IAM y cuotas de STS - AWS Identity and Access Management

Si proporcionásemos una traducción de la versión en inglés de la guía, prevalecerá la versión en inglés de la guía si hubiese algún conflicto. La traducción se proporciona mediante traducción automática.

IAM y cuotas de STS

AWS Identity and Access Management (IAM) y AWS Security Token Service (STS) tienen cuotas que limitan el tamaño de los objetos. Esto afecta a la forma en que se asigna un nombre a un objeto, al número de objetos que se pueden crear y al número de caracteres que se pueden utilizar al pasar un objeto.

nota

Para obtener información de nivel de cuenta sobre IAM el uso y las cuotas, utilice la Obtener resumen de cuenta Operación de la API o la obtener-resumen-cuenta AWS CLI del comando.

IAM requisitos de nombre

IAM Los nombres de tienen los siguientes requisitos y restricciones:

  • Los documentos de políticas solamente pueden contener los siguientes caracteres Unicode: tabulador horizontal (U+0009), salto de línea (U+000A), retorno de carro (U+000D) y caracteres comprendidos entre U+0020 y U+00FF.

  • Los nombres de usuarios, grupos, roles, políticas, perfiles de instancias y certificados de servidor deben ser alfanuméricos, incluidos los siguientes caracteres comunes: más (+), igual (=), coma (,), punto (.), arroba (@), guion bajo (_) y guion (-).

  • Los nombres de usuarios, grupos, roles y perfiles de instancia deben ser únicos dentro de la cuenta. No distinguen entre mayúsculas y minúsculas, por ejemplo, no puede crear dos grupos denominados ADMINS y admins.

  • El valor de ID externo que un tercero utiliza para asumir un rol debe tener como mínimo 2 caracteres y como máximo 1224. El valor debe ser alfanumérico sin espacio en blanco. También puede incluir los símbolos siguientes: más (+), igual (=), coma (,), punto (.), arroba (@), dos puntos (:), barra inclinada (/) y guion (-). Para obtener más información acerca del ID externo, consulte Cómo utilizar un ID externo al conceder acceso a sus recursos de AWS a un tercero.

  • Los nombres de ruta de acceso deben comenzar y finalizar con una barra diagonal (/).

  • Los nombres de las políticas insertadas deben ser únicos para el usuario, grupo o rol en el que están insertadas. Pueden incluir caracteres básicos del alfabeto latino (ASCII), salvo los siguientes caracteres reservados: barra invertida (\), barra inclinada (/), asterisco (*), signo de interrogación (?) y espacio en blanco. Estos caracteres están reservados según RFC 3986.

  • Las contraseñas de usuarios (perfiles de inicio de sesión) pueden incluir caracteres básicos del alfabeto latino (ASCII).

  • Los alias de ID de cuenta de AWS deben ser únicos en todos los productos de AWS y deben ser alfanuméricos de acuerdo con las convenciones de nomenclatura de DNS. Un alias debe ir en minúscula, no debe comenzar ni finalizar por un guion, no puede incluir dos guiones consecutivos y no puede ser un número de 12 dígitos.

Para obtener una lista de caracteres básicos del alfabeto latino (ASCII), diríjase a Library of Congress Basic Latin (ASCII) Code Table.

IAM Cuotas de objetos de

AWS le permite solicitar un aumento de las cuotas predeterminadas para IAM entidades de. Puedes usar Cuotas de servicio para gestionar su IAM las cuotas de. Para ajuste IAM , puede solicitar un aumento de cuota. Los aumentos más pequeños se aprueban automáticamente en Cuotas de servicio y se completan en unos minutos. Las solicitudes más grandes por encima del maximum autoapproved increase se envían a AWS Support. Algunas cuotas ajustables no se pueden aumentar por encima del importe de aumento máximo aprobado automáticamente. Puede realizar un seguimiento de su caso de solicitud en la pestaña AWS Support consola de.

