IAM e AWS STS cotas - AWS Identity and Access Management

IAM e AWS STS cotas

O AWS Identity and Access Management (IAM) e o AWS Security Token Service (STS) têm cotas que limitam o tamanho dos objetos. Isso afeta como um objeto é nomeado, o número de objetos que podem ser criados e o número de caracteres que podem ser usados ao transmitir um objeto.

nota

Para obter informações no nível da conta sobre o uso e as cotas do IAM, use a operação de API GetAccountSummary ou o comando get-account-summary da AWS CLI.

Requisitos de nome do IAM

Os nomes do IAM têm os seguintes requisitos e restrições:

  • Os documentos de política podem conter apenas os seguintes caracteres Unicode: guia horizontal (U+0009), linefeed (U+000A), retorno de carro (U+000D) e caracteres no intervalo de U+0020 a U+00FF.

  • Os nomes de usuários, grupos, funções, políticas, perfis da instância e certificados de servidor devem ser alfanuméricos, incluindo os seguintes caracteres comuns: adição (+), igual (=), vírgula (,), ponto (.), arroba (@), sublinhado (_) e hífen (-).

  • Os nomes de usuários, grupos, funções e perfis de instância devem ser exclusivos na conta. Eles não são diferenciados por maiúsculas e minúsculas, por exemplo, você não pode criar dois grupos denominados ADMINS e admins.

  • O valor do ID externo que terceiros usam para assumir uma função deve ter no mínimo 2 e no máximo 1.224 caracteres. O valor deve ser alfanumérico sem espaço em branco. Ele também pode incluir os seguintes símbolos: mais (+), igual (=), vírgula (,), ponto (.), arroba (@), dois pontos (:), barra (/) e hífen (-). Para obter mais informações sobre o ID externo, consulte Como usar um ID externo ao conceder acesso aos seus recursos da AWS a terceiros.

  • Os nomes de caminhos devem começar e terminar com uma barra (/).

  • Os nomes de políticas para as políticas em linha devem ser exclusivos para o usuário, grupo ou função em que eles são incorporados. Os nomes podem conter caracteres latinos básicos (ASCII), menos os seguintes caracteres reservados: barra invertida (\), barra (/), asterisco (*), ponto de interrogação (?) e espaço em branco. Esses caracteres são reservados, de acordo com a RFC 3986.

  • As senhas de usuário (perfis de login) podem conter caracteres latinos básicos (ASCII).

  • Os alias do ID da conta da AWS devem ser exclusivos entre os produtos da AWS e devem ser alfanuméricos, seguindo as convenções de nomeação do DNS. Um alias deve ser em letras minúsculas, não deve iniciar ou terminar com um hífen, não pode conter dois hifens consecutivos e não pode ser um número de 12 dígitos.

Para obter uma lista de caracteres latinos básicos (ASCII), vá até a Tabela de códigos latinos básicos (ASCII) da Biblioteca do Congresso.

Cotas de objetos do IAM

As cotas, também conhecidas como limites na AWS, são os valores máximos para recursos, ações e itens na sua conta da AWS. Use o Service Quotas para gerenciar as cotas do IAM. Você pode solicitar um aumento nas cotas padrão para cotas ajustáveis do IAM. Solicitações até o cota máxima são automaticamente aprovadas e são concluídas em poucos minutos.

Para solicitar um aumento de cota, faça login no AWS Management Console e abra o console do Service Quotas em https://console.aws.amazon.com/servicequotas/. No painel de navegação, selecione Serviços da AWS. Na barra de navegação, selecione a região Leste dos EUA (Norte da Virgínia). Depois, procure IAM. Selecione AWS Identity and Access Management (IAM), escolha uma cota e siga as instruções para solicitar um aumento de cota. Para obter mais informações, consulte Solicitar um aumento de cota no Guia do usuário do Service Quotas.

Para ver um exemplo de como solicitar um aumento de cotas do IAM usando o console do Service Quotas, assista ao vídeo a seguir.

As cotas a seguir são ajustáveis.

Cotas padrão para entidades do IAM
Recurso Cota padrão Cota máxima
Duração da política de confiança da função 2048 caracteres 4096 caracteres
Políticas gerenciadas pelo cliente em uma conta da AWS 1500 5000
Grupos em uma conta da AWS 300 500
Funções em uma conta da AWS 1000 5000
Políticas gerenciadas anexadas a uma função do IAM 10 20
Políticas gerenciadas anexadas a um usuário do IAM 10 20
Dispositivos virtuais de MFA (com ou sem atribuições) em uma conta da AWS Igual à cota do usuário da conta Não aplicável
Perfis da instância em uma conta da AWS 1000 5000
Certificados de servidor armazenados em uma conta da AWS 20 1000

Não é possível solicitar um aumento para as cotas a seguir.

