マネージドポリシーのデフォルトサイズ制限や、AWS Identity and Access Management (IAM) ユーザーまたはロール用文字サイズを増やしたいです。
簡単な説明
IAM ロールまたはユーザーにアタッチできるマネージドポリシーには、最大 20 件の制限があります。マネージドポリシーの最大文字サイズ制限は 6,144 です。デフォルトおよび調整可能な最大クォータ値については、IAM リソースクォータ表を参照してください。
ユーザー、ロール、またはグループごとの IAM マネージドポリシーは、デフォルトで 10 に制限されます。ユーザーまたはロールのデフォルト制限を 10 件から最大 20 件に増やすには、クォータ増加を申請する必要があります。
注:
- 調整できないデフォルトクォータの引き上げをリクエストすることはできません。
- IAM クォータ増加リクエストは、米国東部 (バージニア北部) リージョンでのみご利用いただけます。
詳細については、「IAM クォータの増加をリクエストする方法を教えてください」を参照してください。
解決策
IAM グループ、ユーザー、ロール、またはポリシーのマネージドポリシーまたは文字サイズの制限に達した場合は、必要に応じて次の回避策を使用します。
IAM ユーザー
さらに IAM グループを作成し、そのグループにマネージドポリシーをアタッチします。その後、IAM ユーザーを最大 10 のグループに割り当てることができます。また、各グループに最大 10 件のマネージドポリシー、最大 120 件のポリシーをアタッチできます。たとえば、IAM ユーザーにアタッチされたマネージドポリシーが 20 件あり、それぞれに 10 ポリシーがある IAM グループが 10 件ある場合、ポリシー数は 120 です。
IAM グループ
別の IAM グループを作成します。AWS アカウントごとに最大 300 の IAM グループを作成できます。マネージドポリシーを IAM グループではなく IAM ユーザーにアタッチします。IAM ロールとユーザーには、最大 20 のマネージドポリシーをアタッチできます。
マネージドポリシーを結合する
複数のマネージドポリシーを 1 つのポリシーにまとめます。マネージドポリシーごとに最大 6,144 文字を追加できます。
マネージドポリシーの文字サイズを減らす
同じ効果を持つすべてのアクションを結合し、重複したアクセス許可を削除します。リソースステートメントと条件ステートメントを組み合わせます。Sid などの不要なステートメントを削除します。同じサフィックスまたはプレフィックスを持つアクションには、ワイルドカード (*) を使用します。
NotAction ポリシー要素と NotResource ポリシー要素を使用してポリシーを短縮することもできます。これらのポリシー要素では、一致するアクションの長いリストではなく、一致してはならない少数のアクションを列挙します。
マネージドポリシーではなくインラインポリシーを使用する
インラインポリシーは必要な数だけ使用できますが、ポリシーの合計サイズは文字数制限を超えることはできません。IAM インラインポリシーの文字数は、ユーザー用では 2,048 文字、ロール用では 10,240 文字、グループ用では 5,120 文字に制限されています。
重要: インラインポリシーではなく、マネージドポリシーを使用するのがベストプラクティスです。
関連情報
AWS サービスクォータを管理する方法を教えてください
クォータ増加を申請する
クォータリクエストを検証する