IAM et quotas AWS STS, exigences relatives aux noms et limites de caractères - AWS Identity and Access Management

IAM et quotas AWS STS, exigences relatives aux noms et limites de caractères

AWS Identity and Access Management (IAM) et AWS Security Token Service (STS) ont des quotas qui limitent la taille des objets. Cela affecte la façon dont vous nommez un objet, le nombre d'objets que vous pouvez créer et le nombre de caractères que vous pouvez utiliser lorsque vous transmettez un objet.

Note

Pour obtenir des informations au niveau du compte sur l'utilisation et les quotas d'IAM, utilisez l'opération d'API GetAccountSummary ou la commande get-account-summary de la AWS CLI.

Exigences relatives aux noms IAM

Les noms IAM ont les exigences et restrictions suivantes :

  • Les documents de politique 000A peuvent contenir uniquement les caractères Unicode suivants : tabulation horizontale (U+0009), saut de ligne (U+000A), retour chariot (U+000D) et caractères de la plage U+0020 à U+00FF.

  • Les noms d'utilisateurs, de groupes, de rôles, de politiques, de profils d'instance et de certificats de serveur doivent être alphanumériques et peuvent inclure les caractères suivants : plus (+), égal à (=), virgule (,), point (.), arobase (@), trait de soulignement (_) et trait d'union (-).

  • Les noms des utilisateurs, des groupes, des rôles et des profils d'instance doivent être uniques au sein du compte. La casse majuscules-minuscules ne compte pas. Par exemple, vous ne pouvez pas créer en même temps des groupes nommés ADMINS et admins.

  • La valeur d'ID externe qu'un tiers utilise pour endosser un rôle doit avoir au minimum 2 caractères et au maximum 1 224 caractères. La valeur doit être alphanumérique sans espaces. Elle peut également inclure les symboles suivants : signe plus (+), signe égal (=), virgule (,), point (.), arobase (@), deux points (:), barre oblique (/) et tiret (-). Pour plus d'informations sur l'ID externe, consultez Procédure d'utilisation d'un ID externe lorsque vous accordez l'accès à vos ressources AWS à un tiers.

  • Les noms de chemins doivent commencer et finir par une barre oblique (/).

  • Les noms de politique des politiques en ligne doivent être uniques pour l'utilisateur, le groupe ou le rôle auquel ils sont intégrés. Les noms peuvent contenir tous les caractères latins de base (ASCII), à l'exception des caractères réservés suivants : barre oblique inverse (\), barre oblique (/), astérisque (*), point d'interrogation (?) et espace. Ces caractères sont réservés conformément à la norme RFC 3986.

  • Les mots de passe des utilisateurs (profils de connexion) peuvent contenir tous les caractères latins (ASCII) de base.

  • Les alias d'ID de compte AWS doivent être uniques entre les produits AWS et doivent être alphanumériques conformément aux conventions d'attribution de noms DNS. Un alias doit être en minuscules, ne doit pas commencer ou se terminer par un trait d'union, ne peut pas contenir deux traits d'union consécutifs et ne peut pas être un numéro à 12 chiffres.

Pour obtenir une liste des caractères latins (ASCII) de base, accédez à la Library of Congress Basic Latin (ASCII) Code Table.

Quotas d'objet IAM

Les quotas, également appelés limites dans AWS, sont la valeur maximale pour les ressources, actions et éléments de votre compte AWS. Utilisez Service Quotas pour gérer vos quotas IAM. Vous pouvez demander une augmentation des quotas par défaut pour les quotas ajustables IAM. Les demandes jusqu'au maximum quota sont automatiquement approuvées et sont terminées en quelques minutes.

Pour demander une augmentation de quota, connectez-vous à la AWS Management Console et ouvrez la console Service Quotas à l'adresse :https://console.aws.amazon.com/servicequotas/. Dans le panneau de navigation, choisissez Services AWS. Dans la barre de navigation, sélectionnez la région US East (N. Virginia). Ensuite, recherchez IAM. Sélectionnez AWS Identity and Access Management (IAM), choisissez un quota et suivez les instructions pour demander une augmentation de quota. Pour de plus amples informations, veuillez consulter Demande d'augmentation de quota dans le Guide de l'utilisateur Service Quotas.

