AWS Identity and Access Management
Guia do usuário

As limitações das entidades e objetos do IAM

As entidades e objetos do IAM têm tamanhos limitados. O IAM limita como nomear uma entidade, o número de entidades que você pode criar e o número de caracteres que você pode usar em uma entidade.

nota

Para obter informações no nível da conta sobre o uso e as cotas de entidades, use a operação da API GetAccountSummary ou o comando get-account-summary da AWS CLI.

Limites de nome de entidade do IAM

Veja a seguir as restrições de nomes do IAM:

  • Os documentos de política podem conter apenas os seguintes caracteres Unicode: guia horizontal (U+0009), linefeed (U+000A), retorno de carro (U+000D) e caracteres no intervalo de U+0020 a U+00FF.

  • Os nomes de usuários, grupos, funções, políticas, perfis da instância e certificados de servidor devem ser alfanuméricos, incluindo os seguintes caracteres comuns: adição (+), igual (=), vírgula (,), ponto (.), arroba (@), sublinhado (_) e hífen (-).

  • Os nomes de usuários, grupos e funções devem ser exclusivos dentro da conta. Eles não são diferenciados por maiúsculas e minúsculas, por exemplo, você não pode criar dois grupos denominados ADMINS e admins.

  • O valor do ID externo que terceiros usam para assumir uma função deve ter no mínimo 2 e no máximo 1.224 caracteres. O valor deve ser alfanumérico sem espaço em branco. Ele também pode incluir os seguintes símbolos: mais (+), igual (=), vírgula (,), ponto (.), arroba (@), dois pontos (:), barra (/) e hífen (-). Para obter mais informações sobre o ID externo, consulte Como usar um ID externo na concessão de acesso aos seus recursos da AWS a terceiros.

  • Os nomes de caminhos devem começar e terminar com uma barra (/).

  • Os nomes de políticas para as políticas em linha devem ser exclusivos para o usuário, grupo ou função em que eles são incorporados. Os nomes podem conter caracteres latinos básicos (ASCII), menos os seguintes caracteres reservados: barra invertida (\), barra (/), asterisco (*), ponto de interrogação (?) e espaço em branco. Esses caracteres são reservados, de acordo com a RFC 3986.

  • As senhas de usuário (perfis de login) podem conter caracteres latinos básicos (ASCII).

  • Os aliases do ID da conta da AWS devem ser exclusivos entre os produtos da AWS e devem ser alfanuméricos, seguindo as convenções de nomeação do DNS. Um alias deve ser em letras minúsculas, não deve iniciar ou terminar com um hífen, não pode conter dois hifens consecutivos e não pode ser um número de 12 dígitos.

Para obter uma lista de caracteres latinos básicos (ASCII), vá até a Tabela de códigos latinos básicos (ASCII) da Biblioteca do Congresso.

Limites de objeto de entidade do IAM

A AWS permite solicitar um aumento de limites de entidade do IAM padrão. Para saber como solicitar um aumento de limite para esses limites padrão, consulte AWS Service Limits na documentação do Referência geral do Amazon Web Services.

Limites padrão para entidades do IAM:

Recurso Limite padrão
Políticas gerenciadas pelo cliente em uma conta da AWS 1500
Grupos em uma conta da AWS 300
Funções em uma conta da AWS 1000
Políticas gerenciadas anexadas a uma função do IAM 10
Políticas gerenciadas anexadas a um usuário do IAM 10
Dispositivos virtuais de MFA (com ou sem atribuições) em uma conta da AWS Igual à cota do usuário da conta
Perfis da instância em uma conta da AWS 1000
Certificados de servidor armazenados em uma conta da AWS 20

Você não pode solicitar um aumento para os limites a seguir.

