

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM AWS STS 和配額
<a name="reference_iam-quotas"></a>

AWS Identity and Access Management (IAM) 和 AWS Security Token Service (STS) 具有限制物件大小的配額。這會影響您命名物件的方式、您可以建立的物件數，以及您在傳遞物件時可使用的字元數。

**注意**  
若要取得 IAM 用量和配額的帳戶層級資訊，請使用 [GetAccountSummary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountSummary.html) API 操作或 [get-account-summary](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-summary.html) AWS CLI 命令。

## IAM 名稱需求
<a name="reference_iam-quotas-names"></a>

IAM 名稱具有下列需求與限制：
+ 政策文件只能包含下列 Unicode 字元：水平定位字元 (U\$10009)、換行字元 (U\$1000A)、歸位字元 (U\$1000D)，以及 U\$10020 到 U\$100FF 範圍內的字元。
+ 使用者、群組、角色、政策、執行個體設定檔、伺服器憑證和路徑的名稱必須是英數字元，包括以下常見的字元：加號 (\$1)、等號 (=)、逗號 (,)、句號 (.)、at 符號 (@)、底線 (\$1) 和連字號 (-)。路徑名稱必須以正斜線 (/) 開頭和結尾。
+ 使用者、群組、角色和執行個體設定檔的名稱在帳戶中必須是唯一的。名稱不分大小寫。例如：您無法同時建立名為 **ADMINS** 和 **admins** 的群組。
+ 第三方用於擔任角色的外部 ID 值必須最少為 2 個字元，最多為 1,224 個字元。該值必須為英數字元，且不包含空格。也可以包含下列符號：加號 (\$1)、等號 (=)、逗號 (,)、句號 (.)、小老鼠 (@)、冒號 (:)、正斜線 (/) 和連字號 (-)。如需有關外部 ID 的詳細資訊，請參閱 [存取第三方 AWS 帳戶 擁有的](id_roles_common-scenarios_third-party.md)。
+ [內嵌政策](access_policies_managed-vs-inline.md)的政策名稱必須對其內嵌的使用者、群組或角色是唯一。此名稱可以包含任何基本拉丁文 (ASCII) 字元，但下列預留字元除外：反斜線 (\$1)、正斜線 (/)、星號 (\$1)、問號 (？) 和空格。這些字元是根據 [RFC 3986 第 2.2 條](https://datatracker.ietf.org/doc/html/rfc3986#section-2.2)予以保留。
+ 使用者密碼 (登入設定檔) 可以包含任何基本拉丁文 (ASCII) 字元。
+ AWS 帳戶 ID 別名在各 AWS 產品中必須是唯一的，而且必須依照 DNS 命名慣例為英數字元。別名必須為小寫，且不得以連字號開始或結束，不可包含兩個連續的連字號，也不能是 12 位數的號碼。

如需基本拉丁文 (ASCII) 字元的清單，請前往[國會圖書館基本拉丁文 (ASCII) 代碼表](https://www.loc.gov/marc/specifications/codetables/BasicLatin.html)。

## IAM 物件配額
<a name="reference_iam-quotas-entities"></a>

配額也稱為 中的限制 AWS，是 中資源、動作和項目的最大值 AWS 帳戶。使用 Service Quotas 來管理您的 IAM 配額。

如需 IAM 服務端點和 Service Quotas 的清單，請參閱 *AWS 一般參考* 中的 [AWS Identity and Access Management  端點和配額](https://docs.aws.amazon.com/general/latest/gr/iam-service.html)。

**請求提高配額**

1. 按照*《AWS ‭‬ 登入使用者指南》*‭‬[如何登入  AWS‭‬ ](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)主題中所述適合您的使用者類型之登入程序操作來登入  AWS 管理主控台。

1. 開啟 Service Quotas 主控台。

1. 在導覽窗格中，選擇 **AWS services** (AWS 服務)。

1. 在導覽列上，選擇 **US East (N. Virginia)** (美國東部 (維吉尼亞北部)) 區域。然後搜尋 **IAM**。

1. 選擇 **AWS Identity and Access Management (IAM)**、選擇配額，然後依照指示請求增加配額。

 如需詳細資訊，請參閱《Service Quotas 使用者指南》**中的[請求增加配額](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)。

如要查看如何使用 Service Quotas 主控台要求增加 IAM 配額的範例，請觀看下列影片。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/srJ4jr6M9YQ/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/srJ4jr6M9YQ)


您可以為可調整配額申請提升預設 IAM 配額。到達 [maximum quota](#autoapproved) 的請求會自動核准，並在幾分鐘內完成。

下表列出可自動核准配額增加的資源。


| 資源 | 預設配額 | 最大配額 | 
| --- | --- | --- | 
| 每個帳戶的客戶受管政策 | 1500 | 5000 | 
| 每個帳戶的群組 | 300 | 500 | 
| 每個帳戶的執行個體設定檔 | 1000 | 5000 | 
| 每個角色的受管政策 | 10 | 25 | 
| 每個使用者的受管政策 | 10 | 20 | 
| 每個群組的受管政策 | 10 | 10 | 
| 角色信任政策長度 | 2,048 個字元 | 4096 個字元 | 
| 每個帳戶的角色 | 1000 | 5000 | 
| 每個帳戶的伺服器憑證 | 20 | 20 | 
| 每個帳戶的 OpenId 連線供應商 | 100 | 700 | 

## IAM Access Analyzer 配額
<a name="reference_access-analyzer-quotas"></a>

如需 IAM Access Analyzer 服務端點和 Service Quotas 的清單，請參閱 *AWS 一般參考* 中的 [IAM Access Analyzer 端點和配額](https://docs.aws.amazon.com/general/latest/gr/access-analyzer.html)。

