IAMdan AWS STS kuota - AWS Identity and Access Management
Persyaratan nama IAMKuota objek IAMIAMKuota Access AnalyzerIAMKuota Peran Di Mana SajaSTSpermintaan kuotaIAMdan batas STS karakter

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMdan AWS STS kuota

AWS Identity and Access Management (IAM) dan AWS Security Token Service (STS) memiliki kuota yang membatasi ukuran objek. Hal ini memengaruhi cara Anda menamai sebuah objek, jumlah objek yang dapat Anda buat, dan jumlah karakter yang dapat Anda gunakan saat Anda melewati sebuah objek.

catatan

Untuk mendapatkan informasi tingkat akun tentang IAM penggunaan dan kuota, gunakan GetAccountSummaryAPIoperasi atau perintah. get-account-summary AWS CLI

Persyaratan nama IAM

Nama IAM memiliki persyaratan dan pembatasan berikut:

  • Dokumen kebijakan hanya dapat berisi karakter Unicode berikut: tab horizontal (U+0009), umpan baris (U+000A), pengembalian pengangkutan (U+000D), dan karakter dalam rentang U+0020 hingga U+00FF.

  • Nama pengguna, grup, peran, kebijakan, profil instans, sertifikat server, dan jalur harus alfanumerik, termasuk karakter umum berikut: plus (+), sama dengan (=), koma (,), periode (.), at (@), garis bawah (_), dan tanda hubung (-). Nama jalur harus dimulai dan diakhiri dengan garis miring ke depan (/).

  • Nama pengguna, grup, peran, dan profil instans harus unik dalam akun. Mereka tidak dibedakan berdasarkan kasus, misalnya, Anda tidak dapat membuat grup bernama keduanya ADMINS danadmins.

  • Nilai ID eksternal yang digunakan pihak ketiga untuk mengambil peran harus memiliki minimal 2 karakter dan maksimal 1.224 karakter. Nilai harus berupa alfanumerik tanpa spasi. Nilai dapat mencakup simbol berikut: plus (+), setara (=), koma (,), titik (.), a keong (@), titik dua (:), garis miring (/), dan tanda hubung (-). Untuk informasi selengkapnya tentang ID eksternal, lihat Akses ke Akun AWS yang dimiliki oleh pihak ketiga.

  • Nama kebijakan untuk kebijakan sebaris harus unik untuk pengguna, grup, atau peran yang disematkan. Nama-nama dapat berisi karakter Latin Dasar (ASCII) kecuali untuk karakter cadangan berikut: garis miring mundur (\), garis miring maju (/), tanda bintang (*), tanda tanya (?) dan ruang putih. Karakter-karakter ini dicadangkan menurut RFC3986, bagian 2.2.

  • Kata sandi pengguna (profil login) dapat berisi karakter Latin Dasar (ASCII) apa pun.

  • Akun AWS Alias ID harus unik di seluruh AWS produk, dan harus alfanumerik mengikuti konvensi penamaan. DNS Alias harus huruf kecil, tidak boleh dimulai atau diakhiri dengan tanda hubung, tidak dapat berisi dua tanda hubung berturut-turut, dan tidak bisa berupa angka 12 digit.

Untuk daftar karakter Latin Dasar (ASCII), buka Tabel Kode Library of Congress Basic Latin (ASCII).

Kuota objek IAM

Kuota, juga disebut sebagai batas dalam AWS, adalah nilai maksimum untuk sumber daya, tindakan, dan item dalam Anda Akun AWS. Gunakan Service Quotas untuk mengelola kuota AndaIAM.

Untuk daftar titik akhir IAM layanan dan kuota layanan, lihat AWS Identity and Access Management titik akhir dan kuota di. Referensi Umum AWS

Untuk meminta kenaikan kuota

  1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik Cara masuk AWS di Panduan Pengguna AWS Masuk untuk masuk ke. AWS Management Console

  2. Buka Konsol Service Quotas.

  3. Di panel navigasi, pilih Layanan AWS .

  4. Di bilah navigasi, pilih Wilayah AS Timur (N. Virginia). Lalu cari IAM.

  5. Pilih AWS Identity and Access Management (IAM), pilih kuota, dan ikuti petunjuk untuk meminta peningkatan kuota.

Untuk informasi selengkapnya, lihat Meminta Peningkatan Kuota dalam Panduan Pengguna Service Quotas.

