IAM e cotas do AWS STS
O AWS Identity and Access Management (IAM) e o AWS Security Token Service (STS) têm cotas que limitam o tamanho dos objetos. Isso afeta como um objeto é nomeado, o número de objetos que podem ser criados e o número de caracteres que podem ser usados ao transmitir um objeto.
nota
Para obter informações no nível da conta sobre o uso e as cotas do IAM use a operação da API GetAccountSummary ou o comando da AWS CLI get-account-summary.
Requisitos de nome do IAM
Os nomes do IAM têm os seguintes requisitos e restrições:
-
Os documentos de política podem conter apenas os seguintes caracteres Unicode: guia horizontal (U+0009), linefeed (U+000A), retorno de carro (U+000D) e caracteres no intervalo de U+0020 a U+00FF.
-
Os nomes de usuários, grupos, funções, políticas, perfis da instância e certificados de servidor devem ser alfanuméricos, incluindo os seguintes caracteres comuns: mais (+), igual (=), vírgula (,), ponto final (.), arroba (@), sublinhado (_) e hífen (-). Os nomes de caminhos devem começar e terminar com uma barra (/).
-
Os nomes de usuários, grupos, funções e perfis de instância devem ser exclusivos na conta. Eles não são diferenciados por maiúsculas e minúsculas, por exemplo, você não pode criar dois grupos denominados
ADMINS
eadmins
. -
O valor do ID externo que terceiros usam para assumir uma função deve ter no mínimo 2 e no máximo 1.224 caracteres. O valor deve ser alfanumérico sem espaço em branco. Ele também pode incluir os seguintes símbolos: mais (+), igual (=), vírgula (,), ponto (.), arroba (@), dois pontos (:), barra (/) e hífen (-). Para obter mais informações sobre o ID externo, consulte Acesso às Contas da AWS de propriedade de terceiros.
-
Os nomes de políticas para as políticas em linha devem ser exclusivos para o usuário, grupo ou perfil em que eles são incorporados. Os nomes podem conter caracteres latinos básicos (ASCII), exceto os seguintes caracteres reservados: barra invertida (\), barra (/), asterisco (*), ponto de interrogação (?) e espaço em branco. Esses caracteres são reservados de acordo com a RFC 3986, seção 2.2
. -
As senhas de usuário (perfis de login) podem conter caracteres latinos básicos (ASCII).
-
Os alias do ID da Conta da AWS devem ser exclusivos entre os produtos da AWS e devem ser alfanuméricos, seguindo as convenções de nomeação do DNS. Um alias deve ser em letras minúsculas, não deve iniciar ou terminar com um hífen, não pode conter dois hifens consecutivos e não pode ser um número de 12 dígitos.
Para obter uma lista de caracteres latinos básicos (ASCII), vá até a Tabela de códigos latinos básicos (ASCII) da Biblioteca do Congresso
Cotas de objetos do IAM
As cotas, também conhecidas como limites na AWS, são os valores máximos para recursos, ações e itens na sua Conta da AWS. Use o Service Quotas para gerenciar as cotas do IAM.
Para ver a lista de endpoints e cotas de serviço do IAM, consulte Endpoints e cotas do AWS Identity and Access Management no Referência geral da AWS.
Para solicitar um aumento da cota
-
Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login naAWS no Guia do usuário do AWS Sign-In para entrar no AWS Management Console.
-
Abra o console do Service Quotas.
-
No painel de navegação, escolha Serviços da AWS.
-
Na barra de navegação, selecione a região US East (N. Virginia). Depois, procure
IAM
. -
Selecione AWS Identity and Access Management (IAM), escolha uma cota e siga as instruções para solicitar um aumento de cota.
Para obter mais informações, consulte Solicitar um aumento de cota no Guia do usuário do Service Quotas.
Para ver um exemplo de como solicitar um aumento de cotas do IAM usando o console do Service Quotas, assista ao vídeo a seguir.
Você pode solicitar um aumento nas cotas padrão para cotas ajustáveis do IAM. Solicitações até o maximum quota são automaticamente aprovadas e são concluídas em poucos minutos.
A tabela a seguir lista os recursos para os quais a área de aumento de cotas pode ser aprovada automaticamente.