## IAM Roles Anywhere 配額
<a name="reference_roles-anywhere-quotas"></a>

如需 IAM Roles Anywhere 服務端點和 Service Quotas 的清單，請參閱 *AWS 一般參考* 中的 [AWS Identity and Access Management  Roles Anywhere 端點和配額](https://docs.aws.amazon.com/general/latest/gr/rolesanywhere.html)。

## STS 請求配額
<a name="reference_iam-quotas-sts-requests"></a>

 AWS Security Token Service (AWS STS) 會強制執行下列請求配額。

對於使用[AWS 登入](security-creds.md)資料提出 AWS STS 的請求，預設請求配額為每個區域每個帳戶**每秒 600 個請求**。下列 AWS STS 操作共用此配額：
+ AssumeRole
+ DecodeAuthorizationMessage
+ GetAccessKeyInfo
+ GetCallerIdentity
+ GetFederationToken
+ GetSessionToken

**注意**  
 AWS 服務主體對 AWS STS 的請求，例如用來擔任角色以與服務搭配使用 AWS 的請求，不會在您的帳戶中使用每秒 STS 請求配額。

例如，如果 會在相同區域中每秒 AWS 帳戶 發出 100 個 GetCallerIdentity 請求和每秒發出 100 個 AssumeRole 呼叫，則該帳戶會消耗該區域每秒 200 個可用的 600 個 STS 請求。

對於跨帳戶 AssumeRole 請求，只有發出 AssumeRole 請求的帳戶會影響 STS 配額。目標帳戶沒有消耗任何配額。

若要請求增加 STS 請求配額，請透過 AWS 支援來開立票證。

**注意**  
隨著 AWS STS 全球端點 (`https://sts.amazonaws.com`) 即將變更，對全球端點的請求不會與[預設啟用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)區域中 AWS STS 的區域端點共用每秒請求數 (RPS) 配額。當全域 AWS STS 端點的請求來自單一區域時，它會計入全域端點的 RPS 配額。不過，如果請求來自多個區域，每個額外的區域都會獲得其獨立的 RPS 配額。如需 AWS STS 全域端點變更的詳細資訊，請參閱 [AWS STS 全域端點變更](id_credentials_temp_region-endpoints.md#reference_sts_global_endpoint_changes)。

## IAM 和 STS 字元限制
<a name="reference_iam-quotas-entity-length"></a>

以下是 IAM 和 AWS STS的字元數上限和大小上限：您無法請求提高下列限制。


| Description | 限制 | 
| --- | --- | 
|  AWS 帳戶 ID 的別名 | 3–63 個字元 | 
| 對於[內嵌政策](access_policies_managed-vs-inline.md) | 您可以新增任意數量的內嵌政策到 IAM 使用者、角色或群組。但是每個實體的總計彙總政策大小 (所有內嵌政策的大小總和) 不能超過下列限制：[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/reference_iam-quotas.html)  在根據這些限制計算政策的大小時，IAM 不會計算空格數。  | 
| 對於客戶[受管政策](access_policies_managed-vs-inline.md) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/reference_iam-quotas.html)  在根據此限制計算政策的大小時，IAM 不會計算空格數。   | 
| Group name (群組名稱) | 128 個字元 | 
| 執行個體設定檔名稱 | 128 個字元 | 
| 登入設定檔的密碼 | 1–128 個字元 | 
| 路徑 | 512 個字元 | 
| 政策名稱 | 128 個字元 | 
| 角色名稱 | 64 個字元 如果您想要在 中使用具有**切換角色**功能的角色 AWS 管理主控台，則合併後的 `Path`和 `RoleName`不得超過 64 個字元。  | 
| 角色工作階段持續時間 |  12 小時 當您從 AWS CLI 或 API 擔任角色時，您可以使用 `duration-seconds` CLI 參數或 `DurationSeconds` API 參數來請求較長的角色工作階段。您可以指定值從 900 秒 (15 分鐘) 到角色的最長工作階段持續時間設定，範圍為 1–12 小時。如果您不為 `DurationSeconds` 參數指定一個值，則您的安全憑證有效期為 1 小時。在主控台中切換角色的 IAM 使用者會被授予最長工作階段持續時間或使用者工作階段中的剩餘時間，以較短者為準。工作階段持續時間設定上限不會限制 AWS 服務擔任的工作階段。若要了解如何檢視角色的最大值，請參閱 [更新角色的最大工作階段持續時間](id_roles_update-role-settings.md#id_roles_update-session-duration)。  | 
| 角色工作階段名稱 | 64 個字元 | 
| 角色[工作階段政策](access_policies.md#policies_session) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/reference_iam-quotas.html)  | 
| 角色[工作階段標籤](id_session-tags.md) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/reference_iam-quotas.html)  | 
| SAML 驗證回應 base64 編碼 | 100,000 個字元此字元限制適用於 [https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html) CLI 或 [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API 操作。 | 
| 標籤鍵 | 128 個字元此字元限制適用於 IAM 資源和[工作階段標籤](id_session-tags.md)上的標籤。 | 
| 標籤值 | 256 個字元此字元限制適用於 IAM 資源和[工作階段標籤](id_session-tags.md)上的標籤。標籤值可為空，也就是說標籤值的長度為 0 個字元。 | 
|  IAM 建立的唯一 ID  |  128 個字元。例如： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/reference_iam-quotas.html)  這不是詳盡清單，也不保證特定類型的 ID 僅以指定的字母組合開頭。   | 
| 使用者名稱 | 64 個字元 |