AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

IAM 实体和对象的限制

IAM 中的实体和对象有大小限制。IAM 限制您如何为实体命名,您可以创建的实体数和您在实体中可以使用的字符数。

注意

要获取有关实体使用和配额的账户级别信息,请使用 GetAccountSummary API 操作或 get-account-summary AWS CLI 命令。

IAM 实体名称限制

以下是对 IAM 名称的限制:

  • 策略文档只能包含以下 Unicode 字符:水平制表符 (U+0009)、换行符 (U+000A)、回车符 (U+000D) 以及 U+0020 到 U+00FF 范围内的字符。

  • 用户、组、角色、策略、实例配置文件以及服务器证书的名称必须是字母数字,包括以下常用字符:加号 (+)、等号 (=)、逗号 (,)、句号 (.)、at 符 (@)、下划线 (_) 和连字符 (-)。

  • 账户中的用户名称、组名称和角色名称必须唯一。上述名称不区分大小写,例如,您无法同时创建名为“ADMINS”和“admins”的组。

  • 路径名称必须以正斜杠 (/) 开始和结束。

  • 内联策略的策略名称对于它们所嵌入到的用户、组或角色必须是唯一的,可以包含任何基本拉丁语 (ASCII) 字符,以下保留字符除外:反斜杠 (\)、正斜杠 (/)、星号 (*)、问号 (?) 和空格。根据 RFC 3986,这些字符是保留字符。

  • 用户密码 (登录配置文件) 可以包含任何基本拉丁语 (ASCII) 字符。

  • 所有 AWS 产品的 AWS 账户 ID 别名都必须是唯一的,必须是遵循 DNS 命名约定的字母数字。别名必须是小写字母,不能以连字符开头和结尾,不能连续使用两个连字符,也不能是 12 个纯数字。

要获取基本拉丁语 (ASCII) 字符列表,请转到 Library of Congress Basic Latin (ASCII) Code Tabl

IAM 实体对象限制

AWS 允许您请求提高默认 IAM 实体限制。要了解如何请求提高这些默认限制,请参阅 Amazon Web Services 一般参考 文档中的 AWS 服务限制

IAM 实体的默认限制:

资源 默认限制
一个 AWS 账户中的客户托管策略数 1500
一个 AWS 账户中的组数 300
一个 AWS 账户中的角色数 1000
一个 AWS 账户中的用户数

5000 (如果您需要添加大量用户,建议您使用临时安全凭证)。

一个 AWS 账户中的虚拟 MFA 设备数 (已分配或未分配) 等于账户的用户配额
一个 AWS 账户中的实例配置文件数 1000
存储在一个 AWS 账户中的服务器证书数 20

对于大部分 IAM 实体限制,您不能请求提高限制。

IAM 实体的限制:

资源 限制
分配给一个 IAM 用户的访问密钥数 2
分配给 AWS 账户根用户 的访问密钥数 2
一个 AWS 账户的别名数 1
IAM 用户可加入的组的数量 10
组中的 IAM 用户 等于账户的用户配额
与一个 IAM SAML 提供商对象关联的身份提供商 (IdP) 数 10
每个 SAML 提供商的键数 10
一个 IAM 用户的登录配置文件数 1
附加到一个 IAM 组的托管策略数 10
附加到一个 IAM 角色的托管策略数 10
附加到一个 IAM 用户的托管策略数 10
一个 IAM 用户使用的 MFA 设备数 1
AWS 账户根用户 使用的 MFA 设备数 1
一个实例配置文件中的角色数

1

一个 AWS 账户中的 SAML 提供商数 100
分配给一个 IAM 用户的签名证书数 2
分配给一个 IAM 用户的 SSH 公有密钥数 5
可存储的一个托管策略的版本数 5

IAM 实体字符限制

以下是实体的长度上限:

描述 Limit
路径 512 个字符
用户名称 64 个字符
组名 128 个字符
角色名称 64 个字符

重要

如果您通过 AWS 控制台中的切换角色功能使用角色,则组合的 PathRoleName 不能超过 64 个字符。

实例配置文件名称 128 个字符

IAM 创建的唯一 ID,例如:

  • AIDA 开头的用户 ID

  • AGPA 开头的组 ID

  • AROA 开头的角色 ID

  • ANPA 开头的托管策略 ID

  • ASCA 开头的服务器证书 ID

注意

这不是一个详尽的列表,也不保证某种类型的 ID 仅以指定的字母组合开始。

128 个字符
策略名称 128 个字符
登录配置文件的密码 1 到 128 个字符
AWS 账户 ID 的别名 3 到 63 个字符
角色信任策略 JSON 文本 (该策略确定允许谁承担此角色) 2,048 个字符
角色会话名称 64 个字符
对于内联策略 您可以向 IAM 用户、角色或组添加尽可能多的内联策略,但是每个实体的策略大小总计 (所有内联策略的总大小) 不能超过以下限制:
  • 用户策略大小不得超过 2 048 个字符

  • 角色策略大小不得超过 10 240 个字符

  • 组策略大小不得超过 5 120 个字符

注意

IAM 在计算策略的大小时不会将空格计入这些限制内。

对于托管策略
  • 您可以向 IAM 用户、角色或组添加最多 10 个托管策略。

  • 每个托管策略的大小不能超过 6,144 个字符。

注意

IAM 在根据此限制计算策略的大小时不计空格。