Quote di IAM e AWS STS - AWS Identity and Access Management
Requisiti del nome IAMIAM Quote oggettoQuote Sistema di analisi degli accessi IAMQuote di IAM Roles AnywhereQuote di richiesta STSLimiti di caratteri di IAM e STS

Quote di IAM e AWS STS

AWS Identity and Access Management (IAM) e AWS Security Token Service (STS) hanno quote che limitano la dimensione degli oggetti. Questi servizi limitano anche la modalità di denominazione di un oggetto, il numero di oggetti che è possibile creare e il numero di caratteri che è possibile utilizzare quando si passa un oggetto.

Nota

Per ottenere informazioni a livello di account sull'utilizzo e sulle quote di IAM, utilizza l'operazione API GetAccountSummary oppure il comando AWS CLI get-account-summary.

Requisiti del nome IAM

I nomi IAM sono caratterizzati dalle limitazioni e dai requisiti seguenti:

  • I documenti delle policy possono contenere solo i seguenti caratteri Unicode: tabulatore orizzontale (U+0009), avanzamento riga (U+000A), ritorno a capo (U+000D) e i caratteri compresi fra U+0020 a U+00FF.

  • I nomi di utenti, gruppi, ruoli, policy, profili dell'istanza, certificati server e percorsi devono essere alfanumerici, inclusi i seguenti caratteri comuni: più (+), uguale (=), virgola (,), punto (.), a (@), trattino basso (_) e trattino (-). I nomi dei percorsi devono iniziare e terminare con una barra (/).

  • I nomi di utenti, gruppi, ruoli e profili di istanze devono essere univoci all'interno dell'account. Non viene applicata la distinzione fra maiuscole e minuscole. Ad esempio, non è possibile creare un gruppo ADMINS e un altro admins.

  • Il valore dell'ID esterno che una terza parte utilizza per assumere un ruolo deve avere un minimo di 2 caratteri e un massimo di 1.224 caratteri. Il valore deve essere alfanumerico senza spazi. Può anche includere i seguenti simboli: più (+), uguale (=), virgola (,), punto (.), chiocciola (@), due punti (:), barra (/) e trattino (-). Per ulteriori informazioni sull'ID esterno, consulta Accesso agli Account AWS di proprietà di terze parti.

  • I nomi delle policy in linea devono essere univoci per l'utente, gruppo o ruolo in cui sono incorporati. I nomi possono contenere qualsiasi carattere latino di base (ASCII), ad eccezione di alcuni caratteri riservati: barra rovesciata (\), barra (/), asterisco (*), punto interrogativo (?) e spazio. Questi caratteri sono riservati in base a RFC 3986, sezione 2.2.

  • Le password utente (profili di accesso) possono contenere tutti i caratteri latini di base (ASCII).

  • Gli alias degli ID dell'Account AWS devono essere univoci in tutti i prodotti AWS, devono essere alfanumerici e rispettare le seguenti convenzioni di denominazione DNS. Un alias deve essere in lettere minuscole, non può iniziare o terminare con un trattino, non può contenere due trattini consecutivi e non può essere un numero di 12 cifre.

Per un elenco dei caratteri latini di base (ASCII), consulta la Library of Congress Basic Latin (ASCII) Code Table.

IAM Quote oggetto

Le quote, anche definite come limiti in AWS, costituiscono il valore massimo per le risorse, le azioni e gli elementi nel tuo Account AWS. È possibile utilizzare Service Quotas per gestire le quote IAM.

Per l'elenco degli endpoint e delle quote dei servizi IAM, consulta Endpoint e quote di AWS Identity and Access Management nella Riferimenti generali di AWS

Richiesta di un aumento delle quote

  1. Segui la procedura di accesso appropriata per il tuo tipo di utente, come descritto in Come accedere ad AWS nella Guida per l'utente di AWS Sign-In per accedere alla AWS Management Console.

