IAM 및 AWS STS 할당량, 이름 요구 사항 및 문자 제한 - AWS Identity and Access Management

IAM 및 AWS STS 할당량, 이름 요구 사항 및 문자 제한

AWS Identity and Access Management(IAM) 및 AWS Security Token Service(STS)에는 객체의 크기를 제한하는 할당량이 있습니다. 이러한 할당량은 객체의 이름을 지정하는 방법, 생성할 수 있는 객체 수, 객체를 전달할 때 사용할 수 있는 문자 수에 영향을 미칩니다.

참고

IAM 사용량 및 할당량에 관한 계정 수준 정보를 가져오려면 GetAccountSummary API 작업 또는 get-account-summary AWS CLI 명령을 사용합니다.

IAM 이름 요구 사항

IAM 이름에 대한 요구 사항 및 제한 사항은 다음과 같습니다.

  • 정책 설명서에는 수평 탭(U+0009), 라인 피드(U+000A), 캐리지 리턴(U+000D), 그리고 U+0020 ~ U+00FF 범위의 문자 등 유니코드 문자만 넣을 수 있습니다.

  • 사용자, 그룹, 역할, 정책, 인스턴스 프로파일 및 서버 인증서 이름은 더하기(+), 등호(=), 콤마(,), 마침표(.), at(@), 밑줄(_), 하이픈(-)을 포함하는 영숫자여야 합니다.

  • 사용자, 그룹, 역할 및 인스턴스 프로파일의 이름은 계정 내에서 고유해야 합니다. 대소문자는 구분하지 않습니다. 예를 들어 그룹 ADMINS와 그룹 admins를 모두 만들 수는 없습니다.

  • 타사에서 역할을 맡기 위해 사용하는 외부 ID 값은 최소 2자 이상, 최대 1,224자 이상이어야 합니다. 이 값은 공백 없이 영숫자여야 합니다. 이 값은 더하기(+), 등호(=), 쉼표(,) 마침표(.), 기호(@), 콜론(:), 슬래시(/) 및 하이픈(-)과 같은 기호도 포함할 수 있습니다. 외부 ID에 대한 자세한 내용은 AWS 리소스에 대한 액세스 권한을 서드 파티에 부여할 때 외부 ID를 사용하는 방법을 참조하세요.

  • 경로 이름은 슬래시(/)로 시작하고 끝나야 합니다.

  • 인라인 정책의 정책 이름은 이러한 정책이 포함된 사용자, 그룹 또는 역할에 대해 고유해야 합니다. 이름에는 라틴어 기본(ASCII) 문자가 포함될 수 있는데 예약된 문자인 역슬래시(\), 슬래시(/), 별표(*), 물음표(?), 공백이 없어야 합니다. 이러한 문자는 RFC 3986, 섹션 2.2에 따라 예약됩니다.

  • 사용자 암호(로그인 프로필)에는 라틴어 기본(ASCII) 문자가 포함될 수 있습니다.

  • AWS 계정 ID 별칭은 AWS 제품 전체에서 고유해야 하며, 다음 DNS 명명 규칙을 따르는 영숫자여야 합니다. 별칭은 소문자여야 하며, 하이픈으로 시작하거나 끝나면 안 되고, 2개의 하이픈이 연속으로 있으면 안 되고, 12자리 숫자는 안 됩니다.

로마자 기본(ASCII) 문자 목록을 보려면 의회 도서관 로마자 기본(ASCII) 코드 표를 확인하세요.

IAM 객체 할당량

AWS에서 제한이라고도 하는 할당량은 AWS 계정의 리소스, 작업, 항목의 최댓값입니다. Service Quotas를 사용하여 IAM 할당량을 관리합니다. 조정 가능한 IAM 할당량에 대한 기본 할당량 증가를 요청할 수 있습니다. 최대 maximum quota개까지 요청이 자동으로 승인되고 몇 분 내에 완료됩니다.

할당량 증가를 요청하려면 AWS Management Console에 로그인하고 https://console.aws.amazon.com/servicequotas/에서 Service Quotas 콘솔을 엽니다. 탐색 창에서 AWS services(서비스)를 선택합니다. 탐색 모음에서 US East (N. Virginia) 리전을 선택합니다. 그런 다음 IAM을 검색합니다. AWS Identity and Access Management(IAM)를 선택하고 할당량을 선택한 다음, 지침에 따라 할당량 증가를 요청합니다. 자세한 내용은 Service Quotas 사용 설명서할당량 증가 요청을 참조하세요.

