IAM 和 Amazon STS 配额 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IAM 和 Amazon STS 配额

Amazon Identity and Access Management (IAM) 和 Amazon Security Token Service (STS) 具有限制对象大小的配额。这会影响您命名对象的方式、可以创建的对象数量以及传递对象时可以使用的字符数。

注意

要获取有关 IAM 使用量和配额的账户级别信息,请使用 GetAccountSummary API 操作或 get-account-summary Amazon CLI 命令。

IAM 名称要求

IAM 名称具有以下要求和限制:

  • 策略文档只能包含以下 Unicode 字符:水平制表符 (U+0009)、换行符 (U+000A)、回车符 (U+000D) 以及 U+0020 到 U+00FF 范围内的字符。

  • 用户、组、角色、策略、实例配置文件、服务器证书和路径的名称必须是字母数字,包括以下常见字符:加号(+)、等号(=)、英文逗号(,)、英文句号(.)、at 符(@)、下划线(_)和连字符(-)。路径名称必须以正斜杠 (/) 开始和结束。

  • 账户中的用户、组、角色和实例配置文件的名称必须唯一。上述名称不区分大小写,例如,您不能同时创建名为 ADMINSadmins 的组。

  • 第三方用于担任角色的外部 ID 值必须至少包含 2 个字符,最多包含 1224 个字符。该值必须是字母数字,没有空格。它还可以包含以下符号:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、@ 符号、冒号 (:)、正斜杠 (/) 和连字符 (-)。有关外部 ID 的更多信息,请参阅 如何在向第三方授予对 Amazon 资源的访问权时使用外部 ID

  • 对于嵌入内联策略的用户、组或角色,这些策略的名称必须唯一。这些名称可以包含任何基本拉丁语(ASCII)字符,但以下保留字符除外:反斜杠(\)、正斜杠(/)、星号(*)、问号(?)和空格。根据 RFC 3986 第 2.2 部分,这些字符是保留字符。

  • 用户密码(登录配置文件)可以包含任何基本拉丁语 (ASCII) 字符。

  • 所有 Amazon 产品的 Amazon Web Services 账户 ID 别名都必须是唯一的,必须是遵循 DNS 命名惯例的字母数字。别名必须是小写字母,不能以连字符开头或结尾,不能连续使用两个连字符,也不能是 12 个纯数字。

要获取基本拉丁语 (ASCII) 字符列表,请转到 Library of Congress Basic Latin (ASCII) Code Tabl

IAM 对象配额

配额,也称为 Amazon 中的限制,是 Amazon Web Services 账户 中资源、操作和项目的最大值。使用 Service Quotas 管理 IAM 配额。

有关 IAM 服务端点的列表和服务限额,请参阅《Amazon Web Services 一般参考》中的 Amazon Identity and Access Management 端点和限额

请求提高限额

  1. 按照《Amazon 登录用户指南》中的 如何登录 Amazon 所述,根据用户类型选择相应的登录过程,以登录到 Amazon Web Services Management Console。

  2. 打开服务限额控制台。

  3. 在导航窗格中,选择 Amazon 服务

  4. 在导航栏中,选择 US East (N. Virginia) 区域。然后搜索 IAM

  5. 选择 Amazon Identity and Access Management (IAM),选择配额,然后按照说明请求增加配额。

有关更多信息,请参阅《服务限额用户指南》中的请求增加配额

您可以请求提高可调整 IAM 配额的默认配额。不超过 maximum quota 的请求将自动得到批准,并在几分钟内完成。

下表列举了可以自动批准增加限额领域的资源。

IAM 资源的可调整限额
资源 默认限额 最大配额
每个账户中的客户托管式策略数 1500 5000
每个账户的组数 300 500
每个账户的实例配置文件数: 1000 5000
每个角色的托管式策略数 10 20
每个用户的托管式策略数 10 20
角色信任策略长度 2048 个字符 4096 个字符
每个账户的角色数: 1000 5000
每个账户的服务器证书数: 20 1000

IAM Access Analyzer 配额

有关 IAM Access Analyzer 服务端点的列表和服务限额,请参阅《Amazon Web Services 一般参考》中的 IAM Access Analyzer 端点和限额

