AWS Identity and Access Management
ユーザーガイド

IAM および STS の制限

AWS Identity and Access Management (IAM) および AWS Security Token Service (STS) のオブジェクトにはサイズ制限があります。また、これらのサービスでは、オブジェクトに名前を付ける方法、作成できるオブジェクトの数、オブジェクトを渡すときに使用できる文字数も制限されます。

注記

IAM の使用状況とクォータの制限に関するアカウントレベルの情報を取得するには、GetAccountSummary API オペレーション、または get-account-summary AWS CLI コマンドを使用します。

IAM 名前の制限

IAM の名前についての制限を次に示します。

  • ポリシードキュメントには、次の Unicode 文字のみを含めることができます。水平タブ (U+0009)、ラインフィード (U+000A)、キャリッジリターン (U+000D)、および U+0020~U+00FF の範囲内の文字。

  • ユーザー、グループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書の名前は、次の一般的な文字を含む英数字にする必要があります。プラス(+)、等号(=)、カンマ(,)、ピリオド(.)、アットマーク(@)、アンダースコア(_)、ハイフン(-)。

  • ユーザー、グループ、ロール、インスタンスプロファイルの名前は、アカウント内で一意である必要があります。大文字と小文字は区別されません。たとえば、「ADMINS」と「admins」というグループ名を両方作成することはできません。

  • ロールを引き受けるためにサードパーティーが使用する外部 ID の値は、2~1,224 文字で構成されている必要があります。この値は、空白のない英数字にする必要があります。次の記号を含めることもできます。プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、コロン (:)、スラッシュ (/)、およびハイフン (-)。外部 ID の詳細については、AWS リソースへのアクセス権を第三者に付与するときに外部 ID を使用する方法 を参照してください。

  • パス名の前後にはスラッシュ (/) を指定する必要があります。

  • インラインポリシーのポリシー名は、それが埋め込まれているユーザー、グループ、またはロールに対して一意である必要があります。名前には、次の予約文字を除く基本ラテン (ASCII) 文字を含めることができます: バックスラッシュ (\)、スラッシュ (/)、アスタリスク (*)、疑問符 (?)、空白。これらの文字は RFC 3986 に従って予約されています。

  • ユーザーパスワード(ログインプロファイル)には、基本ラテン(ASCII)文字を含めることができます。

  • AWS アカウント ID のエイリアスは、AWS 製品全体で一意となるのもので、DNS の命名規則に従って英数字にする必要があります。エイリアスには小文字を使用する必要があり、先頭または末尾にハイフンを使用することはできません。また、ハイフンを 2 つ連続することも、12 桁の数字にすることもできません。

基本ラテン (ASCII) 文字の一覧については、「Library of Congress Basic Latin (ASCII) Code Table」を参照してください。

IAM オブジェクトの制限

AWS では、 IAM エンティティのデフォルトの制限の引き上げをリクエストできます。これらのデフォルトの制限に対して制限の引き上げをリクエストする方法については、アマゾン ウェブ サービス全般のリファレンス ドキュメントの「AWS サービスの制限」を参照してください。

IAM エンティティに対するデフォルトの制限

リソース デフォルトの制限
AWS アカウントのカスタマー管理ポリシー 1500
AWS アカウントのグループ 300
AWS アカウントのロール 1000
IAM ロールにアタッチされた管理ポリシー 10
IAM ユーザーにアタッチされた管理ポリシー 10
AWS アカウントに (割り当て済みまたは未割り当て) の仮想 MFA デバイス 対象アカウントのユーザクォータと同等
AWS アカウントのインスタンスプロファイル 1000
AWS アカウントに格納されるサーバー証明書 20

以下の制限の引き上げをリクエストすることはできません。

IAM エンティティに対する制限

リソース 制限
IAM ユーザーに割り当てられるアクセスキー 2
AWS アカウントのルートユーザー に割り当てられたアクセスキー 2
AWS アカウントの別名 1
IAM ユーザーがメンバーになれるグループ 10
グループの IAM ユーザー数 対象アカウントのユーザクォータと同等
AWS アカウントのユーザー 5000 (大量のユーザーを追加する必要がある場合は、一時的セキュリティ認証情報の使用を検討してください)。
IAM SAML プロバイダーのオブジェクトに関連付けられる ID プロバイダー (IdP) 10
SAML プロバイダーあたりのキー数 10
IAM ユーザーのログインプロファイル 1
IAM グループにアタッチされた管理ポリシー 10
IAM ユーザーのアクセス許可の境界。 1
IAM ロールのアクセス許可の境界。 1
IAM ユーザーが使用中の MFA デバイス 1
AWS アカウントのルートユーザー で使用中の MFA デバイス 1
インスタンスプロファイルのロール 1
AWS アカウントの SAML プロバイダー 100
IAM ユーザーに割り当てられる署名用証明書 2
IAM ユーザーに割り当てられた SSH パブリックキー 5
IAM ロールにアタッチできるタグ 50
IAM ユーザーにアタッチできるタグ 50
格納できる管理ポリシーのバージョン 5

