AWS Identity and Access Management
Guía del usuario

Limitaciones en entidades y objetos de IAM

Las entidades y objetos de IAM están limitados. IAM establece límites en cuanto a la forma de denominar una entidad, la cantidad de entidades que puede crear y la cantidad de caracteres que puede utilizar en una entidad.

nota

Para obtener información sobre las cuotas y el uso de entidades en el nivel de cuenta, utilice la operación GetAccountSummary de la API o el comando get-account-summary de la AWS CLI.

Límites de nombres de entidades de IAM

A continuación se indican las restricciones aplicables a los nombres de IAM:

  • Los documentos de políticas solamente pueden contener los siguientes caracteres Unicode: tabulador horizontal (U+0009), salto de línea (U+000A), retorno de carro (U+000D) y caracteres comprendidos entre U+0020 y U+00FF.

  • Los nombres de usuarios, grupos, roles, políticas, perfiles de instancias y certificados de servidor deben ser alfanuméricos, incluidos los siguientes caracteres comunes: más (+), igual (=), coma (,), punto (.), arroba (@), guion bajo (_) y guion (-).

  • Los nombres de usuarios, grupos y roles deben ser únicos en la cuenta. No distinguen entre mayúsculas y minúsculas, por ejemplo, no puede crear dos grupos denominados ADMINS y admins.

  • El valor de ID externo que un tercero utiliza para asumir un rol debe tener como mínimo 2 caracteres y como máximo 1224. El valor debe ser alfanumérico sin espacio en blanco. También puede incluir los símbolos siguientes: más (+), igual (=), coma (,), punto (.), arroba (@), dos puntos (:), barra inclinada (/) y guion (-). Para obtener más información acerca del ID externo, consulte Cómo utilizar un ID externo al otorgar acceso a los recursos de AWS a terceros.

  • Los nombres de ruta de acceso deben comenzar y finalizar con una barra diagonal (/).

  • Los nombres de las políticas insertadas deben ser únicos para el usuario, grupo o rol en el que están insertadas. Pueden incluir caracteres básicos del alfabeto latino (ASCII), salvo los siguientes caracteres reservados: barra invertida (\), barra inclinada (/), asterisco (*), signo de interrogación (?) y espacio en blanco. Estos caracteres están reservados según RFC 3986.

  • Las contraseñas de usuarios (perfiles de inicio de sesión) pueden incluir caracteres básicos del alfabeto latino (ASCII).

  • Los alias de ID de cuenta de AWS deben ser únicos en todos los productos de AWS y deben ser alfanuméricos de acuerdo con las convenciones de nomenclatura de DNS. Un alias debe ir en minúscula, no debe comenzar ni finalizar por un guion, no puede incluir dos guiones consecutivos y no puede ser un número de 12 dígitos.

Para obtener una lista de caracteres básicos del alfabeto latino (ASCII), diríjase a Library of Congress Basic Latin (ASCII) Code Table.

Límites de objetos de entidades de IAM

AWS le permite solicitar una ampliación de los límites predeterminados de entidades de IAM. Para obtener información acerca de cómo solicitar un aumento de estos límites predeterminados, consulte Límites de los servicios de AWS en la documentación de Referencia general de Amazon Web Services.

Límites predeterminados de entidades de IAM:

Recurso Límite predeterminado
Políticas administradas por el cliente en una cuenta de AWS 1500
Grupos en una cuenta de AWS 300
Roles en una cuenta de AWS 1 000
Políticas administradas asociadas a un rol de IAM 10
Políticas administradas asociadas a un usuario de IAM 10
Dispositivos MFA virtuales (asignados o sin asignar) en una cuenta de AWS Equivale a la cuota de usuario de la cuenta
Perfiles de instancia en una cuenta de AWS 1 000
Certificados de servidor almacenados en una cuenta de AWS 20

No es posible solicitar un aumento del límite para los siguientes límites.

