IAM y cuotas de AWS STS - AWS Identity and Access Management
Requisitos de nombres de IAMCuotas de objetos de IAMCuotas del Analizador de acceso de IAMCuotas de IAM Roles AnywhereCuotas de solicitud de STSLímites de caracteres de IAM y STS

IAM y cuotas de AWS STS

AWS Identity and Access Management (IAM) y AWS Security Token Service (STS) tienen cuotas que limitan el tamaño de los objetos. Estos servicios también limitan el nombre de un objeto, la cantidad de objetos que puede crear y la cantidad de caracteres que puede utilizar al pasar un objeto.

nota

Para obtener información sobre el límite de cuotas y el uso de IAM en el nivel de cuenta, utilice la operación GetAccountSummary de la API o el comando get-account-summary AWS CLI.

Requisitos de nombres de IAM

Los nombres IAM tienen los siguientes requisitos y restricciones:

  • Los documentos de políticas solamente pueden contener los siguientes caracteres Unicode: tabulador horizontal (U+0009), salto de línea (U+000A), retorno de carro (U+000D) y caracteres comprendidos entre U+0020 y U+00FF.

  • Los nombres de usuarios, grupos, roles, políticas, perfiles de instancias y certificados de servidor deben ser alfanuméricos, incluidos los siguientes caracteres comunes: más (+), igual (=), coma (,), punto (.), arroba (@), guion bajo (_) y guion (-). Los nombres de ruta de acceso deben comenzar y finalizar con una barra diagonal (/).

  • Los nombres de usuarios, grupos, roles y perfiles de instancia deben ser únicos dentro de la cuenta. No distinguen entre mayúsculas y minúsculas, por ejemplo, no puede crear dos grupos denominados ADMINS y admins.

  • El valor de ID externo que un tercero utiliza para asumir un rol debe tener como mínimo 2 caracteres y como máximo 1224. El valor debe ser alfanumérico sin espacio en blanco. También puede incluir los símbolos siguientes: más (+), igual (=), coma (,), punto (.), arroba (@), dos puntos (:), barra inclinada (/) y guion (-). Para obtener más información acerca del ID externo, consulte Acceder a las Cuentas de AWS que le pertenezcan a terceros.

  • Los nombres de las políticas insertadas deben ser únicos para el usuario, grupo o rol en el que están insertadas. Pueden incluir caracteres básicos del alfabeto latino (ASCII), salvo los siguientes caracteres reservados: barra invertida (\), barra inclinada (/), asterisco (*), signo de interrogación (?) y espacio en blanco. Estos caracteres están reservados según RFC 3986, sección 2.2.

  • Las contraseñas de usuarios (perfiles de inicio de sesión) pueden incluir caracteres básicos del alfabeto latino (ASCII).

  • Los alias de ID de cuenta de Cuenta de AWS deben ser únicos en todos los productos de AWS y deben ser alfanuméricos de acuerdo con las convenciones de nomenclatura de DNS. Un alias debe ir en minúscula, no debe comenzar ni finalizar por un guion, no puede incluir dos guiones consecutivos y no puede ser un número de 12 dígitos.

Para obtener una lista de caracteres básicos del alfabeto latino (ASCII), diríjase a Library of Congress Basic Latin (ASCII) Code Table.

Cuotas de objetos de IAM

Las cuotas, también conocidas como límites en AWS, son el valor máximo de los recursos, acciones y elementos de su cuenta de Cuenta de AWS. Utilice Service Quotas para administrar sus cuotas de IAM.

Para obtener la lista de puntos de conexión y Service Quotas de IAM, consulte Puntos de conexión y cuotas de AWS Identity and Access Management en la Referencia general de AWS.

Para solicitar un aumento de cuota

  1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS para iniciar sesión en la AWS Management Console.

  2. Abra la consola de Service Quotas.

  3. En el panel de navegación, elija Servicios de AWS.

  4. Elija el menú Este de EE. UU (Norte de Virginia) Región en la barra de navegación. Entonces busquen IAM.

  5. Elija AWS Identity and Access Management (IAM), elija una cuota y siga las instrucciones para solicitar un aumento de cuota.