Limites para entidades do IAM:

Recurso Limite
Chaves de acesso atribuídas a um usuário do IAM 2
Chaves de acesso atribuídas ao Usuário raiz da conta da AWS 2
Aliases de uma conta da AWS 1
Grupos dos quais um usuário do IAM pode ser tornar membro 10
Usuários do IAM em um grupo Igual à cota do usuário da conta
Usuários em uma conta da AWS 5.000 (Se precisar adicionar um grande número de usuários, considere usar as credenciais de segurança temporárias.)
Provedores de identidade (IdPs) associados a um objeto do provedor SAML do IAM 10
Chaves por provedor SAML 10
Perfis de login para um usuário do IAM 1
Políticas gerenciadas anexadas a um grupo do IAM 10
Limites de permissões de um usuário do IAM 1
Limites de permissões de uma função do IAM 1
Dispositivos MFA em uso por um usuário do IAM 1
Dispositivos MFA em uso pelo Usuário raiz da conta da AWS 1
Funções em um perfil da instância 1
Provedores SAML em uma conta da AWS 100
Assinar certificados atribuídos a um usuário do IAM 2
Chaves públicas de SSH atribuídas a um usuário do IAM 5
Tags que podem ser anexadas a uma função do IAM 50
Tags que podem ser anexadas a um usuário do IAM 50
Versões de uma política gerenciada que podem ser armazenadas 5

Limites de caracteres de entidade do IAM

Veja a seguir os tamanhos máximos para entidades:

Descrição Limite
Caminho 512 caracteres
User name 64 caracteres
Group name 128 caracteres
Nome da função 64 caracteres

Importante

Se você pretende usar uma função com o recurso Mudar Função no console da AWS, então Path e RoleName combinados não podem exceder 64 caracteres.

Chave da tag 128 caracteres
Valor da tag 256 caracteres

Os valores de tag podem estar vazios. Ou seja, os valores de tag podem ter 0 caractere.

Nome do perfil de instância 128 caracteres

IDs exclusivos criados pelo IAM, por exemplo:

  • IDs de usuários que começam com AIDA

  • IDs de grupos que começam com AGPA

  • IDs de função que começam com AROA

  • IDs de políticas gerenciadas que começam com ANPA

  • IDs de certificado de servidor que começam com ASCA

nota

Isso não é destinado a ser uma lista completa, nem é uma garantia de que os IDs de um determinado tipo começam apenas com a combinação de letras especificadas.

128 caracteres
Nome da política 128 caracteres
Senha para um perfil de login De 1 a 128 caracteres
Alias de um ID de conta da AWS De 3 a 63 caracteres
Política de confiança da função de texto JSON (a política que determina quem tem permissão para assumir a função) 2,048 caracteres
Nome da sessão da função 64 caracteres
Duração da sessão da função

12 horas

Quando você assume uma função a partir da AWS CLI ou da API, pode usar o parâmetro da ILC duration-seconds ou o parâmetro da API DurationSeconds para solicitar uma sessão de função mais longa. Você pode especificar um valor de 900 segundos (15 minutos) até o valor configurado da duração máxima da sessão para a função, que pode variar de 1 hora a 12 horas. Para saber como visualizar o valor máximo para sua função, consulte Visualize a configuração de duração máxima da sessão para uma função. Se você não especificar um valor para o parâmetro DurationSeconds, as credenciais de segurança serão válidas por uma hora.

Para políticas em linha Você pode adicionar quantas políticas em linha desejar a um usuário, função ou grupo da IAM. No entanto, o tamanho total de política agregado (tamanho total de todas as políticas em linha) por entidade não pode exceder os seguintes limites:
  • O tamanho da política de usuário não pode exceder 2.048 caracteres

  • O tamanho da política de função não pode exceder 10.240 caracteres

  • O tamanho da política de grupo não pode exceder 5.120 caracteres

nota

O IAM não conta espaços em branco ao calcular o tamanho de uma política em relação a essas limitações.

Para políticas gerenciadas
  • Você pode adicionar até 10 políticas gerenciadas a um usuário, função ou grupo do IAM.

  • O tamanho de cada política gerenciada não pode exceder 6,144 caracteres.

nota

O IAM não conta espaços em branco ao calcular o tamanho de uma política em relação a essa limitação.