IAM y cuotas STS - AWS Identity and Access Management

IAM y cuotas STS

AWS Identity and Access Management (IAM) y AWS Security Token Service (STS) tienen cuotas que limitan el tamaño de los objetos. Estos servicios también limitan el nombre de un objeto, la cantidad de objetos que puede crear y la cantidad de caracteres que puede utilizar al pasar un objeto.

nota

Para obtener información sobre el límite de cuotas y el uso de IAM en el nivel de cuenta, utilice la operación GetAccountSummary de la API o el comando get-account-summaryAWS CLI.

IAMRequisitos de nombres

Los nombres IAM tienen los siguientes requisitos y restricciones:

  • Los documentos de políticas solamente pueden contener los siguientes caracteres Unicode: tabulador horizontal (U+0009), salto de línea (U+000A), retorno de carro (U+000D) y caracteres comprendidos entre U+0020 y U+00FF.

  • Los nombres de usuarios, grupos, roles, políticas, perfiles de instancias y certificados de servidor deben ser alfanuméricos, incluidos los siguientes caracteres comunes: más (+), igual (=), coma (,), punto (.), arroba (@), guion bajo (_) y guion (-).

  • Los nombres de usuarios, grupos, roles y perfiles de instancia deben ser únicos dentro de la cuenta. No distinguen entre mayúsculas y minúsculas, por ejemplo, no puede crear dos grupos denominados ADMINS y admins.

  • El valor de ID externo que un tercero utiliza para asumir un rol debe tener como mínimo 2 caracteres y como máximo 1224. El valor debe ser alfanumérico sin espacio en blanco. También puede incluir los símbolos siguientes: más (+), igual (=), coma (,), punto (.), arroba (@), dos puntos (:), barra inclinada (/) y guion (-). Para obtener más información acerca del ID externo, consulte Cómo utilizar un ID externo al otorgar acceso a los recursos de AWS a terceros.

  • Los nombres de ruta de acceso deben comenzar y finalizar con una barra diagonal (/).

  • Los nombres de las políticas insertadas deben ser únicos para el usuario, grupo o rol en el que están insertadas. Pueden incluir caracteres básicos del alfabeto latino (ASCII), salvo los siguientes caracteres reservados: barra invertida (\), barra inclinada (/), asterisco (*), signo de interrogación (?) y espacio en blanco. Estos caracteres están reservados según RFC 3986.

  • Las contraseñas de usuarios (perfiles de inicio de sesión) pueden incluir caracteres básicos del alfabeto latino (ASCII).

  • Los alias de ID de cuenta de AWS deben ser únicos en todos los productos de AWS y deben ser alfanuméricos de acuerdo con las convenciones de nomenclatura de DNS. Un alias debe ir en minúscula, no debe comenzar ni finalizar por un guion, no puede incluir dos guiones consecutivos y no puede ser un número de 12 dígitos.

Para obtener una lista de caracteres básicos del alfabeto latino (ASCII), diríjase a Library of Congress Basic Latin (ASCII) Code Table.

IAM Cuotas de objetos

AWS le permite solicitar un aumento de las cuotas predeterminadas para las entidades IAM. Puede usar Cuotas de servicio para administrar sus IAM cuotas. Para cuotas ajustables de IAM, puede solicitar un aumento de cuota. Los aumentos más pequeños se aprueban automáticamente en Cuotas de servicio y se completan en pocos minutos. Las solicitudes más grandes por encima de aumento máximo autoaprobado se envían a AWS Support. Algunas cuotas ajustables no se pueden aumentar por encima del importe máximo de aumento autoaprobado. Puede realizar un seguimiento de su caso de solicitud en la AWS Support consola.