Service Quotas 콘솔을 사용하여 IAM 할당량 증가를 요청하는 방법의 예를 보려면 다음 동영상을 시청하세요.

다음 할당량은 조정이 가능합니다.

IAM 엔터티에 대한 기본 할당량
리소스 기본 할당량 최대 할당량
AWS 계정 내 고객 관리형 정책 1500 5000
AWS 계정 내 그룹 300 500
AWS 계정 내 인스턴스 프로파일 1000 5000
IAM 역할에 연결된 관리형 정책 10 20
IAM 사용자에 연결된 관리형 정책 10 20
역할 신뢰 정책 길이 2048자 4096자
AWS 계정 내 역할 1000 5000
하나의 AWS 계정에 저장되는 서버 인증서 20 1000
AWS 계정 내 가상 MFA 장치(할당된 또는 할당되지 않은 상태) 계정에 대한 사용자 할당량과 동일 해당 사항 없음

다음 할당량에 대한 증가를 요청할 수 없습니다.

IAM 엔터티에 대한 할당량
리소스 Quota
한 명의 IAM 사용자에게 할당되는 액세스 키 2
AWS 계정 루트 사용자에게 할당되는 액세스 키 2
AWS 계정당 별칭 1
IAM 사용자 한 명이 소속될 수 있는 그룹 수 10
그룹의 IAM 사용자 수 계정에 대한 사용자 할당량과 동일
IAM SAML 공급자 객체와 연결된 자격 증명 공급자(IdP) 10
SAML 제공자당 키 10
IAM 사용자당 로그인 프로필 1
IAM 그룹에 연결된 관리형 정책 10
AWS 계정당 OpenId Connect ID 공급자 100
IAM 사용자에 대한 권한 경계 1
IAM 역할에 대한 권한 경계 1
한 명의 IAM 사용자가 사용하는 MFA 디바이스 1
AWS 계정 루트 사용자당 사용하는 MFA 디바이스: 1
인스턴스 프로파일 내 역할 1
AWS 계정당 SAML 제공자 100
한 명의 IAM 사용자에게 할당되는 서명 인증서 2
한 명의 IAM 사용자에게 할당되는 SSH 퍼블릭 키 5
고객 관리형 정책에 연결할 수 있는 태그 50
SAML 자격 증명 공급자에 연결할 수 있는 태그 50
서버 인증서에 연결할 수 있는 태그 50
가상 MFA 디바이스에 연결할 수 있는 태그 50
인스턴스 프로파일에 연결할 수 있는 태그 50
IAM 역할에 연결할 수 있는 태그 50
IAM 사용자에 연결할 수 있는 태그 50
OpenID Connect(OIDC) 공급자에 연결할 수 있는 태그 50
AWS 계정 내 사용자 5000(다수의 사용자를 추가해야 한다면 임시 보안 자격 증명의 사용을 고려할 수 있습니다.)
저장할 수 있는 관리형 정책의 버전 수 5

IAM Access Analyzer 할당량

IAM Access Analyzer 할당량에 대해서는 IAM Access Analyzer 할당량을참조하세요.

IAM 및 STS 문자 제한

다음은 IAM 및 AWS STS에 대한 최대 문자 수와 크기 제한입니다. 다음 제한에 대해 증가를 요청할 수 없습니다.

설명 한도
AWS 계정 ID의 별칭 3~63자
인라인 정책: 원하는 만큼의 인라인 정책을 IAM 사용자, 역할 또는 그룹에게 추가할 수 있습니다. 단, 엔터티당 총 누적 정책 크기(모든 인라인 정책의 합)은 다음 한계를 초과할 수 없습니다.
  • 사용자 정책 크기는 2,048자를 초과할 수 없습니다.

  • 역할 정책 크기는 10,240자를 초과할 수 없습니다.

  • 그룹 정책 크기는 5,120자를 초과할 수 없습니다.

참고

IAM은 이러한 제한을 기준으로 정책의 크기를 계산할 때 공백을 계산하지 않습니다.

