IAM e cotas do AWS STS - AWS Identity and Access Management

IAM e cotas do AWS STS

O AWS Identity and Access Management (IAM) e o AWS Security Token Service (STS) têm cotas que limitam o tamanho dos objetos. Isso afeta como um objeto é nomeado, o número de objetos que podem ser criados e o número de caracteres que podem ser usados ao transmitir um objeto.

nota

Para obter informações no nível da conta sobre o uso e as cotas do IAM use a operação da API GetAccountSummary ou o comando da AWS CLI get-account-summary.

Requisitos de nome do IAM

Os nomes do IAM têm os seguintes requisitos e restrições:

  • Os documentos de política podem conter apenas os seguintes caracteres Unicode: guia horizontal (U+0009), linefeed (U+000A), retorno de carro (U+000D) e caracteres no intervalo de U+0020 a U+00FF.

  • Os nomes de usuários, grupos, funções, políticas, perfis da instância e certificados de servidor devem ser alfanuméricos, incluindo os seguintes caracteres comuns: mais (+), igual (=), vírgula (,), ponto final (.), arroba (@), sublinhado (_) e hífen (-). Os nomes de caminhos devem começar e terminar com uma barra (/).

  • Os nomes de usuários, grupos, funções e perfis de instância devem ser exclusivos na conta. Eles não são diferenciados por maiúsculas e minúsculas, por exemplo, você não pode criar dois grupos denominados ADMINS e admins.

  • O valor do ID externo que terceiros usam para assumir uma função deve ter no mínimo 2 e no máximo 1.224 caracteres. O valor deve ser alfanumérico sem espaço em branco. Ele também pode incluir os seguintes símbolos: mais (+), igual (=), vírgula (,), ponto (.), arroba (@), dois pontos (:), barra (/) e hífen (-). Para obter mais informações sobre o ID externo, consulte Acesso às Contas da AWS de propriedade de terceiros.

  • Os nomes de políticas para as políticas em linha devem ser exclusivos para o usuário, grupo ou perfil em que eles são incorporados. Os nomes podem conter caracteres latinos básicos (ASCII), exceto os seguintes caracteres reservados: barra invertida (\), barra (/), asterisco (*), ponto de interrogação (?) e espaço em branco. Esses caracteres são reservados de acordo com a RFC 3986, seção 2.2.

  • As senhas de usuário (perfis de login) podem conter caracteres latinos básicos (ASCII).

  • Os alias do ID da Conta da AWS devem ser exclusivos entre os produtos da AWS e devem ser alfanuméricos, seguindo as convenções de nomeação do DNS. Um alias deve ser em letras minúsculas, não deve iniciar ou terminar com um hífen, não pode conter dois hifens consecutivos e não pode ser um número de 12 dígitos.

Para obter uma lista de caracteres latinos básicos (ASCII), vá até a Tabela de códigos latinos básicos (ASCII) da Biblioteca do Congresso.

Cotas de objetos do IAM

As cotas, também conhecidas como limites na AWS, são os valores máximos para recursos, ações e itens na sua Conta da AWS. Use o Service Quotas para gerenciar as cotas do IAM.

Para ver a lista de endpoints e cotas de serviço do IAM, consulte Endpoints e cotas do AWS Identity and Access Management no Referência geral da AWS.

Para solicitar um aumento da cota

  1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login naAWS  no Guia do usuário do AWS Sign-In para entrar no AWS Management Console.

  2. Abra o console do Service Quotas.

  3. No painel de navegação, escolha Serviços da AWS.

  4. Na barra de navegação, selecione a região US East (N. Virginia). Depois, procure IAM.

  5. Selecione AWS Identity and Access Management (IAM), escolha uma cota e siga as instruções para solicitar um aumento de cota.

Para obter mais informações, consulte Solicitar um aumento de cota no Guia do usuário do Service Quotas.

Para ver um exemplo de como solicitar um aumento de cotas do IAM usando o console do Service Quotas, assista ao vídeo a seguir.

Você pode solicitar um aumento nas cotas padrão para cotas ajustáveis do IAM. Solicitações até o maximum quota são automaticamente aprovadas e são concluídas em poucos minutos.

A tabela a seguir lista os recursos para os quais a área de aumento de cotas pode ser aprovada automaticamente.

Recurso Cota padrão Cota máxima
Políticas gerenciadas pelo cliente por conta 1500 5000
Grupos por conta 300 500
Perfis de instância por conta 1000 5000
Políticas gerenciadas por perfil 10 20
Políticas gerenciadas por usuário 10 20
Duração da política de confiança da função 2048 caracteres 4096 caracteres
Funções por conta 1000 5000
Certificados de servidor por conta 20 1000

Cotas do IAM Access Analyzer

Para ver a lista de endpoints e cotas de serviço do IAM Access Analyzer, consulte Endpoints e cotas do IAM Access Analyzer no Referência geral da AWS.

Cotas do IAM Roles Anywhere

Para ver a lista de endpoints e cotas de serviço do IAM Roles Anywhere, consulte Endpoints e cotas do serviço AWS Identity and Access Management Roles Anywhere no Referência geral da AWS.

Cotas de solicitações do STS

O serviço AWS STS tem uma cota de solicitações padrão de 600 solicitações por segundo por conta, por região. Essa cota é compartilhada entre as seguintes solicitações do STS, que são feitas usando as credenciais da AWS:

  • AssumeRole

  • DecodeAuthorizationMessage

  • GetAccessKeyInfo

  • GetCallerIdentity

  • GetFederationToken

  • GetSessionToken

Por exemplo, se uma Conta da AWS fizer 100 solicitações GetCallerIdentity por segundo e 100 chamadas AssumeRole por segundo na mesma região, essa conta estará consumindo 200 das 600 solicitações do STS disponíveis por segundo para essa região.

