IAM 名稱需求 IAM 物件配額 IAM Access Analyzer 配額 IAM Roles Anywhere 配額 IAM 和 STS 字元限制

IAM 和 AWS STS 配額

AWS Identity and Access Management （IAM）和 AWS Security Token Service （STS）具有限制對象大小的配額。這會影響您命名物件的方式、您可以建立的物件數，以及您在傳遞物件時可使用的字元數。

注意

若要取得有關 IAM 用量和配額的帳戶層級資訊，請使用 GetAccountSummaryAPI 操作或命令。get-account-summary AWS CLI

IAM 名稱需求

IAM 名稱具有下列需求與限制：

政策文件只能包含下列 Unicode 字元：水平定位字元 (U+0009)、換行字元 (U+000A)、歸位字元 (U+000D)，以及 U+0020 到 U+00FF 範圍內的字元。
使用者、群組、角色、政策、執行個體設定檔、伺服器憑證和路徑的名稱必須是英數字元，包括以下常見的字元：加號 (+)、等號 (=)、逗號 (,)、句號 (.)、at 符號 (@)、底線 (_) 和連字號 (-)。路徑名稱必須以正斜線 (/) 開頭和結尾。
使用者、群組、角色和執行個體設定檔的名稱在帳戶中必須是唯一的。名稱不分大小寫。例如：您無法同時建立名為 ADMINS 和 admins 的群組。
第三方用於擔任角色的外部 ID 值必須最少為 2 個字元，最多為 1,224 個字元。該值必須為英數字元，且不包含空格。也可以包含下列符號：加號 (+)、等號 (=)、逗號 (,)、句號 (.)、小老鼠 (@)、冒號 (:)、正斜線 (/) 和連字號 (-)。如需有關外部 ID 的詳細資訊，請參閱將 AWS 資源存取權授予第三方時，如何使用外部 ID。
內嵌政策的政策名稱必須對其內嵌的使用者、群組或角色是唯一。此名稱可以包含任何基本拉丁文 (ASCII) 字元，但下列預留字元除外：反斜線 (\)、正斜線 (/)、星號 (*)、問號 (？) 和空格。這些字元是根據 RFC 3986 第 2.2 條予以保留。
使用者密碼 (登入設定檔) 可以包含任何基本拉丁文 (ASCII) 字元。
AWS 帳戶 ID 別名在各個 AWS 產品之間必須是唯一的，並且必須是遵循 DNS 命名慣例的英數字元。別名必須為小寫，且不得以連字號開始或結束，不可包含兩個連續的連字號，也不能是 12 位數的號碼。

如需基本拉丁文 (ASCII) 字元的清單，請前往國會圖書館基本拉丁文 (ASCII) 代碼表。

IAM 物件配額

配額 (在中 AWS也稱為限制) 是您的資源、動作和項目的最大值 AWS 帳戶。使用 Service Quotas 來管理您的 IAM 配額。

如需 IAM 服務端點和 Service Quotas 的清單，請參閱 AWS 一般參考 中的 AWS Identity and Access Management 端點和配額。

請求提高配額

按照《AWS ‭‬ 登入使用者指南》‭‬如何登入 AWS‭‬ 主題中所述適合您的使用者類型之登入程序操作來登入 AWS Management Console。
開啟 Service Quotas 主控台。
在導覽窗格中，選擇 AWS services (AWS 服務)。
在導覽列上，選擇 US East (N. Virginia) (美國東部 (維吉尼亞北部)) 區域。然後搜尋 IAM。
選擇 AWS Identity and Access Management (IAM)、選擇配額，然後依照指示請求增加配額。

如需詳細資訊，請參閱《Service Quotas 使用者指南》中的請求增加配額。

如要查看如何使用 Service Quotas 主控台要求增加 IAM 配額的範例，請觀看下列影片。

您可以為可調整配額申請提升預設 IAM 配額。到達 maximum quota 的請求會自動核准，並在幾分鐘內完成。

下表列出可自動核准配額增加區域的資源。

IAM 資源的可調整配額
資源	預設配額	最大配額
每個帳戶的客戶受管政策	1500	5000
每個帳戶的群組	300	500
每個帳戶的執行個體設定檔	1000	5000
每個角色的受管政策	10	20
每個使用者的受管政策	10	20
角色信任政策長度	2,048 個字元	4096 個字元
每個帳戶的角色	1000	5000
每個帳戶的伺服器憑證	20	1000

