# IAM y cuotas de AWS STS
<a name="reference_iam-quotas"></a>

AWS Identity and Access Management (IAM) y AWS Security Token Service (STS) tienen cuotas que limitan el tamaño de los objetos. Estos servicios también limitan el nombre de un objeto, la cantidad de objetos que puede crear y la cantidad de caracteres que puede utilizar al pasar un objeto. 

**nota**  
Para obtener información sobre el límite de cuotas y el uso de IAM en el nivel de cuenta, utilice la operación [GetAccountSummary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountSummary.html) de la API o el comando [get-account-summary](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-summary.html) AWS CLI. 

## Requisitos de nombres de IAM
<a name="reference_iam-quotas-names"></a>

Los nombres IAM tienen los siguientes requisitos y restricciones:
+ Los documentos de políticas solamente pueden contener los siguientes caracteres Unicode: tabulador horizontal (U\$10009), salto de línea (U\$1000A), retorno de carro (U\$1000D) y caracteres comprendidos entre U\$10020 y U\$100FF. 
+ Los nombres de usuarios, grupos, roles, políticas, perfiles de instancias y certificados de servidor deben ser alfanuméricos, incluidos los siguientes caracteres comunes: más (\$1), igual (=), coma (,), punto (.), arroba (@), guion bajo (\$1) y guion (-). Los nombres de ruta de acceso deben comenzar y finalizar con una barra diagonal (/).
+ Los nombres de usuarios, grupos, roles y perfiles de instancia deben ser únicos dentro de la cuenta. No distinguen entre mayúsculas y minúsculas, por ejemplo, no puede crear dos grupos denominados **ADMINS** y **admins**.
+ El valor de ID externo que un tercero utiliza para asumir un rol debe tener como mínimo 2 caracteres y como máximo 1224. El valor debe ser alfanumérico sin espacio en blanco. También puede incluir los símbolos siguientes: más (\$1), igual (=), coma (,), punto (.), arroba (@), dos puntos (:), barra inclinada (/) y guion (-). Para obtener más información acerca del ID externo, consulte [Acceder a las Cuentas de AWS que le pertenezcan a terceros](id_roles_common-scenarios_third-party.md).
+ Los nombres de las [políticas insertadas](access_policies_managed-vs-inline.md) deben ser únicos para el usuario, grupo o rol en el que están insertadas. Pueden incluir caracteres básicos del alfabeto latino (ASCII), salvo los siguientes caracteres reservados: barra invertida (\$1), barra inclinada (/), asterisco (\$1), signo de interrogación (?) y espacio en blanco. Estos caracteres están reservados según [RFC 3986, sección 2.2](https://datatracker.ietf.org/doc/html/rfc3986#section-2.2). 
+ Las contraseñas de usuarios (perfiles de inicio de sesión) pueden incluir caracteres básicos del alfabeto latino (ASCII).
+ Los alias de ID de cuenta de Cuenta de AWS deben ser únicos en todos los productos de AWS y deben ser alfanuméricos de acuerdo con las convenciones de nomenclatura de DNS. Un alias debe ir en minúscula, no debe comenzar ni finalizar por un guion, no puede incluir dos guiones consecutivos y no puede ser un número de 12 dígitos. 

Para obtener una lista de caracteres básicos del alfabeto latino (ASCII), diríjase a [Library of Congress Basic Latin (ASCII) Code Table](https://www.loc.gov/marc/specifications/codetables/BasicLatin.html).

## Cuotas de objetos de IAM
<a name="reference_iam-quotas-entities"></a>

Las cuotas, también conocidas como límites en AWS, son el valor máximo de los recursos, acciones y elementos de su cuenta de Cuenta de AWS. Utilice Service Quotas para administrar sus cuotas de IAM. 

Para obtener la lista de puntos de conexión y Service Quotas de IAM, consulte [Puntos de conexión y cuotas de AWS Identity and Access Management](https://docs.aws.amazon.com/general/latest/gr/iam-service.html) en la *Referencia general de AWS*.

**Para solicitar un aumento de cuota**

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS* para iniciar sesión en la Consola de administración de AWS. 

