IAMund AWS STS Kontingente

AWS Identity and Access Management (IAM) und AWS Security Token Service (STS) haben Kontingente, die die Größe von Objekten begrenzen. Dies wirkt sich darauf aus, wie Sie ein Objekt benennen, die Anzahl der Objekte, die Sie erstellen können, sowie auf die Anzahl der Zeichen, die Sie beim Übergeben eines Objekts verwenden können.

Anmerkung

Um Informationen über IAM Nutzung und Kontingente auf Kontoebene abzurufen, verwenden Sie den GetAccountSummaryAPIVorgang oder den get-account-summary AWS CLI Befehl.

Anforderungen für den IAM-Namen

IAMFür Namen gelten die folgenden Anforderungen und Einschränkungen:

• Richtliniendokumente können nur die folgenden Unicode-Zeichen enthalten: horizontaler Tabulator (U+0009), Zeilenvorschub (U+000A), Wagenrücklauf (U+000D) sowie Zeichen im Bereich von U+0020 bis U+00FF.

• Die Namen von Benutzern, Gruppen, Rollen, Richtlinien, Instance-Profilen, Serverzertifikaten und Pfaden müssen alphanummerisch sein und dürfen zudem folgende Zeichen enthalten: Plus (+), Gleichheitszeichen (=), Komma (,), Punkt (.), At (@), Unterstrich (_) und Bindestrich (-). Pfadnamen müssen mit einem Slash (/) beginnen und enden.

• Namen von Benutzern, Gruppen, Rollen und Instance-Profilen müssen innerhalb des Kontos eindeutig sein. Diese lassen sich nicht durch Groß- und Kleinschreibung unterscheiden. Sie können zum Beispiel keine Gruppen mit den Namen ADMINS und admins erstellen.

• Der Wert der externen ID, den ein Dritter zur Übernahme einer Rolle verwendet, muss mindestens 2 Zeichen und darf höchstens 1.224 Zeichen lang sein. Der Wert muss alphanumerisch sein ohne Leerzeichen. Er kann auch die folgenden Zeichen enthalten: Pluszeichen (+), Gleichheitszeichen (=), Komma (,), Punkt (.), At-Zeichen (@), Doppelpunkt (:), Schrägstrich (/) und Bindestrich (-). Weitere Informationen über die externe ID finden Sie unter Zugriff auf AWS-Konten Eigentum Dritter.

• Richtliniennamen für eingebundene Richtlinien müssen für den Benutzer, die Gruppe oder die Rolle, in die sie eingebettet sind, eindeutig sein. Die Namen können alle lateinischen Grundzeichen (ASCII) enthalten, mit Ausnahme der folgenden reservierten Zeichen: umgekehrter Schrägstrich (\), Schrägstrich (/), Sternchen (*), Fragezeichen (?) und Leerraum. Diese Zeichen sind gemäß RFC3986, Abschnitt 2.2 reserviert.

• Benutzerpasswörter (Anmeldeprofile) können beliebige lateinische Grundzeichen (ASCII) enthalten.

• AWS-Konto ID-Aliase müssen AWS produktübergreifend eindeutig und gemäß den DNS Namenskonventionen alphanumerisch sein. Ein Alias muss aus Kleinbuchstaben bestehen, darf nicht mit einem Bindestrich beginnen oder enden, darf keine zwei aufeinanderfolgenden Bindestriche enthalten und darf keine zwölfstellige Zahl sein.

Eine Liste der lateinischen Grundzeichen (ASCII) finden Sie in der Codetabelle Basic Latin (ASCII) der Library of Congress.

IAM-Objekt-Kontingente

Kontingente, auch als Grenzwerte bezeichnet AWS, sind die Höchstwerte für die Ressourcen, Aktionen und Elemente in Ihrem AWS-Konto. Verwenden Sie Service Quotas, um Ihre IAM Kontingente zu verwalten.

Eine Liste der IAM Dienstendpunkte und Dienstkontingente finden Sie unter AWS Identity and Access Management Endpunkte und Kontingente in der. Allgemeine AWS-Referenz

So fordern Sie eine Kontingenterhöhung an

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch, um sich bei der AWS Management Console anzumelden.