Untuk melihat contoh cara meminta peningkatan IAM kuota menggunakan konsol Service Quotas, tonton video berikut.

Anda dapat meminta peningkatan kuota default untuk kuota IAM yang dapat disesuaikan. Permintaan hingga permintaan maximum quota secara otomatis disetujui dan diselesaikan dalam beberapa menit.

Tabel berikut mencantumkan sumber daya yang area peningkatan kuota dapat disetujui secara otomatis.

Sumber Daya Kuota default Kuota maksimum
Kebijakan yang dikelola pelanggan dalam akun 1500 5000
Grup kunci per akun 300 500
Profil instans per akun 1000 5000
Kebijakan terkelola per peran 10 20
Kebijakan terkelola per pengguna 10 20
Kebijakan terkelola per grup 10 10
Panjang kebijakan kepercayaan peran 2048 karakter 4096 karakter
Tabel Per Akun 1000 5000
Sertifikat server per akun 20 1000

IAMKuota Access Analyzer

Untuk daftar titik akhir layanan IAM Access Analyzer dan kuota layanan, lihat titik akhir dan kuota IAMAccess Analyzer di. Referensi Umum AWS

IAMKuota Peran Di Mana Saja

Untuk daftar titik akhir layanan dan kuota layanan IAM Roles Anywhere, lihat Titik akhir dan kuota AWS Identity and Access Management Roles Anywhere di. Referensi Umum AWS

STSpermintaan kuota

AWS STS Layanan ini memiliki kuota permintaan default 600 permintaan per detik per akun, per wilayah. Kuota ini dibagikan di seluruh STS permintaan berikut yang dibuat menggunakan AWS kredensional:

  • AssumeRole

  • DecodeAuthorizationMessage

  • GetAccessKeyInfo

  • GetCallerIdentity

  • GetFederationToken

  • GetSessionToken

Misalnya, jika sebuah Akun AWS membuat 100 GetCallerIdentity permintaan per detik dan 100 AssumeRole panggilan per detik di wilayah yang sama, akun tersebut menghabiskan 200 dari 600 STS permintaan per detik yang tersedia untuk wilayah tersebut.

Untuk AssumeRole permintaan lintas akun, hanya akun yang membuat AssumeRole permintaan yang memengaruhi STS kuota. Akun target tidak memiliki kuota yang dikonsumsi.

catatan

Permintaan ke AWS STS oleh prinsipal AWS layanan, seperti yang digunakan untuk mengambil peran untuk digunakan dengan AWS layanan, tidak menggunakan kuota STS permintaan per detik di akun Anda.

Untuk meminta kenaikan STS permintaan kuota, silakan buka tiket dengan AWS dukungan.

IAMdan batas STS karakter

Berikut ini adalah jumlah karakter maksimum dan batas ukuran untuk IAM dan AWS STS. Anda tidak dapat meminta kenaikan untuk batasan berikut.

Deskripsi Kuota
Alias untuk ID Akun AWS 3–63 karakter
Untuk kebijakan inline Anda dapat menambahkan kebijakan inline sebanyak yang Anda inginkan kepada pengguna, peran, atau grup IAM. Tetapi ukuran total kebijakan agregat (ukuran jumlah semua kebijakan sebaris) per entitas tidak dapat melebihi batas berikut:

  • Ukuran kebijakan pengguna tidak boleh melebihi 2.048 karakter.

  • Ukuran kebijakan peran tidak dapat melebihi 10.240 karakter.

