IAM und Kontingente AWS STS - AWS Identitäts- und Zugriffsverwaltung
Anforderungen für den IAM-NamenIAM-Objekt-KontingenteIAM Access Analyzer-KontingenteKontingente für IAM Roles AnywhereSTS-AnforderungskontingenteIAM- und STS-Zeichenlimits

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM und Kontingente AWS STS

AWS Identity and Access Management (IAM) und AWS Security Token Service (STS) haben Kontingente, die die Größe von Objekten begrenzen. Dies wirkt sich darauf aus, wie Sie ein Objekt benennen, die Anzahl der Objekte, die Sie erstellen können, sowie auf die Anzahl der Zeichen, die Sie beim Übergeben eines Objekts verwenden können.

Anmerkung

Um Informationen auf Kontoebene über die IAM-Nutzung und die Kontingente zu erhalten, verwenden Sie die GetAccountSummaryAPI-Operation oder den Befehl. get-account-summary AWS CLI

Anforderungen für den IAM-Namen

Für IAM-Namen gelten die folgenden Anforderungen und Einschränkungen:

  • Richtliniendokumente können nur die folgenden Unicode-Zeichen enthalten: horizontaler Tabulator (U+0009), Zeilenvorschub (U+000A), Wagenrücklauf (U+000D) sowie Zeichen im Bereich von U+0020 bis U+00FF.

  • Die Namen von Benutzern, Gruppen, Rollen, Richtlinien, Instance-Profilen, Serverzertifikaten und Pfaden müssen alphanummerisch sein und dürfen zudem folgende Zeichen enthalten: Plus (+), Gleichheitszeichen (=), Komma (,), Punkt (.), At (@), Unterstrich (_) und Bindestrich (-). Pfadnamen müssen mit einem Slash (/) beginnen und enden.

  • Namen von Benutzern, Gruppen, Rollen und Instance-Profilen müssen innerhalb des Kontos eindeutig sein. Diese lassen sich nicht durch Groß- und Kleinschreibung unterscheiden. Sie können zum Beispiel keine Gruppen mit den Namen ADMINS und admins erstellen.

  • Der Wert der externen ID, den ein Dritter zur Übernahme einer Rolle verwendet, muss mindestens 2 Zeichen und darf höchstens 1.224 Zeichen lang sein. Der Wert muss alphanumerisch sein ohne Leerzeichen. Er kann auch die folgenden Zeichen enthalten: Pluszeichen (+), Gleichheitszeichen (=), Komma (,), Punkt (.), At-Zeichen (@), Doppelpunkt (:), Schrägstrich (/) und Bindestrich (-). Weitere Informationen über die externe ID finden Sie unter Zugriff auf AWS-Konten Eigentum Dritter.

  • Richtliniennamen für eingebundene Richtlinien müssen für den Benutzer, die Gruppe oder die Rolle, in die sie eingebettet sind, eindeutig sein. Die Namen können alle Zeichen des einfachen lateinischen Alphabets (ASCII) enthalten, mit Ausnahme der folgenden reservierten Zeichen: Schrägstrich (\), umgekehrter Schrägstrich (/), Sternchen (*), Fragezeichen (?) und Leerzeichen. Diese Zeichen sind gemäß RFC 3986, Abschnitt 2.2 reserviert.

  • Benutzerpasswörter (Anmeldeprofile) können beliebige ASCII-Zeichen des Basic-Lateinisch-Blocks enthalten.

  • AWS-Konto ID-Aliase müssen AWS produktübergreifend eindeutig und gemäß den DNS-Namenskonventionen alphanumerisch sein. Ein Alias muss aus Kleinbuchstaben bestehen, darf nicht mit einem Bindestrich beginnen oder enden, darf keine zwei aufeinanderfolgenden Bindestriche enthalten und darf keine zwölfstellige Zahl sein.

Eine Liste der Basic-Lateinischen ASCII-Zeichen finden Sie in der Library of Congress Basic Latin (ASCII) Codetabelle.

IAM-Objekt-Kontingente

Kontingente, auch als Grenzwerte bezeichnet AWS, sind die Höchstwerte für die Ressourcen, Aktionen und Elemente in Ihrem. AWS-Konto Sie können Ihre IAM-Kontingente mit Service Quotas verwalten.