Para solicitar un aumento de cuota, inicie sesión en Consola de administración de AWS y abra la Cuotas de servicio consola en https://console.aws.amazon.com/servicequotas/. En el panel de navegación, elija serviciosAWS. Elija el menú US East (N. Virginia) Región en la barra de navegación. Entonces busquen IAM. Elija AWS Identity and Access Management(IAM), elija una cuota y siga las instrucciones para solicitar un aumento de cuota. Para obtener más información, consulte Solicitud de un aumento de cuota en la Cuotas de servicioGuía del usuario.

Las cuotas siguientes son ajustables.

Cuotas predeterminadas para entidades de IAM:
Recurso Cuota predeterminada Máxima autoaprobación
Tamaño de ACL (Asumir directiva de rol) por rol 2048 caracteres 4096 caracteres
Políticas administradas por el cliente en una cuenta de AWS 1500 5000
Grupos en una cuenta de AWS 300 500
Roles en una cuenta de AWS 1 000 5000
Políticas administradas asociadas a un rol de IAM 10 20
Políticas administradas asociadas a un usuario de IAM 10 20
Dispositivos MFA virtuales (asignados o sin asignar) en una cuenta de AWS Equivale a la cuota de usuario de la cuenta No aplicable
Perfiles de instancia en una cuenta de AWS 1 000 5000
Certificados de servidor almacenados en una cuenta de AWS 20 1 000

No puede solicitar un aumento para las cuotas siguientes.

Cuotas para IAM entidades
Recurso Cuota
Claves de acceso asignadas a un usuario de IAM 2
Las claves de acceso asignadas al usuario Usuario de la cuenta raíz de AWS 2
Alias para una cuenta de AWS 1
Dominios de una AWS cuenta 2
Grupos a los que un usuario de IAM puede pertenecer 10
Usuarios de IAM de un grupo Equivale a la cuota de usuario de la cuenta
Proveedores de identidad (IdP) asociados a un objeto de proveedor SAML de IAM 10
Claves por proveedor SAML 10
Perfiles de inicio de sesión para un usuario de IAM 1
Políticas administradas asociadas a un grupo de IAM 10
Proveedores de identidad de OpenId Connect por AWS cuenta 100
Límites de permisos de un usuario de IAM 1
Límites de permisos de un rol de IAM 1
Dispositivos MFA utilizados por un usuario de IAM 1
Dispositivos MFA en uso por el usuario Usuario de la cuenta raíz de AWS 1
Roles en un perfil de instancia 1
Proveedores SAML en una cuenta de AWS 100
Firma de los certificados asignados a un usuario de IAM 2
Claves públicas SSH asignadas a un usuario de IAM 5
Etiquetas que se puede asociar a un rol de IAM 50
Etiquetas que se puede asociar a un usuario de IAM 50
Usuarios en una cuenta de AWS 5000 (si necesita añadir un número mayor de usuarios, considere la posibilidad de usar credenciales de seguridad temporales.)
Versiones de una política administrada que se pueden almacenar 5

IAM y cuotas de caracteres STS

A continuación se indica la cantidad máxima de caracteres y los límites de tamaño para IAM y AWS STS: No puede solicitar un aumento para las cuotas siguientes.

Descripción Quota
Ruta 512 caracteres
Nombre de usuario 64 caracteres
Group name 128 caracteres
Nombre de rol 64 caracteres
importante

Si desea utilizar un rol con la característica Switch Role en la consola de AWS, la combinación de Path y RoleName no puede superar los 64 caracteres.

Clave de etiqueta 128 caracteres

Este límite de caracteres se aplica a las etiquetas de usuario, las etiquetas de rol y las etiquetas de sesión.

Valor de etiqueta 256 caracteres

Este límite de caracteres se aplica a las etiquetas de usuario, las etiquetas de rol y las etiquetas de sesión.

Los valores de etiqueta pueden estar vacíos. Es decir, los valores de las etiquetas puede tener una longitud de 0 caracteres.

