Como posso resolver o erro do IAM “Tamanho máximo de xxxxx bytes da política excedido para o usuário ou perfil.”

3 minuto de leitura

Recebi uma mensagem de erro do AWS Identity and Access Management (IAM) semelhante à seguinte: “Tamanho máximo de xxxxx bytes da política excedido para o usuário ou perfil.” Como posso aumentar a política gerenciada padrão ou o limite de tamanho de caracteres para um perfil ou usuário do IAM?

Descrição resumida

O limite máximo para anexar uma política gerenciada a um perfil ou usuário do IAM é 20. O limite máximo de tamanho de caracteres para políticas gerenciadas é 6.144. Para obter mais informações, consulte Cotas de objetos do IAM e Cotas do IAM e do AWS STS, requisitos de nome e limites de caracteres.

Observação: o limite padrão para políticas gerenciadas é 10. Para aumentar o limite padrão de 10 para até 20, você deve enviar uma solicitação de aumento da cota de serviço.

Resolução

Se você atingiu a política gerenciada ou o limite de tamanho de caracteres para um grupo, usuário, perfil ou política do IAM, use essas soluções alternativas, dependendo do seu cenário.

Grupos do IAM

Crie outro grupo do IAM. Você pode ter até 300 grupos do IAM por conta. Anexe a política gerenciada ao usuário do IAM em vez do grupo do IAM. Você pode anexar até 20 políticas gerenciadas aos perfis e usuários do IAM.

Usuários do IAM

Crie mais grupos do IAM e anexe a política gerenciada ao grupo. Você pode atribuir usuários do IAM a até 10 grupos. Você também pode anexar até 10 políticas gerenciadas a cada grupo, para um máximo de 120 políticas (20 políticas gerenciadas anexadas ao usuário do IAM, 10 grupos do IAM, com 10 políticas cada).

Combinar políticas gerenciadas

Combine várias políticas gerenciadas em uma única política. Você pode adicionar até 6.144 caracteres por política gerenciada.

Reduzir o tamanho dos caracteres das políticas gerenciadas

Remova as permissões duplicadas combinando todas as ações com o mesmo efeito. Combine declarações de recursos e condições. Remova declarações desnecessárias, como Sid. Use curingas (*) para ações com o mesmo sufixo ou prefixo.

Usar políticas em linha em vez de políticas gerenciadas

Você pode usar quantas políticas em linha quiser, mas o tamanho agregado da política não pode exceder as cotas de caracteres. Os limites de caracteres da política em linha são 2.048 para usuários, 10.240 para perfis e 5.120 para grupos.

Importante: é uma prática recomendada usar políticas gerenciadas pelo cliente em vez de políticas em linha.

Informações relacionadas

Políticas em linha

Controles do CIS AWS Foundations Benchmark

Tópicos

Segurança, identidade e conformidade

Vídeos relacionados

Assista ao vídeo de Aarti para saber mais (4:10)

AWS OFICIALAtualizada há 2 anos

Conteúdo relevante

Como posso resolver o erro da política de confiança do IAM “Falha ao atualizar a política de confiança. Entidade principal inválida na política”?
AWS OFICIALAtualizada há um ano
Como posso aumentar o tamanho máximo da sequência de caracteres de consulta no Amazon Athena?
AWS OFICIALAtualizada há 2 anos
Como faço para resolver o erro “The final policy size is bigger than the limit” (O tamanho final da política é maior que o limite) do Lambda?
AWS OFICIALAtualizada há 2 anos
Como posso anexar uma política gerenciada do IAM a um perfil do IAM no AWS CloudFormation?
AWS OFICIALAtualizada há 2 anos