Comment puis-je résoudre l'erreur IAM « Taille maximale de la politique de xxxxx octets dépassée pour l'utilisateur ou le rôle. » ?

Lecture de 3 minute(s)
0

J'ai reçu un message d'erreur AWS Identity and Access Management (IAM) similaire au suivant : « La taille maximale de la politique de xxxxx octets a été dépassée pour l'utilisateur ou le rôle. » Comment puis-je augmenter la limite de taille par défaut de la politique gérée ou des caractères pour un utilisateur ou un rôle IAM ?

Brève description

Le nombre maximal de politiques gérées pouvant être attachées à un rôle ou un utilisateur IAM est de 20. Les politiques gérées acceptent jusqu'à 6 144 caractères. Pour plus d'informations, consultez les sections Quotas d'objets IAM et IAM et AWS STS, exigences en matière de nom et limites de caractères.

Remarque : La limite par défaut pour les politiques gérées est de 10. Pour augmenter la limite par défaut de 10 à 20, vous devez envoyer une demande d'augmentation du quota de service.

Solution

Utilisez la solution de contournement suivante en fonction de votre scénario si vous avez atteint la limite de la politique gérée ou de la taille des caractères pour un groupe, un utilisateur, un rôle ou une politique IAM.

Groupes IAM

Créez un autre groupe IAM. Vous pouvez créer jusqu'à 300 groupes IAM par compte. Attachez la politique gérée à l'utilisateur IAM plutôt qu'au groupe IAM. Vous pouvez attacher jusqu'à 20 politiques gérées aux rôles et utilisateurs IAM.

Utilisateurs IAM

Créez d'autres groupes IAM et attachez-y les politiques gérées. Vous pouvez affecter des utilisateurs IAM à 10 groupes maximum. Vous pouvez également attacher jusqu'à 10 politiques gérées à chaque groupe pour un maximum de 120 politiques (20 politiques gérées attachées à l'utilisateur IAM, et 10 groupes IAM avec 10 politiques chacun).

Combiner les politiques gérées

Combinez plusieurs politiques gérées en une seule politique. Vous pouvez ajouter jusqu'à 6 144 caractères par politique gérée.

Réduire le nombre caractères dans les politiques gérées

Supprimez les autorisations en double en regroupant toutes les actions ayant le même Effet. Combinez les déclarations de ressources et de conditions. Supprimez les instructions inutiles telles que Sid. Utilisez des caractères génériques (*) pour les actions ayant le même suffixe ou préfixe.

Utiliser des politiques en ligne plutôt que des politiques gérées

Vous pouvez utiliser autant de politiques en ligne que vous le souhaitez, mais la taille de la somme des politiques ne doit pas dépasser les quotas de caractères. Les limites de caractères pour les politiques en ligne sont de 2 048 pour les utilisateurs, 10 240 pour les rôles et 5 120 pour les groupes.

Important : Une bonne pratique consiste à utiliser des politiques gérées par le client plutôt que des politiques en ligne.


Informations connexes

politiques en ligne

Bonnes pratiques de sécurité dans IAM

Contrôles de référence CIS AWS Foundations

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an