2. Öffnen Sie die Service Quotas-Konsole.

3. Wählen Sie im Navigationsbereich AWS -Services.

4. Wählen Sie auf der Navigationsleiste die Region US East (N. Virginia). Dann suchen Sie nach IAM.

5. Wählen Sie AWS Identity and Access Management (IAM), wählen Sie ein Kontingent und folgen Sie den Anweisungen, um eine Kontingenterhöhung zu beantragen.

Weitere Informationen finden Sie unter Anfordern einer Kontingenterhöhung im Service Quotas-Benutzerhandbuch.

Sehen Sie sich das folgende Video an, um ein Beispiel dafür zu sehen, wie Sie mit der Service IAM Quota-Konsole eine Erhöhung des Kontingents beantragen können.

Sie können eine Erhöhung der Standardkontingente für anpassbare IAM Kontingente beantragen. Anfragen bis zum maximum quota werden automatisch genehmigt und innerhalb weniger Minuten abgeschlossen.

In der folgenden Tabelle sind die Ressourcen aufgeführt, für die eine Erhöhung des Kontingents automatisch genehmigt werden kann.

Ressource	Standardkontingent	Höchstkontingent
Von Kunden verwaltete Richtlinien pro Konto	1500	5000
Gruppen pro Konto	300	500
Instance-Profile pro Konto	1000	5000
Verwaltete Richtlinien pro Rolle	10	20
Verwaltete Richtlinien pro Benutzer	10	20
Länge der Vertrauensrichtlinie für Rollen	2048 Zeichen	4096 Zeichen
Rollen pro Konto	1000	5000
Serverzertifikate pro Konto	20	1000

IAMAccess Analyzer-Kontingente

Eine Liste der IAM Access Analyzer-Dienstendpunkte und -Dienstkontingente finden Sie unter IAMAccess Analyzer-Endpunkte und -Kontingente in der. Allgemeine AWS-Referenz

IAMRoles Anywhere, Kontingente

Eine Liste der IAM Roles Anywhere-Dienstendpunkte und Dienstkontingente finden Sie unter AWS Identity and Access Management Roles Anywhere-Endpunkte und -Kontingente in der. Allgemeine AWS-Referenz

IAMund STS Zeichenbeschränkungen

Im Folgenden sind die maximale Zeichenanzahl und Größenbeschränkungen für IAM und aufgeführt AWS STS. Für die folgenden Limits können Sie keine Erhöhung beantragen.

