メニュー
AWS Identity and Access Management
ユーザーガイド

IAM エンティティおよびオブジェクトの制限

このセクションでは、IAM のエンティティを示し、エンティティの使用状況と IAM の制限に関する情報の取得方法を説明します。

注記

エンティティの使用状況と制限に関するアカウントレベルの情報を取得するには、GetAccountSummary API アクション、または get-account-summary AWS CLI コマンドを使用します。

名前についての制限を次に示します。

  • ポリシードキュメントには、次の Unicode 文字のみを含めることができます。水平タブ (U+0009)、ラインフィード (U+000A)、キャリッジリターン (U+000D)、および U+0020~U+00FF の範囲内の文字。

  • ユーザー、グループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書の名前は、次の一般的な文字を含む英数字にする必要があります。プラス(+)、等号(=)、カンマ(,)、ピリオド(.)、アットマーク(@)、アンダースコア(_)、ハイフン(-)。

  • ユーザー名、グループ名、およびロール名はアカウント内で一意である必要があります。 大文字と小文字は区別されません。たとえば、「ADMINS」と「admins」というグループ名を両方作成することはできません。

  • パス名の前後にはスラッシュ(/)を指定する必要があります。

  • インラインポリシーのポリシー名は、組み込まれるユーザー、グループ、ロールに固有のものであり、基本ラテン (ASCII) 文字を含めることができますが、次の予約文字を含めることはできません。バックスラッシュ (\)、スラッシュ (/)、アスタリスク (*)、疑問符 (?)、空白。これらの文字は RFC 3986 に従って予約されています。

  • ユーザーパスワード(ログインプロファイル)には、基本ラテン(ASCII)文字を含めることができます。

  • AWS アカウント ID のエイリアスは、AWS 製品全体で一意となるのもので、DNS の命名規則に従って英数字にする必要があります。エイリアスには小文字を使用する必要があり、先頭または末尾にハイフンを使用することはできません。また、ハイフンを 2 つ連続してすることも、12 桁の数字にすることもできません。

基本ラテン(ASCII)文字の一覧については、Library of Congress Basic Latin (ASCII) Code Table を参照してください。

IAM エンティティのデフォルトの最大数を次に示します。

説明 制限
AWS アカウントのグループ 100
AWS アカウントのユーザー

5000 (大量のユーザーを追加する必要がある場合は、一時的なセキュリティ認証情報の使用を検討してください。一時的なセキュリティ認証情報の詳細については、「一時的セキュリティ認証情報」を参照してください。)

AWS アカウントのロール 500
AWS アカウントのインスタンスプロファイル 500
インスタンスプロファイルのロール

1 (インスタンスあたり 1 ロールの制限は、緩和できません。)

IAM ユーザーがメンバーになれるグループ 10
IAM ユーザーに割り当てられるアクセスキー 2
AWS アカウントのルートユーザーに割り当てられたアクセスキー 2
IAM ユーザーに割り当てられた SSH パブリックキー 5
IAM ユーザーが使用中の MFA デバイス 1
AWS アカウントのルートユーザーが使用中の MFA デバイス 1
AWS アカウントに (割り当て済みまたは未割り当て) の仮想 MFA デバイス 対象アカウントのユーザクォータと同等
IAM ユーザーに割り当てられる署名用証明書 2
AWS アカウントに格納されるサーバー証明書 20
AWS アカウントの別名 1
IAM ユーザーのログインプロファイル 1
AWS アカウントの SAML プロバイダー 100
IAM SAML プロバイダーのオブジェクトに関連付けられる ID プロバイダー (IdP) 10
SAML プロバイダあたりのキー数 10
AWS アカウントのカスタマー管理ポリシー 1,000
格納できる管理ポリシーのバージョン 5
IAM ユーザー、グループ、ロールにアタッチできる管理ポリシー 10

IAM 上限引き上げ申請フォームを使用して、AWS アカウントの上限の増加をリクエストできます。現在、AWS アカウントのユーザー、AWS アカウントのグループ、AWS アカウントのロール、AWS アカウントのインスタンスプロファイルおよび AWS アカウントのサーバー証明書ごとに上限の増加をリクエストできます。

エンティティの最大の長さを次に示します。

説明 制限
パス 512 文字
ユーザー名 64 文字
グループ名 128 文字
ロール名 64 文字

重要

AWS コンソールの [Switch Role] 機能でロールを使用する場合は、PathRoleName の合計が 64 文字を超えることはできません。

インスタンスプロファイル名 128 文字

IAM によって作成された一意の ID。例:

  • AIDA で始まるユーザー ID

  • AGPA で始まるグループ ID

  • AROA で始まるロール ID

  • ANPA で始まる管理ポリシー ID

  • ASCA で始まるサーバー証明書 ID

注記

これは網羅的なリストではありません。また、特定のタイプの ID が必ずしも指定された文字の組み合わせのみで始まるとは限りません。

128 文字
ポリシー名 128 文字
ログインプロファイルのパスワード 1~128 文字
AWS アカウント ID のエイリアス 3~63 文字
ロール信頼ポリシー JSON テキスト (ロールを引き受けることができるユーザーを決定するポリシー) 2,048 文字
ロールセッション名 64 文字
インラインポリシーの場合 IAM ユーザー、ロール、グループに追加できるインラインポリシー数に制限はありませんが、エンティティあたりの合計ポリシーサイズ (すべてのインラインポリシーの合計サイズ) が次の制限を超えることはできません。
  • ユーザーポリシーサイズは 2,048 文字を超えることはできません。

  • ロールポリシーサイズは 10,240 文字を超えることはできません。

  • グループポリシーサイズは 5,120 文字を超えることはできません。

注記

IAM ではこれらの制限に対するポリシーのサイズを計算する際にスペースはカウントしません。

管理ポリシーの場合
  • 最大 10 の管理ポリシーを IAM ユーザー、ロール、またはグループに追加できます。

  • 各管理ポリシーのサイズは、5,120 文字を超えることはできません。

注記

IAM では、この制限に対するポリシーのサイズを計算する際にスペースはカウントしません。