Cotas para entidades do IAM
Recurso Quota
Chaves de acesso atribuídas a um usuário do IAM 2
Chaves de acesso atribuídas ao Usuário raiz da Conta da AWS 2
Aliases de uma conta da AWS 1
Grupos dos quais um usuário do IAM pode ser tornar membro 10
Usuários do IAM em um grupo Igual à cota do usuário da conta
Provedores de identidade (IdPs) associados a um objeto do provedor SAML do IAM 10
Chaves por provedor SAML 10
Perfis de login para um usuário do IAM 1
Políticas gerenciadas anexadas a um grupo do IAM 10
Provedores de identidade do OpenID Connect por conta da AWS 100
Limites de permissões de um usuário do IAM 1
Limites de permissões de uma função do IAM 1
Dispositivos MFA em uso por um usuário do IAM 1
Dispositivos MFA em uso pelo Usuário raiz da Conta da AWS 1
Funções em um perfil da instância 1
Provedores SAML em uma conta da AWS 100
Assinar certificados atribuídos a um usuário do IAM 2
Chaves públicas de SSH atribuídas a um usuário do IAM 5
Tags que podem ser associadas a uma política gerenciada pelo cliente 50
Tags que podem ser associadas a um perfil de instância 50
Tags que podem ser associadas a um provedor de identidade Open ID Connect (OIDC) 50
Tags que podem ser anexadas a uma função do IAM 50
Tags que podem ser associadas a um provedor de identidade SAML 50
Tags que podem ser associadas a um certificado de servidor 50
Tags que podem ser anexadas a um usuário do IAM 50
Tags que podem ser associadas a um dispositivo MFA virtual 50
Usuários em uma conta da AWS 5.000 (Se precisar adicionar um grande número de usuários, considere usar as credenciais de segurança temporárias.)
Versões de uma política gerenciada que podem ser armazenadas 5

Cotas do IAM Access Analyzer

Para as cotas do IAM Access Analyzer, consulte Cotas do IAM Access Analyzer.

Cotas de caracteres do IAM e do STS

Veja a seguir as contagens máximas de caracteres e cotas de tamanho para o IAM e o AWS STS. Não é possível solicitar um aumento para as cotas a seguir.

Descrição Quota
Caminho 512 caracteres
Nome de usuário 64 caracteres
Nome de grupo 128 caracteres
Nome da função 64 caracteres
Importante

No entanto, se você pretende usar uma função com o recurso Switch Role (Trocar função) no AWS Management Console, Path e RoleName combinados não podem exceder 64 caracteres.

Chave de tag 128 caracteres

Essa cota de caracteres se aplica a tags em recursos do IAM e tags de sessão.

Valor da tag 256 caracteres

Essa cota de caracteres se aplica a tags em recursos do IAM e tags de sessão.

Os valores de etiqueta podem estar vazios, o que significa que podem ter um comprimento de 0 caracteres.

Nome do perfil de instância 128 caracteres

IDs únicos criados pelo IAM

128 caracteres. Por exemplo:

  • IDs de usuários que começam com AIDA

  • IDs de grupos que começam com AGPA

  • IDs de função que começam com AROA

  • IDs de políticas gerenciadas que começam com ANPA

  • IDs de certificado de servidor que começam com ASCA

nota

Isso não é destinado a ser uma lista completa, nem é uma garantia de que os IDs de um determinado tipo começam apenas com a combinação de letras especificadas.

Nome da política 128 caracteres
Senha para um perfil de login 1–128 caracteres
Alias de um ID de conta da AWS 3–63 caracteres
Nome da sessão da função 64 caracteres
Duração da sessão da função

12 horas

Quando você assume uma função a partir da AWS CLI ou da API, pode usar o parâmetro da CLI duration-seconds ou o parâmetro da API DurationSeconds para solicitar uma sessão de função mais longa. É possível especificar um valor de 900 segundos (15 minutos) até a configuração da duração máxima da sessão para a função, que pode variar de 1 a 12 horas. Se você não especificar um valor para o parâmetro DurationSeconds, suas credenciais de segurança serão válidas por uma hora. Os usuários do IAM que alternam funções no console recebem a duração máxima da sessão ou o tempo restante na sessão do usuário do IAM, a que for menor. A configuração da duração máxima da sessão não limita as sessões assumidas por serviços da AWS. Para saber como visualizar o valor máximo para sua função, consulte Visualizar a configuração da duração máxima da sessão de uma função.

Políticas de sessão da função
  • O tamanho do documento de política JSON passado e todos os caracteres ARN de política gerenciada passados combinados não podem exceder 2.048 caracteres.

  • Você pode passar, no máximo, 10 ARNs de política gerenciada ao criar uma sessão.

  • Você pode passar apenas um documento de política JSON ao criar uma sessão temporária de forma programática para uma função ou para um usuário federado.

  • Além disso, uma conversão da AWS compacta as políticas de sessão e as tags de sessão transmitidas em um formato binário compactado que tem uma cota separada. O elemento de resposta PackedPolicySize indica, em porcentagem, se as políticas e as tags da solicitação estão se aproximando da cota de tamanho superior.

  • Recomendamos que você passe políticas de sessão usando a AWS CLI ou API da AWS. O AWS Management Console pode adicionar informações adicionais da sessão do console à política compactada.

Tags de sessão da função
  • As tags de sessão devem atender à cota de chave de tag de 128 caracteres e à cota de valor de tag de 256 caracteres.

  • Você pode passar até 50 tags de sessão.

  • Uma conversão da AWS compacta as políticas de sessão e as tags de sessão transmitidas em um formato binário compactado que tem uma cota separada. Você pode passar tags de sessão usando o AWS CLI ou API da AWS. O elemento de resposta PackedPolicySize indica, em porcentagem, se as políticas e as tags da solicitação estão se aproximando da cota de tamanho superior.

Para políticas em linha Você pode adicionar quantas políticas em linha desejar a um usuário, função ou grupo da IAM. No entanto, o tamanho total de política agregado (a soma de todas as políticas em linha) por entidade não pode exceder as seguintes cotas:
  • O tamanho da política de usuário não pode exceder 2.048 caracteres

  • O tamanho da política de função não pode exceder 10.240 caracteres

  • O tamanho da política de grupo não pode exceder 5.120 caracteres

nota

O IAM não conta espaços em branco ao calcular o tamanho de uma política em relação a essas cotas.

Para políticas gerenciadas
  • O tamanho de cada política gerenciada não pode exceder 6,144 caracteres.

nota

O IAM não conta espaços em branco ao calcular o tamanho de uma política em relação a essa cota.