Beschreibung	Limit
Alias für eine AWS-Konto ID	3–63 Zeichen
Für eingebundene Richtlinien	Sie können einem IAM Benutzer, einer Rolle oder einer Gruppe beliebig viele Inline-Richtlinien hinzufügen. Die gesamte aggregierte Richtliniengröße (die Gesamtgröße aller eingebundenen Richtlinien) pro Entität darf jedoch die folgenden Grenzwerte nicht überschreiten: Die Größe der Benutzerrichtlinie darf 2 048 Zeichen nicht überschreiten. Die Größe der Rollenrichtlinie darf 10 240 Zeichen nicht überschreiten. Die Größe der Gruppenrichtlinie darf 5 120 Zeichen nicht überschreiten. Anmerkung IAMberücksichtigt bei der Berechnung der Größe einer Richtlinie anhand dieser Grenzwerte keine Leerzeichen.
Für verwaltete Richtlinien	Die Größe jeder verwalteten Richtlinie darf 6 144 Zeichen nicht überschreiten. Anmerkung IAMzählt bei der Berechnung der Größe einer Richtlinie anhand dieses Limits keine Leerzeichen.
Group name (Gruppenname)	128 Zeichen
Instance-Profilnamen	128 Zeichen
Passwort für ein Anmeldeprofil	1–128 Zeichen
Pfad	512 Zeichen
Richtlinienname	128 Zeichen
Rollenname	64 Zeichen Wichtig Wenn Sie beabsichtigen, eine Rolle mit der Funktion „Rolle wechseln“ in der zu verwenden AWS Management Console, dann die Kombination Path und RoleName darf 64 Zeichen nicht überschreiten.
Rollensitzungsdauer	12 Stunden Wenn Sie mit AWS CLI oder eine Rolle übernehmenAPI, können Sie den duration-seconds CLI Parameter oder den DurationSeconds API Parameter verwenden, um eine längere Rollensitzung anzufordern. Sie können einen Wert von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle angeben, die zwischen 1 und 12 Stunden liegen kann. Wenn Sie keinen Wert für den DurationSeconds-Parameter angeben, sind Ihre Sicherheitsanmeldeinformationen eine Stunde lang gültig. IAMBenutzern, die in der Konsole die Rollen wechseln, wird die maximale Sitzungsdauer oder die verbleibende Zeit der Benutzersitzung gewährt, je nachdem, welcher Wert kürzer ist. Die Einstellung der maximalen Sitzungsdauer schränkt die von AWS -Services angenommenen Sitzungen nicht ein. Weitere Informationen dazu, wie Sie den maximalen Wert für Ihre Rolle anzeigen, finden Sie unter Aktualisieren Sie die maximale Sitzungsdauer für eine Rolle.
Rollensitzungsname	64 Zeichen
Sitzungsrichtlinien für Rollen	Die Größe des übergebenen JSON Richtliniendokuments und aller Zeichen der übergebenen verwalteten Richtlinie darf zusammen 2.048 ARN Zeichen nicht überschreiten. Sie können ARNs beim Erstellen einer Sitzung maximal 10 verwaltete Richtlinien übergeben. Sie können nur ein JSON Richtliniendokument übergeben, wenn Sie programmgesteuert eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Darüber hinaus werden bei einer AWS Konvertierung die übergebenen Sitzungsrichtlinien und Sitzungs-Tags in ein gepacktes Binärformat komprimiert, für das ein separates Limit gilt. Das PackedPolicySize-Antwortelement gibt in Prozent an, wie nah die Richtlinien und Tags für Ihre Anforderung an der oberen Größengrenze liegen. Es wird empfohlen, Sitzungsrichtlinien mit dem AWS CLI oder AWS API zu übergeben. Dadurch werden der gepackten Richtlinie AWS Management Console möglicherweise zusätzliche Konsolensitzungsinformationen hinzugefügt.
Sitzungs-Tags für Rollen	Sitzungs-Tags müssen den Grenzwert für Tag-Schlüssel von 128 Zeichen und das Tag-Wert-Limit von 256 Zeichen einhalten. Sie können bis zu 50 Sitzungs-Tags übergeben. Bei einer AWS Konvertierung werden die übergebenen Sitzungsrichtlinien und Sitzungs-Tags in ein gepacktes Binärformat komprimiert, für das ein separates Limit gilt. Sie können Sitzungs-Tags mit dem AWS CLI oder AWS API übergeben. Das PackedPolicySize-Antwortelement gibt in Prozent an, wie nah die Richtlinien und Tags für Ihre Anforderung an der oberen Größengrenze liegen.
SAMLAuthentifizierungsantwort Base64-kodiert	100 000 Zeichen Diese Zeichenbeschränkung gilt für die Operation assume-role-with-samlCLIoder AssumeRoleWithSAMLAPI.
Tag-Schlüssel	128 Zeichen Diese Zeichenbeschränkung gilt für Tags in IAM Ressourcen und Sitzungs-Tags.
Tag-Wert	256 Zeichen Diese Zeichenbeschränkung gilt für Tags auf IAM Ressourcen und Sitzungs-Tags. Tag-Werte können leer sein, was bedeutet, Tag-Werte können eine Länge von 0 Zeichen haben.
Einzigartig, IDs erstellt von IAM	128 Zeichen. Beispielsweise: BenutzerIDs, der beginnt mit AIDA GruppeIDs, die beginnt mit AGPA RollenIDs, die beginnen mit AROA Verwaltete RichtlinienIDs, die beginnen mit ANPA ServerzertifikateIDs, die beginnen mit ASCA Anmerkung Diese Liste erhebt keinen Anspruch auf Vollständigkeit und garantiert auch nicht, dass ein bestimmter Typ nur mit IDs der angegebenen Buchstabenkombination beginnt.
Benutzername	64 Zeichen