IAM 및 AWS STS 할당량 - AWS Identity and Access Management

IAM 및 AWS STS 할당량

AWS Identity and Access Management(IAM) 및 AWS Security Token Service(STS)에는 객체의 크기를 제한하는 할당량이 있습니다. 이러한 할당량은 객체의 이름을 지정하는 방법, 생성할 수 있는 객체 수, 객체를 전달할 때 사용할 수 있는 문자 수에 영향을 미칩니다.

참고

IAM 사용량 및 할당량에 관한 계정 수준 정보를 가져오려면 GetAccountSummary API 작업 또는 get-account-summary AWS CLI 명령을 사용합니다.

IAM 이름 요구 사항

IAM 이름에 대한 요구 사항 및 제한 사항은 다음과 같습니다.

  • 정책 설명서에는 수평 탭(U+0009), 라인 피드(U+000A), 캐리지 리턴(U+000D), 그리고 U+0020 ~ U+00FF 범위의 문자 등 유니코드 문자만 넣을 수 있습니다.

  • 사용자, 그룹, 역할, 정책, 인스턴스 프로파일, 서버 인증서 및 경로 이름은 더하기(+), 등호(=), 콤마(,), 마침표(.), at(@), 밑줄(_), 하이픈(-)을 포함하는 영숫자여야 합니다. 경로 이름은 슬래시(/)로 시작하고 끝나야 합니다.

  • 사용자, 그룹, 역할 및 인스턴스 프로파일의 이름은 계정 내에서 고유해야 합니다. 대소문자는 구분하지 않습니다. 예를 들어 그룹 ADMINS와 그룹 admins를 모두 생성할 수는 없습니다.

  • 타사에서 역할을 맡기 위해 사용하는 외부 ID 값은 최소 2자 이상, 최대 1,224자 이상이어야 합니다. 이 값은 공백 없이 영숫자여야 합니다. 이 값은 더하기(+), 등호(=), 쉼표(,) 마침표(.), 기호(@), 콜론(:), 슬래시(/) 및 하이픈(-)과 같은 기호도 포함할 수 있습니다. 외부 ID에 대한 자세한 내용은 타사가 소유한 AWS 계정에 액세스을 참조하세요.

  • 인라인 정책의 정책 이름은 이러한 정책이 포함된 사용자, 그룹 또는 역할에 대해 고유해야 합니다. 이름에는 예약된 문자인 역슬래시(\), 슬래시(/), 별표(*), 물음표(?), 공백을 제외한 라틴어 기본(ASCII) 문자가 포함될 수 있습니다. 이러한 문자는 RFC 3986, 섹션 2.2에 따라 예약됩니다.

  • 사용자 암호(로그인 프로필)에는 라틴어 기본(ASCII) 문자가 포함될 수 있습니다.

  • AWS 계정 ID 별칭은 AWS 제품 전체에서 고유해야 하며, 다음 DNS 명명 규칙을 따르는 영숫자여야 합니다. 별칭은 소문자여야 하며, 하이픈으로 시작하거나 끝나면 안 되고, 2개의 하이픈이 연속으로 있으면 안 되고, 12자리 숫자는 안 됩니다.

로마자 기본(ASCII) 문자 목록을 보려면 의회 도서관 로마자 기본(ASCII) 코드 표를 확인하세요.

IAM 객체 할당량

AWS에서 제한이라고도 하는 할당량은 AWS 계정의 리소스, 작업, 항목의 최댓값입니다. Service Quotas를 사용하여 IAM 할당량을 관리합니다.

IAM 서비스 엔드포인트와 서비스 할당량의 목록은 AWS 일반 참조의 AWS Identity and Access Management endpoints and quotas를 참조하세요.

할당량 증가 요청

  1. AWS 로그인 사용 설명서의 AWS에 로그인하는 방법 항목에 설명된 대로 사용자 유형에 맞는 로그인 절차에 따라 AWS Management Console에 로그인합니다.

  2. Service Quotas 콘솔을 엽니다.

  3. 탐색 창에서 AWS 서비스를 선택합니다.

