![[アップデート] AWS IAM Identity Center で AWS アカウントとアプリケーションのクォータが個別管理されるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-14065d3d54d195fc74d726c1950f7e3a/c847507d538044ec935625e716d204aa/aws-iamidentity-center?w=3840&fm=webp)
[アップデート] AWS IAM Identity Center で AWS アカウントとアプリケーションのクォータが個別管理されるようになりました
いわさです。
IAM Identity Center では管理できる AWS アカウント数やアプリケーション数にクォータ(上限)が設定されています。
これまで、AWS アカウントとアプリケーションの数は合算で 1 つのクォータとして管理されており、デフォルトは合計 3,000 でした。
例えば AWS アカウントを 2,750 個設定している場合、アプリケーションは残りの 250 個分しか追加できないという構造です。
多数の AWS アカウントを管理している組織では、アプリケーションを追加したくてもアカウント側の消費でクォータが圧迫されるケースがありました。
これが、先日のアップデートで AWS アカウントとアプリケーションのクォータが分離されるようになったみたいです。
クォータ項目自体は 1 つのままですが、消費量がそれぞれ独立してカウントされるようになり、デフォルトの上限も 7,000 に引き上げられました。
つまり AWS アカウントを 7,000 個使っていてもアプリケーション側は別枠で 7,000 個まで使えるっぽいです。すごい。
既存の引き上げ済みクォータを持つ顧客にはアカウント・アプリケーションの両方に同じ上限が自動適用されるみたいです。
なお、本アップデートは IAM Identity Center が利用可能な全リージョンで提供されているとのこと。
今回こちらを確認してみたので紹介します。
実際に確認してみる
Service Quotas コンソールでの確認
まず Service Quotas コンソールから IAM Identity Center のクォータを確認してみます。
「Total number of AWS accounts or applications that can be configured」という項目があり、デフォルトのクォータ値は 7,000 となっています。
値自体は 3,000 から 7,000 に更新されていますね。
クォータの詳細を開いてみます。
あれ、説明文を見ると以下のように記載されています。
The default total number of AWS accounts or applications (total combined) that can be configured. For example, you might configure 6750 accounts and 250 applications, resulting in a total of 7000 accounts and applications.
値は 7,000 に上がっているのですが、説明文は「total combined」のままで合算の例が記載されています。
本日時点では、個別管理になったはずなのに表記が追いついていないみたいですね。
AWS CLI での確認
AWS CLI からも確認してみます。
aws service-quotas list-aws-default-service-quotas --service-code sso --region us-east-1 --query 'Quotas[?QuotaCode==`L-0299121C`]'
[
{
"ServiceCode": "sso",
"ServiceName": "AWS IAM Identity Center (successor to AWS Single Sign-On)",
"QuotaArn": "arn:aws:servicequotas:us-east-1::sso/L-0299121C",
"QuotaCode": "L-0299121C",
"QuotaName": "Total number of AWS accounts or applications that can be configured",
"Value": 7000.0,
"Unit": "None",
"Adjustable": true,
"GlobalQuota": false,
"Description": "The default total number of AWS accounts or applications (total combined) that can be configured. For example, you might configure 6750 accounts and 250 applications, resulting in a total of 7000 accounts and applications."
}
]
API のレスポンスでもやはり Description は「total combined」のまま。
本日時点では、コンソールも API も値は更新済みだけど説明文が旧表現のままという状態みたいです。
ドキュメントの記載を確認
次に公式ドキュメントで確認してみます。
まず日本語版の Quotas ページを見てみると...
あれ、こちらはデフォルトクォータ値が 3,000 のまま、注釈も「2,750 個のアカウントと 250 個のアプリケーションを設定し、合計 3,000 個」と完全に旧仕様です。
英語版で確認してみます。
英語版の「Additional quotas」テーブルではデフォルト値が 7,000 になっており、注釈にも以下のように明記されていました。
* This quota applies separately to AWS accounts and to applications. You can configure up to 7000 accounts and up to 7000 applications.
英語版 User Guide だけが新しい仕様に更新されていますね。
ただし、同じ英語版でも General Reference(gr/sso.html)側は旧仕様のままでした。
各ソースの反映状況まとめ
本日時点で各ソースの反映状況を整理すると以下のようになっていました。
| ソース | デフォルト値 | 説明 |
|---|---|---|
| アナウンス | 7,000 | separately(個別) |
| 英語版ドキュメント(User Guide) | 7,000 | separately(個別) |
| 日本語版ドキュメント(User Guide) | 3,000 | 合算 |
| General Reference(gr/sso.html) | 3,000 | total combined(合算) |
| Service Quotas API / コンソール | 7,000 | total combined(説明文は旧表現) |
英語版 User Guide の limits.html のみが完全に新しい仕様に更新されており、他のソースは本日時点では値・説明文のいずれかが追いついていない状態みたいです。
いつものパターンではありますが、最新の仕様を確認する際は英語版 User Guide を参照するのが確実ですね。
なお、アナウンスによると既にクォータの引き上げを行っている場合は、アカウントとアプリケーションの両方に同じ上限値が自動適用されるとのことです。
特に利用者側でのアクションは不要みたいですね。
Customers with existing higher limits are automatically granted the same limit for both accounts and applications, with no action required.
クォータの引き上げが必要な場合は、従来通り Service Quotas コンソールから申請できます。
さいごに
本日は AWS IAM Identity Center で AWS アカウントとアプリケーションのクォータが個別管理されるようになったアップデートを確認してみました。
大規模な Organizations 環境で多数の AWS アカウントを管理しつつ、アプリケーション連携も進めているケースでは地味にありがたいアップデートだと思います。
以前はどちらか一方の利用が増えるともう一方の余裕がなくなるという構造だったので、クォータを気にせず独立して利用できるのは運用が楽になりそうです。