Para obtener más información, consulte Solicitud de un aumento de cuota en la Guía del usuario de Service Quotas.

Para ver un ejemplo de cómo solicitar un aumento de cuota de IAM mediante la consola Service Quotas, vea el siguiente vídeo.

Puede solicitar un aumento de las cuotas predeterminadas para las cuotas ajustables IAM. Las solicitudes hasta maximum quota se aprueban automáticamente y se completan en pocos minutos.

A continuación, se presenta una tabla que enumera los recursos para los cuales las solicitudes de aumento de cuotas se pueden aprobar de forma automática.

Recurso Cuota predeterminada Cuota máxima
Políticas administradas por el cliente por cuenta 1500 5000
Grupos por cuenta 300 500
Perfiles de instancia por cuenta 1 000 5000
Políticas administradas por rol 10 20
Políticas administradas por usuario 10 20
Longitud de la política de confianza de rol 2048 caracteres 4096 caracteres
Roles por cuenta 1 000 5000
Certificados de servidor por cuenta 20 1 000

Cuotas del Analizador de acceso de IAM

Para obtener la lista de puntos de conexión y Service Quotas del Analizador de acceso de IAM, consulte Puntos de conexión y cuotas del Analizador de acceso de Iam en la Referencia general de AWS.

Cuotas de IAM Roles Anywhere

Para obtener la lista de puntos de conexión de servicio y Service Quotas de IAM Roles Anywhere, consulte AWS Identity and Access Management Puntos finales y cuotas de Roles Anywhere en la Referencia general de AWS.

Cuotas de solicitud de STS

El servicio de AWS STS tiene una cuota de solicitud predeterminada de 600 solicitudes por segundo por cuenta y región. Esta cuota se comparte entre las siguientes solicitudes de STS que se realizan con credenciales de AWS:

  • AssumeRole

  • DecodeAuthorizationMessage

  • GetAccessKeyInfo

  • GetCallerIdentity

  • GetFederationToken

  • GetSessionToken

Por ejemplo, si una Cuenta de AWS realiza 100 solicitudes GetCallerIdentity por segundo y 100 llamadas AssumeRole por segundo en la misma región, esa cuenta consume 200 de las 600 solicitudes STS disponibles por segundo para esa región.

En el caso de las solicitudes AssumeRole entre cuentas, solo la cuenta que realiza la solicitud AssumeRole afecta a la cuota de STS. La cuenta de destino no ha consumido ninguna de sus cuotas.

nota

Las solicitudes a AWS STS de las entidades principales de servicio de AWS, como las que se utilizan para asumir roles para su uso en un servicio de AWS, no consumen la cuota de solicitud de STS por segundo en sus cuentas.

Para solicitar un aumento de las cuotas de solicitud de STS, abra un ticket con el servicio de asistencia de AWS.

Límites de caracteres de IAM y STS

A continuación se indica la cantidad máxima de caracteres y los límites de tamaño para IAM y AWS STS. No es posible solicitar un aumento para los siguientes límites.

Descripción Límite
Alias para un ID de Cuenta de AWS De 3 a 63 caracteres
En el caso de las políticas insertadas Puede agregar tantas políticas insertadas como quiera a un usuario de IAM, rol o grupo. Sin embargo, el tamaño total de las políticas agregadas (la suma del tamaño de todas las políticas insertadas) por entidad no puede superar los siguientes límites:

  • El tamaño de política de usuario no puede tener más de 2048 caracteres.

  • El tamaño de política de rol no puede tener más de 10 240 caracteres.

