IAMund AWS STS Kontingente - AWS Identitäts- und Zugriffsverwaltung
Anforderungen für den IAM-NamenIAM-Objekt-KontingenteIAMAccess Analyzer-KontingenteIAMRoles Anywhere, KontingenteSTSKontingente anfordernIAMund STS Zeichenbeschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMund AWS STS Kontingente

AWS Identity and Access Management (IAM) und AWS Security Token Service (STS) haben Kontingente, die die Größe von Objekten begrenzen. Dies wirkt sich darauf aus, wie Sie ein Objekt benennen, die Anzahl der Objekte, die Sie erstellen können, sowie auf die Anzahl der Zeichen, die Sie beim Übergeben eines Objekts verwenden können.

Anmerkung

Um Informationen über IAM Nutzung und Kontingente auf Kontoebene abzurufen, verwenden Sie den GetAccountSummaryAPIVorgang oder den get-account-summary AWS CLI Befehl.

Anforderungen für den IAM-Namen

Für IAM-Namen gelten die folgenden Anforderungen und Einschränkungen:

  • Richtliniendokumente können nur die folgenden Unicode-Zeichen enthalten: horizontaler Tabulator (U+0009), Zeilenvorschub (U+000A), Wagenrücklauf (U+000D) sowie Zeichen im Bereich von U+0020 bis U+00FF.

  • Die Namen von Benutzern, Gruppen, Rollen, Richtlinien, Instance-Profilen, Serverzertifikaten und Pfaden müssen alphanummerisch sein und dürfen zudem folgende Zeichen enthalten: Plus (+), Gleichheitszeichen (=), Komma (,), Punkt (.), At (@), Unterstrich (_) und Bindestrich (-). Pfadnamen müssen mit einem Slash (/) beginnen und enden.

  • Namen von Benutzern, Gruppen, Rollen und Instance-Profilen müssen innerhalb des Kontos eindeutig sein. Diese lassen sich nicht durch Groß- und Kleinschreibung unterscheiden. Sie können zum Beispiel keine Gruppen mit den Namen ADMINS und admins erstellen.

  • Der Wert der externen ID, den ein Dritter zur Übernahme einer Rolle verwendet, muss mindestens 2 Zeichen und darf höchstens 1.224 Zeichen lang sein. Der Wert muss alphanumerisch sein ohne Leerzeichen. Er kann auch die folgenden Zeichen enthalten: Pluszeichen (+), Gleichheitszeichen (=), Komma (,), Punkt (.), At-Zeichen (@), Doppelpunkt (:), Schrägstrich (/) und Bindestrich (-). Weitere Informationen über die externe ID finden Sie unter Zugriffs auf im Besitz von Drittanbietern befindlichen AWS-Konten.

  • Richtliniennamen für eingebundene Richtlinien müssen für den Benutzer, die Gruppe oder die Rolle, in die sie eingebettet sind, eindeutig sein. Die Namen können alle lateinischen Standardzeichen (ASCII) enthalten, mit Ausnahme der folgenden reservierten Zeichen: umgekehrter Schrägstrich (\), Schrägstrich (/), Sternchen (*), Fragezeichen (?) , und Leerraum. Diese Zeichen sind gemäß RFC3986, Abschnitt 2.2 reserviert.

  • Benutzerpasswörter (Anmeldeprofile) können beliebige lateinische Grundzeichen (ASCII) enthalten.

  • AWS-Konto ID-Aliase müssen AWS produktübergreifend eindeutig und gemäß den DNS Namenskonventionen alphanumerisch sein. Ein Alias muss aus Kleinbuchstaben bestehen, darf nicht mit einem Bindestrich beginnen oder enden, darf keine zwei aufeinanderfolgenden Bindestriche enthalten und darf keine zwölfstellige Zahl sein.

Eine Liste der lateinischen Grundzeichen (ASCII) finden Sie in der Codetabelle Basic Latin (ASCII) der Library of Congress.

IAM-Objekt-Kontingente

Kontingente, auch als Grenzwerte bezeichnet AWS, sind die Höchstwerte für die Ressourcen, Aktionen und Elemente in Ihrem AWS-Konto. Verwenden Sie Service Quotas, um Ihre IAM Kontingente zu verwalten.

Eine Liste der IAM Dienstendpunkte und Dienstkontingente finden Sie unter AWS Identity and Access Management Endpunkte und Kontingente in der. Allgemeine AWS-Referenz

So fordern Sie eine Kontingenterhöhung an

  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch, um sich bei der AWS Management Console anzumelden.

  2. Öffnen Sie die Service Quotas-Konsole.

  3. Wählen Sie im Navigationsbereich AWS -Services.

  4. Wählen Sie auf der Navigationsleiste die Region US East (N. Virginia). Dann suchen Sie nach IAM.

  5. Wählen Sie AWS Identity and Access Management (IAM), wählen Sie ein Kontingent aus, und folgen Sie den Anweisungen, um eine Kontingenterhöhung anzufordern.

