He recibido un mensaje de error de AWS Identity and Access Management (IAM) similar al siguiente: «Se ha superado el tamaño máximo de la política (xxxxx bytes) para el usuario o el rol». ¿Cómo puedo aumentar la política administrada predeterminada o el límite de caracteres para un rol o usuario de IAM?
Breve descripción
El número máximo de políticas administradas que se pueden adjuntar a un rol o usuario de IAM es de 20. Las políticas administradas pueden tener un máximo de 6144 caracteres. Para obtener más información, consulte Cuotas de objetos de IAM y IAM y cuotas de AWS STS.
Nota: De forma predeterminada, el número máximo de políticas administradas es de 10. Para aumentar el límite predeterminado de 10 a 20, envíe una solicitud de aumento de la cuota de servicio.
Resolución
Si ha alcanzado el límite de una política administrada o el límite de caracteres para un grupo, un usuario, un rol o una política de IAM, utilice estas soluciones alternativas en función de su situación.
Grupos de IAM
Cree otro grupo de IAM. Puede tener hasta 300 grupos de IAM por cuenta. Adjunte la política administrada al usuario de IAM en lugar de hacerlo al grupo de IAM. Puede adjuntar hasta 20 políticas administradas a los roles y usuarios de IAM.
Usuarios de IAM
Cree más grupos de IAM y adjunte la política administrada al grupo. Puede asignar usuarios de IAM a un máximo de 10 grupos. También puede adjuntar hasta 10 políticas administradas a cada grupo, hasta un máximo de 120 políticas (20 políticas administradas asociadas al usuario de IAM y 10 grupos de IAM con 10 políticas cada uno).
Combinación de políticas administradas
Combine varias políticas administradas en una sola política. Puede añadir hasta 6144 caracteres por política administrada.
Reducción del número de caracteres de las políticas administradas
Elimine los permisos duplicados combinando todas las acciones con el mismo efecto. Combine las declaraciones de recursos y condiciones. Elimine las declaraciones innecesarias, como Sid. Utilice caracteres comodín (*) para las acciones con el mismo sufijo o prefijo.
Uso de políticas insertadas en lugar de políticas administradas
Puede utilizar tantas políticas insertadas como desee, pero el tamaño total de la política no puede superar el limite de caracteres. Los límites de caracteres de las políticas insertadas son de 2048 para los usuarios, 10 240 para los roles y 5120 para los grupos.
Importante: Se recomienda utilizar políticas administradas por el cliente en lugar de políticas insertadas.
Información relacionada
Políticas insertadas
Prácticas recomendadas de seguridad en IAM
Controles de CIS AWS Foundations Benchmark