別されません。例えば、「ADMINS」と「admins」というグループ名を両方作成することはできません。

  • ロールを引き受けるためにサードパーティーが使用する外部 ID の値は、2~1,224 文字で構成されている必要があります。この値は、空白のない英数字にする必要があります。次の記号を含めることもできます。プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、コロン (:)、スラッシュ (/)、およびハイフン (-)。外部 ID の詳細については、第三者が所有する AWS アカウント へのアクセス を参照してください。

  • インラインポリシーのポリシー名は、それが埋め込まれているユーザー、グループ、またはロールに対して一意である必要があります。名前には、次の予約文字を除く基本ラテン (ASCII) 文字を含めることができます: バックスラッシュ (\)、スラッシュ (/)、アスタリスク (*)、疑問符 (?)、空白。これらの文字は RFC 3986、セクション 2.2 に従って予約されています。

  • ユーザーパスワード(ログインプロファイル)には、基本ラテン(ASCII)文字を含めることができます。

  • AWS アカウント ID のエイリアスは、AWS 製品全体で一意となるのもので、DNS の命名規則に従って英数字にする必要があります。エイリアスには小文字を使用する必要があり、先頭や末尾にハイフンを使用することはできません。また、ハイフンを 2 つ連続することも、12 桁の数字にすることもできません。

基本ラテン (ASCII) 文字の一覧については、「Library of Congress Basic Latin (ASCII) Code Table」を参照してください。

IAM オブジェクトクォータ

AWS のクォータ (制限とも呼ばれます) は、AWS アカウント のリソース、アクション、および制限の最大値です。Service Quotas を使用して IAM クォータを管理します。

IAM サービスエンドポイントとサービスクォータのリストについては、「AWS 全般のリファレンス」の「AWS Identity and Access Management エンドポイントとクォータ」を参照してください。

クォータの引き上げをリクエストするには

  1. AWS Management Console にサインインするには、「AWS サインインユーザーガイド」の「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従います。

  2. Service Quotas コンソール を開きます。

  3. ナビゲーションペインで、[AWS services] (AWS のサービス) を選択します。

  4. ナビゲーションバーで、[US East (N. Virginia)] リージョンを選択します。次に、IAM を検索します。

  5. AWS Identity and Access Management (IAM) を選択し、クォータを選択して、指示に従ってクォータの引き上げをリクエストします。

詳細については、Service Quotas ユーザーガイドRequesting a Quota Increase を参照してください。

Service Quotas コンソールを使用して IAM クォータの増加をリクエストする方法の例については、次のビデオをご覧ください。

調整可能な IAM クォータではデフォルトのクォータの引き上げをリクエストできます。maximum quota までのリクエストは自動的に承認され、数分で完了します。

次の表には、クォータの引き上げが自動的に承認される範囲についてリソースの一覧が掲載されています。

リソース デフォルトのクォータ 最大クォータ
アカウントあたりのカスタマー管理ポリシー数 1500 5000
アカウントあたりのグループ数 300 500
アカウントあたりのインスタンスプロファイル数 1000 5000
ロールあたりの管理ポリシー 10 20
ユーザーあたりの管理ポリシー 10 20
ロールの信頼ポリシーの長さ 2048 文字 4096 文字
アカウントあたりのロール数 1000 5000
アカウントあたりのサーバー証明書数 20 1000

IAM Access Analyzer のクォータ

IAM Access Analyzer のサービスエンドポイントとサービスクォータの一覧については、「AWS 全般のリファレンス」の「IAM Access Analyzer エンドポイントとクォータ」を参照してください。

IAM Roles Anywhere クォータ

IAM Roles Anywhere のサービスエンドポイントとサービスクォータのリストについては、「AWS 全般のリファレンス」の「AWS Identity and Access Management ロール Anywhere エンドポイントとクォータ」を参照してください。

STS リクエストのクォータ

AWS STS サービスには、各アカウント、各リージョンに 1 秒あたり 600 リクエストのデフォルトのリクエストクォータがあります。このクォータは、AWS認証情報 を使用して行われた次の STS リクエスト間で共有されます。

  • AssumeRole

  • DecodeAuthorizationMessage

  • GetAccessKeyInfo

  • GetCallerIdentity

  • GetFederationToken

  • GetSessionToken

例えば、AWS アカウント が同じリージョンで 1 秒あたり 100 件の GetCallerIdentity リクエストと 1 秒あたり 100 件の AssumeRole 呼び出しを行う場合、そのアカウントは、そのリージョンで利用可能な 1 秒あたり 600 件の STS リクエストのうち 200 件を消費します。

クロスアカウント AssumeRole リクエストの場合、AssumeRole リクエストを行うアカウントのみが STS クォータに影響します。ターゲットアカウントは、クォータを消費していません。

