# IAM 和 AWS STS 配额
<a name="reference_iam-quotas"></a>

AWS Identity and Access Management (IAM) 和 AWS Security Token Service (STS) 具有限制对象大小的配额。这会影响您命名对象的方式、可以创建的对象数量以及传递对象时可以使用的字符数。

**注意**  
要获取有关 IAM 使用量和配额的账户级别信息，请使用 [GetAccountSummary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountSummary.html) API 操作或 [get-account-summary](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-summary.html) AWS CLI 命令。

## IAM 名称要求
<a name="reference_iam-quotas-names"></a>

IAM 名称具有以下要求和限制：
+ 策略文档只能包含以下 Unicode 字符：水平制表符 (U\$10009)、换行符 (U\$1000A)、回车符 (U\$1000D) 以及 U\$10020 到 U\$100FF 范围内的字符。
+ 用户、组、角色、策略、实例配置文件、服务器证书和路径的名称必须是字母数字，包括以下常见字符：加号（\$1）、等号（=）、英文逗号（,）、英文句号（.）、at 符（@）、下划线（\$1）和连字符（-）。路径名称必须以正斜杠 (/) 开始和结束。
+ 账户中的用户、组、角色和实例配置文件的名称必须唯一。上述名称不区分大小写，例如，您不能同时创建名为 **ADMINS** 和 **admins** 的组。
+ 第三方用于担任角色的外部 ID 值必须至少包含 2 个字符，最多包含 1224 个字符。该值必须是字母数字，没有空格。它还可以包含以下符号：加号 (\$1)、等号 (=)、逗号 (,)、句点 (.)、@ 符号、冒号 (:)、正斜杠 (/) 和连字符 (-)。有关外部 ID 的更多信息，请参阅 [访问第三方拥有的 AWS 账户](id_roles_common-scenarios_third-party.md)。
+ 对于嵌入[内联策略](access_policies_managed-vs-inline.md)的用户、组或角色，这些策略的名称必须唯一。这些名称可以包含任何基本拉丁语（ASCII）字符，但以下保留字符除外：反斜杠（\$1）、正斜杠（/）、星号（\$1）、问号（?）和空格。根据 [RFC 3986 第 2.2 部分](https://datatracker.ietf.org/doc/html/rfc3986#section-2.2)，这些字符是保留字符。
+ 用户密码（登录配置文件）可以包含任何基本拉丁语 (ASCII) 字符。
+ 所有 AWS 产品的 AWS 账户 ID 别名都必须是唯一的，必须是遵循 DNS 命名惯例的字母数字。别名必须是小写字母，不能以连字符开头或结尾，不能连续使用两个连字符，也不能是 12 个纯数字。

要获取基本拉丁语 (ASCII) 字符列表，请转到 [Library of Congress Basic Latin (ASCII) Code Tabl](https://www.loc.gov/marc/specifications/codetables/BasicLatin.html)。

## IAM 对象配额
<a name="reference_iam-quotas-entities"></a>

配额，也称为 AWS 中的限制，是 AWS 账户 中资源、操作和项目的最大值。使用 Service Quotas 管理 IAM 配额。

有关 IAM 服务端点的列表和服务限额，请参阅《AWS 一般参考》中的 [AWS Identity and Access Management 端点和限额](https://docs.aws.amazon.com/general/latest/gr/iam-service.html)**。

**请求提高限额**

1. 按照《AWS 登录用户指南》中的 [如何登录 AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 所述**，根据用户类型选择相应的登录过程，以登录到 AWS 管理控制台。

1. 打开服务限额控制台。

1. 在导航窗格中，选择 **AWS 服务**。

1. 在导航栏中，选择 **US East (N. Virginia)** 区域。然后搜索 **IAM**。

1. 选择 **AWS Identity and Access Management (IAM)**，选择配额，然后按照说明请求增加配额。

 有关更多信息，请参阅《服务限额用户指南》**中的[请求增加配额](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)。

要查看有关如何使用 Service Quotas 控制台请求增加 IAM 配额的示例，请观看以下视频。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/srJ4jr6M9YQ/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/srJ4jr6M9YQ)


您可以请求提高可调整 IAM 配额的默认配额。不超过 [maximum quota](#autoapproved) 的请求将自动得到批准，并在几分钟内完成。

下表列举了可以自动批准增加限额领域的资源。


| 资源 | 默认配额 | 最大配额 | 
| --- | --- | --- | 
| 每个账户中的客户托管式策略数 | 1500 | 5000 | 
| 每个账户的组数 | 300 | 500 | 
| 每个账户的实例配置文件数： | 1000 | 5000 | 
| 每个角色的托管式策略数 | 10 | 25 | 
| 每个用户的托管式策略数 | 10 | 20 | 
| 每个组的托管式策略数 | 10 | 10 | 
| 角色信任策略长度 | 2048 个字符 | 4096 个字符 | 
| 每个账户的角色数： | 1000 | 5000 | 
| 每个账户的服务器证书数： | 20 | 20 | 
| 每个账户的 OpenId Connect 提供商数 | 100 | 700 | 

## IAM Access Analyzer 配额
<a name="reference_access-analyzer-quotas"></a>

有关 IAM Access Analyzer 服务端点的列表和服务限额，请参阅《AWS 一般参考》中的 [IAM Access Analyzer 端点和限额](https://docs.aws.amazon.com/general/latest/gr/access-analyzer.html)**。