1. Abra la consola de Service Quotas.

1. En el panel de navegación, elija **Servicios de AWS**. 

1. Elija el menú **Este de EE. UU (Norte de Virginia) Región ** en la barra de navegación. Entonces busquen **IAM**. 

1. Elija **AWS Identity and Access Management (IAM)**, elija una cuota y siga las instrucciones para solicitar un aumento de cuota. 

 Para obtener más información, consulte [Solicitud de un aumento de cuota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) en la *Guía del usuario de Service Quotas*.

Para ver un ejemplo de cómo solicitar un aumento de cuota de IAM mediante la consola Service Quotas, vea el siguiente vídeo.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/srJ4jr6M9YQ/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/srJ4jr6M9YQ)


Puede solicitar un aumento de las cuotas predeterminadas para las cuotas ajustables IAM. Las solicitudes hasta [maximum quota](#autoapproved) se aprueban automáticamente y se completan en pocos minutos.

A continuación, se presenta una tabla que enumera los recursos para los cuales las solicitudes de aumento de cuotas se pueden aprobar de forma automática.


| Recurso | Cuota predeterminada | Cuota máxima | 
| --- | --- | --- | 
| Políticas administradas por el cliente por cuenta | 1500 | 5000 | 
| Grupos por cuenta | 300 | 500 | 
| Perfiles de instancia por cuenta | 1 000 | 5000 | 
| Políticas administradas por rol | 10 | 25 | 
| Políticas administradas por usuario | 10 | 20 | 
| Políticas administradas por grupo | 10 | 10 | 
| Longitud de la política de confianza de rol | 2048 caracteres | 4096 caracteres | 
| Roles por cuenta | 1 000 | 5000 | 
| Certificados de servidor por cuenta | 20 | 20 | 
| Proveedores de OpenID Connect por cuenta | 100 | 700 | 

## Cuotas del Analizador de acceso de IAM
<a name="reference_access-analyzer-quotas"></a>

Para obtener la lista de puntos de conexión y Service Quotas del Analizador de acceso de IAM, consulte [Puntos de conexión y cuotas del Analizador de acceso de Iam](https://docs.aws.amazon.com/general/latest/gr/access-analyzer.html) en la *Referencia general de AWS*.

## Cuotas de IAM Roles Anywhere
<a name="reference_roles-anywhere-quotas"></a>

Para obtener la lista de puntos de conexión de servicio y Service Quotas de IAM Roles Anywhere, consulte [AWS Identity and Access Management Puntos finales y cuotas de Roles Anywhere](https://docs.aws.amazon.com/general/latest/gr/rolesanywhere.html) en la *Referencia general de AWS*.

## Cuotas de solicitud de STS
<a name="reference_iam-quotas-sts-requests"></a>

AWS Security Token Service (AWS STS) impone las siguientes cuotas para solicitudes.

Para las solicitudes de AWS STS realizadas con [credenciales de AWS](security-creds.md), la cuota de solicitudes predeterminada es de **600 solicitudes por segundo**, por cuenta y por región. Las siguientes operaciones de AWS STS comparten esta cuota:
+ AssumeRole
+ DecodeAuthorizationMessage
+ GetAccessKeyInfo
+ GetCallerIdentity
+ GetFederationToken
+ GetSessionToken

**nota**  
Las solicitudes a AWS STS de las entidades principales de servicio de AWS, como las que se utilizan para asumir roles para su uso en un servicio de AWS, no consumen la cuota de solicitud de STS por segundo en sus cuentas.

Por ejemplo, si una Cuenta de AWS realiza 100 solicitudes GetCallerIdentity por segundo y 100 llamadas AssumeRole por segundo en la misma región, esa cuenta consume 200 de las 600 solicitudes STS disponibles por segundo para esa región.

En el caso de las solicitudes AssumeRole entre cuentas, solo la cuenta que realiza la solicitud AssumeRole afecta a la cuota de STS. La cuenta de destino no ha consumido ninguna de sus cuotas.

Para solicitar un aumento de las cuotas de solicitud de STS, abra un ticket con el servicio de asistencia de AWS.