Pour voir un exemple de demande d'augmentation de quota IAM à l'aide de la console Service Quotas, regardez la vidéo suivante.

Les quotas suivants sont ajustables.

Quotas par défaut pour les entités IAM
Ressource Quota par défaut Quota maximal
Politiques gérées par le client dans un compte AWS 1 500 5000
Groupes dans un compte AWS 300 500
Profils d'instances dans un compte AWS 1000 5000
Politiques gérées attachées à un rôle IAM 10 20
Politiques gérées attachées à un utilisateur IAM 10 20
Longueur de la politique d'approbation du rôle 2048 caractères 4096 caractères
Rôles dans un compte AWS 1000 5000
Certificats de serveur stockés dans un compte AWS 20 1000
Appareils MFA virtuels (affectés ou non affectés) dans un compte AWS Égal au quota d'utilisateurs du compte Ne s'applique pas

Vous ne pouvez pas demander d'augmentation pour les quotas suivants.

Quotas pour les entités IAM
Ressource Quota
Clés d'accès affectées à un utilisateur IAM 2
Clés d'accès affectées à l'utilisateur racine Compte AWS 2
Alias d'un compte AWS 1
Groupes dont un utilisateur IAM peut être membre 10
Utilisateurs IAM dans un groupe Égal au quota d'utilisateurs du compte
Fournisseurs d'identités (IdP) associés à un objet de fournisseur SAML IAM 10
Clés par fournisseur SAML 10
Profils de connexion pour un utilisateur IAM 1
Politiques gérées attachées à un groupe IAM 10
Fournisseurs d'identité OpenID Connect par compte AWS 100
Limites d'autorisations pour un utilisateur IAM 1
Limites d'autorisations pour un rôle IAM 1
Appareils MFA utilisés par un utilisateur IAM 1
Dispositifs MFA utilisés par l'utilisateur racine Compte AWS 1
Rôles dans un profil d'instance 1
Fournisseurs SAML dans un compte AWS 100
Certificats de signature affectés à un utilisateur IAM 2
Clés publiques SSH affectées à un utilisateur IAM 5
Balises pouvant être attachées à une politique gérée par le client 50
Balises pouvant être attachées à un fournisseur d'identité SAML 50
Balises pouvant être attachées à un certificat de serveur 50
Balises pouvant être attachées à un appareil MFA virtuel 50
Balises pouvant être attachées à un profil d'instance 50
Balises qui peuvent être attachées à un rôle IAM 50
Balises qui peuvent être attachées à un utilisateur IAM 50
Balises pouvant être attachées à un fournisseur d'identité Open ID Connect (OIDC) 50
Utilisateurs dans un compte AWS 5 000 (Si vous avez besoin d'ajouter un grand nombre d'utilisateurs, pensez à utiliser des informations d'identification de sécurité temporaires.)
Versions d'une politique gérée pouvant être stockées 5

Quotas de l'analyseur d'accès IAM

Pour les quotas de l'analyseur d'accès IAM, consultez Quotas de l'analyseur d'accès IAM.

Limites des caractères d'IAM et de STS

Le nombre maximal de caractères et les limites de taille pour IAM et AWS STS sont les suivants. Vous ne pouvez pas demander une augmentation pour les limites suivantes.

Description Limite
Alias d'un ID de compte AWS 3–63 caractères
Pour les politiques en ligne Vous pouvez ajouter autant de politiques en ligne que désiré à un utilisateur, un rôle ou un groupe IAM. Cependant, la taille totale de la stratégie (la somme de toutes les stratégies en ligne) par entité ne peut pas dépasser les limites suivantes :
  • La taille de la politique d'utilisateur ne peut pas dépasser 2 048 caractères

  • La taille de la politique de rôle ne peut pas dépasser 10 240 caractères

  • La taille de la politique de groupe ne peut pas dépasser 5 120 caractères.

Note

IAM ne compte pas les espaces lors du calcul de la taille d'une politique au regard de ces limites.

Pour les politiques gérées
  • La taille de chaque politique gérée ne peut pas dépasser 6 144 caractères.