  4. 탐색 모음에서 US East (N. Virginia) 리전을 선택합니다. 그런 다음 IAM을 검색합니다.

  5. AWS Identity and Access Management(IAM)를 선택하고 할당량을 선택한 다음, 지침에 따라 할당량 증가를 요청합니다.

자세한 내용은 Service Quotas 사용 설명서할당량 증가 요청을 참조하세요.

Service Quotas 콘솔을 사용하여 IAM 할당량 증가를 요청하는 방법의 예를 보려면 다음 동영상을 시청하세요.

조정 가능한 IAM 할당량에 대한 기본 할당량 증가를 요청할 수 있습니다. 최대 maximum quota개까지 요청이 자동으로 승인되고 몇 분 내에 완료됩니다.

다음 표에는 할당량 증가 영역을 자동으로 승인할 수 있는 리소스가 나와 있습니다.

Resource 기본 할당량 최대 할당량
계정별 고객 관리형 정책 1500 5000
계정당 그룹 300 500
계정당 인스턴스 프로파일 수 1000 5000
역할당 관리형 정책 수 10 20
사용자당 관리형 정책 수 10 20
역할 신뢰 정책 길이 2048자 4096자
계정당 역할 수 1000 5000
계정당 서버 인증서 수 20 1000

IAM Access Analyzer 할당량

IAM Access Analyzer 서비스 엔드포인트와 서비스 할당량의 목록은 AWS 일반 참조의 IAM Access Analyzer endpoints and quotas를 참조하세요.

IAM Roles Anywhere 할당량

IAM Roles Anywhere 서비스 엔드포인트와 서비스 할당량의 목록은 AWS 일반 참조의 AWS Identity and Access Management Roles Anywhere endpoints and quotas를 참조하세요.

STS 요청 할당량

AWS STS 서비스의 기본 요청 할당량은 리전별로 계정당 초당 600개 요청입니다. 이 할당량은 AWS 자격 증명을 사용하여 구성된 다음 STS 요청 간에 공유됩니다.

  • AssumeRole

  • DecodeAuthorizationMessage

  • GetAccessKeyInfo

  • GetCallerIdentity

  • GetFederationToken

  • GetSessionToken

예를 들어 AWS 계정이 동일한 리전에서 초당 100개의 GetCallerIdentity 요청과 초당 100개의 AssumeRole 호출을 실행하는 경우 해당 계정은 해당 리전에서 사용 가능한 초당 600개의 STS 요청 중 200개를 소비하고 있는 것입니다.

크로스 계정 AssumeRole 요청의 경우 AssumeRole 요청을 실행하는 계정만 STS 할당량에 영향을 줍니다. 대상 계정에는 사용된 할당량이 하나도 없습니다.

참고

AWS 서비스에서 사용할 역할을 수임하는 데 사용되는 요청과 같이 AWS 서비스 위탁자가 AWS STS에 보내는 요청은 계정에서 초당 STS 요청 할당량을사용하지 않습니다.

STS 요청 할당량 증가를 요청하려면 AWS Support에 문의하세요.

IAM 및 STS 문자 제한

다음은 IAM 및 AWS STS에 대한 최대 문자 수와 크기 제한입니다. 다음 제한에 대해 증가를 요청할 수 없습니다.

설명 Limit
AWS 계정 ID에 대한 별칭 3~63자
인라인 정책: 원하는 만큼의 인라인 정책을 IAM 사용자, 역할 또는 그룹에게 추가할 수 있습니다. 단, 엔터티당 총 누적 정책 크기(모든 인라인 정책의 합)은 다음 제한을 초과할 수 없습니다.
  • 사용자 정책 크기는 2,048자를 초과할 수 없습니다.

  • 역할 정책 크기는 10,240자를 초과할 수 없습니다.

  • 그룹 정책 크기는 5,120자를 초과할 수 없습니다.

참고

IAM은 이러한 제한을 기준으로 정책의 크기를 계산할 때 공백을 계산하지 않습니다.

관리형 정책
  • 각 관리 정책의 크기는 6,144자를 초과할 수 없습니다.