**nota**  
Debido a los próximos cambios en el punto de conexión global de AWS STS (`https://sts.amazonaws.com`), las solicitudes al punto de conexión global no compartirán una cuota de solicitudes por segundo (RPS) con los puntos de conexión de AWS STS regionales en las regiones que estén [activadas de forma predeterminada](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html). Cuando una solicitud al punto de conexión global de AWS STS se origina en una sola región, se contabilizará en la cuota de RPS del punto de conexión global. Sin embargo, cuando las solicitudes procedan de varias regiones, cada región adicional recibirá su propia cuota de RPS independiente. Para obtener más información acerca de los puntos de conexión globales de AWS STS, consulte [Cambios en el punto de conexión global de AWS STS](id_credentials_temp_region-endpoints.md#reference_sts_global_endpoint_changes).

## Límites de caracteres de IAM y STS
<a name="reference_iam-quotas-entity-length"></a>

A continuación se indica la cantidad máxima de caracteres y los límites de tamaño para IAM y AWS STS. No es posible solicitar un aumento para los siguientes límites.


| Descripción | Límite | 
| --- | --- | 
| Alias para un ID de Cuenta de AWS | De 3 a 63 caracteres | 
| En el caso de las [políticas insertadas](access_policies_managed-vs-inline.md) | Puede agregar tantas políticas insertadas como quiera a un usuario de IAM, rol o grupo. Sin embargo, el tamaño total de las políticas agregadas (la suma del tamaño de todas las políticas insertadas) por entidad no puede superar los siguientes límites: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/reference_iam-quotas.html)  IAM no cuenta los espacios en blanco al calcular el tamaño de una política frente a estas limitaciones.  | 
| Para [políticas administradas](access_policies_managed-vs-inline.md) por el cliente |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/reference_iam-quotas.html)  IAM no cuenta los espacios en blanco al calcular el tamaño de una política frente a esta limitación.   | 
| Nombre del grupo | 128 caracteres | 
| Nombre de perfil de instancia | 128 caracteres | 
| Contraseña de un perfil de inicio de sesión | 1-128 caracteres | 
| Ruta | 512 caracteres | 
| Nombre de la política | 128 caracteres | 
| Nombre de rol | 64 caracteres Sin embargo, si desea utilizar un rol con la característica **Cambiar rol** en la Consola de administración de AWS, entonces la combinación de `Path` y `RoleName` no puede superar los 64 caracteres.  | 
| Duración de la sesión de rol |  12 horas Al asumir un rol desde la API o la AWS CLI, puede utilizar el `duration-seconds` parámetro de la CLI o el `DurationSeconds` parámetro de la API para solicitar una sesión de rol más larga. Puede especificar un valor comprendido entre 900 segundos (15 minutos) y la configuración de la duración máxima de la sesión para el rol, que puede oscilar entre 1-12 horas. Si no especifica un valor para el parámetro `DurationSeconds`, sus credenciales de seguridad serán válidas durante una hora. A los usuarios de IAM que cambian de rol en la consola se les concede la duración máxima de la sesión, o el tiempo restante de la sesión del usuario de IAM, lo que sea menor. La configuración de duración máxima de sesión no limita las sesiones asumidas por los servicios de AWS. Para obtener información sobre cómo ver el valor máximo para el rol, consulte [Actualizar la duración máxima de la sesión para un rol](id_roles_update-role-settings.md#id_roles_update-session-duration).   | 
| Nombre de sesión de rol | 64 caracteres | 
| [Políticas de sesión](access_policies.md#policies_session) de rol |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/reference_iam-quotas.html)  | 
| [Etiquetas de sesión de](id_session-tags.md) rol |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/reference_iam-quotas.html)  | 
| Respuesta de autenticación de SAML codificada con base64 | 100 000 caracteresEste límite de caracteres se aplica a la operación [https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html) de la CLI o [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) de la API. | 
| Clave de etiqueta | 128 caracteresEste límite de caracteres se aplica a las etiquetas de recursos de IAM y [etiquetas de sesión](id_session-tags.md). | 
| Valor de etiqueta | 256 caracteresEste límite de caracteres se aplica a las etiquetas de recursos de IAM y [etiquetas de sesión](id_session-tags.md).Los valores de las etiquetas pueden estar vacíos, lo que significa que los valores de las etiquetas pueden tener una longitud de 0 caracteres. | 
|  Identificadores únicos creados por IAM  |  128 caracteres. Por ejemplo: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/reference_iam-quotas.html)  No pretende ser una lista exhaustiva ni tampoco es una garantía de que los ID de un determinado tipo comiencen únicamente con la combinación especificada de letras.   | 
| Nombre de usuario | 64 caracteres |