本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM AWS STS 和配額
AWS Identity and Access Management (IAM) 和 AWS Security Token Service (STS) 具有限制物件大小的配額。這會影響您命名物件的方式、您可以建立的物件數,以及您在傳遞物件時可使用的字元數。
注意
若要取得 IAM 用量和配額的帳戶層級資訊,請使用 GetAccountSummary API 操作或 get-account-summary AWS CLI 命令。
IAM 名稱需求
IAM 名稱具有下列需求與限制:
-
政策文件只能包含下列 Unicode 字元:水平定位字元 (U+0009)、換行字元 (U+000A)、歸位字元 (U+000D),以及 U+0020 到 U+00FF 範圍內的字元。
-
使用者、群組、角色、政策、執行個體設定檔、伺服器憑證和路徑的名稱必須是英數字元,包括以下常見的字元:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、at 符號 (@)、底線 (_) 和連字號 (-)。路徑名稱必須以正斜線 (/) 開頭和結尾。
-
使用者、群組、角色和執行個體設定檔的名稱在帳戶中必須是唯一的。名稱不分大小寫。例如:您無法同時建立名為
ADMINS和admins的群組。 -
第三方用於擔任角色的外部 ID 值必須最少為 2 個字元,最多為 1,224 個字元。該值必須為英數字元,且不包含空格。也可以包含下列符號:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、小老鼠 (@)、冒號 (:)、正斜線 (/) 和連字號 (-)。如需有關外部 ID 的詳細資訊,請參閱 存取第三方擁有的 AWS 帳戶。
-
內嵌政策的政策名稱必須對其內嵌的使用者、群組或角色是唯一。此名稱可以包含任何基本拉丁文 (ASCII) 字元,但下列預留字元除外:反斜線 (\)、正斜線 (/)、星號 (*)、問號 (?) 和空格。這些字元是根據 RFC 3986 第 2.2 條
予以保留。 -
使用者密碼 (登入設定檔) 可以包含任何基本拉丁文 (ASCII) 字元。
-
AWS 帳戶 ID 別名在各 AWS 產品中必須是唯一的,而且必須依照 DNS 命名慣例使用英數字元。別名必須為小寫,且不得以連字號開始或結束,不可包含兩個連續的連字號,也不能是 12 位數的號碼。
如需基本拉丁文 (ASCII) 字元的清單,請前往國會圖書館基本拉丁文 (ASCII) 代碼表
IAM 物件配額
配額也稱為 中的限制 AWS,是 中資源、動作和項目的最大值 AWS 帳戶。使用 Service Quotas 來管理您的 IAM 配額。
如需 IAM 服務端點和 Service Quotas 的清單,請參閱 AWS 一般參考 中的 AWS Identity and Access Management 端點和配額。
請求提高配額
-
按照《AWS 登入使用者指南》如何登入 AWS 主題中所述適合您的使用者類型之登入程序操作來登入 AWS Management Console。
-
開啟 Service Quotas 主控台。
-
在導覽窗格中,選擇 AWS services (AWS 服務)。
-
在導覽列上,選擇 US East (N. Virginia) (美國東部 (維吉尼亞北部)) 區域。然後搜尋
IAM。 -
選擇 AWS Identity and Access Management (IAM)、選擇配額,然後依照指示請求增加配額。
如需詳細資訊,請參閱《Service Quotas 使用者指南》中的請求增加配額。
如要查看如何使用 Service Quotas 主控台要求增加 IAM 配額的範例,請觀看下列影片。
您可以為可調整配額申請提升預設 IAM 配額。到達 maximum quota 的請求會自動核准,並在幾分鐘內完成。
下表列出了配額增加地區可以自動核准的資源。
| 資源 | 預設配額 | 最大配額 |
|---|---|---|
