# IAM と AWS STSクォータ
AWS Identity and Access Management (IAM) と AWS Security Token Service (STS) には、オブジェクトのサイズを制限するクォータがあります。これは、オブジェクトに名前を付ける方法、作成できるオブジェクトの数、オブジェクトを渡すときに使用できる文字数に影響します。
**注記**
IAM の使用状況とクォータに関するアカウントレベルの情報を取得するには、[GetAccountSummary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountSummary.html) API オペレーション、または [get–account–summary](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-summary.html) AWS CLI コマンドを使用します。
## IAM 名前の要件
IAM の名前には以下の要件と制約があります。
+ ポリシードキュメントには、次の Unicode 文字のみを含めることができます。水平タブ (U\$10009)、ラインフィード (U\$1000A)、キャリッジリターン (U\$1000D)、および U\$10020~U\$100FF の範囲内の文字。
+ ユーザー、グループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書、およびパスの名前は、英数字で指定する必要があります。これには、プラス記号 (\$1)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、アンダースコア (\$1)、ハイフン (–) も含まれます。パス名の前後にはスラッシュ (/) を指定する必要があります。
+ ユーザー、グループ、ロール、インスタンスプロファイルの名前は、アカウント内で一意である必要があります。大文字と小文字は区別されません。例えば、「**ADMINS**」と「**admins**」というグループ名を両方作成することはできません。
+ ロールを引き受けるためにサードパーティーが使用する外部 ID の値は、2~1,224 文字で構成されている必要があります。この値は、空白のない英数字にする必要があります。次の記号を含めることもできます。プラス記号 (\$1)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、コロン (:)、スラッシュ (/)、およびハイフン (–)。外部 ID の詳細については、[第三者が所有する AWS アカウント へのアクセス](id_roles_common-scenarios_third-party.md) を参照してください。
+ [インラインポリシー](access_policies_managed-vs-inline.md)のポリシー名は、それが埋め込まれているユーザー、グループ、またはロールに対して一意である必要があります。名前には、次の予約文字を除く基本ラテン (ASCII) 文字を含めることができます: バックスラッシュ (\$1)、スラッシュ (/)、アスタリスク (\$1)、疑問符 (?)、空白。これらの文字は [RFC 3986、セクション 2.2](https://datatracker.ietf.org/doc/html/rfc3986#section-2.2) に従って予約されています。
+ ユーザーパスワード(ログインプロファイル)には、基本ラテン(ASCII)文字を含めることができます。
+ AWS アカウント ID のエイリアスは、AWS 製品全体で一意となるのもので、DNS の命名規則に従って英数字にする必要があります。エイリアスには小文字を使用する必要があり、先頭や末尾にハイフンを使用することはできません。また、ハイフンを 2 つ連続することも、12 桁の数字にすることもできません。
基本ラテン (ASCII) 文字の一覧については、「[Library of Congress Basic Latin (ASCII) Code Table](https://www.loc.gov/marc/specifications/codetables/BasicLatin.html)」を参照してください。
## IAM オブジェクトクォータ
AWS のクォータ (制限とも呼ばれます) は、AWS アカウント のリソース、アクション、および制限の最大値です。Service Quotas を使用して IAM クォータを管理します。
IAM サービスエンドポイントとサービスクォータのリストについては、「AWS 全般のリファレンス」の「[AWS Identity and Access Management エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/iam-service.html)」を参照してください。
**クォータの引き上げをリクエストするには**
1. AWS マネジメントコンソール にサインインするには、「AWS サインインユーザーガイド」の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従います。
1. Service Quotas コンソール を開きます。
1. ナビゲーションペインで、**[AWSサービス**] を選択します。
1. ナビゲーションバーで、[**US East (N. Virginia)**] リージョンを選択します。次に、**IAM** を検索します。
1. **AWS Identity and Access Management (IAM)** を選択し、クォータを選択して、指示に従ってクォータの引き上げをリクエストします。
詳細については、*Service Quotas ユーザーガイド*の [Requesting a Quota Increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) を参照してください。
Service Quotas コンソールを使用して IAM クォータの増加をリクエストする方法の例については、次のビデオをご覧ください。
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/srJ4jr6M9YQ)
調整可能な IAM クォータではデフォルトのクォータの引き上げをリクエストできます。[maximum quota](#autoapproved) までのリクエストは自動的に承認され、数分で完了します。
次の表には、クォータの引き上げが自動的に承認される範囲についてリソースの一覧が掲載されています。
| リソース | デフォルトのクォータ | 最大クォータ |
| --- | --- | --- |
| アカウントあたりのカスタマー管理ポリシー数 | 1500 | 5000 |
| アカウントあたりのグループ数 | 300 | 500 |
| アカウントあたりのインスタンスプロファイル数 | 1,000 | 5000 |
| ロールあたりの管理ポリシー | 10 | 25 |
| ユーザーあたりの管理ポリシー | 10 | 20 |
| グループあたりの管理ポリシー | 10 | 10 |
| ロールの信頼ポリシーの長さ | 2048 文字 | 4096 文字 |
| アカウントあたりのロール数 | 1,000 | 5000 |
| アカウントあたりのサーバー証明書数 | 20 | 20 |
| アカウントあたりの OpenId 接続プロバイダー | 100 | 700 |
## IAM Access Analyzer のクォータ
IAM Access Analyzer のサービスエンドポイントとサービスクォータの一覧については、「AWS 全般のリファレンス」の「[IAM Access Analyzer エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/access-analyzer.html)」を参照してください。