Para solicitar un aumento de cuota, inicie sesión en la Consola de administración de AWS y abre la pestaña Cuotas de servicio consola de en https://console.aws.amazon.com/servicequotas/. En el panel de navegación, elija AWS servicios. En la barra de navegación, selecciona la opción US East (N. Virginia) Región. Luego busque IAM. Elegir AWS Identity and Access Management (IAM), elija una cuota y siga las instrucciones para solicitar un aumento de cuota. Para obtener más información, consulte Solicitud de un aumento de cuota en la Guía del usuario de Cuotas de servicio.

Para ver un ejemplo de cómo solicitar un IAM El aumento de cuota de mediante la Cuotas de servicio , vea el siguiente vídeo.

Las siguientes cuotas son ajustables.

Cuotas predeterminadas para entidades de IAM:
Recurso: Cuota predeterminada Aprobación automática máxima
Tamaño de ACL (Asumir política de rol) por rol 2048 caracteres 4 096 caracteres
Políticas administradas por el cliente en una cuenta de AWS 1500 5000
Grupos en una cuenta de AWS $300 500**
Roles en una cuenta de AWS 1000* 5000
Políticas administradas asociadas a un rol de IAM -10 -20
Políticas administradas asociadas a un usuario de IAM -10 -20
Dispositivos MFA virtuales (asignados o sin asignar) en una cuenta de AWS Equivale a la cuota de usuario de la cuenta No aplicable
Perfiles de instancia en una cuenta de AWS 1000* 5000
Certificados de servidor almacenados en una cuenta de AWS -20 1000*

No puede solicitar un aumento para las siguientes cuotas de.

Cuotas para IAM entidades
Recurso: Cuota
Claves de acceso asignadas a un usuario de IAM 2.
Las claves de acceso asignadas al usuario Usuario de la cuenta raíz de AWS 2.
Alias para una cuenta de AWS -1
Dominios para un AWS cuenta 2.
Grupos a los que un usuario de IAM puede pertenecer -10
Usuarios de IAM de un grupo Equivale a la cuota de usuario de la cuenta
Proveedores de identidad (IdP) asociados a un objeto de proveedor SAML de IAM -10
Claves por proveedor SAML -10
Perfiles de inicio de sesión para un usuario de IAM -1
Políticas administradas asociadas a un grupo de IAM -10
Proveedores de identidades de OpenId Connect por AWS cuenta -100
Límites de permisos de un usuario de IAM -1
Límites de permisos de un rol de IAM -1
Dispositivos MFA utilizados por un usuario de IAM -1
Dispositivos MFA en uso por el usuario Usuario de la cuenta raíz de AWS -1
Roles en un perfil de instancia -1
Proveedores SAML en una cuenta de AWS -100
Firma de los certificados asignados a un usuario de IAM 2.
Claves públicas SSH asignadas a un usuario de IAM 5
Etiquetas que se puede asociar a un rol de IAM 50.
Etiquetas que se puede asociar a un usuario de IAM 50.
Usuarios en una cuenta de AWS 5000 (si necesita añadir un número mayor de usuarios, considere la posibilidad de usar credenciales de seguridad temporales.)
Versiones de una política administrada que se pueden almacenar 5

IAM y cuotas de caracteres STS

A continuación se muestran los recuentos de caracteres máximos y las cuotas de tamaño para IAM y AWS STS. No puede solicitar un aumento para las siguientes cuotas de.

​Descripción Cuota
Ruta 512 caracteres
Nombre de usuario 64 caracteres
Group name 128 caracteres
Nombre de rol 64 caracteres
importante

Si desea utilizar un rol con la característica Switch Role en la consola de AWS, la combinación de Path y RoleName no puede superar los 64 caracteres.

Clave de etiqueta 128 caracteres

Esta cuota de caracteres se aplica a las etiquetas de usuario, las etiquetas de rol y etiquetas de sesión.

Valor de etiqueta 256 caracteres

Esta cuota de caracteres se aplica a las etiquetas de usuario, las etiquetas de rol y etiquetas de sesión.

Los valores de etiqueta pueden estar vacíos. Es decir, los valores de las etiquetas puede tener una longitud de 0 caracteres.