Recurso | Cota padrão | Cota máxima |
---|---|---|
Políticas gerenciadas pelo cliente por conta | 1500 | 5000 |
Grupos por conta | 300 | 500 |
Perfis de instância por conta | 1000 | 5000 |
Políticas gerenciadas por perfil | 10 | 20 |
Políticas gerenciadas por usuário | 10 | 20 |
Duração da política de confiança da função | 2048 caracteres | 4096 caracteres |
Funções por conta | 1000 | 5000 |
Certificados de servidor por conta | 20 | 1000 |
Cotas do IAM Access Analyzer
Para ver a lista de endpoints e cotas de serviço do IAM Access Analyzer, consulte Endpoints e cotas do IAM Access Analyzer no Referência geral da AWS.
Cotas do IAM Roles Anywhere
Para ver a lista de endpoints e cotas de serviço do IAM Roles Anywhere, consulte Endpoints e cotas do serviço AWS Identity and Access Management Roles Anywhere no Referência geral da AWS.
Cotas de solicitações do STS
O serviço AWS STS tem uma cota de solicitações padrão de 600 solicitações por segundo por conta, por região. Essa cota é compartilhada entre as seguintes solicitações do STS, que são feitas usando as credenciais da AWS:
-
AssumeRole
-
DecodeAuthorizationMessage
-
GetAccessKeyInfo
-
GetCallerIdentity
-
GetFederationToken
-
GetSessionToken
Por exemplo, se uma Conta da AWS fizer 100 solicitações GetCallerIdentity por segundo e 100 chamadas AssumeRole por segundo na mesma região, essa conta estará consumindo 200 das 600 solicitações do STS disponíveis por segundo para essa região.
Para solicitações AssumeRole entre contas, somente a conta que faz a solicitação AssumeRole afeta a cota do STS. A cota da conta de destino não é consumida.
nota
As solicitações feitas ao AWS STS por entidades principais de serviço da AWS, como as solicitações usadas para assumir perfis para uso com um serviço da AWS, não consomem a cota do STS de solicitações por segundo das suas contas.
Para solicitar um aumento das cotas de solicitações do STS, abra um tíquete com o suporte da AWS.
Limites de caracteres do IAM e do STS
Veja a seguir as contagens máximas de caracteres e limites de tamanho para IAM e o AWS STS. Você não pode solicitar um aumento dos limites a seguir.
Descrição | Limite |
---|---|
Alias de um ID de Conta da AWS | 3 a 63 caracteres |
Para políticas em linha | Você pode adicionar quantas políticas em linha desejar a um usuário, função ou grupo da IAM. No entanto, o tamanho total de política agregado (tamanho total de todas as políticas em linha) por entidade não pode exceder os seguintes limites:
notaO IAM; não conta espaços em branco ao calcular o tamanho de uma política em relação a esses limites. |
Para políticas gerenciadas |
notaO IAM; não conta espaços em branco ao calcular o tamanho de uma política em relação a esse limite. |
Nome de grupo | 128 caracteres |
Nome do perfil de instância | 128 caracteres |
Senha para um perfil de login | 1 a 128 caracteres |
Path | 512 caracteres |
Nome da política | 128 caracteres |
Nome da função | 64 caracteresImportanteNo entanto, se você pretende usar um perfil com o recurso Alternar perfil no AWS Management Console, |
Duração da sessão da função |
12 horas Quando você assume uma função a partir da AWS CLI ou da API, pode usar o parâmetro da CLI |
Nome da sessão da função | 64 caracteres |
Políticas de sessão da função |
|
Tags de sessão da função |
|
Resposta de autenticação SAML codificada em base64 | 100.000 caracteres Esse limite de caracteres se aplica à CLI |
Chave de tag | 128 caracteres Esse limite de caracteres se aplica a tags em recursos do IAM e tags de sessão. |
Valor da tag | 256 caracteres Esse limite de caracteres se aplica a tags em recursos do IAM e tags de sessão. Os valores da etiqueta podem estar vazios, o que significa que os valores da etiqueta podem ter 0 caractere. |
IDs únicos criados pelo IAM |
128 caracteres. Por exemplo:
notaIsso não é destinado a ser uma lista completa, nem é uma garantia de que os IDs de um determinado tipo começam apenas com a combinação de letras especificadas. |
Nome do usuário | 64 caracteres |