IAM および STS 文字制限

IAM および AWS STS の最大文字数とサイズ制限は、次のとおりです。

説明 制限
パス 512 文字
ユーザー名 64 文字
グループ名 128 文字
ロール名 64 文字

重要

AWS コンソールの [Switch Role (スイッチロール)] 機能でロールを使用する場合は、PathRoleName の合計が 64 文字を超えることはできません。

タグキー 128 文字

この文字制限は、ユーザータグ、ロールタグ、およびセッションタグに適用されます。

タグ値 256 文字

この文字制限は、ユーザータグ、ロールタグ、およびセッションタグに適用されます。

タグ値は空にすることができます。つまり、タグの値は 0 文字にすることができます。

インスタンスプロファイル名 128 文字

IAM によって作成された一意の ID。例:

  • AIDA で始まるユーザー ID

  • AGPA で始まるグループ ID

  • AROA で始まるロール ID

  • ANPA で始まる管理ポリシー ID

  • ASCA で始まるサーバー証明書 ID

注記

これは網羅的なリストではありません。また、特定のタイプの ID が必ずしも指定された文字の組み合わせのみで始まるとは限りません。

128 文字
ポリシー名 128 文字
ログインプロファイルのパスワード 1~128 文字
AWS アカウント ID のエイリアス 3~63 文字
ロール信頼ポリシー JSON テキスト (ロールを引き受けることができるユーザーを決定するポリシー) 2,048 文字
ロールセッション名 64 文字
ロールセッションの期間

12 時間

AWS CLI または API からロールを引き受けると、duration-seconds CLI パラメータまたは DurationSeconds API パラメータを使用して、より長いロールセッションをリクエストできます。900 秒(15 分)からロールの最大セッション期間設定(1 時間 ~ 12 時間の範囲)までの値を指定できます。最大セッション期間の設定では、AWS サービスが引き受けるセッションは制限されません。ロールの最大値を確認する方法については、「ロールの最大セッション期間設定の表示」を参照してください。DurationSeconds パラメータの値を指定しない場合、セキュリティ認証情報は 1 時間有効です。

ロールセッションポリシー
  • ロールまたはフェデレーティッドユーザーの一時セッションをプログラムで作成するときに渡すことができる JSON ポリシードキュメントは 1 つだけです。

  • 渡された JSON ポリシードキュメントとすべてのセッションポリシー ARN の合計サイズは、2,048 文字を超えることはできません。

  • セッションを作成するときに、複数のマネージドポリシー ARN を渡すことができます。各マネージドポリシーのサイズは、2,048 文字を超えることはできません。

  • AWS 変換では、渡されたセッションポリシーとセッションタグが、個別の制限を持つひとまとめのバイナリ形式に圧縮されます。AWS CLI または AWS API を使用してセッションポリシーを渡すことができます。PackedPolicySize レスポンス要素は、リクエストのポリシーとタグがサイズ制限にどの程度近づいているかをパーセントで示します。

ロールセッションタグ
  • セッションタグは、タグキーの制限 128 文字、タグ値の制限 256 文字を満たす必要があります。

  • 最大 50 個のセッションタグを渡すことができます。

  • AWS 変換では、渡されたセッションポリシーとセッションタグが、個別の制限を持つひとまとめのバイナリ形式に圧縮されます。セッションタグは、AWS CLI または AWS API を使用して渡すことができます。PackedPolicySize レスポンス要素は、リクエストのポリシーとタグがサイズ制限にどの程度近づいているかをパーセントで示します。

インラインポリシーの場合 IAM ユーザー、ロール、またはグループに必要な数のインラインポリシーを追加できます。ただし、エンティティごとの総ポリシーサイズ (すべてのインラインポリシーの合計サイズ) は以下の制限を超えることはできません。
  • ユーザーポリシーサイズは 2,048 文字を超えることはできません。

  • ロールポリシーサイズは 10,240 文字を超えることはできません。

  • グループポリシーサイズは 5,120 文字を超えることはできません。

注記

IAM ではこれらの制限に対するポリシーのサイズを計算する際にスペースはカウントしません。

管理ポリシーの場合
  • 最大 10 の管理ポリシーを IAM ユーザー、ロール、またはグループに追加できます。

  • 各管理ポリシーのサイズは、6,144 文字を超えることはできません。

注記

IAM では、この制限に対するポリシーのサイズを計算する際にスペースはカウントしません。