IAM 和 AWS STS 配額 - AWS Identity and Access Management

IAM 和 AWS STS 配額

AWS Identity and Access Management (IAM) 和 AWS Security Token Service (STS) 具有限制物件大小的配額。這會影響您命名物件的方式、您可以建立的物件數,以及您在傳遞物件時可使用的字元數。

注意

如要取得 IAM 用量和配額的帳戶層級資訊,請使用 GetAccountSummary API 操作或 get-account-summary AWS CLI 命令。

IAM 名稱需求

IAM 名稱具有下列需求與限制:

  • 政策文件只能包含下列 Unicode 字元:水平定位字元 (U+0009)、換行字元 (U+000A)、歸位字元 (U+000D),以及 U+0020 到 U+00FF 範圍內的字元。

  • 使用者、群組、角色、政策、執行個體描述檔和伺服器憑證的名稱必須是英數字元,包括以下常見的字元:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、at 符號 (@)、底線 (_) 和連字號 (-)。

  • 使用者的名稱、群組、角色和執行個體描述檔在帳戶中必須是唯一的。它們不分大小寫。例如:您無法同時建立名為 ADMINSadmins 的群組。

  • 第三方用於擔任角色的外部 ID 值必須最少為 2 個字元,最多為 1,224 個字元。該值必須為英數字元,且不包含空格。也可以包含下列符號:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、小老鼠 (@)、冒號 (:)、正斜線 (/) 和連字號 (-)。如需有關外部 ID 的詳細資訊,請參閱 將 AWS 資源的存取權授予第三方時如何使用外部 ID。

  • 路徑名稱必須以正斜線 (/) 開頭和結尾。

  • 內嵌政策的政策名稱必須對其內嵌的使用者、群組或角色是唯一。此名稱可以包含任何基本拉丁文 (ASCII) 字元除去下預留字元:反斜線 (\)、正斜線 (/)、星號 (*)、問號 (?) 和空格。根據 RFC 3986 保留這些字元。

  • 使用者密碼 (登入設定檔) 可以包含任何基本拉丁文 (ASCII) 字元。

  • AWS 帳戶 ID 別名在 AWS 產品中必須為唯一,而且必須是遵循 DNS 命名慣例的英數字。別名必須為小寫,不得以連字號開始或結束,不可包含兩個連續的連字號,也不能是 12 位數的號碼。

如需基本拉丁文 (ASCII) 字元的清單,請前往國會圖書館基本拉丁文 (ASCII) 代碼表

IAM 物件配額

「配額」也稱為 AWS 限制,即您的 AWS 帳戶中的資源、動作與項目的最大值。使用 Service Quotas 來管理您的 IAM 配額。您可以為可調整配額申請提升預設 IAM 配額。到達 maximum quota 的請求會自動核准,並在幾分鐘內完成。

若要請求增加配額,請登入 AWS Management Console,並開啟 Service Quotas 主控台,網址為https://console.aws.amazon.com/servicequotas/。在導覽窗格中,選擇 AWS services ( 服務)。在導覽列上,選擇 US East (N. Virginia) (美國東部 (維吉尼亞北部)) 區域。然後搜尋 IAM。選擇 AWS Identity and Access Management (IAM)、選擇配額,然後依照指示請求增加配額。如需詳細資訊,請參閱《Service Quotas 使用者指南》中的請求增加配額

如要查看如何使用 Service Quotas 主控台要求增加 IAM 配額的範例,請觀看下列影片。

下列配額可調整。

IAM 實體的預設配額
資源 預設配額 最大配額
角色信任政策長度 2,048 個字元 4096 個字元
AWS 帳戶中的客戶受管政策 1500 5000
AWS 帳戶中的群組 300 500
AWS 帳戶中的規則 1000 5000
連接至 IAM 角色的受管政策 10 20
連接至 IAM 使用者的受管政策 10 20
AWS 帳戶中的虛擬 MFA 裝置 (指派或未指派) 等於該帳戶的使用者配額 不適用
AWS 帳戶中的執行個體描述檔 1000 5000
AWS 帳戶中儲存的伺服器憑證 20 1000

您無法請求增加下列配額。

IAM 實體的配額
資源 配額
指派給 IAM 使用者的存取金鑰 2
指派給 AWS 帳戶 根使用者的存取金鑰 2
AWS 帳戶的別名 1
IAM 使用者可成為其成員的群組 10
IAM 使用者所在的群組 等於該帳戶的使用者配額
身分提供者 (IdP) 與 IAM SAML 提供者物件關聯 10
每個 SAML 提供者的金鑰 10
IAM 使用者的登入設定檔 1
連接至 IAM 群組的受管政策 10
每個 AWS 帳戶的 OpenId Connect 身分提供者 100
IAM 使用者的許可界限 1
IAM 角色的許可界限 1
由 IAM 使用者使用中的 MFA 裝置 1
由 AWS 帳戶 根使用者使用中的 MFA 裝置 1
執行個體描述檔中的角色 1
AWS 帳戶中的 SAML 提供者 100
簽署指派給 IAM 使用者的憑證 2
指派給 IAM 使用者的 SSH 公有金鑰 5
可連接至客戶受管政策的標籤 50
可連接至執行個體描述檔的標籤 50
可連接至 Open ID Connect 身分提供者的標籤 50
可連接至 IAM 角色的標籤 50
可連接至 SAML 身分提供者的標籤 50
可連接至伺服器憑證的標籤 50
可連接至 IAM 使用者的標籤 50
可連接至虛擬 MFA 裝置的標籤 50
AWS 帳戶中的使用者 5000 (如果您需要新增大量的使用者,請考慮使用暫時安全憑證。)
可儲存的受管政策的版本 5