| 每個帳戶的客戶受管政策 | 1500 | 5000 |
| 每個帳戶的群組 | 300 | 500 |
| 每個帳戶的執行個體設定檔 | 1000 | 5000 |
| 每個角色的受管政策 | 10 | 20 |
| 每個使用者的受管政策 | 10 | 20 |
| 每個群組的受管政策 | 10 | 10 |
| 角色信任政策長度 | 2,048 個字元 | 4096 個字元 |
| 每個帳戶的角色 | 1000 | 5000 |
| 每個帳戶的伺服器憑證 | 20 | 1000 |
IAM Access Analyzer 配額
如需 IAM Access Analyzer 服務端點和 Service Quotas 的清單,請參閱 AWS 一般參考 中的 IAM Access Analyzer 端點和配額。
IAM Roles Anywhere 配額
如需 IAM Roles Anywhere 服務端點和 Service Quotas 的清單,請參閱 AWS 一般參考 中的 AWS Identity and Access Management Roles Anywhere 端點和配額。
STS 請求配額
AWS STS 服務的預設請求配額為每個區域每個帳戶每秒 600 個請求。此配額會在使用 AWS 憑證提出的下列 STS 請求中共用:
-
AssumeRole
-
DecodeAuthorizationMessage
-
GetAccessKeyInfo
-
GetCallerIdentity
-
GetFederationToken
-
GetSessionToken
例如,如果 會在相同區域中每秒 AWS 帳戶 發出 100 個 GetCallerIdentity 請求和每秒發出 100 個 AssumeRole 呼叫,則該帳戶會消耗該區域每秒 200 個可用的 600 個 STS 請求。
對於跨帳戶 AssumeRole 請求,只有發出 AssumeRole 請求的帳戶會影響 STS 配額。目標帳戶沒有消耗任何配額。
注意
AWS 服務主體 AWS STS 對 的請求,例如用來擔任 角色以與服務搭配使用 AWS 的請求,不會在您的帳戶中消耗每秒的 STS 請求配額。
若要請求增加 STS 請求配額,請開立 AWS 支援票證。
IAM 和 STS 字元限制
以下是 IAM 和 AWS STS的字元數上限和大小上限:您無法請求提高下列限制。
| 描述 | 限制 |
|---|---|
| AWS 帳戶 ID 的別名 | 3–63 個字元 |
| 對於內嵌政策 | 您可以新增任意數量的內嵌政策到 IAM 使用者、角色或群組。但是每個實體的總計彙總政策大小 (所有內嵌政策的大小總和) 不能超過下列限制:
注意在根據這些限制計算政策的大小時,IAM 不會計算空格數。 |
| 針對受管政策 |
注意在根據此限制計算政策的大小時,IAM 不會計算空格數。 |
| Group name (群組名稱) | 128 個字元 |
| 執行個體設定檔名稱 | 128 個字元 |
| 登入設定檔的密碼 | 1–128 個字元 |
| 路徑 | 512 個字元 |
| 政策名稱 | 128 個字元 |
| 角色名稱 | 64 個字元重要如果您打算在 中使用具有切換角色功能的角色 AWS Management Console,則合併後 |
| 角色工作階段持續時間 |
12 小時 當您從 AWS CLI 或 API 擔任角色時,您可以使用 |
| 角色工作階段名稱 | 64 個字元 |
| 角色工作階段政策 |
|
| 角色工作階段標籤 |
|
| SAML 驗證回應 base64 編碼 | 100,000 個字元 此字元限制適用於 |
| 標籤鍵 | 128 個字元 此字元限制適用於 IAM 資源和工作階段標籤上的標籤。 |
| 標籤值 | 256 個字元 此字元限制適用於 IAM 資源和工作階段標籤上的標籤。 標籤值可為空,也就是說標籤值的長度為 0 個字元。 |
|
IAM 建立的唯一 ID |
128 個字元。例如:
注意這不是詳盡清單,也不保證特定類型的 ID 僅以指定的字母組合開頭。 |
| 使用者名稱 | 64 個字元 |