Weitere Informationen finden Sie unter Anfordern einer Kontingenterhöhung im Service Quotas-Benutzerhandbuch.

Sehen Sie sich das folgende Video an, um ein Beispiel dafür zu sehen, wie Sie mit der Service Quota-Konsole eine IAM Kontingenterhöhung beantragen können.

Sie können eine Erhöhung der Standardkontingente für anpassbare IAM-Kontingente anfordern. Anfragen bis zum maximum quota werden automatisch genehmigt und innerhalb weniger Minuten abgeschlossen.

In der folgenden Tabelle sind die Ressourcen aufgeführt, für die Kontingenterhöhungen automatisch genehmigt werden können.

Ressource Standardkontingent Höchstkontingent
Von Kunden verwaltete Richtlinien pro Konto 1500 5000
Gruppen pro Konto 300 500
Instance-Profile pro Konto 1000 5000
Verwaltete Richtlinien pro Rolle 10 20
Verwaltete Richtlinien pro Benutzer 10 20
Verwaltete Richtlinien pro Gruppe 10 10
Länge der Vertrauensrichtlinie für Rollen 2048 Zeichen 4096 Zeichen
Rollen pro Konto 1000 5000
Serverzertifikate pro Konto 20 1000

IAMAccess Analyzer-Kontingente

Eine Liste der IAM Access Analyzer-Dienstendpunkte und -Dienstkontingente finden Sie unter IAMAccess Analyzer-Endpunkte und -Kontingente in der. Allgemeine AWS-Referenz

IAMRoles Anywhere, Kontingente

Eine Liste der IAM Roles Anywhere-Dienstendpunkte und Dienstkontingente finden Sie unter AWS Identity and Access Management Roles Anywhere-Endpunkte und -Kontingente in der. Allgemeine AWS-Referenz

STSKontingente anfordern

Der AWS STS Dienst hat ein Standard-Anforderungskontingent von 600 Anfragen pro Sekunde pro Konto und Region. Dieses Kontingent wird auf die folgenden STS Anfragen aufgeteilt, die unter Verwendung von AWS Anmeldeinformationen gestellt werden:

  • AssumeRole

  • DecodeAuthorizationMessage

  • GetAccessKeyInfo

  • GetCallerIdentity

  • GetFederationToken

  • GetSessionToken

Wenn ein AWS-Konto Konto beispielsweise 100 GetCallerIdentity Anfragen pro Sekunde und 100 AssumeRole Anrufe pro Sekunde in derselben Region tätigt, verarbeitet dieses Konto 200 seiner verfügbaren 600 STS Anfragen pro Sekunde für diese Region.

Bei kontoübergreifenden AssumeRole Anfragen wirkt sich nur das Konto, das die AssumeRole Anfrage stellt, auf das STS Kontingent aus. Das Kontingent des Zielkontos ist noch nicht erschöpft.

Anmerkung

Anfragen AWS STS von AWS Dienstprinzipalen, z. B. solche, die Rollen für die Nutzung mit einem AWS Dienst übernehmen, verbrauchen in Ihren Konten kein Kontingent für STS Anfragen pro Sekunde.

Um eine Erhöhung der STS Anforderungskontingente zu beantragen, öffnen Sie bitte ein Ticket beim AWS Support.

IAMund STS Zeichenbeschränkungen

Im Folgenden sind die maximale Zeichenanzahl und Größenbeschränkungen für IAM und aufgeführt AWS STS. Für die folgenden Limits können Sie keine Erhöhung beantragen.

Beschreibung Limit
Alias für eine AWS-Konto ID 3–63 Zeichen
Für eingebundene Richtlinien Sie können einem IAM-Benutzer, einer Rolle oder Gruppe beliebig viele Inline-Richtlinien hinzufügen. Die gesamte aggregierte Richtliniengröße (die Gesamtgröße aller eingebundenen Richtlinien) pro Entität darf jedoch die folgenden Grenzwerte nicht überschreiten:

  • Die Größe der Benutzerrichtlinie darf 2 048 Zeichen nicht überschreiten.

  • Die Größe der Rollenrichtlinie darf 10 240 Zeichen nicht überschreiten.

  • Die Größe der Gruppenrichtlinie darf 5 120 Zeichen nicht überschreiten.

Anmerkung

IAMberücksichtigt bei der Berechnung der Größe einer Richtlinie anhand dieser Grenzwerte keine Leerzeichen.
Für verwaltete Richtlinien

  • Die Größe jeder verwalteten Richtlinie darf 6 144 Zeichen nicht überschreiten.