IAM Roles Anywhere 限额

有关 IAM Roles Anywhere 服务端点的列表和服务限额,请参阅《Amazon Web Services 一般参考》中的 Amazon Identity and Access Management Roles Anywhere 端点和限额

IAM 和 STS 字符限制

以下是 IAM 和 Amazon STS 的最大字符数和大小限制。您不能请求提高以下限制。

描述 限制
Amazon Web Services 账户 ID 的别名 3-63 个字符
对于内联策略 您可以向 IAM 用户、角色或组添加所需数量的内联策略。但是,每个实体的总聚合策略大小(所有内联策略的总大小)不能超过以下限制:
  • 用户策略大小不得超过 2048 个字符。

  • 角色策略大小不得超过 10240 个字符。

  • 组策略大小不得超过 5120 个字符。

注意

在计算策略大小时,IAM 不会将空格计入这些限制。

对于托管策略
  • 每个托管式策略的大小不能超过 6144 个字符。

注意

在计算策略大小时,IAM 不会将空格计入这一限制。

组名 128 个字符
实例配置文件名称 128 个字符
登录配置文件的密码 1-128 个字符
路径 512 个字符
策略名称 128 个字符
角色名称 64 个字符
重要

如果您通过 Amazon Web Services Management Console 中的切换角色功能使用角色,则组合的 PathRoleName 不能超过 64 个字符。

角色会话持续时间

12 小时

从 Amazon CLI 或 API 中担任角色时,您可以使用 duration-seconds CLI 参数或 DurationSeconds API 参数请求更长的角色会话。您可以指定 900 秒(15 分钟)到角色的最大会话持续时间设置之间的值,该设置的范围是 1 - 12 小时。如果未指定 DurationSeconds 参数值,您的安全凭证的有效期为 1 小时。在控制台内切换角色的 IAM 用户被授予最大会话持续时间或用户会话中的剩余时间(以较少者为准)。最大会话持续时间设置不限制 Amazon 服务建立的会话。要了解如何查看您的角色的最大值,请参阅查看角色的最大会话持续时间设置

角色会话名称 64 个字符
角色会话策略
  • 传递的 JSON 策略文档和所有传递的托管式策略 ARN 字符合计大小不能超过 2048 个字符。

  • 创建会话时,最多可传递 10 个托管策略 ARN。

  • 在以编程方式为角色或联合身份用户创建临时会话时,您只能传递一个 JSON 策略文档。

  • 此外,Amazon 转换会将传递的会话策略和会话标签压缩为具有单独限制的打包二进制文件格式。PackedPolicySize 响应元素指示您请求的策略和标签接近大小上限的程度,以百分比来表示。

  • 建议您使用 Amazon CLI 或 Amazon API 传递会话策略。Amazon Web Services Management Console可能会将其他控制台会话信息添加到打包策略中。

角色会话标签
  • 会话标签必须满足 128 个字符的标签键限制和 256 个字符的标签值限制。

  • 您最多可以传递 50 个会话标签。

  • Amazon 转换会将传递的会话策略和会话标签压缩为具有单独限制的打包二进制格式。您可以使用 Amazon CLI 或 Amazon API 传递会话标签。PackedPolicySize 响应元素指示您请求的策略和标签接近大小上限的程度,以百分比来表示。

经过 base64 编码的 SAML 身份验证 100000 个字符

此字符限制适用于 assume-role-with-saml CLI 或 AssumeRoleWithSAML API 操作。

标记密钥 128 个字符

此字符限制适用于 IAM 资源的标签和会话标签

标记值 256 个字符

此字符限制适用于 IAM 资源的标签和会话标签

标签值可以为空,这意味着标签值的长度可以为 0 个字符。

IAM 创建的唯一 ID

128 个字符。例如:

  • AIDA 开头的用户 ID

  • AGPA 开头的组 ID

  • AROA 开头的角色 ID

  • ANPA 开头的托管策略 ID

  • ASCA 开头的服务器证书 ID

注意

这不是一个详尽的列表,也不保证某种类型的 ID 仅以指定的字母组合开始。

用户名称 64 个字符