IAM Access Analyzer 配額

如需 IAM Access Analyzer 配額,請參閱 IAM Access Analyzer 配額

IAM 和 STS 字元配額

以下是 IAM 和 AWS STS 的字元數上限和大小配額上限。您無法請求增加下列配額。

描述 配額
路徑 512 個字元
使用者名稱 64 個字元
Group name (群組名稱) 128 個字元
角色名稱 64 個字元
重要

如果您要透過 AWS Management Console 中的 Switch Role (切換角色) 功能使用角色,則組合的 PathRoleName 不能超過 64 個字元。

標籤鍵 128 個字元

此字元配額適用於 IAM 資源和工作階段標籤上的標籤。

標籤值 256 個字元

此字元配額適用於 IAM 資源和工作階段標籤上的標籤。

標籤值可為空,也就是說標籤值的長度為 0 個字元。

執行個體描述檔名稱 128 個字元

IAM 建立的唯一 ID

128 個字元。例如:

  • AIDA 開頭的使用者 ID

  • AGPA 開頭的群組 ID

  • AROA 開頭的角色 ID

  • ANPA 開頭的受管政策 ID

  • ASCA 開頭的伺服器憑證 ID

注意

這不是詳盡清單,也不保證特定類型的 ID 僅只以指定的字母組合開頭。

政策名稱 128 個字元
登入設定檔的密碼 1–128 個字元
AWS 帳戶 ID 的別名 3–63 個字元
角色工作階段名稱 64 個字元
角色工作階段持續時間

12 小時

當您擔任 AWS CLI 或 API 的角色,可以使用 duration-seconds CLI 參數或 DurationSeconds API 參數來請求較長的角色工作階段。您可以指定值從 900 秒 (15 分鐘) 到角色的最長工作階段持續時間設定,範圍為 1–12 小時。如果您不為 DurationSeconds 參數指定一個值,則您的安全憑證有效期為 1 小時。在主控台中切換角色的 IAM 使用者會被授予最長工作階段持續時間或 IAM 使用者工作階段中的剩餘時間,以較短者為準。工作階段持續時間設定上限不會限制 AWS 服務擔任的工作階段。若要了解如何檢視角色的最大值,請參閱 查看角色的最大工作階段持續時間設定

角色工作階段政策
  • 所傳遞的 JSON 政策文件和所有傳遞的受管政策 ARN 字元的大小總計不可超過 2,048 個字元。

  • 當您建立工作階段時,最多可傳遞 10 個受管政策 ARN。

  • 您在透過編寫程式的方式為角色或聯合身分使用者建立暫時工作階段時,只能傳遞一個 JSON 政策文件。

  • 此外,AWS 轉換會將傳遞的工作階段政策和工作階段標籤壓縮成具有個別配額的封裝二進位格式。PackedPolicySize 回應元素會按百分比指出請求的政策和標籤與大小配額的距離。

  • 建議您使用 AWS CLI 或 AWS API 傳遞工作階段政策。AWS Management Console 可能會將其他主控台工作階段資訊新增至封裝的政策。

角色工作階段標籤
  • 工作階段標籤必須符合 128 個字元的標籤鍵配額,以及 256 個字元的標籤值配額。

  • 您最多可以傳遞 50 個工作階段標籤。

  • AWS 轉換會將傳遞的工作階段政策和工作階段標籤壓縮成具有個別配額的封裝二進位格式。您可以使用 AWS CLI 或 AWS API 傳遞工作階段標籤。PackedPolicySize 回應元素會按百分比指出請求的政策和標籤與大小配額的距離。

對於內嵌政策 您可以新增任意數量的內嵌政策到 IAM 使用者、角色或群組。但是每個實體的總計彙總政策大小 (所有內嵌政策的大小總和) 不能超過下列配額:
  • 使用者政策大小不可超過 2,048 個字元。

  • 角色政策大小不可超過 10,240 個字元。

  • 群組政策大小不可超過 5,120 個字元。

注意

在對這些配額計算政策的大小時,IAM 不會計算空格數。

針對受管政策
  • 每個受管政策的大小不可超過 6,144 個字元。

注意

在對此配額計算政策的大小時,IAM 不會計算空格數。