IAM および STS クォータ - AWS Identity and Access Management

IAM および STS クォータ

AWS Identity and Access Management (IAM) と AWS Security Token Service (STS) には、オブジェクトのサイズを制限するクォータがあります。これは、オブジェクトに名前を付ける方法、作成できるオブジェクトの数、オブジェクトを渡すときに使用できる文字数に影響します。

注記

IAM の使用状況とクォータに関するアカウントレベルの情報を取得するには、GetAccountSummary API オペレーション、または get-account-summary AWS CLI コマンドを使用します。

IAM 名前の要件

IAM の名前には以下の要件と制約があります。

  • ポリシードキュメントには、次の Unicode 文字のみを含めることができます。水平タブ (U+0009)、ラインフィード (U+000A)、キャリッジリターン (U+000D)、および U+0020~U+00FF の範囲内の文字。

  • ユーザー、グループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書の名前は、次の一般的な文字を含む英数字にする必要があります。プラス(+)、等号(=)、カンマ(,)、ピリオド(.)、アットマーク(@)、アンダースコア(_)、ハイフン(-)。

  • ユーザー、グループ、ロール、インスタンスプロファイルの名前は、アカウント内で一意である必要があります。大文字と小文字は区別されません。たとえば、「ADMINS」と「admins」というグループ名を両方作成することはできません。

  • ロールを引き受けるためにサードパーティーが使用する外部 ID の値は、2~1,224 文字で構成されている必要があります。この値は、空白のない英数字にする必要があります。次の記号を含めることもできます。プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、コロン (:)、スラッシュ (/)、およびハイフン (-)。外部 ID の詳細については、AWS リソースへのアクセス権を第三者に付与するときに外部 ID を使用する方法 を参照してください。

  • パス名の前後にはスラッシュ (/) を指定する必要があります。

  • インラインポリシーのポリシー名は、それが埋め込まれているユーザー、グループ、またはロールに対して一意である必要があります。名前には、次の予約文字を除く基本ラテン (ASCII) 文字を含めることができます: バックスラッシュ (\)、スラッシュ (/)、アスタリスク (*)、疑問符 (?)、空白。これらの文字は RFC 3986 に従って予約されています。

  • ユーザーパスワード(ログインプロファイル)には、基本ラテン(ASCII)文字を含めることができます。

  • AWS アカウント ID のエイリアスは、AWS 製品全体で一意となるのもので、DNS の命名規則に従って英数字にする必要があります。エイリアスには小文字を使用する必要があり、先頭または末尾にハイフンを使用することはできません。また、ハイフンを 2 つ連続することも、12 桁の数字にすることもできません。

基本ラテン (ASCII) 文字の一覧については、「Library of Congress Basic Latin (ASCII) Code Table」を参照してください。

IAM オブジェクトクォータ

AWS では、IAM エンティティのデフォルトのクォータの引き上げをリクエストできます。サービスクォータ を使用して IAM クォータを管理できます。調整可能な IAM クォータについては、クォータの引き上げをリクエストできます。小幅な引き上げは サービスクォータ で自動的に承認され、数分で完了します。最大自動承認引き上げ 以上の大きなリクエスト は AWS サポート に送信されます。調整可能な一部のクォータは、自動承認の最大引き上げ量を超えて引き上げすることができません。AWS サポート コンソールでリクエストケースを追跡できます。

クォータの引き上げをリクエストするには、AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/servicequotas/ で サービスクォータ コンソールを開きます。ナビゲーションペインで、[AWS のサービス] を選択します。ナビゲーションバーで、[米国東部(バージニア北部)] リージョンを選択します。次に、IAM を検索します。[AWS Identity and Access Management (IAM)] を選択し、クォータを選択して、指示に従ってクォータの引き上げをリクエストします。詳細については、サービスクォータ ユーザーガイドの「クォータの引き上げのリクエスト」を参照してください。

次のクォータは調整可能です。

IAM エンティティのデフォルトのクォータ
リソース デフォルトのクォータ 最大自動承認
ロールごとの ACL (ロールポリシーを継承) サイズ 2048 文字 4096 文字
AWS アカウントのカスタマー管理ポリシー 1500 5000
AWS アカウントのグループ 300 500
AWS アカウントのロール 1000 5000
IAM ロールにアタッチされた管理ポリシー 10 20
IAM ユーザーにアタッチされた管理ポリシー 10 20
AWS アカウントに (割り当て済みまたは未割り当て) の仮想 MFA デバイス 対象アカウントのユーザクォータと同等 該当しません
AWS アカウントのインスタンスプロファイル 1000 5000
AWS アカウントに格納されるサーバー証明書 20 1000