Note

IAM ne compte pas les espaces lors du calcul de la taille d'une politique au regard de cette limite.

Nom du groupe 128 caractères
Nom du profil d'instance 128 caractères
Mot de passe pour un profil de connexion 1–128 caractères
Chemin 512 caractères
Nom de la politique 128 caractères
Nom de rôle 64 caractères
Important

Toutefois, si vous avez l'intention d'utiliser un rôle avec la fonction Switch Role (Changer de rôle) dans la AWS Management Console, la combinaison de Path et RoleName ne peut pas dépasser 64 caractères.

Durée de la session de rôle

12 heures

Lorsque vous endossez un rôle à partir de l’interface AWS CLI ou de l'API, vous pouvez utiliser le paramètre CLI duration-seconds de l'interface de ligne de commande ou le paramètre DurationSeconds de l'API pour demander une session de rôle plus longue. Vous pouvez spécifier une valeur comprise entre 900 secondes (15 minutes) et la durée de session maximale pour le rôle, qui peut varier de 1 à 12 heures. Si vous ne spécifiez pas de valeur pour le paramètre DurationSeconds, vos informations d'identification de sécurité sont valides pendant une heure. Les utilisateurs IAM qui changent de rôle dans la console se voient accorder la durée de session maximale ou le temps restant dans la session de l'utilisateur IAM, selon la durée la plus courte. Le paramètre de durée maximale de session ne limite pas les sessions endossées par les services AWS. Pour savoir comment afficher la valeur maximale pour votre rôle, veuillez consulter Affichage du paramètre de durée de session maximale pour un rôle.

Nom de la session de rôle 64 caractères
Politiques de session du rôle
  • La taille du document de politique JSON transmis et tous les caractères ARN de politique gérée transmis combinés ne peut pas dépasser 2 048 caractères.

  • Vous pouvez transmettre un maximum de 10 ARN de politique gérée lorsque vous créez une session.

  • Vous pouvez transmettre un seul document de politique JSON lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré.

  • En outre, une conversion AWS compresse les politiques de session et les balises de session transmises dans un format binaire compressé, qui possède une limite distincte. L'élément de réponse PackedPolicySize indique en pourcentage la proximité des stratégies et des balises de votre requête par rapport à la limite de taille supérieure.

  • Nous vous recommandons de transmettre des politiques de session à l'aide de l’interface AWS CLI ou de l'API AWS. AWS Management Console peut ajouter des informations de session de console supplémentaires à la politique compactée.

Balises de session du rôle
  • Les balises de session doivent respecter la limite de la clé de balise de 128 caractères et la limite de la valeur de balise de 256 caractères.

  • Vous pouvez transmettre jusqu'à 50 balises de session.

  • Une conversion AWS compresse les stratégies de session et les balises de session transmises dans un format binaire compressé, qui possède une limite distincte. Vous pouvez transmettre des étiquettes de session à l'aide de linterface AWS CLI ou de l'API AWS. L'élément de réponse PackedPolicySize indique en pourcentage la proximité des stratégies et des balises de votre requête par rapport à la limite de taille supérieure.

Réponse d'authentification SAML codée en base64 100 000 caractères

Cette limite de caractères s'applique à l'opération CLI assume-role-with-saml ou d'API AssumeRoleWithSAML.

Clé de balise 128 caractères

Cette limite de caractères s'applique aux balises des ressources IAM et des balises de session.

Valeur de balise 256 caractères

Cette limite de caractères s'applique aux balises des ressources IAM et des balises de session.

Les valeurs de balise peuvent être vides, ce qui signifie que les valeurs de balise peuvent ne comporter aucun caractère.

ID uniques créés par IAM

128 caractères Par exemple :

  • ID d'utilisateur commençant par AIDA

  • ID de groupe commençant par AGPA

  • ID de rôle commençant par AROA

  • ID de politique gérée commençant par ANPA

  • ID de stratégie gérée commençant par ASCA

Note

Cette liste n'est pas exhaustive. Elle ne garantit pas non plus que les ID d'un certain type commencent uniquement par la combinaison de lettres indiquée.

Nom utilisateur 64 caractères