IAM クォータおよび AWS STS クォータ、名前の要件、および文字の制限 - AWS Identity and Access Management

IAM クォータおよび AWS STS クォータ、名前の要件、および文字の制限

AWS Identity and Access Management (IAM) と AWS Security Token Service (STS) には、オブジェクトのサイズを制限するクォータがあります。これは、オブジェクトに名前を付ける方法、作成できるオブジェクトの数、オブジェクトを渡すときに使用できる文字数に影響します。

注記

IAM の使用状況とクォータに関するアカウントレベルの情報を取得するには、GetAccountSummary API オペレーション、または get-account-summary AWS CLI コマンドを使用します。

IAM 名前の要件

IAM の名前には以下の要件と制約があります。

  • ポリシードキュメントには、次の Unicode 文字のみを含めることができます。水平タブ (U+0009)、ラインフィード (U+000A)、キャリッジリターン (U+000D)、および U+0020~U+00FF の範囲内の文字。

  • ユーザー、グループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書の名前は、次の一般的な文字を含む英数字にする必要があります。プラス(+)、等号(=)、カンマ(,)、ピリオド(.)、アットマーク(@)、アンダースコア(_)、ハイフン(-)。

  • ユーザー、グループ、ロール、インスタンスプロファイルの名前は、アカウント内で一意である必要があります。大文字と小文字は区別されません。たとえば、「ADMINS」と「admins」というグループ名を両方作成することはできません。

  • ロールを引き受けるためにサードパーティーが使用する外部 ID の値は、2~1,224 文字で構成されている必要があります。この値は、空白のない英数字にする必要があります。次の記号を含めることもできます。プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、コロン (:)、スラッシュ (/)、およびハイフン (-)。外部 ID の詳細については、AWS リソースへのアクセス権を第三者に付与するときに外部 ID を使用する方法 を参照してください。

  • パス名の前後にはスラッシュ (/) を指定する必要があります。

  • インラインポリシーのポリシー名は、それが埋め込まれているユーザー、グループ、またはロールに対して一意である必要があります。名前には、次の予約文字を除く基本ラテン (ASCII) 文字を含めることができます: バックスラッシュ (\)、スラッシュ (/)、アスタリスク (*)、疑問符 (?)、空白。これらの文字は RFC 3986、セクション 2.2 に従って予約されています。

  • ユーザーパスワード(ログインプロファイル)には、基本ラテン(ASCII)文字を含めることができます。

  • AWS アカウント ID のエイリアスは、AWS 製品全体で一意となるのもので、DNS の命名規則に従って英数字にする必要があります。エイリアスには小文字を使用する必要があり、先頭または末尾にハイフンを使用することはできません。また、ハイフンを 2 つ連続することも、12 桁の数字にすることもできません。

基本ラテン (ASCII) 文字の一覧については、「Library of Congress Basic Latin (ASCII) Code Table」を参照してください。

IAM オブジェクトクォータ

AWS のクォータ (制限とも呼ばれます) は、AWS アカウント のリソース、アクション、および制限の最大値です。Service Quotas を使用して IAM クォータを管理します。調整可能な IAM クォータではデフォルトのクォータの引き上げをリクエストできます。maximum quota までのリクエストは自動的に承認され、数分で完了します。

クォータの引き上げをリクエストするには、AWS Management Console にサインインし、https://console.aws.amazon.com/servicequotas/ の [Service Quotas] コンソールを開きます。ナビゲーションペインで、[AWS services] (AWS のサービス) を選択します。ナビゲーションバーで、[US East (N. Virginia)] リージョンを選択します。次に、IAM を検索します。AWS Identity and Access Management (IAM) を選択し、クォータを選択して、指示に従ってクォータの引き上げをリクエストします。詳細については、Service Quotas ユーザーガイドRequesting a Quota Increase を参照してください。

Service Quotas コンソールを使用して IAM クォータの増加をリクエストする方法の例については、次のビデオをご覧ください。

次のクォータは調整可能です。

IAM エンティティのデフォルトのクォータ
リソース デフォルトのクォータ 最大クォータ
AWS アカウント のカスタマー管理ポリシー 1500 5000
AWS アカウント 内のグループ 300 500
AWS アカウント 内のインスタンスプロファイルのロール 1,000 5000
IAM ロールにアタッチされた管理ポリシー 10 20
IAM ユーザーにアタッチされた管理ポリシー 10 20
ロールの信頼ポリシーの長さ 2048 文字 4096 文字
AWS アカウント での役割 1,000 5000
AWS アカウント に格納されるサーバー証明書 20 1,000
AWS アカウント に (割り当て済みまたは未割り当て) の仮想 MFA デバイス 対象アカウントのユーザクォータと同等 該当しない