Nombre de perfil de instancia 128 caracteres

ID únicos creados por IAM, por ejemplo:

  • ID de usuarios que comienzan con AIDA

  • ID de grupos que comienzan con AGPA

  • ID de roles que comienzan con AROA

  • ID de políticas administradas que comienzan con ANPA

  • ID de certificados de servidor que comienzan con ASCA

nota

No pretende ser una lista exhaustiva ni tampoco es una garantía de que los ID de un determinado tipo comiencen únicamente con la combinación especificada de letras.

128 caracteres
Nombre de la política 128 caracteres
Contraseña de un perfil de inicio de sesión 1–128 caracteres
Alias para un ID de cuenta de AWS 3–63 caracteres
Texto JSON de política de confianza para rol (la política que determina quién puede asumir el rol) 2,048 caracteres
Nombre de sesión de rol 64 caracteres
Duración de la sesión de rol

12 horas

Al asumir un rol desde la API o la AWS CLI, puede utilizar el parámetro duration-seconds de la API o el parámetro DurationSeconds de la API para solicitar una sesión de rol más larga. Puede especificar un valor comprendido entre 900 segundos (15 minutos) y la configuración de la duración máxima de la sesión para el rol, que puede oscilar entre 1–12 horas. Si no especifica un valor para el parámetro DurationSeconds, las credenciales de seguridad serán válidas durante una hora. A los usuarios de IAM que cambian de roles en la consola se les concede la duración máxima de la sesión, o el tiempo restante de la sesión IAM del usuario, lo que sea menor. La configuración de duración máxima de sesión no limita las sesiones asumidas por los servicios de AWS. Para obtener información sobre cómo ver el valor máximo para el rol, consulte Cómo consultar la configuración de la duración máxima de la sesión para un rol.

Políticas de sesión de rol
  • Puede pasar una única política de JSON como documento cuando se crea una sesión temporal mediante programación para un rol o un usuario federado.

  • El tamaño del documento de política JSON pasado y todos los caracteres del ARN de la política administrada pasados no pueden superar juntos los 2048 caracteres.

  • Puede pasar un máximo de 10 ARN de políticas administradas al crear una sesión.

  • Una conversión de AWS comprime las políticas de sesión pasadas y las etiquetas de sesión en un formato binario empaquetado que tiene un límite separado. Puede aprobar políticas de sesión mediante la API de AWS CLI o AWS. El elemento de respuesta PackedPolicySize indica por porcentaje lo cerca que están las políticas y etiquetas de su solicitud al límite de tamaño superior.

Etiquetas de sesión de rol
  • Las etiquetas de sesión deben cumplir el límite de 128 caracteres de clave de etiqueta y el límite de valor de etiqueta de 256 caracteres.

  • Puede pasar hasta 50 etiquetas de sesión.

  • Una conversión de AWS comprime las políticas de sesión pasadas y las etiquetas de sesión en un formato binario empaquetado que tiene un límite separado. Puede pasar etiquetas de sesión usando las API de AWS CLI o AWS. El elemento de respuesta PackedPolicySize indica por porcentaje lo cerca que están las políticas y etiquetas de su solicitud al límite de tamaño superior.

En el caso de las políticas insertadas Puede añadir tantas políticas insertadas como quiera a un usuario de IAM, rol o grupo. Sin embargo, el tamaño total de las políticas agregadas (la suma del tamaño de todas las políticas insertadas) por entidad no puede superar los siguientes límites:
  • El tamaño de política de usuario no puede tener más de 2048 caracteres

  • El tamaño de política de rol no puede tener más de 10 240 caracteres

  • El tamaño de política de grupo no puede tener más de 5120 caracteres

nota

IAM no cuenta los espacios en blanco al calcular el tamaño de una política frente a estas limitaciones.

En el caso de las políticas administradas
  • Puede añadir hasta 10 políticas administradas a un usuario, rol o grupo de IAM.

  • Cada política administrada no puede tener más de 6 144 caracteres.

nota

IAM no cuenta los espacios en blanco al calcular el tamaño de una política frente a esta limitación.