Para solicitações AssumeRole entre contas, somente a conta que faz a solicitação AssumeRole afeta a cota do STS. A cota da conta de destino não é consumida.

nota

As solicitações feitas ao AWS STS por entidades principais de serviço da AWS, como as solicitações usadas para assumir perfis para uso com um serviço da AWS, não consomem a cota do STS de solicitações por segundo das suas contas.

Para solicitar um aumento das cotas de solicitações do STS, abra um tíquete com o suporte da AWS.

Limites de caracteres do IAM e do STS

Veja a seguir as contagens máximas de caracteres e limites de tamanho para IAM e o AWS STS. Você não pode solicitar um aumento dos limites a seguir.

Descrição Limite
Alias de um ID de Conta da AWS 3 a 63 caracteres
Para políticas em linha Você pode adicionar quantas políticas em linha desejar a um usuário, função ou grupo da IAM. No entanto, o tamanho total de política agregado (tamanho total de todas as políticas em linha) por entidade não pode exceder os seguintes limites:
  • O tamanho da política de usuário não pode exceder 2.048 caracteres.

  • O tamanho da política de perfil não pode exceder 10.240 caracteres.

  • O tamanho da política de grupo não pode exceder 5.120 caracteres.

nota

O IAM; não conta espaços em branco ao calcular o tamanho de uma política em relação a esses limites.

Para políticas gerenciadas
  • O tamanho de cada política gerenciada não pode exceder 6,144 caracteres.

nota

O IAM; não conta espaços em branco ao calcular o tamanho de uma política em relação a esse limite.

Nome de grupo 128 caracteres
Nome do perfil de instância 128 caracteres
Senha para um perfil de login 1 a 128 caracteres
Path 512 caracteres
Nome da política 128 caracteres
Nome da função 64 caracteres
Importante

No entanto, se você pretende usar um perfil com o recurso Alternar perfil no AWS Management Console, Path e RoleName combinados não podem exceder 64 caracteres.

Duração da sessão da função

12 horas

Quando você assume uma função a partir da AWS CLI ou da API, pode usar o parâmetro da CLI duration-seconds ou o parâmetro da API DurationSeconds para solicitar uma sessão de função mais longa. É possível especificar um valor de 900 segundos (15 minutos) até a configuração da duração máxima da sessão para a função, que pode variar de 1 a 12 horas. Se você não especificar um valor para o parâmetro DurationSeconds, as credenciais de segurança serão válidas por uma hora. Os usuários do IAM que trocam de perfis no console recebem a duração máxima da sessão ou o tempo restante na sessão do usuário, o que for menor. A configuração da duração máxima da sessão não limita as sessões assumidas por serviços da AWS. Para saber como visualizar o valor máximo para sua função, consulte Atualizar a duração máxima da sessão de um perfil.

Nome da sessão da função 64 caracteres
Políticas de sessão da função
  • O tamanho do documento de política JSON passado e todos os caracteres ARN de política gerenciada passados combinados não podem exceder 2.048 caracteres.

  • Você pode passar, no máximo, 10 ARNs de política gerenciada ao criar uma sessão.

  • Você pode passar apenas um documento de política JSON ao criar uma sessão temporária de forma programática para uma função ou para um usuário federado.

  • Além disso, uma conversão da AWS compacta as políticas de sessão e as tags de sessão transmitidas em um formato binário compactado que tem uma cota separada. O elemento de resposta PackedPolicySize indica, em porcentagem, o quão perto as políticas e tags da sua solicitação estão do limite de tamanho superior.

  • Recomendamos que você passe políticas de sessão usando a AWS CLI ou API da AWS. O AWS Management Console pode adicionar informações adicionais da sessão do console à política compactada.

Tags de sessão da função
  • As tags de sessão devem atender ao limite de chave de tag de 128 caracteres e ao limite de valor de tag de 256 caracteres.

  • Você pode passar até 50 tags de sessão.

  • Uma conversão da AWS compacta as políticas de sessão e as tags de sessão passadas em um formato binário compactado que têm um limite separado. Você pode passar tags de sessão usando o AWS CLI ou API da AWS. O elemento de resposta PackedPolicySize indica, em porcentagem, o quão perto as políticas e tags da sua solicitação estão do limite de tamanho superior.

Resposta de autenticação SAML codificada em base64 100.000 caracteres

Esse limite de caracteres se aplica à CLI assume-role-with-saml ou à operação de API AssumeRoleWithSAML.

Chave de tag 128 caracteres

Esse limite de caracteres se aplica a tags em recursos do IAM e tags de sessão.

Valor da tag 256 caracteres

Esse limite de caracteres se aplica a tags em recursos do IAM e tags de sessão.

Os valores da etiqueta podem estar vazios, o que significa que os valores da etiqueta podem ter 0 caractere.

IDs únicos criados pelo IAM

128 caracteres. Por exemplo:

  • IDs de usuários que começam com AIDA

  • IDs de grupos que começam com AGPA

  • IDs de função que começam com AROA

  • IDs de políticas gerenciadas que começam com ANPA

  • IDs de certificado de servidor que começam com ASCA

nota

Isso não é destinado a ser uma lista completa, nem é uma garantia de que os IDs de um determinado tipo começam apenas com a combinação de letras especificadas.

Nome do usuário 64 caracteres