Ho ricevuto un messaggio di errore AWS Identity and Access Management (IAM) simile al seguente: "La dimensione massima del criterio di xxxxx byte è stata superata per l'utente o il ruolo". Come posso aumentare la policy gestita predefinita o il limite di dimensione dei caratteri per un ruolo o un utente IAM?
Breve descrizione
Il limite massimo per collegare una policy gestita a un ruolo o utente IAM è 20. Il limite massimo di caratteri per le policy gestite è 6.144. Per ulteriori informazioni, consulta IAM quote oggetto e Requisiti dei nomi e i limiti di caratteri delle quote di IAM e AWS STS.
Nota: Il limite predefinito per le policy gestite è 10. Per aumentare il limite predefinito da 10 a un massimo di 20, devi inviare una richiesta di aumento della quota di servizio.
Risoluzione
Se hai raggiunto la policy gestita o il limite di dimensione dei caratteri per un gruppo, utente, ruolo o policy IAM, utilizza queste soluzioni alternative, a seconda dello scenario.
Gruppi IAM
Crea un altro gruppo IAM. Puoi avere fino a 300 gruppi IAM per account. Collega la policy gestita all'utente IAM anziché al gruppo IAM. Puoi collegare fino a 20 policy gestite a ruoli e utenti IAM.
Utenti IAM
Crea altri gruppi IAM e collega la policy gestita al gruppo. Puoi assegnare utenti IAM a un massimo di 10 gruppi. Puoi anche collegare fino a 10 policy gestite a ciascun gruppo, per un massimo di 120 policy (20 policy gestite collegate all'utente IAM, 10 gruppi IAM con 10 policy ciascuna).
Combinazione delle policy gestite
Combina più policy gestite in un'unica policy. Puoi aggiungere fino a 6.144 caratteri per policy gestita.
Riduzione della dimensione dei caratteri delle policy gestite
Rimuovi le autorizzazioni duplicate combinando tutte le azioni con lo stesso Effetto. Combina le dichiarazioni relative alle risorse e alle condizioni. Rimuovi le affermazioni non necessarie come Sid. Utilizza i caratteri jolly (*) per le azioni con lo stesso suffisso o prefisso.
Utilizzo di policy inline invece di policy gestite
Puoi utilizzare tutte le policy inline che desideri, ma la dimensione aggregata delle policy non può superare le quote di caratteri. I limiti di caratteri della policy inline sono 2.048 per gli utenti, 10.240 per i ruoli e 5.120 per i gruppi.
Importante: È una best practice utilizzare policy gestite dai clienti invece di policy inline.
Informazioni correlate
Policy inline
Best practice per la sicurezza in IAM
CIS AWS Foundations Benchmark controls