Comment puis-je résoudre l'erreur IAM « Taille maximale de la politique de xxxxx octets dépassée pour l'utilisateur ou le rôle. » ?

Date de la dernière mise à jour : 10/03/2022

J'ai reçu un message d'erreur AWS Identity and Access Management (IAM) similaire au suivant :

« La taille maximale de la politique de xxxxx octets a été dépassée pour l'utilisateur ou le rôle. »

Comment puis-je augmenter la limite de taille par défaut de la politique gérée ou des caractères pour un utilisateur ou un rôle IAM ?

Brève description

Le nombre maximal de politiques gérées pouvant être attachées à un rôle ou un utilisateur IAM est de 20. Les politiques gérées acceptent jusqu'à 6 144 caractères. Pour plus d'informations, consultez Quotas d'objets IAM et quotas IAM et AWS STS.

Remarque : La limite par défaut pour les politiques gérées est de 10. Pour augmenter la limite par défaut de 10 à 20, vous devez envoyer une demande d'augmentation du quota de service.

Résolution

Utilisez la solution de contournement suivante en fonction de votre scénario si vous avez atteint la limite de la politique gérée ou de la taille des caractères pour un groupe, un utilisateur, un rôle ou une politique IAM.

Groupes IAM

Créez un autre groupe IAM. Vous pouvez créer jusqu'à 300 groupes IAM par compte. Attachez la politique gérée à l'utilisateur IAM plutôt qu'au groupe IAM. Vous pouvez attacher jusqu'à 20 politiques gérées aux rôles et utilisateurs IAM.

Utilisateurs IAM

Créez d'autres groupes IAM et attachez-y les politiques gérées. Vous pouvez affecter des utilisateurs IAM à 10 groupes maximum. Vous pouvez également attacher jusqu'à 10 politiques gérées à chaque groupe pour un maximum de 120 politiques (20 politiques gérées attachées à l'utilisateur IAM, et 10 groupes IAM avec 10 politiques chacun).

Combiner les politiques gérées

Combinez plusieurs politiques gérées en une seule politique. Vous pouvez ajouter jusqu'à 6 144 caractères par politique gérée.

Réduire le nombre caractères dans les politiques gérées

Supprimez les autorisations en double en regroupant toutes les actions ayant le même Effet. Combinez les déclarations de ressources et de conditions et supprimer les déclarations inutiles telles que Sid. Utilisez des caractères génériques (*) pour les actions ayant le même suffixe ou préfixe.

Utiliser des politiques en ligne plutôt que des politiques gérées

Vous pouvez utiliser autant de politiques en ligne que vous le souhaitez, mais la taille de la somme des politiques ne doit pas dépasser les quotas de caractères. Les limites de caractères pour les politiques en ligne sont de 2 048 pour les utilisateurs, 10 240 pour les rôles et 5 120 pour les groupes.

Important : Une bonne pratique consiste à utiliser des politiques gérées par le client plutôt que des politiques en ligne.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?