## IAM Roles Anywhere クォータ
IAM Roles Anywhere のサービスエンドポイントとサービスクォータのリストについては、「AWS 全般のリファレンス」の「[AWS Identity and Access Management ロール Anywhere エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/rolesanywhere.html)」を参照してください。
## STS リクエストのクォータ
AWS Security Token Service (AWS STS) は次のリクエストクォータを実施します。
[AWS 認証情報](security-creds.md)を使用して発信された AWS STS リクエストの場合、デフォルトのリクエストクォータはアカウントとリージョンごとに **1 秒あたり 600 リクエスト**です。次の AWS STS オペレーションでは、このクォータが共有されます。
+ AssumeRole
+ DecodeAuthorizationMessage
+ GetAccessKeyInfo
+ GetCallerIdentity
+ GetFederationToken
+ GetSessionToken
**注記**
AWS サービスで使用するロールを引き受けるために使用されるものなど、AWS サービスプリンシパルによる AWS STS へのリクエストは、アカウント内の 1 秒あたりの STS リクエストのクォータを消費しません。
例えば、AWS アカウント が同じリージョンで 1 秒あたり 100 件の GetCallerIdentity リクエストと 1 秒あたり 100 件の AssumeRole 呼び出しを行う場合、そのアカウントは、そのリージョンで利用可能な 1 秒あたり 600 件の STS リクエストのうち 200 件を消費します。
クロスアカウント AssumeRole リクエストの場合、AssumeRole リクエストを行うアカウントのみが STS クォータに影響します。ターゲットアカウントは、クォータを消費していません。
STS リクエストクォータの引き上げをリクエストするには、AWSサポート付きのチケットを開いてください。
**注記**
AWS STS グローバルエンドポイント (`https://sts.amazonaws.com`) に対する今後の変更により、グローバルエンドポイントへのリクエストは、[デフォルトで有効](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)になっているリージョンの AWS STS リージョンエンドポイントと 1 秒あたりのリクエスト (RPS) クォータが共有されません。AWS STS グローバルエンドポイントへのリクエストが単一のリージョンから発信されると、グローバルエンドポイントの RPS クォータに対して計上されます。ただし、複数のリージョンからリクエストが送信されると、追加のリージョンごとに独自の独立した RPS クォータが割り当てられます。AWS STS グローバルエンドポイントの変更に関する詳細については、「[AWS STS グローバルエンドポイントの変更](id_credentials_temp_region-endpoints.md#reference_sts_global_endpoint_changes)」を参照してください。
## IAM 文字制限および STS 文字制限
IAM および AWS STS の最大文字数とサイズの制限は、次のとおりです。以下の制限の引き上げをリクエストすることはできません。
| 説明 | 制限 |
| --- | --- |
| AWS アカウント ID のエイリアス | 3 ~ 63 文字 |
| [インラインポリシー](access_policies_managed-vs-inline.md)の場合 | IAM ユーザー、ロール、またはグループに必要な数のインラインポリシーを追加できます。ただし、エンティティごとの総ポリシーサイズ (すべてのインラインポリシーの合計サイズ) は以下の制限を超えることはできません。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_iam-quotas.html) IAM ではこれらの制限に対するポリシーのサイズを計算する際に空白をカウントしません。 |
| カスタマー[マネージドポリシー](access_policies_managed-vs-inline.md)の場合 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_iam-quotas.html) IAM ではこの制限に対するポリシーのサイズを計算する際に空白をカウントしません。 |
| グループ名 | 128 文字 |
| インスタンスプロファイル名 | 128 文字 |
| ログインプロファイルのパスワード | 1 〜 128 文字 |
| パス | 512 文字 |
| ポリシー名 | 128 文字 |
| ロール名 | 64 文字 AWS マネジメントコンソール の **[ロールの切り替え]** 機能でロールを使用する場合は、`Path` と `RoleName` の合計が 64 文字を超えることはできません。 |
| ロールセッションの期間 | 12 時間ごと AWS CLI または API からロールを引き受けると、`duration-seconds` CLI パラメータまたは `DurationSeconds` API パラメータを使用して、より長いロールセッションをリクエストできます。900 秒 (15 分) からロールの最大セッション期間設定 (1 時間~12 時間の範囲) までの値を指定できます。`DurationSeconds` パラメータの値を指定しない場合、セキュリティ認証情報は 1 時間有効です。コンソールでロールを切り替える IAM ユーザーには、最大セッション期間、またはユーザーのセッションの残り時間のいずれか短い方が付与されます。最大セッション期間の設定では、AWS のサービスが引き受けるセッションは制限されません。ロールの最大値を確認する方法については、「[ロールの最大セッション期間を更新する](id_roles_update-role-settings.md#id_roles_update-session-duration)」を参照してください。 |
| ロールセッション名 | 64 文字 |
| ロール[セッションポリシー](access_policies.md#policies_session) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_iam-quotas.html) |
| ロール[セッションタグ](id_session-tags.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_iam-quotas.html) |
| SAML 認証レスポンス base64 エンコード | 100,000 文字この文字制限は [https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html) CLI または [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API オペレーションに適用されます。 |
| タグキー | 128 文字この文字制限は、IAM リソースと[セッションタグ](id_session-tags.md)に適用されます。 |
| タグ値 | 256 文字この文字制限は、IAM リソースと[セッションタグ](id_session-tags.md)に適用されます。タグの値は 0 文字にすることができます。つまり、タグの値は 0 文字にすることができます。 |
| IAM によって作成された一意の ID | 128 文字 例:。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_iam-quotas.html) これは網羅的なリストではありません。また、特定のタイプの ID が必ずしも指定された文字の組み合わせのみで始まるとは限りません。 |
| ユーザー名 | 64 文字 |