  • Ukuran kebijakan grup tidak boleh melebihi 5.120 karakter.

catatan

IAMtidak menghitung ruang putih saat menghitung ukuran kebijakan terhadap batas-batas ini.
Untuk kebijakan terkelola

  • Ukuran setiap kebijakan terkelola tidak boleh melebihi 6.144 karakter.

catatan

IAMtidak menghitung spasi putih saat menghitung ukuran kebijakan terhadap batas ini.
Nama grup 128 karakter
Nama profil instans 128 karakter
Kata sandi untuk profil masuk 1–128 karakter
Jalur 512 karakter
Nama kebijakan 128 karakter
Nama peran 64 karakter
penting

Jika Anda ingin menggunakan peran dengan fitur Switch Role di AWS Management Console, maka gabungan Path dan tidak RoleName dapat melebihi 64 karakter.
Durasi sesi peran

12 jam

Saat Anda mengambil peran dari AWS CLI atauAPI, Anda dapat menggunakan duration-seconds CLI parameter atau DurationSeconds API parameter untuk meminta sesi peran yang lebih lama. Anda dapat menentukan nilai dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum untuk peran tersebut, yang dapat berkisar antara 1–12 jam. Jika Anda tidak menentukan nilai untuk DurationSeconds parameter, kredenal keamanan Anda valid selama satu jam. IAMpengguna yang beralih peran di konsol diberikan durasi sesi maksimum, atau sisa waktu dalam sesi pengguna, mana yang kurang. Pengaturan durasi sesi maksimum tidak membatasi sesi yang diasumsikan oleh AWS layanan. Untuk mempelajari cara melihat nilai maksimum untuk peran Anda, lihat Memperbarui durasi sesi maksimum untuk peran.

Nama sesi peran 64 karakter
Peran kebijakan sesi

  • Ukuran dokumen JSON kebijakan yang diteruskan dan semua ARN karakter kebijakan terkelola yang diteruskan digabungkan tidak dapat melebihi 2.048 karakter.

  • Anda dapat meneruskan maksimum 10 kebijakan terkelola ARNs saat membuat sesi.

  • Anda hanya dapat meneruskan satu dokumen JSON kebijakan saat membuat sesi sementara untuk peran atau pengguna gabungan secara terprogram.

  • Selain itu, AWS konversi memampatkan kebijakan sesi dan tag sesi yang diteruskan ke dalam format biner yang dikemas yang memiliki batas terpisah. Elemen respons PackedPolicySize menunjukkan persentase seberapa dekat kebijakan dan tanda untuk permintaan Anda dengan batas ukuran atas.

  • Kami menyarankan Anda untuk lulus kebijakan sesi menggunakan AWS CLI atau AWS API. AWS Management Console Mungkin menambahkan informasi sesi konsol tambahan ke kebijakan yang dikemas.
Peran tanda sesi

  • Tag sesi harus memenuhi batas kunci tag 128 karakter dan batas nilai tag 256 karakter.

  • Anda dapat meneruskan hingga 50 tanda sesi.

  • AWS Konversi memampatkan kebijakan sesi dan tag sesi yang diteruskan ke dalam format biner yang dikemas yang memiliki batas terpisah. Anda dapat meneruskan tag sesi menggunakan AWS CLI atau AWS API. Elemen respons PackedPolicySize menunjukkan persentase seberapa dekat kebijakan dan tanda untuk permintaan Anda dengan batas ukuran atas.
SAMLotentikasi respon base64 dikodekan 100.000 karakter

Batas karakter ini berlaku untuk assume-role-with-samlCLIatau AssumeRoleWithSAMLAPIoperasi.
Tombol tanda 128 karakter

Batas karakter ini berlaku untuk tag pada IAM sumber daya dan tag sesi.
Nilai tanda 256 karakter

Batas karakter ini berlaku untuk tag pada IAM sumber daya dan tag sesi.

Nilai tag bisa kosong yang berarti nilai tag dapat memiliki panjang 0 karakter.

Unik IDs dibuat oleh IAM

128 karakter. Sebagai contoh:

  • Pengguna IDs yang dimulai dengan AIDA

  • Grup IDs yang dimulai dengan AGPA

  • Peran IDs yang dimulai dengan AROA

  • Kebijakan terkelola IDs yang dimulai dengan ANPA

  • Sertifikat server IDs yang dimulai dengan ASCA

catatan

Ini tidak dimaksudkan untuk menjadi daftar lengkap, juga bukan jaminan bahwa IDs jenis tertentu dimulai hanya dengan kombinasi huruf yang ditentukan.
Nama pengguna 64 karakter