IAM Access Analyzer 配額

如需 IAM Access Analyzer 服務端點和 Service Quotas 的清單，請參閱 AWS 一般參考 中的 IAM Access Analyzer 端點和配額。

IAM Roles Anywhere 配額

如需 IAM Roles Anywhere 服務端點和 Service Quotas 的清單，請參閱 AWS 一般參考 中的 AWS Identity and Access Management Roles Anywhere 端點和配額。

IAM 和 STS 字元限制

以下是 IAM 和 AWS STS的字元數上限和大小上限：您無法請求提高下列限制。

描述	限制
ID 的別 AWS 帳戶名	3–63 個字元
對於內嵌政策	您可以新增任意數量的內嵌政策到 IAM 使用者、角色或群組。但是每個實體的總計彙總政策大小 (所有內嵌政策的大小總和) 不能超過下列限制：使用者政策大小不可超過 2,048 個字元。角色政策大小不可超過 10,240 個字元。群組政策大小不可超過 5,120 個字元。注意在根據這些限制計算政策的大小時，IAM 不會計算空格數。
針對受管政策	每個受管政策的大小不可超過 6,144 個字元。注意在根據此限制計算政策的大小時，IAM 不會計算空格數。
Group name (群組名稱)	128 個字元
執行個體設定檔名稱	128 個字元
登入設定檔的密碼	1–128 個字元
路徑	512 個字元
政策名稱	128 個字元
角色名稱	64 個字元重要如果您打算在中使用具有「切換角色」功能的角色 AWS Management Console，則合併`Path`且不`RoleName`能超過 64 個字元。
角色工作階段持續時間	12 小時當您擔 AWS CLI 任或 API 中的角色時，可以使用 `duration-seconds` CLI 參數或 `DurationSeconds` API 參數來要求較長的角色工作階段。您可以指定值從 900 秒 (15 分鐘) 到角色的最長工作階段持續時間設定，範圍為 1–12 小時。如果您不為 `DurationSeconds` 參數指定一個值，則您的安全憑證有效期為 1 小時。在主控台中切換角色的 IAM 使用者會被授予最長工作階段持續時間或使用者工作階段中的剩餘時間，以較短者為準。工作階段持續時間設定上限不會限制 AWS 服務擔任的工作階段。若要了解如何檢視角色的最大值，請參閱查看角色的最大工作階段持續時間設定。
角色工作階段名稱	64 個字元
角色工作階段政策	所傳遞的 JSON 政策文件和所有傳遞的受管政策 ARN 字元的大小總計不可超過 2,048 個字元。當您建立工作階段時，最多可傳遞 10 個受管政策 ARN。您在透過編寫程式的方式為角色或聯合身分使用者建立暫時工作階段時，只能傳遞一個 JSON 政策文件。此外， AWS 轉換會將傳遞的工作階段原則和工作階段標籤壓縮為具有個別限制的封裝二進位格式。`PackedPolicySize` 回應元素會按百分比指出請求的政策和標籤與大小上限的距離。我們建議您使用 AWS CLI 或 AWS API 傳遞工作階段原則。 AWS Management Console 可能會將其他主控台工作階段資訊新增至封裝的政策。
角色工作階段標籤	工作階段標籤必須符合 128 個字元的標籤鍵限制，以及 256 個字元的標籤值限制。您最多可以傳遞 50 個工作階段標籤。 AWS 轉換會將傳遞的工作階段原則和工作階段標籤壓縮為具有單獨限制的封裝二進位格式。您可以使用 AWS CLI 或 AWS API 傳遞工作階段標籤。`PackedPolicySize` 回應元素會按百分比指出請求的政策和標籤與大小上限的距離。
SAML 驗證回應 base64 編碼	100,000 個字元此字元限制適用於 `assume-role-with-saml` CLI 或 `AssumeRoleWithSAML` API 操作。
標籤鍵	128 個字元此字元限制適用於 IAM 資源和工作階段標籤上的標籤。
標籤值	256 個字元此字元限制適用於 IAM 資源和工作階段標籤上的標籤。標籤值可為空，也就是說標籤值的長度為 0 個字元。
IAM 建立的唯一 ID	128 個字元。例如：以 `AIDA` 開頭的使用者 ID 以 `AGPA` 開頭的群組 ID 以 `AROA` 開頭的角色 ID 以 `ANPA` 開頭的受管政策 ID 以 `ASCA` 開頭的伺服器憑證 ID 注意這不是詳盡清單，也不保證特定類型的 ID 僅以指定的字母組合開頭。
使用者名稱	64 個字元

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

IAM 識別碼

介面 VPC 端點