참고

IAM은 이 제한을 기준으로 정책의 크기를 계산할 때 공백을 계산하지 않습니다.

그룹 이름 128자
인스턴스 프로파일 이름 128자
로그인 프로필의 암호 1~128자
경로 512자
정책 이름 128자
역할 이름 64자
중요

그러나 AWS Management Console에서 역할 전환 기능이 있는 역할을 사용하려면 PathRoleName을 합해 64자를 초과할 수 없습니다.

역할 세션 기간

12시간

AWS CLI 또는 API에서 역할을 위임할 때 duration-seconds CLI 파라미터 또는 DurationSeconds API 파라미터를 사용해 더 긴 역할 세션을 요청할 수 있습니다. 값을 900초(15분)에서 역할에 대한 최대 세션 지속 시간 설정(1~12시간)까지 지정할 수 있습니다. DurationSeconds 파라미터의 값을 지정하지 않으면 보안 자격 증명이 한 시간 동안 유효하게 됩니다. 콘솔에서 역할을 전환하는 IAM 사용자에게는 최대 세션 기간 또는 사용자 세션의 남은 시간 중 더 적은 시간이 부여됩니다. 최대 세션 기간 설정은 AWS 서비스에서 수임하는 세션을 제한하지 않습니다. 역할에 대한 최댓값을 확인하는 방법을 알아보려면 역할의 최대 세션 기간 업데이트 섹션을 참조하세요.

역할 세션 이름 64자
역할 세션 정책
  • 전달된 JSON 정책 문서의 크기와 전달된 모든 관리형 정책 ARN 문자를 합친 크기는 2,048자를 초과할 수 없습니다.

  • 세션을 생성할 때 최대 10개의 관리형 정책 ARN을 전달할 수 있습니다.

  • 역할 또는 페더레이션 사용자에 대해 임시 세션을 프로그래밍 방식으로 생성할 경우 하나의 JSON 정책 문서만 전달할 수 있습니다.

  • 또한 AWS 변환은 전달된 세션 정책 및 세션 태그를 별도의 제한이 있는 이진 형식으로 압축합니다. PackedPolicySize 응답 요소는 요청에 대한 정책 및 태그가 상위 크기 제한과 얼마나 가까운지를 백분율로 나타냅니다.

  • AWS CLI 또는 AWS API를 사용하여 세션 정책을 전달하는 것이 좋습니다. AWS Management Console에서는 압축된 정책에 콘솔 세션 정보를 추가할 수 있습니다.

역할 세션 태그
  • 세션 태그는 128자의 태그 키 제한과 256자의 태그 값 제한을 충족해야 합니다.

  • 최대 50개의 세션 태그를 전달할 수 있습니다.

  • AWS 변환은 전달된 세션 정책과 세션 태그를 별도의 제한이 있는 압축된 이진 형식으로 압축합니다. AWS CLI 또는 AWS API를 사용하여 세션 태그를 전달할 수 있습니다. PackedPolicySize 응답 요소는 요청에 대한 정책 및 태그가 상위 크기 제한과 얼마나 가까운지를 백분율로 나타냅니다.

SAML 인증 응답 base64로 인코딩됨 100,000자

이 문자 제한은 assume-role-with-saml CLI 또는 AssumeRoleWithSAML API 작업에 적용됩니다.

태그 키 128자

이 문자 제한은 IAM 리소스의 태그와 세션 태그에 적용됩니다.

태그 값 256자

이 문자 제한은 IAM 리소스의 태그와 세션 태그에 적용됩니다.

태그 값의 길이는 0자, 즉 비어있을 수 있습니다.

IAM이(가) 생성한 고유 ID

128자. 예:

  • AIDA로 시작되는 사용자 ID

  • AGPA로 시작되는 그룹 ID

  • AROA로 시작되는 역할 ID

  • ANPA로 시작되는 관리형 정책 ID

  • ASCA로 시작되는 서버 인증서 ID

참고

이는 포괄적인 목록을 제공하기 위한 것이 아니며 특정 유형의 ID가 지정된 문자 조합으로만 시작됨을 보장하지도 않습니다.

사용자 이름 64자