次のクォータの引き上げをリクエストすることはできません。

IAM エンティティのクォータ
リソース Quota
IAM ユーザーに割り当てられるアクセスキー 2
AWS アカウントのルートユーザー に割り当てられたアクセスキー 2
AWS アカウントの別名 1
AWS アカウントのドメイン 2
IAM ユーザーがメンバーになれるグループ 10
グループの IAM ユーザー数 対象アカウントのユーザクォータと同等
IAM SAML プロバイダーのオブジェクトに関連付けられる ID プロバイダー (IdP) 10
SAML プロバイダーあたりのキー数 10
IAM ユーザーのログインプロファイル 1
IAM グループにアタッチされた管理ポリシー 10
AWS アカウントごとの OpenId Connect ID プロバイダー 100
IAM ユーザーのアクセス許可の境界。 1
IAM ロールのアクセス許可の境界。 1
IAM ユーザーが使用中の MFA デバイス 1
AWS アカウントのルートユーザー で使用中の MFA デバイス 1
インスタンスプロファイルのロール 1
AWS アカウントの SAML プロバイダー 100
IAM ユーザーに割り当てられる署名用証明書 2
IAM ユーザーに割り当てられた SSH パブリックキー 5
IAM ロールにアタッチできるタグ 50
IAM ユーザーにアタッチできるタグ 50
AWS アカウントのユーザー 5000 (大量のユーザーを追加する必要がある場合は、一時的セキュリティ認証情報の使用を検討してください)。
格納できる管理ポリシーのバージョン 5

IAM および STS 文字クォータ

IAM および AWS STS の最大文字数とサイズクォータは、次のとおりです。次のクォータの引き上げをリクエストすることはできません。

説明 Quota
パス 512 文字
ユーザー名 64 文字
グループ名 128 文字
ロール名 64 文字
重要

AWS コンソールの [Switch Role (スイッチロール)] 機能でロールを使用する場合は、PathRoleName の合計が 64 文字を超えることはできません。

タグキー 128 文字

この文字クォータは、ユーザータグ、ロールタグ、およびセッションタグに適用されます。

タグ値 256 文字

この文字クォータは、ユーザータグ、ロールタグ、およびセッションタグに適用されます。

タグ値は空にすることができます。つまり、タグの値は 0 文字にすることができます。

インスタンスプロファイル名 128 文字

IAM によって作成された一意の ID。例:

  • AIDA で始まるユーザー ID

  • AGPA で始まるグループ ID

  • AROA で始まるロール ID

  • ANPA で始まる管理ポリシー ID

  • ASCA で始まるサーバー証明書 ID

注記

これは網羅的なリストではありません。また、特定のタイプの ID が必ずしも指定された文字の組み合わせのみで始まるとは限りません。

128 文字
ポリシー名 128 文字
ログインプロファイルのパスワード 1 – 128 文字
AWS アカウント ID のエイリアス 3 – 63 文字
ロール信頼ポリシー JSON テキスト (ロールを引き受けることができるユーザーを決定するポリシー) 2,048 文字
ロールセッション名 64 文字
ロールセッションの期間

12 時間

AWS CLI または API からロールを引き受けると、duration-seconds CLI パラメータまたは DurationSeconds API パラメータを使用して、より長いロールセッションをリクエストできます。900 秒 (15 分) からロールの最大セッション期間設定 (1 時間~12 時間の範囲) までの値を指定できます。DurationSeconds パラメータの値を指定しない場合、セキュリティ認証情報は 1 時間有効です。コンソールでロールを切り替える IAM ユーザーには、最大セッション期間または IAM ユーザーのセッションの残り時間のどちらか短い方が付与されます。最大セッション期間の設定では、AWS サービスが引き受けるセッションは制限されません。ロールの最大値を確認する方法については、「ロールの最大セッション期間設定の表示」を参照してください。

ロールセッションポリシー
  • ロールまたはフェデレーティッドユーザーの一時セッションをプログラムで作成するときに渡すことができる JSON ポリシードキュメントは 1 つだけです。

  • 渡された JSON ポリシードキュメントと渡されたすべてのマネージドポリシー ARN 文字の合計サイズは、2,048 文字を超えることはできません。

  • セッションを作成するときに、最大 10 個のマネージドポリシー ARN を渡すことができます。

  • AWS 変換では、渡されたセッションポリシーとセッションタグが、個別のクォータを持つひとまとめのバイナリ形式に圧縮されます。AWS CLI または AWS API を使用してセッションポリシーを渡すことができます。PackedPolicySize レスポンス要素は、リクエストのポリシーとタグがサイズクォータにどの程度近づいているかをパーセントで示します。

ロールセッションタグ
  • セッションタグは、タグキーのクォータ 128 文字、タグ値のクォータ 256 文字を満たす必要があります。

  • 最大 50 個のセッションタグを渡すことができます。

  • AWS 変換では、渡されたセッションポリシーとセッションタグが、個別のクォータを持つひとまとめのバイナリ形式に圧縮されます。セッションタグは、AWS CLI または AWS API を使用して渡すことができます。PackedPolicySize レスポンス要素は、リクエストのポリシーとタグがサイズクォータにどの程度近づいているかをパーセントで示します。

インラインポリシーの場合 IAM ユーザー、ロール、またはグループに必要な数のインラインポリシーを追加できます。ただし、エンティティごとの総ポリシーサイズ (すべてのインラインポリシーの合計サイズ) は以下のクォータを超えることはできません。
  • ユーザーポリシーサイズは 2,048 文字を超えることはできません。

  • ロールポリシーサイズは 10,240 文字を超えることはできません。

  • グループポリシーサイズは 5,120 文字を超えることはできません。

注記

IAM ではこれらのクォータに対するポリシーのサイズを計算する際にスペースはカウントしません。

管理ポリシーの場合
  • 最大 10 の管理ポリシーを IAM ユーザー、ロール、またはグループに追加できます。

  • 各管理ポリシーのサイズは、6,144 文字を超えることはできません。

注記

IAM では、このクォータに対するポリシーのサイズを計算する際にスペースはカウントしません。