J'ai reçu un message d'erreur AWS Identity and Access Management (IAM) similaire au suivant :
« La taille maximale de la politique de xxxxx octets a été dépassée pour l'utilisateur ou le rôle. »
Comment puis-je augmenter la limite de taille par défaut de la politique gérée ou des caractères pour un utilisateur ou un rôle IAM ?
Brève description
Le nombre maximal de politiques gérées pouvant être attachées à un rôle ou un utilisateur IAM est de 20. Les politiques gérées acceptent jusqu'à 6 144 caractères. Pour plus d'informations, consultez les sections Quotas d'objets IAM et IAM et AWS STS, exigences en matière de nom et limites de caractères.
Remarque : La limite par défaut pour les politiques gérées est de 10. Pour augmenter la limite par défaut de 10 à 20, vous devez envoyer une demande d'augmentation du quota de service.
Solution
Utilisez la solution de contournement suivante en fonction de votre scénario si vous avez atteint la limite de la politique gérée ou de la taille des caractères pour un groupe, un utilisateur, un rôle ou une politique IAM.
Groupes IAM
Créez un autre groupe IAM. Vous pouvez créer jusqu'à 300 groupes IAM par compte. Attachez la politique gérée à l'utilisateur IAM plutôt qu'au groupe IAM. Vous pouvez attacher jusqu'à 20 politiques gérées aux rôles et utilisateurs IAM.
Utilisateurs IAM
Créez d'autres groupes IAM et attachez-y les politiques gérées. Vous pouvez affecter des utilisateurs IAM à 10 groupes maximum. Vous pouvez également attacher jusqu'à 10 politiques gérées à chaque groupe pour un maximum de 120 politiques (20 politiques gérées attachées à l'utilisateur IAM, et 10 groupes IAM avec 10 politiques chacun).
Combiner les politiques gérées
Combinez plusieurs politiques gérées en une seule politique. Vous pouvez ajouter jusqu'à 6 144 caractères par politique gérée.
Réduire le nombre caractères dans les politiques gérées
Supprimez les autorisations en double en regroupant toutes les actions ayant le même Effet. Combinez les déclarations de ressources et de conditions. Supprimez les instructions inutiles telles que Sid. Utilisez des caractères génériques (*) pour les actions ayant le même suffixe ou préfixe.
Utiliser des politiques en ligne plutôt que des politiques gérées
Vous pouvez utiliser autant de politiques en ligne que vous le souhaitez, mais la taille de la somme des politiques ne doit pas dépasser les quotas de caractères. Les limites de caractères pour les politiques en ligne sont de 2 048 pour les utilisateurs, 10 240 pour les rôles et 5 120 pour les groupes.
Important : Une bonne pratique consiste à utiliser des politiques gérées par le client plutôt que des politiques en ligne.
Informations connexes
politiques en ligne
Bonnes pratiques de sécurité dans IAM
Contrôles de référence CIS AWS Foundations