  2. Apri la console Service Quotas.

  3. Nel pannello di navigazione, scegli Servizi AWS (servizi AWS).

  4. Sulla barra di navigazione, selezionare la regione US East (N. Virginia). Quindi cercare IAM.

  5. Scegli AWS Identity and Access Management (IAM), seleziona una quota e segui le istruzioni per richiedere un aumento di quota.

Per ulteriori informazioni, consulta Richiesta di un aumento di quota nel Guida per l'utente di Service Quotas.

Per un esempio di come richiedere un aumento della quota IAM utilizzando la console Service Quotas, guarda il video seguente.

Puoi richiedere un aumento delle quote predefinite per le quote IAM regolabili. Le richieste fino a maximum quota vengono automaticamente approvate e completate in pochi minuti.

Nella tabella seguente sono riportate le risorse per le quali l'area di aumento della quota può essere approvata automaticamente.

Risorsa Quota predefinita Quota massima
Policy gestite dal cliente per account 1500 5000
Gruppi per account 300 500
Profili di istanza per account 1000 5000
Policy gestite per ruolo 10 20
Policy gestite per utente 10 20
Lunghezza della policy di attendibilità del ruolo 2048 caratteri 4.096 caratteri
Ruoli per account 1000 5000
Certificati server per account 20 1000

Quote Sistema di analisi degli accessi IAM

Per l'elenco degli endpoint e delle quote dei servizi Sistema di analisi degli accessi IAM, consulta Endpoint e quote di Sistema di analisi degli accessi IAM nella Riferimenti generali di AWS.

Quote di IAM Roles Anywhere

Per l'elenco degli endpoint e delle quote dei servizi IAM Roles Anywhere, consulta Endpoint e quote di AWS Identity and Access Management Roles Anywhere nella Riferimenti generali di AWS.

Quote di richiesta STS

Il servizio AWS STS ha una quota di richieste predefinita di 600 richieste al secondo per account e per regione. Questa quota è condivisa tra le seguenti richieste STS effettuate utilizzando le credenziali AWS:

  • AssumeRole

  • DecodeAuthorizationMessage

  • GetAccessKeyInfo

  • GetCallerIdentity

  • GetFederationToken

  • GetSessionToken

Ad esempio, se un Account AWS effettua 100 richieste GetCallerIdentity al secondo e 100 chiamate AssumeRole al secondo nella stessa regione, quell'account consuma 200 delle 600 richieste STS disponibili al secondo per quella regione.

Per le richieste AssumeRole tra account, solo l'account che effettua la richiesta AssumeRole influisce sulla quota STS. L'account di destinazione non ha alcuna quota consumata.

Nota

Le richieste a AWS STS dai principali del servizio AWS, ad esempio quelle utilizzate per assumere ruoli da utilizzare con un servizio AWS, non consumano la quota di richieste STS al secondo nei tuoi account.

Per richiedere un aumento delle quote di richiesta STS, apri un ticket con l'assistenza AWS.

Limiti di caratteri di IAM e STS

Di seguito sono riportati i numeri massimi di caratteri e i limiti di dimensione per IAM e AWS STS. Non puoi richiedere un aumento per i seguenti limiti.

Descrizione Limite
Alias per l'ID di un Account AWS 3-63 caratteri
Per policy inline Non esiste un limite per le policy inline che puoi aggiungere a un utente, a un gruppo o a un ruolo IAM. Tuttavia, la dimensione cumulativa della policy (ovvero, la somma delle dimensioni di tutte le policy in linea) per ciascuna entità non può superare i seguenti limiti:

  • La dimensione della policy dell'utente non può superare i 2.048 caratteri.

  • La dimensione della policy del ruolo non può superare i 10.240 caratteri.

  • La dimensione della policy del gruppo non può superare i 5.120 caratteri.

Nota

IAM non conta gli spazi nel calcolo per determinare le dimensioni di una policy rispetto a tali limiti.
Per policy gestite

  • La dimensione di ciascuna policy gestita non può superare i 6.144 caratteri.

