IAM 和 AWS STS 配额
AWS Identity and Access Management (IAM) 和 AWS Security Token Service (STS) 具有限制对象大小的配额。这会影响您命名对象的方式、可以创建的对象数量以及传递对象时可以使用的字符数。
注意
要获取有关 IAM 使用量和配额的账户级别信息,请使用 GetAccountSummary API 操作或 get-account-summary AWS CLI 命令。
IAM 名称要求
IAM 名称具有以下要求和限制:
-
策略文档只能包含以下 Unicode 字符:水平制表符 (U+0009)、换行符 (U+000A)、回车符 (U+000D) 以及 U+0020 到 U+00FF 范围内的字符。
-
用户、组、角色、策略、实例配置文件、服务器证书和路径的名称必须是字母数字,包括以下常见字符:加号(+)、等号(=)、英文逗号(,)、英文句号(.)、at 符(@)、下划线(_)和连字符(-)。路径名称必须以正斜杠 (/) 开始和结束。
-
账户中的用户、组、角色和实例配置文件的名称必须唯一。上述名称不区分大小写,例如,您不能同时创建名为
ADMINS和admins的组。 -
第三方用于担任角色的外部 ID 值必须至少包含 2 个字符,最多包含 1224 个字符。该值必须是字母数字,没有空格。它还可以包含以下符号:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、@ 符号、冒号 (:)、正斜杠 (/) 和连字符 (-)。有关外部 ID 的更多信息,请参阅 访问第三方拥有的 AWS 账户。
-
对于嵌入内联策略的用户、组或角色,这些策略的名称必须唯一。这些名称可以包含任何基本拉丁语(ASCII)字符,但以下保留字符除外:反斜杠(\)、正斜杠(/)、星号(*)、问号(?)和空格。根据 RFC 3986 第 2.2 部分
,这些字符是保留字符。 -
用户密码(登录配置文件)可以包含任何基本拉丁语 (ASCII) 字符。
-
所有 AWS 产品的 AWS 账户 ID 别名都必须是唯一的,必须是遵循 DNS 命名惯例的字母数字。别名必须是小写字母,不能以连字符开头或结尾,不能连续使用两个连字符,也不能是 12 个纯数字。
要获取基本拉丁语 (ASCII) 字符列表,请转到 Library of Congress Basic Latin (ASCII) Code Tabl
IAM 对象配额
配额,也称为 AWS 中的限制,是 AWS 账户 中资源、操作和项目的最大值。使用 Service Quotas 管理 IAM 配额。
有关 IAM 服务端点的列表和服务限额,请参阅《AWS 一般参考》中的 AWS Identity and Access Management 端点和限额。
请求提高限额
-
按照《AWS 登录用户指南》中的 如何登录 AWS 所述,根据用户类型选择相应的登录过程,以登录到 AWS Management Console。
-
打开服务限额控制台。
-
在导航窗格中,选择 AWS 服务。
-
在导航栏中,选择 US East (N. Virginia) 区域。然后搜索
IAM。 -
选择 AWS Identity and Access Management (IAM),选择配额,然后按照说明请求增加配额。
有关更多信息,请参阅《服务限额用户指南》中的请求增加配额。
要查看有关如何使用 Service Quotas 控制台请求增加 IAM 配额的示例,请观看以下视频。
您可以请求提高可调整 IAM 配额的默认配额。不超过 maximum quota 的请求将自动得到批准,并在几分钟内完成。
下表列举了可以自动批准增加限额领域的资源。
| 资源 | 默认限额 | 最大配额 |
|---|---|---|
| 每个账户中的客户托管式策略数 | 1500 | 5000 |
| 每个账户的组数 | 300 | 500 |
| 每个账户的实例配置文件数: | 1000 | 5000 |
| 每个角色的托管式策略数 | 10 | 20 |
| 每个用户的托管式策略数 | 10 | 20 |
| 角色信任策略长度 | 2048 个字符 | 4096 个字符 |
| 每个账户的角色数: | 1000 | 5000 |
| 每个账户的服务器证书数: | 20 | 1000 |
IAM Access Analyzer 配额
有关 IAM Access Analyzer 服务端点的列表和服务限额,请参阅《AWS 一般参考》中的 IAM Access Analyzer 端点和限额。
IAM Roles Anywhere 限额
有关 IAM Roles Anywhere 服务端点的列表和服务限额,请参阅《AWS 一般参考》中的 AWS Identity and Access Management Roles Anywhere 端点和限额。
STS 请求配额
针对各区域的各账户,AWS STS 服务的默认请求配额为每秒 600 个请求。此配额将在使用 AWS凭证 发出的以下 STS 请求中共享:
-
AssumeRole
-
DecodeAuthorizationMessage
-
GetAccessKeyInfo
-
GetCallerIdentity
-
GetFederationToken
-
GetSessionToken
例如,若一个 AWS 账户 在同一区域每秒发出 100 个 GetCallerIdentity 请求和 100 个 AssumeRole 调用,则该账户每秒消耗该区域 600 个可用 STS 请求中的 200 个请求。
对于跨账户 AssumeRole 请求,只有发出 AssumeRole 请求的账户才会影响 STS 配额。目标账户不会消耗任何配额。
注意
AWS 服务主体向 AWS STS 发出的请求(例如为与 AWS 服务结合使用而要用于代入角色的请求)不会消耗账户中每秒 STS 请求的配额。
要请求增加 STS 的请求配额,请向 AWS Support 提交工单。
IAM 和 STS 字符限制
以下是 IAM 和 AWS STS 的最大字符数和大小限制。您不能请求提高以下限制。
| 描述 | 限制 |
|---|---|
| AWS 账户 ID 的别名 | 3-63 个字符 |
| 对于内联策略 | 您可以向 IAM 用户、角色或组添加所需数量的内联策略。但是,每个实体的总聚合策略大小(所有内联策略的总大小)不能超过以下限制:
注意在计算策略大小时,IAM 不会将空格计入这些限制。 |
| 对于托管策略 |
注意在计算策略大小时,IAM 不会将空格计入这一限制。 |
| 组名 | 128 个字符 |
| 实例配置文件名称 | 128 个字符 |
| 登录配置文件的密码 | 1-128 个字符 |
| 路径 | 512 个字符 |
| 策略名称 | 128 个字符 |
| 角色名称 | 64 个字符重要如果您通过 AWS Management Console 中的切换角色功能使用角色,则组合的 |
| 角色会话持续时间 |
12 小时 从 AWS CLI 或 API 中担任角色时,您可以使用 |
| 角色会话名称 | 64 个字符 |
| 角色会话策略 |
|
| 角色会话标签 |
|
| 经过 base64 编码的 SAML 身份验证 | 100000 个字符 此字符限制适用于 |
| 标记密钥 | 128 个字符 此字符限制适用于 IAM 资源的标签和会话标签。 |
| 标记值 | 256 个字符 此字符限制适用于 IAM 资源的标签和会话标签。 标签值可以为空,这意味着标签值的长度可以为 0 个字符。 |
|
IAM 创建的唯一 ID |
128 个字符。例如:
注意这不是一个详尽的列表,也不保证某种类型的 ID 仅以指定的字母组合开始。 |
| 用户名称 | 64 个字符 |