次のクォータの引き上げをリクエストすることはできません。

IAM エンティティのクォータ
リソース クォータ
IAM ユーザーに割り当てられるアクセスキー 2
AWS アカウントのルートユーザー に割り当てられたアクセスキー 2
AWS アカウント のエイリアス 1
IAM ユーザーがメンバーになれるグループ 10
グループの IAM ユーザー数 対象アカウントのユーザクォータと同等
IAM SAML プロバイダーのオブジェクトに関連付けられる ID プロバイダー (IdP) 10
SAML プロバイダーあたりのキー数 10
IAM ユーザーのログインプロファイル 1
IAM グループにアタッチされた管理ポリシー 10
AWS アカウント ごとの OpenId Connect ID プロバイダー 100
IAM ユーザーのアクセス許可の境界。 1
IAM ロールのアクセス許可の境界。 1
IAM ユーザーが使用中の MFA デバイス 8
AWS アカウントのルートユーザー で使用中の MFA デバイス 8
インスタンスプロファイルのロール 1
AWS アカウント の SAML プロバイダー 100
IAM ユーザーに割り当てられる署名用証明書 2
IAM ユーザーに割り当てられた SSH パブリックキー 5
カスタマー管理ポリシーにアタッチできるタグ 50
SAML ID プロバイダーにアタッチできるタグ 50
サーバー証明書にアタッチできるタグ 50
仮想 MFA デバイスにアタッチできるタグ 50
インスタンスプロファイルにアタッチできるタグ 50
IAM ロールにアタッチできるタグ 50
IAM ユーザーにアタッチできるタグ 50
OpenID 接続 (OIDC) ID プロバイダーにアタッチできるタグ 50
AWS アカウント のユーザー 5000 (大量のユーザーを追加する必要がある場合は、一時的セキュリティ認証情報の使用を検討してください)。
格納できる管理ポリシーのバージョン 5

IAM Access Analyzer のクォータ

IAM Access Analyzer クォータについては、IAM Access Analyzer Quotas を参照してください。

IAM 文字制限および STS 文字制限

IAM および AWS STS の最大文字数とサイズの制限は、次のとおりです。以下の制限の引き上げをリクエストすることはできません。

説明 制限
AWS アカウント ID のエイリアス 3 ~ 63 文字
インラインポリシーの場合 IAM ユーザー、ロール、またはグループに必要な数のインラインポリシーを追加できます。ただし、エンティティごとの総ポリシーサイズ (すべてのインラインポリシーの合計サイズ) は以下の制限を超えることはできません。
  • ユーザーポリシーサイズは 2,048 文字を超えることはできません。

  • ロールポリシーサイズは 10,240 文字を超えることはできません。

  • グループポリシーサイズは 5,120 文字を超えることはできません。

注記

IAM ではこれらの制限に対するポリシーのサイズを計算する際に空白をカウントしません。

管理ポリシーの場合
  • 各管理ポリシーのサイズは、6,144 文字を超えることはできません。

注記

IAM ではこの制限に対するポリシーのサイズを計算する際に空白をカウントしません。

グループ名 128 文字
インスタンスプロファイル名 128 文字
ログインプロファイルのパスワード 1 〜 128 文字
[Path] (パス) 512 文字
ポリシー名 128 文字
ロール名 64 文字
重要

AWS Management Console の [ロールの切り替え] 機能でロールを使用する場合は、PathRoleName の合計が 64 文字を超えることはできません。

ロールセッションの期間

12 時間

AWS CLI または API からロールを引き受けると、duration-seconds CLI パラメータまたは DurationSeconds API パラメータを使用して、より長いロールセッションをリクエストできます。900 秒 (15 分) からロールの最大セッション期間設定 (1 時間~12 時間の範囲) までの値を指定できます。DurationSeconds パラメータの値を指定しない場合、セキュリティ認証情報は 1 時間有効です。コンソールでロールを切り替える IAM ユーザーには、最大セッション期間、またはユーザーのセッションの残り時間のいずれか短い方が付与されます。最大セッション期間の設定では、AWS サービスが引き受けるセッションは制限されません。ロールの最大値を確認する方法については、「ロールの最大セッション期間設定の表示」を参照してください。

ロールセッション名 64 文字
ロールセッションポリシー
  • 渡された JSON ポリシードキュメントと渡されたすべてのマネージドポリシー ARN 文字の合計サイズは、2,048 文字を超えることはできません。

  • セッションを作成するときに、最大 10 個のマネージドポリシー ARN を渡すことができます。

  • ロールまたはフェデレーティッドユーザーの一時セッションをプログラムで作成するときに渡すことができる JSON ポリシードキュメントは 1 つだけです。

  • また、AWS 変換では、渡されたセッションポリシーとセッションタグが、個別の制限を持つ一括のバイナリ形式に圧縮されます。PackedPolicySize レスポンス要素は、リクエストのポリシーとタグがサイズ制限にどの程度近づいているかをパーセントで示します。

  • AWS CLI または AWS API を使用してセッションポリシーを渡すことをお勧めします。AWS Management Console は、パックされたポリシーにコンソールセッション情報を追加することがあります。

ロールセッションタグ
  • セッションタグは、タグキーの制限 128 文字、タグ値の制限 256 文字を満たす必要があります。

  • 最大 50 個のセッションタグを渡すことができます。

  • AWS 変換では、渡されたセッションポリシーとセッションタグが、個別の制限を持つひとまとめのバイナリ形式に圧縮されます。セッションタグは、AWS CLI または AWS API を使用して渡すことができます。PackedPolicySize レスポンス要素は、リクエストのポリシーとタグがサイズ制限にどの程度近づいているかをパーセントで示します。

SAML 認証レスポンス base64 エンコード 100,000 文字

この文字制限は assume-role-with-saml CLI または AssumeRoleWithSAML API オペレーションに適用されます。

タグキー 128 文字

この文字制限は、IAM リソースとセッションタグに適用されます。

タグ値 256 文字

この文字制限は、IAM リソースとセッションタグに適用されます。

タグの値は 0 文字にすることができます。つまり、タグの値は 0 文字にすることができます。

IAM によって作成された一意の ID

128 文字 例:。

  • AIDA で始まるユーザー ID

  • AGPA で始まるグループ ID

  • AROA で始まるロール ID

  • ANPA で始まる管理ポリシー ID

  • ASCA で始まるサーバー証明書 ID

注記

これは網羅的なリストではありません。また、特定のタイプの ID が必ずしも指定された文字の組み合わせのみで始まるとは限りません。

[User name] (ユーザー名) 64 文字