Nota

IAM non conta gli spazi nel calcolo per determinare le dimensioni di una policy rispetto a tale limite.
Group name (Nome gruppo) 128 caratteri
Nome del profilo dell'istanza 128 caratteri
Password per un profilo di accesso 1-128 caratteri
Path 512 caratteri
Policy name (Nome policy) 128 caratteri
Role Name (Nome ruolo) 64 caratteri
Importante

Se si desidera utilizzare un ruolo con la funzionalità Cambia ruolo nella AWS Management Console, allora Path e RoleName combinati non possono superare i 64 caratteri.
Durata della sessione del ruolo

12 ore

Quando assumi un ruolo da API o dall'AWS CLI, puoi utilizzare il parametro CLI duration-seconds oppure il parametro API DurationSeconds per richiedere il prolungamento della sessione del ruolo. È possibile specificare un valore compreso fra 900 secondi (15 minuti) fino all'impostazione massima della durata consentita per il ruolo, che può variare da 1 a 12 ore. Se non specifichi un valore per il parametro DurationSeconds le tue credenziali di sicurezza rimarranno valide per un'ora. Agli utenti IAM che cambiano ruoli nella console viene concessa la durata massima della sessione o il tempo rimanente nella sessione dell'utente, a seconda di quale sia minore. L'impostazione di durata massima delle sessioni non limita le sessioni assunte dai servizi AWS. Per informazioni su come visualizzare il valore massimo per il ruolo, consulta Aggiornamento della durata massima della sessione per un ruolo.

Nome della sessione del ruolo 64 caratteri
Policy di sessione del ruolo

  • La dimensione del documento di policy JSON inviato e tutti i caratteri ARN delle policy gestite inviate non possono superare i 2.048 caratteri.

  • È possibile passare un massimo di 10 ARN delle policy gestite quando si crea una sessione.

  • Al momento della creazione a livello di programmazione di una sessione temporanea per un ruolo o un utente federato è possibile passare un solo documento JSON di policy.

  • Inoltre, una conversione AWS comprime le policy e i tag di sessione passati in un formato binario compresso con un limite separato. L'elemento della risposta PackedPolicySize indica in percentuale la consistenza di policy e tag della richiesta rispetto al limite di dimensione superiore.

  • Consigliamo di passare le policy di sessione utilizzando l'AWS CLI o l'API AWS. La AWS Management Console potrebbe aggiungere ulteriori informazioni sulla sessione della console alla policy compressa.
Tag di sessione per il ruolo

  • I tag di sessione devono soddisfare il limite della chiave del tag di 128 caratteri e il limite del valore del tag di 256 caratteri.

  • È possibile passare fino a 50 tag di sessione.

  • Una conversione AWS comprime le policy e i tag di sessione passati in un formato binario compresso con un limite separato. È possibile passare i tag di sessione utilizzando la AWS CLI o le API di AWS. L'elemento della risposta PackedPolicySize indica in percentuale la consistenza di policy e tag della richiesta rispetto al limite di dimensione superiore.
Risposta di autenticazione SAML codificata con base64 100.000 caratteri

Questo limite di caratteri si applica all'operazione della CLI assume-role-with-saml o dell'API AssumeRoleWithSAML.
Chiave tag 128 caratteri

Questo limite di caratteri si applica ai tag sulle risorse IAM e ai tag di sessione.
Valore tag 256 caratteri

Questo limite di caratteri si applica ai tag sulle risorse IAM e ai tag di sessione.

I valori dei tag possono essere vuoti, ciò significa che possono avere una lunghezza di 0 caratteri.

ID univoci creati da IAM

128 caratteri Ad esempio:

  • ID utente che iniziano con AIDA

  • ID di gruppi che iniziano con AGPA

  • ID di ruoli che iniziano con AROA

  • ID di policy gestite che iniziano con ANPA

  • ID di certificati server che iniziano con ASCA

Nota

Questo elenco non è completo e non fornisce alcuna garanzia che gli ID di un determinato tipo inizino sempre con la combinazione di lettere specificata.
Nome utente 64 caratteri