IAM和 AWS STS 配額 - AWS Identity and Access Management
IAM 名稱需求IAM 物件配額IAM存取分析器配額IAM角色隨處配額IAM和STS字元限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM和 AWS STS 配額

AWS Identity and Access Management (IAM)和 AWS Security Token Service (STS)具有限制對象大小的配額。這會影響您命名物件的方式、您可以建立的物件數,以及您在傳遞物件時可使用的字元數。

注意

若要取得有關使用IAM量和配額的帳戶層級資訊,請使用GetAccountSummaryAPI作業或命令。get-account-summary AWS CLI

IAM 名稱需求

IAM名稱具有以下要求和限制:

  • 政策文件只能包含下列 Unicode 字元:水平定位字元 (U+0009)、換行字元 (U+000A)、歸位字元 (U+000D),以及 U+0020 到 U+00FF 範圍內的字元。

  • 使用者、群組、角色、政策、執行個體設定檔、伺服器憑證和路徑的名稱必須是英數字元,包括以下常見的字元:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、at 符號 (@)、底線 (_) 和連字號 (-)。路徑名稱必須以正斜線 (/) 開頭和結尾。

  • 使用者、群組、角色和執行個體設定檔的名稱在帳戶中必須是唯一的。名稱不分大小寫。例如:您無法同時建立名為 ADMINSadmins 的群組。

  • 第三方用於擔任角色的外部 ID 值必須最少為 2 個字元,最多為 1,224 個字元。該值必須為英數字元,且不包含空格。也可以包含下列符號:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、小老鼠 (@)、冒號 (:)、正斜線 (/) 和連字號 (-)。如需有關外部 ID 的詳細資訊,請參閱 訪問由第三方 AWS 帳戶 擁有

  • 內嵌政策的政策名稱必須對其內嵌的使用者、群組或角色是唯一。名稱可以包含下列保留字元以外的任何基本拉丁文 (ASCII) 字元:反斜線 (\)、正斜線 (/)、星號 (*)、問號 (?) ,以及空白空間。這些字元是根據第 2.2 節第 RFC 3986 條保留的。

  • 使用者密碼 (登入設定檔) 可以包含任何基本拉丁文 (ASCII) 字元。

  • AWS 帳戶 ID 別名在各個 AWS 產品之間必須是唯一的,並且必須遵循DNS命名慣例的英數字元。別名必須為小寫,且不得以連字號開始或結束,不可包含兩個連續的連字號,也不能是 12 位數的號碼。

如需基本拉丁文 (ASCII) 字元的清單,請前往國會圖書館基本拉丁文 (ASCII) 代碼表

IAM 物件配額

配額 (在中 AWS也稱為限制) 是您的資源、動作和項目的最大值 AWS 帳戶。使用「Service Quotas」管理IAM配額。

如需IAM服務端點和服務配額的清單,請參閱AWS Identity and Access ManagementAWS 一般參考.

請求提高配額

  1. 按照《AWS ‭‬ 登入使用者指南》‭‬如何登入  AWS‭‬ 主題中所述適合您的使用者類型之登入程序操作來登入  AWS Management Console。

  2. 開啟 Service Quotas 主控台。

  3. 在導覽窗格中,選擇 AWS services (AWS 服務)。

  4. 在導覽列上,選擇 US East (N. Virginia) (美國東部 (維吉尼亞北部)) 區域。然後搜尋 IAM

  5. 選擇 AWS Identity and Access Management (IAM),選擇配額,然後依照指示要求提高配額。

如需詳細資訊,請參閱《Service Quotas 使用者指南》中的請求增加配額

若要查看如何使用 Service Quotas 主控台要求增加配IAM額的範例,請觀看下列影片。

您可以要求增加可調配額的預設IAM配額。到達 maximum quota 的請求會自動核准,並在幾分鐘內完成。

下表列出可自動核准配額增加區域的資源。

資源 預設配額 最大配額
每個帳戶的客戶受管政策 1500 5000
每個帳戶的群組 300 500
每個帳戶的執行個體設定檔 1000 5000
每個角色的受管政策 10 20
每個使用者的受管政策 10 20
角色信任政策長度 2,048 個字元 4096 個字元
每個帳戶的角色 1000 5000
每個帳戶的伺服器憑證 20 1000

IAM存取分析器配額

如需IAM存取分析器服務端點和服務配額的清單,請參閱 IAM AWS 一般參考.