Límites de entidades de IAM:

Recurso Límite
Claves de acceso asignadas a un usuario de IAM 2
Las claves de acceso asignadas al usuario Usuario de la cuenta raíz de AWS 2
Alias para una cuenta de AWS 1
Grupos a los que un usuario de IAM puede pertenecer 10
Usuarios de IAM de un grupo Equivale a la cuota de usuario de la cuenta
Usuarios en una cuenta de AWS 5000 (si necesita añadir un número mayor de usuarios, considere la posibilidad de usar credenciales de seguridad temporales.)
Proveedores de identidad (IdP) asociados a un objeto de proveedor SAML de IAM 10
Claves por proveedor SAML 10
Perfiles de inicio de sesión para un usuario de IAM 1
Políticas administradas asociadas a un grupo de IAM 10
Límites de permisos de un usuario de IAM 1
Límites de permisos de un rol de IAM 1
Dispositivos MFA utilizados por un usuario de IAM 1
Dispositivos MFA en uso por el usuario Usuario de la cuenta raíz de AWS 1
Roles en un perfil de instancia 1
Proveedores SAML en una cuenta de AWS 100
Firma de los certificados asignados a un usuario de IAM 2
Claves públicas SSH asignadas a un usuario de IAM 5
Etiquetas que se puede asociar a un rol de IAM 50
Etiquetas que se puede asociar a un usuario de IAM 50
Versiones de una política administrada que se pueden almacenar 5

Límites de caracteres de entidades de IAM

A continuación se indican las longitudes máximas para las entidades:

Descripción Límite
Ruta 512 caracteres
Nombre de usuario 64 caracteres
Group name 128 caracteres
Nombre de rol 64 caracteres

importante

Si desea utilizar un rol con la característica Switch Role en la consola de AWS, la combinación de Path y RoleName no puede superar los 64 caracteres.

Clave de etiqueta 128 caracteres
Valor de etiqueta 256 caracteres

Los valores de etiqueta pueden estar vacíos. Es decir, los valores de las etiquetas puede tener una longitud de 0 caracteres.

Nombre de perfil de instancia 128 caracteres

ID únicos creados por IAM, por ejemplo:

  • ID de usuarios que comienzan con AIDA

  • ID de grupos que comienzan con AGPA

  • ID de roles que comienzan con AROA

  • ID de políticas administradas que comienzan con ANPA

  • ID de certificados de servidor que comienzan con ASCA

nota

No pretende ser una lista exhaustiva ni tampoco es una garantía de que los ID de un determinado tipo comiencen únicamente con la combinación especificada de letras.

128 caracteres
Nombre de la política 128 caracteres
Contraseña de un perfil de inicio de sesión De 1 a 128 caracteres
Alias para un ID de cuenta de AWS De 3 a 63 caracteres
Texto JSON de política de confianza para rol (la política que determina quién puede asumir el rol) 2,048 caracteres
Nombre de sesión de rol 64 caracteres
Duración de la sesión de rol

12 horas

Al asumir un rol desde la API o la AWS CLI, puede utilizar el parámetro duration-seconds de la API o el parámetro DurationSeconds de la API para solicitar una sesión de rol más larga. Puede especificar un valor comprendido entre 900 segundos (15 minutos) y la configuración de la duración máxima de la sesión para el rol, que puede oscilar entre 1 y 12 horas. La configuración de duración máxima de sesión no limita las sesiones asumidas por los servicios de AWS. Para obtener información sobre cómo ver el valor máximo para el rol, consulte Cómo consultar la configuración de la duración máxima de la sesión para un rol. Si no especifica un valor para el parámetro DurationSeconds, sus credenciales de seguridad serán válidas durante una hora.

En el caso de las políticas insertadas Puede añadir tantas políticas insertadas como quiera a un usuario de IAM, rol o grupo. Sin embargo, el tamaño total de las políticas agregadas (la suma del tamaño de todas las políticas insertadas) por entidad no puede superar los siguientes límites:
  • El tamaño de política de usuario no puede tener más de 2 048 caracteres

  • El tamaño de política de rol no puede tener más de 10 240 caracteres

  • El tamaño de política de grupo no puede tener más de 5 120 caracteres

nota

IAM no cuenta los espacios en blanco al calcular el tamaño de una política frente a estas limitaciones.

En el caso de las políticas administradas
  • Puede añadir hasta 10 políticas administradas a un usuario, rol o grupo de IAM.

  • Cada política administrada no puede tener más de 6 144 caracteres.

nota

IAM no cuenta los espacios en blanco al calcular el tamaño de una política frente a esta limitación.

Para políticas de sesión
  • Puede pasar una única política de JSON como parámetro cuando se crea una sesión temporal mediante programación para una función o un usuario federado.

  • Cada política administrada no puede tener más de 2048 caracteres.