  • El tamaño de política de grupo no puede tener más de 5120 caracteres.

nota

IAM no cuenta los espacios en blanco al calcular el tamaño de una política frente a estas limitaciones.
En el caso de las políticas administradas

  • Cada política administrada no puede tener más de 6144 caracteres.

nota

IAM no cuenta los espacios en blanco al calcular el tamaño de una política frente a esta limitación.
Nombre del grupo 128 caracteres
Nombre de perfil de instancia 128 caracteres
Contraseña de un perfil de inicio de sesión 1-128 caracteres
Ruta 512 caracteres
Nombre de la política 128 caracteres
Nombre de rol 64 caracteres
importante

Sin embargo, si desea utilizar un rol con la característica Cambiar rol en la AWS Management Console, entonces la combinación de Path y RoleName no puede superar los 64 caracteres.
Duración de la sesión de rol

12 horas

Al asumir un rol desde la API o la AWS CLI, puede utilizar el duration-seconds parámetro de la CLI o el DurationSeconds parámetro de la API para solicitar una sesión de rol más larga. Puede especificar un valor comprendido entre 900 segundos (15 minutos) y la configuración de la duración máxima de la sesión para el rol, que puede oscilar entre 1-12 horas. Si no especifica un valor para el parámetro DurationSeconds, sus credenciales de seguridad serán válidas durante una hora. A los usuarios de IAM que cambian de rol en la consola se les concede la duración máxima de la sesión, o el tiempo restante de la sesión del usuario de IAM, lo que sea menor. La configuración de duración máxima de sesión no limita las sesiones asumidas por los servicios de AWS. Para obtener información sobre cómo ver el valor máximo para el rol, consulte Actualizar la duración máxima de la sesión para un rol.

Nombre de sesión de rol 64 caracteres
Políticas de sesión de rol

  • El tamaño del documento de política JSON pasado y todos los caracteres del ARN de la política administrada pasados no pueden superar juntos los 2048 caracteres.

  • Puede pasar un máximo de 10 ARN de políticas administradas al crear una sesión.

  • Puede pasar una única política de JSON como documento cuando se crea una sesión temporal mediante programación para un rol o un usuario federado.

  • Además, una conversión de AWS comprime las políticas de sesión pasadas y las etiquetas de sesión en un formato binario empaquetado que tiene un límite separado. El elemento de respuesta PackedPolicySize indica por porcentaje lo cerca que están las políticas y etiquetas de su solicitud al límite de tamaño superior.

  • Recomendamos que apruebe políticas de sesión mediante la AWS CLI o la API de AWS. La AWS Management Console podría añadir información adicional de la sesión de la consola a la política empaquetada.
Etiquetas de sesión de rol

  • Las etiquetas de sesión deben cumplir el límite de 128 caracteres de clave de etiqueta y el límite de valor de etiqueta de 256 caracteres.

  • Puede pasar hasta 50 etiquetas de sesión.

  • Una conversión de AWS comprime las políticas de sesión pasadas y las etiquetas de sesión en un formato binario empaquetado que tiene un límite separado. Puede pasar etiquetas de sesión utilizando las API de AWS CLI o AWS. El elemento de respuesta PackedPolicySize indica por porcentaje lo cerca que están las políticas y etiquetas de su solicitud al límite de tamaño superior.
Respuesta de autenticación de SAML codificada con base64 100 000 caracteres

Este límite de caracteres se aplica a la operación assume-role-with-saml de la CLI o AssumeRoleWithSAML de la API.
Clave de etiqueta 128 caracteres

Este límite de caracteres se aplica a las etiquetas de recursos de IAM y etiquetas de sesión.
Valor de etiqueta 256 caracteres

Este límite de caracteres se aplica a las etiquetas de recursos de IAM y etiquetas de sesión.

Los valores de las etiquetas pueden estar vacíos, lo que significa que los valores de las etiquetas pueden tener una longitud de 0 caracteres.

Identificadores únicos creados por IAM

128 caracteres. Por ejemplo:

  • ID de usuarios que comienzan con AIDA

  • ID de grupos que comienzan con AGPA

  • ID de roles que comienzan con AROA

  • ID de políticas administradas que comienzan con ANPA

  • ID de certificados de servidor que comienzan con ASCA

nota

No pretende ser una lista exhaustiva ni tampoco es una garantía de que los ID de un determinado tipo comiencen únicamente con la combinación especificada de letras.
Nombre de usuario 64 caracteres