## IAM Roles Anywhere 限额
<a name="reference_roles-anywhere-quotas"></a>

有关 IAM Roles Anywhere 服务端点的列表和服务限额，请参阅《AWS 一般参考》中的 [AWS Identity and Access Management Roles Anywhere 端点和限额](https://docs.aws.amazon.com/general/latest/gr/rolesanywhere.html)**。

## STS 请求配额
<a name="reference_iam-quotas-sts-requests"></a>

AWS Security Token Service (AWS STS) 强制执行以下请求配额。

对于使用 [AWS 凭证](security-creds.md)发出的 AWS STS 请求，默认请求配额为每账户每区域**每秒 600 个请求**。以下 AWS STS 操作共享此配额：
+ AssumeRole
+ DecodeAuthorizationMessage
+ GetAccessKeyInfo
+ GetCallerIdentity
+ GetFederationToken
+ GetSessionToken

**注意**  
AWS 服务主体向 AWS STS 发出的请求（例如为与 AWS 服务结合使用而要用于代入角色的请求）不会消耗账户中每秒 STS 请求的配额。

例如，若一个 AWS 账户 在同一区域每秒发出 100 个 GetCallerIdentity 请求和 100 个 AssumeRole 调用，则该账户每秒消耗该区域 600 个可用 STS 请求中的 200 个请求。

对于跨账户 AssumeRole 请求，只有发出 AssumeRole 请求的账户才会影响 STS 配额。目标账户不会消耗任何配额。

要请求增加 STS 的请求配额，请向 AWS Support 提交工单。

**注意**  
随着 AWS STS 全局端点 (`https://sts.amazonaws.com`) 即将发生的更改，对全局端点的请求将不会与[默认启用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)的区域中的 AWS STS 区域端点共享每秒请求数 (RPS) 配额。当对 AWS STS STS 全局端点的请求源自单个区域时，它将计入全局端点的 RPS 配额。但是，当请求来自多个区域时，每个额外区域都将获得其自己的独立 RPS 配额。有关 AWS STS 全局端点更改的更多信息，请参阅 [AWS STS 全局端点更改](id_credentials_temp_region-endpoints.md#reference_sts_global_endpoint_changes)。

## IAM 和 STS 字符限制
<a name="reference_iam-quotas-entity-length"></a>

以下是 IAM 和 AWS STS 的最大字符数和大小限制。您不能请求提高以下限制。


| 说明 | 限制 | 
| --- | --- | 
| AWS 账户 ID 的别名 | 3-63 个字符 | 
| 对于[内联策略](access_policies_managed-vs-inline.md) | 您可以向 IAM 用户、角色或组添加所需数量的内联策略。但是，每个实体的总聚合策略大小（所有内联策略的总大小）不能超过以下限制：[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/reference_iam-quotas.html)  在计算策略大小时，IAM 不会将空格计入这些限制。  | 
| 用于客户[管理型策略](access_policies_managed-vs-inline.md) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/reference_iam-quotas.html)  在计算策略大小时，IAM 不会将空格计入这一限制。   | 
| 组名 | 128 个字符 | 
| 实例配置文件名称 | 128 个字符 | 
| 登录配置文件的密码 | 1-128 个字符 | 
| 路径 | 512 个字符 | 
| 策略名称 | 128 个字符 | 
| 角色名称 | 64 个字符 如果您通过 AWS 管理控制台 中的**切换角色**功能使用角色，则组合的 `Path` 和 `RoleName` 不能超过 64 个字符。  | 
| 角色会话持续时间 |  12 小时 从 AWS CLI 或 API 中担任角色时，您可以使用 `duration-seconds` CLI 参数或 `DurationSeconds` API 参数请求更长的角色会话。您可以指定 900 秒（15 分钟）到角色的最大会话持续时间设置之间的值，该设置的范围是 1 - 12 小时。如果未指定 `DurationSeconds` 参数值，您的安全凭证的有效期为 1 小时。在控制台内切换角色的 IAM 用户被授予最大会话持续时间或用户会话中的剩余时间（以较少者为准）。最大会话持续时间设置不限制 AWS 服务建立的会话。要了解如何查看您的角色的最大值，请参阅[更新角色的最长会话持续时间](id_roles_update-role-settings.md#id_roles_update-session-duration)。  | 
| 角色会话名称 | 64 个字符 | 
| 角色[会话策略](access_policies.md#policies_session) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/reference_iam-quotas.html)  | 
| 角色[会话标签](id_session-tags.md) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/reference_iam-quotas.html)  | 
| 经过 base64 编码的 SAML 身份验证 | 100000 个字符此字符限制适用于 [https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html) CLI 或 [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API 操作。 | 
| 标记密钥 | 128 个字符此字符限制适用于 IAM 资源的标签和[会话标签](id_session-tags.md)。 | 
| 标记值 | 256 个字符此字符限制适用于 IAM 资源的标签和[会话标签](id_session-tags.md)。标签值可以为空，这意味着标签值的长度可以为 0 个字符。 | 
|  IAM 创建的唯一 ID  |  128 个字符。例如： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/reference_iam-quotas.html)  这不是一个详尽的列表，也不保证某种类型的 ID 仅以指定的字母组合开始。   | 
| 用户名称 | 64 个字符 |