Cuotas de IAM y AWS STS - AWS Identity and Access Management

Cuotas de IAM y AWS STS

AWS Identity and Access Management (IAM) y AWS Security Token Service (STS) tienen cuotas que limitan el tamaño de los objetos. Estos servicios también limitan el nombre de un objeto, la cantidad de objetos que puede crear y la cantidad de caracteres que puede utilizar al pasar un objeto.

nota

Para obtener información sobre el límite de cuotas y el uso de IAM en el nivel de cuenta, utilice la operación GetAccountSummary de la API o el comando get-account-summaryAWS CLI.

Requisitos de nombres de IAM

Los nombres IAM tienen los siguientes requisitos y restricciones:

  • Los documentos de políticas solamente pueden contener los siguientes caracteres Unicode: tabulador horizontal (U+0009), salto de línea (U+000A), retorno de carro (U+000D) y caracteres comprendidos entre U+0020 y U+00FF.

  • Los nombres de usuarios, grupos, roles, políticas, perfiles de instancias y certificados de servidor deben ser alfanuméricos, incluidos los siguientes caracteres comunes: más (+), igual (=), coma (,), punto (.), arroba (@), guion bajo (_) y guion (-).

  • Los nombres de usuarios, grupos, roles y perfiles de instancia deben ser únicos dentro de la cuenta. No distinguen entre mayúsculas y minúsculas, por ejemplo, no puede crear dos grupos denominados ADMINS y admins.

  • El valor de ID externo que un tercero utiliza para asumir un rol debe tener como mínimo 2 caracteres y como máximo 1224. El valor debe ser alfanumérico sin espacio en blanco. También puede incluir los símbolos siguientes: más (+), igual (=), coma (,), punto (.), arroba (@), dos puntos (:), barra inclinada (/) y guion (-). Para obtener más información acerca del ID externo, consulte Cómo utilizar un ID externo al otorgar acceso a los recursos de AWS a terceros.

  • Los nombres de ruta de acceso deben comenzar y finalizar con una barra diagonal (/).

  • Los nombres de las políticas insertadas deben ser únicos para el usuario, grupo o rol en el que están insertadas. Pueden incluir caracteres básicos del alfabeto latino (ASCII), salvo los siguientes caracteres reservados: barra invertida (\), barra inclinada (/), asterisco (*), signo de interrogación (?) y espacio en blanco. Estos caracteres están reservados según RFC 3986.

  • Las contraseñas de usuarios (perfiles de inicio de sesión) pueden incluir caracteres básicos del alfabeto latino (ASCII).

  • Los alias de ID de cuenta de AWS deben ser únicos en todos los productos de AWS y deben ser alfanuméricos de acuerdo con las convenciones de nomenclatura de DNS. Un alias debe ir en minúscula, no debe comenzar ni finalizar por un guion, no puede incluir dos guiones consecutivos y no puede ser un número de 12 dígitos.

Para obtener una lista de caracteres básicos del alfabeto latino (ASCII), diríjase a Library of Congress Basic Latin (ASCII) Code Table.

Cuotas de objetos de IAM

Las cuotas, también conocidas como límites en AWS, son el valor máximo de los recursos, acciones y elementos de su cuenta de AWS. Utilice Service Quotas para administrar sus cuotas de IAM. Puede solicitar un aumento de las cuotas predeterminadas para las cuotas ajustables IAM. Las solicitudes hasta cuota máxima se aprueban automáticamente y se completan en pocos minutos.

Para solicitar un aumento de cuota, inicie sesión en AWS Management Console y abra la Service Quotas consola en https://console.aws.amazon.com/servicequotas/. En el panel de navegación, elija serviciosAWS. Elija el menú US East (N. Virginia) Región en la barra de navegación. Entonces busquen IAM. Elija AWS Identity and Access Management(IAM), elija una cuota y siga las instrucciones para solicitar un aumento de cuota. Para obtener más información, consulte Solicitud de un aumento de cuota en la Service QuotasGuía del usuario.

Para ver un ejemplo de cómo solicitar un aumento de cuota de IAM mediante la consola Service Quotas, vea el siguiente vídeo.

