AWS Identity and Access Management
ユーザーガイド

IAM エンティティおよびオブジェクトの制限

IAM のエンティティとオブジェクトにはサイズの制限があります。IAM は、エンティティの名前の付け方、作成できるエンティティの数、エンティティで使用できる文字数を制限します。

注記

エンティティの使用状況とクォータに関するアカウントレベルの情報を取得するには、GetAccountSummary API オペレーション、または get-account-summary AWS CLI コマンドを使用します。

IAM エンティティの名前の制限

IAM の名前についての制限を次に示します。

  • ポリシードキュメントには、次の Unicode 文字のみを含めることができます。水平タブ (U+0009)、ラインフィード (U+000A)、キャリッジリターン (U+000D)、および U+0020~U+00FF の範囲内の文字。

  • ユーザー、グループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書の名前は、次の一般的な文字を含む英数字にする必要があります。プラス(+)、等号(=)、カンマ(,)、ピリオド(.)、アットマーク(@)、アンダースコア(_)、ハイフン(-)。

  • ユーザー名、グループ名、およびロール名はアカウント内で一意である必要があります。大文字と小文字は区別されません。たとえば、「ADMINS」と「admins」というグループ名を両方作成することはできません。

  • パス名の前後にはスラッシュ (/) を指定する必要があります。

  • インラインポリシーのポリシー名は、それが埋め込まれているユーザー、グループ、またはロールに対して一意である必要があります。名前には、次の予約文字を除く基本ラテン (ASCII) 文字を含めることができます: バックスラッシュ (\)、スラッシュ (/)、アスタリスク (*)、疑問符 (?)、空白。これらの文字は RFC 3986 に従って予約されています。

  • ユーザーパスワード(ログインプロファイル)には、基本ラテン(ASCII)文字を含めることができます。

  • AWS アカウント ID のエイリアスは、AWS 製品全体で一意となるのもので、DNS の命名規則に従って英数字にする必要があります。エイリアスには小文字を使用する必要があり、先頭または末尾にハイフンを使用することはできません。また、ハイフンを 2 つ連続することも、12 桁の数字にすることもできません。

基本ラテン (ASCII) 文字の一覧については、「Library of Congress Basic Latin (ASCII) Code Table」を参照してください。

IAM エンティティオブジェクトの制限

AWS では、 IAM エンティティのデフォルトの制限の引き上げをリクエストできます。これらのデフォルトの制限の引き上げをリクエストする方法については、アマゾン ウェブ サービス全般のリファレンス ドキュメントの「AWS サービスの制限」を参照してください。

IAM エンティティに対するデフォルトの制限

リソース デフォルトの制限
AWS アカウントのカスタマー管理ポリシー 1500
AWS アカウントのグループ 300
AWS アカウントのロール 1,000
IAM ロールにアタッチされた管理ポリシー 10
IAM ユーザーにアタッチされた管理ポリシー 10
AWS アカウントに (割り当て済みまたは未割り当て) の仮想 MFA デバイス 対象アカウントのユーザクォータと同等
AWS アカウントのインスタンスプロファイル 1,000
AWS アカウントに格納されるサーバー証明書 20

以下の制限の引き上げをリクエストすることはできません。

IAM エンティティに対する制限

リソース 制限
IAM ユーザーに割り当てられるアクセスキー 2
AWS アカウントのルートユーザー に割り当てられたアクセスキー 2
AWS アカウントの別名 1
IAM ユーザーがメンバーになれるグループ 10
グループの IAM ユーザー数 対象アカウントのユーザクォータと同等
AWS アカウントのユーザー 5000 (大量のユーザーを追加する必要がある場合は、一時的セキュリティ認証情報の使用を検討してください)。
IAM SAML プロバイダーのオブジェクトに関連付けられる ID プロバイダー (IdP) 10
SAML プロバイダあたりのキー数 10
IAM ユーザーのログインプロファイル 1
IAM グループにアタッチされた管理ポリシー 10
IAM ユーザーのアクセス許可の境界。 1
IAM ロールのアクセス許可の境界。 1
IAM ユーザーが使用中の MFA デバイス 1
AWS アカウントのルートユーザー で使用中の MFA デバイス 1
インスタンスプロファイルのロール 1
AWS アカウントの SAML プロバイダー 100
IAM ユーザーに割り当てられる署名用証明書 2
IAM ユーザーに割り当てられた SSH パブリックキー 5
格納できる管理ポリシーのバージョン 5

IAM エンティティの文字制限

エンティティの最大の長さを次に示します。

説明 制限
パス 512 文字
ユーザー名 64 文字
グループ名 128 文字
ロール名 64 文字

重要

AWS コンソールのロールの切り替え機能でロールを使用する場合は、PathRoleName の合計が 64 文字を超えることはできません。

インスタンスプロファイル名 128 文字

IAM によって作成された一意の ID。例:

  • AIDA で始まるユーザー ID

  • AGPA で始まるグループ ID

  • AROA で始まるロール ID

  • ANPA で始まる管理ポリシー ID

  • ASCA で始まるサーバー証明書 ID

注記

これは網羅的なリストではありません。また、特定のタイプの ID が必ずしも指定された文字の組み合わせのみで始まるとは限りません。

128 文字
ポリシー名 128 文字
ログインプロファイルのパスワード 1~128 文字
AWS アカウント ID のエイリアス 3~63 文字
ロール信頼ポリシー JSON テキスト (ロールを引き受けることができるユーザーを決定するポリシー) 2,048 文字
ロールセッション名 64 文字
ロールセッションの期間

12 時間

AWS CLI または API からロールを引き受けると、duration-seconds CLI パラメータまたは DurationSeconds API パラメータを使用して、より長いロールセッションをリクエストできます。900 秒 (15 分) からロールの最大セッション期間設定 (1 時間 ~ 12 時間の範囲) までの値を指定できます。ロールの最大値を確認する方法については、「ロールの最大セッション期間設定の表示」を参照してください。DurationSeconds パラメータの値を指定しない場合、セキュリティ認証情報は 1 時間有効です。

インラインポリシーの場合 IAM ユーザー、ロール、またはグループに必要な数のインラインポリシーを追加できます。ただし、エンティティごとの総ポリシーサイズ (すべてのインラインポリシーの合計サイズ) は以下の制限を超えることはできません。
  • ユーザーポリシーサイズは 2,048 文字を超えることはできません。

  • ロールポリシーサイズは 10,240 文字を超えることはできません。

  • グループポリシーサイズは 5,120 文字を超えることはできません。

注記

IAM ではこれらの制限に対するポリシーのサイズを計算する際にスペースはカウントしません。

管理ポリシーの場合
  • 最大 10 の管理ポリシーを IAM ユーザー、ロール、またはグループに追加できます。

  • 各管理ポリシーのサイズは、6,144 文字を超えることはできません。

注記

IAM では、この制限に対するポリシーのサイズを計算する際にスペースはカウントしません。