Nombre de perfil de instancia 128 caracteres

ID únicos creados por IAM, por ejemplo:

  • ID de usuarios que comienzan con AIDA

  • ID de grupos que comienzan con AGPA

  • ID de roles que comienzan con AROA

  • ID de políticas administradas que comienzan con ANPA

  • ID de certificados de servidor que comienzan con ASCA

nota

No pretende ser una lista exhaustiva ni tampoco es una garantía de que los ID de un determinado tipo comiencen únicamente con la combinación especificada de letras.

128 caracteres
Nombre de la política 128 caracteres
Contraseña de un perfil de inicio de sesión 1–128 caracteres
Alias para un ID de cuenta de AWS 3–63 caracteres
Texto JSON de política de confianza para rol (la política que determina quién puede asumir el rol) 2,048 caracteres
Nombre de sesión de rol 64 caracteres
Duración de la sesión de rol

12 horas

Al asumir un rol desde la API o la AWS CLI, puede utilizar el parámetro duration-seconds de la API o el parámetro DurationSeconds de la API para solicitar una sesión de rol más larga. Puede especificar un valor desde 900 segundos (15 minutos) hasta la configuración de duración máxima de la sesión para el rol, que puede ser de 1–12 horas. Si no especifica un valor para la DurationSeconds , sus credenciales de seguridad son válidas durante una hora. IAM Los usuarios de que cambian de rol en la consola de reciben la duración máxima de la sesión o el tiempo restante en la IAM la sesión del usuario de , la que sea menor. La configuración de duración máxima de sesión no limita las sesiones asumidas por los servicios de AWS. Para obtener información sobre cómo ver el valor máximo para el rol, consulte Ver la configuración de duración máxima de sesión de un rol.

Políticas de sesión de rol
  • Puede pasar una única política de JSON como documento cuando se crea una sesión temporal mediante programación para un rol o un usuario federado.

  • El tamaño del documento de política JSON pasado y todos los caracteres del ARN de la política administrada pasados no pueden superar juntos los 2048 caracteres.

  • Puede pasar un máximo de 10 ARN de políticas administradas al crear una sesión.

  • Un AWS La conversión de comprime las políticas de sesión pasadas y las etiquetas de sesión en un formato binario empaquetado que tiene una cuota independiente. Puede aprobar políticas de sesión mediante la API de AWS CLI o AWS. El PackedPolicySize El elemento de respuesta indica por porcentaje lo cerca que están las políticas y etiquetas de su solicitud de la cuota de tamaño superior.

Etiquetas de sesión de rol
  • Las etiquetas de sesión deben cumplir la cuota de clave de etiqueta de 128 caracteres y la cuota de valor de etiqueta de 256 caracteres.

  • Puede pasar hasta 50 etiquetas de sesión.

  • Un AWS La conversión de comprime las políticas de sesión pasadas y las etiquetas de sesión en un formato binario empaquetado que tiene una cuota independiente. Puede pasar etiquetas de sesión usando las API de AWS CLI o AWS. El PackedPolicySize El elemento de respuesta indica por porcentaje lo cerca que están las políticas y etiquetas de su solicitud de la cuota de tamaño superior.

En el caso de las políticas insertadas Puede añadir tantas políticas insertadas como quiera a un usuario de IAM, rol o grupo. Sin embargo, el tamaño total agregado de la política (el tamaño total de todas las políticas insertadas) por entidad no puede superar las siguientes cuotas:
  • El tamaño de política de usuario no puede tener más de 2048 caracteres

  • El tamaño de política de rol no puede tener más de 10 240 caracteres

  • El tamaño de política de grupo no puede tener más de 5120 caracteres

nota

IAM no cuenta el espacio en blanco al calcular el tamaño de una política con respecto a estas cuotas.

En el caso de las políticas administradas
  • Puede añadir hasta 10 políticas administradas a un usuario, rol o grupo de IAM.

  • Cada política administrada no puede tener más de 6 144 caracteres.

nota

IAM no cuenta el espacio en blanco al calcular el tamaño de una política con respecto a esta cuota.