Las cuotas siguientes son ajustables.

Cuotas predeterminadas para entidades de IAM:
Recurso Cuota predeterminada Cuota máxima
Longitud de la política de confianza de roles 2048 caracteres 4096 caracteres
Políticas administradas por el cliente en una cuenta de AWS 1500 5000
Grupos en una cuenta de AWS 300 500
Roles en una cuenta de AWS 1 000 5000
Políticas administradas asociadas a un rol de IAM 10 20
Políticas administradas asociadas a un usuario de IAM 10 20
Dispositivos MFA virtuales (asignados o sin asignar) en una cuenta de AWS Equivale a la cuota de usuario de la cuenta No aplicable
Perfiles de instancia en una cuenta de AWS 1 000 5000
Certificados de servidor almacenados en una cuenta de AWS 20 1 000

No puede solicitar un aumento para las cuotas siguientes.

Cuotas para IAM entidades
Recurso Cuota
Claves de acceso asignadas a un usuario de IAM 2
Las claves de acceso asignadas al usuario Usuario raíz de Cuenta de AWS 2
Alias para una cuenta de AWS 1
Grupos a los que un usuario de IAM puede pertenecer 10
Usuarios de IAM de un grupo Equivale a la cuota de usuario de la cuenta
Proveedores de identidad (IdP) asociados a un objeto de proveedor SAML de IAM 10
Claves por proveedor SAML 10
Perfiles de inicio de sesión para un usuario de IAM 1
Políticas administradas asociadas a un grupo de IAM 10
Proveedores de identidad de OpenId Connect por AWS cuenta 100
Límites de permisos de un usuario de IAM 1
Límites de permisos de un rol de IAM 1
Dispositivos MFA utilizados por un usuario de IAM 1
Dispositivos MFA en uso por el usuario Usuario raíz de Cuenta de AWS 1
Roles en un perfil de instancia 1
Proveedores SAML en una cuenta de AWS 100
Firma de los certificados asignados a un usuario de IAM 2
Claves públicas SSH asignadas a un usuario de IAM 5
Etiquetas que se pueden adjuntar a una política administrada por el cliente 50
Etiquetas que se pueden adjuntar a un perfil de instancia 50
Etiquetas que se pueden adjuntar a un proveedor de identidades Open ID Connect (OIDC) 50
Etiquetas que se puede asociar a un rol de IAM 50
Etiquetas que se pueden adjuntar a un proveedor de identidades SAML 50
Etiquetas que se pueden adjuntar a un certificado de servidor 50
Etiquetas que se puede asociar a un usuario de IAM 50
Etiquetas que se pueden conectar a un dispositivo MFA virtual 50
Usuarios en una cuenta de AWS 5000 (si necesita añadir un número mayor de usuarios, considere la posibilidad de usar credenciales de seguridad temporales.)
Versiones de una política administrada que se pueden almacenar 5

Cuotas de IAM Access Analyzer

Para ver las cuotas de IAM Access Analyzer, consulte Cuotas de IAM Access Analyzer.

IAM y cuotas de caracteres STS

A continuación se indica la cantidad máxima de caracteres y los límites de tamaño para IAM y AWS STS: No puede solicitar un aumento para las cuotas siguientes.

Descripción Quota
Ruta 512 caracteres
Nombre de usuario 64 caracteres
Group name 128 caracteres
Nombre de rol 64 caracteres
importante

Sin embargo, si desea utilizar un rol con la característica "Switch Role" (cambiar rol) en la AWS Management Console, entonces la combinación de Path y RoleNameno puede superar los 64 caracteres.

Clave de etiqueta 128 caracteres

Esta cuota de caracteres se aplica a las etiquetas de recursos de IAM y etiquetas de sesión.

Valor de etiqueta 256 caracteres

Esta cuota de caracteres se aplica a las etiquetas de recursos de IAM y etiquetas de sesión.

Los valores de etiqueta pueden estar vacíos. Es decir, los valores de las etiquetas puede tener una longitud de 0 caracteres.