Anmerkung

IAMzählt bei der Berechnung der Größe einer Richtlinie anhand dieses Limits keine Leerzeichen.
Group name (Gruppenname) 128 Zeichen
Instance-Profilnamen 128 Zeichen
Passwort für ein Anmeldeprofil 1–128 Zeichen
Pfad 512 Zeichen
Richtlinienname 128 Zeichen
Rollenname 64 Zeichen
Wichtig

Wenn Sie beabsichtigen, eine Rolle mit der Funktion „Rolle wechseln“ in der zu verwenden AWS Management Console, dann die Kombination aus Path und RoleName darf 64 Zeichen nicht überschreiten.
Rollensitzungsdauer

12 Stunden

Wenn Sie mit AWS CLI oder eine Rolle übernehmenAPI, können Sie den duration-seconds CLI Parameter oder den DurationSeconds API Parameter verwenden, um eine längere Rollensitzung anzufordern. Sie können einen Wert von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle angeben, die zwischen 1 und 12 Stunden liegen kann. Wenn Sie keinen Wert für den DurationSeconds Parameter angeben, sind Ihre Sicherheitsanmeldedaten eine Stunde lang gültig. IAMBenutzern, die in der Konsole die Rollen wechseln, wird die maximale Sitzungsdauer oder die verbleibende Zeit der Benutzersitzung gewährt, je nachdem, welcher Wert kürzer ist. Die Einstellung der maximalen Sitzungsdauer schränkt die von AWS -Services angenommenen Sitzungen nicht ein. Weitere Informationen dazu, wie Sie den maximalen Wert für Ihre Rolle anzeigen, finden Sie unter Aktualisieren der maximalen Sitzungsdauer für eine Rolle.

Rollensitzungsname 64 Zeichen
Sitzungsrichtlinien für Rollen

  • Die Größe des übergebenen JSON Richtliniendokuments und aller Zeichen der übergebenen verwalteten Richtlinie darf zusammen 2.048 ARN Zeichen nicht überschreiten.

  • Sie können ARNs beim Erstellen einer Sitzung maximal 10 verwaltete Richtlinien übergeben.

  • Sie können nur ein JSON Richtliniendokument übergeben, wenn Sie programmgesteuert eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen.

  • Darüber hinaus werden bei einer AWS Konvertierung die übergebenen Sitzungsrichtlinien und Sitzungs-Tags in ein gepacktes Binärformat komprimiert, für das ein separates Limit gilt. Das PackedPolicySize-Antwortelement gibt in Prozent an, wie nah die Richtlinien und Tags für Ihre Anforderung an der oberen Größengrenze liegen.

  • Es wird empfohlen, Sitzungsrichtlinien mit dem AWS CLI oder AWS API zu übergeben. Dadurch werden der gepackten Richtlinie AWS Management Console möglicherweise zusätzliche Konsolensitzungsinformationen hinzugefügt.
Sitzungs-Tags für Rollen

  • Sitzungs-Tags müssen den Grenzwert für Tag-Schlüssel von 128 Zeichen und das Tag-Wert-Limit von 256 Zeichen einhalten.

  • Sie können bis zu 50 Sitzungs-Tags übergeben.

  • Bei einer AWS Konvertierung werden die übergebenen Sitzungsrichtlinien und Sitzungs-Tags in ein gepacktes Binärformat komprimiert, für das ein separates Limit gilt. Sie können Sitzungs-Tags mit dem AWS CLI oder AWS API übergeben. Das PackedPolicySize-Antwortelement gibt in Prozent an, wie nah die Richtlinien und Tags für Ihre Anforderung an der oberen Größengrenze liegen.
SAMLAuthentifizierungsantwort Base64-kodiert 100 000 Zeichen

Diese Zeichenbeschränkung gilt für die Operation assume-role-with-samlCLIoder AssumeRoleWithSAMLAPI.
Tag-Schlüssel 128 Zeichen

Diese Zeichenbeschränkung gilt für Tags in IAM Ressourcen und Sitzungs-Tags.
Tag-Wert 256 Zeichen

Diese Zeichenbeschränkung gilt für Tags auf IAM Ressourcen und Sitzungs-Tags.

Tag-Werte können leer sein, was bedeutet, Tag-Werte können eine Länge von 0 Zeichen haben.

Einzigartig, IDs erstellt von IAM

128 Zeichen. Beispielsweise:

  • BenutzerIDs, der beginnt mit AIDA

  • GruppeIDs, die beginnt mit AGPA

  • RollenIDs, die beginnen mit AROA

  • Verwaltete RichtlinienIDs, die beginnen mit ANPA

  • ServerzertifikateIDs, die beginnen mit ASCA

Anmerkung

Diese Liste erhebt keinen Anspruch auf Vollständigkeit und garantiert auch nicht, dass ein bestimmter Typ nur mit IDs der angegebenen Buchstabenkombination beginnt.
Benutzername 64 Zeichen