注記

AWS サービスで使用するロールを引き受けるために使用されるものなど、AWS サービスプリンシパルによる AWS STS へのリクエストは、アカウント内の 1 秒あたりの STS リクエストのクォータを消費しません。

STS リクエストクォータの引き上げをリクエストするには、AWSサポート付きのチケットを開いてください。

IAM 文字制限および STS 文字制限

IAM および AWS STS の最大文字数とサイズの制限は、次のとおりです。以下の制限の引き上げをリクエストすることはできません。

説明 制限
AWS アカウント ID のエイリアス 3 ~ 63 文字
インラインポリシーの場合 IAM ユーザー、ロール、またはグループに必要な数のインラインポリシーを追加できます。ただし、エンティティごとの総ポリシーサイズ (すべてのインラインポリシーの合計サイズ) は以下の制限を超えることはできません。

  • ユーザーポリシーサイズは 2,048 文字を超えることはできません。

  • ロールポリシーサイズは 10,240 文字を超えることはできません。

  • グループポリシーサイズは 5,120 文字を超えることはできません。

注記

IAM ではこれらの制限に対するポリシーのサイズを計算する際に空白をカウントしません。
管理ポリシーの場合

  • 各管理ポリシーのサイズは、6,144 文字を超えることはできません。

注記

IAM ではこの制限に対するポリシーのサイズを計算する際に空白をカウントしません。
グループ名 128 文字
インスタンスプロファイル名 128 文字
ログインプロファイルのパスワード 1 〜 128 文字
パス 512 文字
ポリシー名 128 文字
ロール名 64 文字
重要

AWS Management Console の [ロールの切り替え] 機能でロールを使用する場合は、PathRoleName の合計が 64 文字を超えることはできません。
ロールセッションの期間

12 時間ごと

AWS CLI または API からロールを引き受けると、duration-seconds CLI パラメータまたは DurationSeconds API パラメータを使用して、より長いロールセッションをリクエストできます。900 秒 (15 分) からロールの最大セッション期間設定 (1 時間~12 時間の範囲) までの値を指定できます。DurationSeconds パラメータの値を指定しない場合、セキュリティ認証情報は 1 時間有効です。コンソールでロールを切り替える IAM ユーザーには、最大セッション期間、またはユーザーのセッションの残り時間のいずれか短い方が付与されます。最大セッション期間の設定では、AWS のサービスが引き受けるセッションは制限されません。ロールの最大値を確認する方法については、「ロールの最大セッション期間を更新する」を参照してください。
ロールセッション名 64 文字
ロールセッションポリシー

  • 渡された JSON ポリシードキュメントと渡されたすべての管理ポリシー ARN 文字の合計サイズは、2,048 文字を超えることはできません。

  • セッションを作成するときに、最大 10 個のマネージドポリシー ARN を渡すことができます。

  • ロールまたはフェデレーティッドユーザーの一時セッションをプログラムで作成するときに渡すことができる JSON ポリシードキュメントは 1 つだけです。

  • また、AWS 変換では、渡されたセッションポリシーとセッションタグが、個別の制限を持つ一括のバイナリ形式に圧縮されます。PackedPolicySize レスポンス要素は、リクエストのポリシーとタグがサイズ制限にどの程度近づいているかをパーセントで示します。

  • AWS CLI または AWS API を使用してセッションポリシーを渡すことをお勧めします。AWS Management Console は、パックされたポリシーにコンソールセッション情報を追加することがあります。
ロールセッションタグ

  • セッションタグは、タグキーの制限 128 文字、タグ値の制限 256 文字を満たす必要があります。

  • 最大 50 個のセッションタグを渡すことができます。

  • AWS 変換では、渡されたセッションポリシーとセッションタグが、個別の制限を持つひとまとめのバイナリ形式に圧縮されます。セッションタグは、AWS CLI または AWS API を使用して渡すことができます。PackedPolicySize レスポンス要素は、リクエストのポリシーとタグがサイズ制限にどの程度近づいているかをパーセントで示します。
SAML 認証レスポンス base64 エンコード 100,000 文字

この文字制限は assume-role-with-saml CLI または AssumeRoleWithSAML API オペレーションに適用されます。
タグキー 128 文字

この文字制限は、IAM リソースとセッションタグに適用されます。
タグ値 256 文字

この文字制限は、IAM リソースとセッションタグに適用されます。

タグの値は 0 文字にすることができます。つまり、タグの値は 0 文字にすることができます。

IAM によって作成された一意の ID

128 文字 例:。

  • AIDA で始まるユーザー ID

  • AGPA で始まるグループ ID

  • AROA で始まるロール ID

  • ANPA で始まる管理ポリシー ID

  • ASCA で始まるサーバー証明書 ID

注記

これは網羅的なリストではありません。また、特定のタイプの ID が必ずしも指定された文字の組み合わせのみで始まるとは限りません。
[ユーザーネーム] 64 文字