IAM角色隨處配額

如需「隨處IAM角色」服務端點和服務配額的清單,請參閱AWS Identity and Access ManagementAWS 一般參考.

IAM和STS字元限制

以下是和的字元數目上限和大小限制 AWS STS。IAM您無法請求提高下列限制。

描述 限制
ID 的別 AWS 帳戶 名 3–63 個字元
對於內嵌政策 您可以將任意數量的內嵌政策新增至IAM使用者、角色或群組。但是每個實體的總計彙總政策大小 (所有內嵌政策的大小總和) 不能超過下列限制:

  • 使用者政策大小不可超過 2,048 個字元。

  • 角色政策大小不可超過 10,240 個字元。

  • 群組政策大小不可超過 5,120 個字元。

注意

IAM根據這些限制計算原則大小時,不會計算空白字元。
針對受管政策

  • 每個受管政策的大小不可超過 6,144 個字元。

注意

IAM根據此限制計算原則大小時,不會計算空白字元。
Group name (群組名稱) 128 個字元
執行個體設定檔名稱 128 個字元
登入設定檔的密碼 1–128 個字元
路徑 512 個字元
政策名稱 128 個字元
角色名稱 64 個字元
重要

如果您打算在中使用具有「切換角色」功能的角色 AWS Management Console,則合併Path且不RoleName能超過 64 個字元。
角色工作階段持續時間

12 小時

當您擔 AWS CLI 任或的角色時API,您可以使用duration-secondsCLI參數或參數來要求較長的角色工作階段。DurationSeconds API您可以指定值從 900 秒 (15 分鐘) 到角色的最長工作階段持續時間設定,範圍為 1–12 小時。如果您不為 DurationSeconds 參數指定一個值,則您的安全憑證有效期為 1 小時。IAM在主控台中切換角色的使用者會被授與最長工作階段持續時間或使用者工作階段中的剩餘時間 (以較少者為準)。工作階段持續時間設定上限不會限制 AWS 服務擔任的工作階段。若要了解如何檢視角色的最大值,請參閱 更新角色的工作階段持續時間上限
角色工作階段名稱 64 個字元
角色工作階段政策

  • 傳遞的JSON原則文件和所有通過的受管理原則ARN字元的大小不得超過 2,048 個字元。

  • 建立工作階段ARNs時,您最多可以傳遞 10 個受管理的策略。

  • 當您以程式設計方式為角色或同盟使用者建立暫時工作階段時,您只能傳遞一個JSON原則文件。

  • 此外, AWS 轉換會將傳遞的工作階段原則和工作階段標籤壓縮為具有個別限制的封裝二進位格式。PackedPolicySize 回應元素會按百分比指出請求的政策和標籤與大小上限的距離。

  • 我們建議您使用或來傳遞階段作業原 AWS CLI 則 AWS API。 AWS Management Console 可能會將其他主控台工作階段資訊新增至封裝的政策。
角色工作階段標籤

  • 工作階段標籤必須符合 128 個字元的標籤鍵限制,以及 256 個字元的標籤值限制。

  • 您最多可以傳遞 50 個工作階段標籤。

  • AWS 轉換會將傳遞的工作階段原則和工作階段標籤壓縮為具有單獨限制的封裝二進位格式。您可以使用 AWS CLI 或來傳遞工作階段標籤 AWS API。PackedPolicySize 回應元素會按百分比指出請求的政策和標籤與大小上限的距離。
SAML驗證回應基本 64 編碼 100,000 個字元

此字元限制適用於assume-role-with-samlCLI或AssumeRoleWithSAMLAPI作業。
標籤鍵 128 個字元

此字元限制適用於IAM資源和工作階段標籤上的標籤
標籤值 256 個字元

此字元限制適用於IAM資源和工作階段標籤上的標籤

標籤值可為空,也就是說標籤值的長度為 0 個字元。

獨特IDs創建者 IAM

128 個字元。例如:

  • 開頭IDs為的使用者 AIDA

  • 開頭IDs的群組 AGPA

  • 開頭IDs的角色 AROA

  • 開頭IDs為的受管理策略 ANPA

  • 開頭IDs為的伺服器憑證 ASCA

注意

這並不是一個詳盡的列表,也不能保證某種類型IDs的僅以指定的字母組合開頭。
使用者名稱 64 個字元