관리형 정책
  • 각 관리 정책의 크기는 6,144자를 초과할 수 없습니다.

참고

IAM은 이 제한을 기준으로 정책의 크기를 계산할 때 공백을 계산하지 않습니다.

그룹 이름 128자
인스턴스 프로파일 이름 128자
로그인 프로필의 암호 1~128자
경로 512자
정책 이름 128자
역할 이름 64자
중요

그러나 AWS Management Console에서 역할 전환 기능이 있는 역할을 사용하려면 Path와(과) RoleName을(를) 합해 64자를 초과할 수 없습니다.

역할 세션 기간

12시간

AWS CLI 또는 API에서 역할을 위임할 때 duration-seconds CLI 파라미터 또는 DurationSeconds API 파라미터를 사용해 더 긴 역할 세션을 요청할 수 있습니다. 값을 900초(15분)에서 역할에 대한 최대 세션 지속 시간 설정(1~12시간)까지 지정할 수 있습니다. DurationSeconds 파라미터의 값을 지정하지 않으면 보안 자격 증명이 한 시간 동안 유효하게 됩니다. 콘솔에서 역할을 전환하는 IAM 사용자에게는 최대 세션 기간 또는 IAM 사용자 세션의 남은 시간 중 더 적은 시간이 부여됩니다. 최대 세션 기간 설정은 AWS 서비스에서 수임하는 세션을 제한하지 않습니다. 역할에 대한 최댓값을 확인하는 방법을 알아보려면 역할에 대한 최대 세션 기간 설정 보기 섹션을 참조하세요.

역할 세션 이름 64자
역할 세션 정책
  • 전달된 JSON 정책 문서의 크기와 전달된 모든 관리형 정책 ARN 문자를 합친 크기는 2,048자를 초과할 수 없습니다.

  • 세션을 생성할 때 최대 10개의 관리형 정책 ARN을 전달할 수 있습니다.

  • 역할 또는 페더레이션 사용자에 대해 임시 세션을 프로그래밍 방식으로 생성할 경우 하나의 JSON 정책 문서만 전달할 수 있습니다.

  • 또한 AWS 변환은 전달된 세션 정책 및 세션 태그를 별도의 제한이 있는 이진 형식으로 압축합니다. PackedPolicySize 응답 요소는 요청에 대한 정책 및 태그가 상위 크기 제한과 얼마나 가까운지를 백분율로 나타냅니다.

  • AWS CLI 또는 AWS API를 사용하여 세션 정책을 전달하는 것이 좋습니다. AWS Management Console에서는 압축된 정책에 콘솔 세션 정보를 추가할 수 있습니다.

역할 세션 태그
  • 세션 태그는 128자의 태그 키 제한과 256자의 태그 값 제한을 충족해야 합니다.

  • 최대 50개의 세션 태그를 전달할 수 있습니다.

  • AWS 변환은 전달된 세션 정책과 세션 태그를 별도의 제한이 있는 압축된 이진 형식으로 압축합니다. AWS CLI 또는 AWS API를 사용하여 세션 태그를 전달할 수 있습니다. PackedPolicySize 응답 요소는 요청에 대한 정책 및 태그가 상위 크기 제한과 얼마나 가까운지를 백분율로 나타냅니다.

SAML 인증 응답 base64로 인코딩됨 100,000자

이 문자 제한은 assume-role-with-saml CLI 또는 AssumeRoleWithSAML API 작업에 적용됩니다.

태그 키 128자

이 문자 제한은 IAM 리소스의 태그와 세션 태그에 적용됩니다.

태그 값 256자

이 문자 제한은 IAM 리소스의 태그와 세션 태그에 적용됩니다.

태그 값의 길이는 0자, 즉 비어있을 수 있습니다.

IAM이(가) 생성한 고유 ID

128자. 예:

  • AIDA로 시작되는 사용자 ID

  • AGPA로 시작되는 그룹 ID

  • AROA로 시작되는 역할 ID

  • ANPA로 시작되는 관리형 정책 ID

  • ASCA로 시작되는 서버 인증서 ID

참고

이는 포괄적인 목록을 제공하기 위한 것이 아니며 특정 유형의 ID가 지정된 문자 조합으로만 시작됨을 보장하지도 않습니다.

사용자 이름 64자