Nombre de perfil de instancia 128 caracteres

Identificadores únicos creados por IAM

128 caracteres. Por ejemplo:

  • ID de usuarios que comienzan con AIDA

  • ID de grupos que comienzan con AGPA

  • ID de roles que comienzan con AROA

  • ID de políticas administradas que comienzan con ANPA

  • ID de certificados de servidor que comienzan con ASCA

nota

No pretende ser una lista exhaustiva ni tampoco es una garantía de que los ID de un determinado tipo comiencen únicamente con la combinación especificada de letras.

Nombre de la política 128 caracteres
Contraseña de un perfil de inicio de sesión 1–128 caracteres
Alias para un ID de cuenta de AWS 3–63 caracteres
Nombre de sesión de rol 64 caracteres
Duración de la sesión de rol

12 horas

Al asumir un rol desde la API o la AWS CLI, puede utilizar el parámetro duration-seconds de la API o el parámetro DurationSeconds de la API para solicitar una sesión de rol más larga. Puede especificar un valor comprendido entre 900 segundos (15 minutos) y la configuración de la duración máxima de la sesión para el rol, que puede oscilar entre 1–12 horas. Si no especifica un valor para el parámetro DurationSeconds, las credenciales de seguridad serán válidas durante una hora. A los usuarios de IAM que cambian de roles en la consola se les concede la duración máxima de la sesión, o el tiempo restante de la sesión IAM del usuario, lo que sea menor. La configuración de duración máxima de sesión no limita las sesiones asumidas por los servicios de AWS. Para obtener información sobre cómo ver el valor máximo para el rol, consulte Ver la configuración de la duración máxima de la sesión para un rol.

Políticas de sesión de rol
  • Puede pasar un máximo de 10 ARN de políticas administradas al crear una sesión.

  • Puede pasar una única política de JSON como documento cuando se crea una sesión temporal mediante programación para un rol o un usuario federado.

  • El tamaño del documento de política JSON pasado y todos los caracteres del ARN de la política administrada pasados no pueden superar juntos los 2048 caracteres.

  • Además, una conversión de AWS comprime las políticas de sesión pasadas y las etiquetas de sesión en un formato binario empaquetado que tiene un límite separado. El elemento de respuesta PackedPolicySize indica por porcentaje lo cerca que están las políticas y etiquetas de su solicitud al límite de tamaño superior.

  • Recomendamos que apruebe políticas de sesión mediante la AWS CLI o la API de AWS. La AWS Management Console podría añadir información adicional de la sesión de la consola a la política empaquetada.

Etiquetas de sesión de rol
  • Las etiquetas de sesión deben cumplir el límite de 128 caracteres de clave de etiqueta y el límite de valor de etiqueta de 256 caracteres.

  • Puede pasar hasta 50 etiquetas de sesión.

  • Una conversión de AWS comprime las políticas de sesión pasadas y las etiquetas de sesión en un formato binario empaquetado que tiene un límite separado. Puede pasar etiquetas de sesión usando las API de AWS CLI o AWS. El elemento de respuesta PackedPolicySize indica por porcentaje lo cerca que están las políticas y etiquetas de su solicitud al límite de tamaño superior.

En el caso de las políticas insertadas Puede añadir tantas políticas insertadas como quiera a un usuario de IAM, rol o grupo. Sin embargo, el tamaño total de las políticas agregadas (la suma del tamaño de todas las políticas insertadas) por entidad no puede superar los siguientes límites:
  • El tamaño de política de usuario no puede tener más de 2048 caracteres

  • El tamaño de política de rol no puede tener más de 10 240 caracteres

  • El tamaño de política de grupo no puede tener más de 5120 caracteres

nota

IAM no cuenta los espacios en blanco al calcular el tamaño de una política frente a estas limitaciones.

En el caso de las políticas administradas
  • Puede añadir hasta 10 políticas administradas a un usuario, rol o grupo de IAM.

  • Cada política administrada no puede tener más de 6 144 caracteres.

nota

IAM no cuenta los espacios en blanco al calcular el tamaño de una política frente a esta limitación.