Eine Liste der IAM-Service-Endpunkte und Service Quotas finden Sie unter AWS Identity and Access Management -Endpunkte und Kontingente im Allgemeine AWS-Referenz.

So fordern Sie eine Kontingenterhöhung an

  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch, um sich bei der AWS Management Console anzumelden.

  2. Öffnen Sie die Service Quotas-Konsole.

  3. Wählen Sie im Navigationsbereich AWS -Services.

  4. Wählen Sie auf der Navigationsleiste die Region US East (N. Virginia). Dann suchen Sie nach IAM.

  5. Wählen Sie AWS Identity and Access Management (IAM), wählen Sie ein Kontingent und folgen Sie den Anweisungen, um eine Kontingentserhöhung zu beantragen.

Weitere Informationen finden Sie unter Anfordern einer Kontingenterhöhung im Service Quotas-Benutzerhandbuch.

Ein Beispiel für das Anfordern einer IAM-Kontingenterhöhung über die Service Quotas-Konsole finden Sie im folgenden Video.

Sie können eine Erhöhung der Standardkontingente für anpassbare IAM-Kontingente anfordern. Anfragen bis zum maximum quota werden automatisch genehmigt und innerhalb weniger Minuten abgeschlossen.

In der folgenden Tabelle sind die Ressourcen aufgeführt, für die Kontingenterhöhungen automatisch genehmigt werden können.

Ressource Standardkontingent Höchstkontingent
Von Kunden verwaltete Richtlinien pro Konto 1500 5000
Gruppen pro Konto 300 500
Instance-Profile pro Konto 1000 5000
Verwaltete Richtlinien pro Rolle 10 20
Verwaltete Richtlinien pro Benutzer 10 20
Verwaltete Richtlinien pro Gruppe 10 10
Länge der Vertrauensrichtlinie für Rollen 2048 Zeichen 4096 Zeichen
Rollen pro Konto 1000 5000
Serverzertifikate pro Konto 20 1000

IAM Access Analyzer-Kontingente

Eine Liste der Service-Endpunkte und Service Quotas von IAM Access Analyzer finden Sie unter Endpunkte und Kontingente von IAM Access Analyzer in der Allgemeine AWS-Referenz.

Kontingente für IAM Roles Anywhere

Eine Liste der Service-Endpunkte und Service Quotas von IAM Roles Anywhere finden Sie unter Endpunkte und Kontingente von AWS Identity and Access Management Roles Anywhere in der Allgemeine AWS-Referenz.

STS-Anforderungskontingente

Die AWS Security Token Service (AWS STS) erzwingt die folgenden Anforderungskontingente.

Für AWS STS Anfragen, die unter Verwendung von AWS Anmeldeinformationen gestellt werden, beträgt das Standardanforderungskontingent 600 Anfragen pro Sekunde, pro Konto und Region. Die folgenden AWS STS Operationen teilen sich dieses Kontingent:

  • AssumeRole

  • DecodeAuthorizationMessage

  • GetAccessKeyInfo

  • GetCallerIdentity

  • GetFederationToken

  • GetSessionToken

Anmerkung

Anfragen AWS STS von AWS Dienstprinzipalen, z. B. solche, die Rollen für die Verwendung mit einem AWS Dienst übernehmen, verbrauchen in Ihren Konten kein Kontingent für STS-Anfragen pro Sekunde.

Wenn ein beispielsweise 100 GetCallerIdentity Anfragen pro Sekunde und 100 AssumeRole Anrufe pro Sekunde in derselben Region AWS-Konto stellt, verarbeitet dieses Konto 200 der verfügbaren 600 STS-Anfragen pro Sekunde für diese Region.

Bei kontoübergreifenden AssumeRole Anfragen wirkt sich nur das Konto, das die AssumeRole Anfrage stellt, auf das STS-Kontingent aus. Das Kontingent des Zielkontos ist noch nicht erschöpft.

Um eine Erhöhung der STS-Anfragekontingente zu beantragen, eröffnen Sie bitte ein Ticket beim AWS -Support.

Anmerkung

Aufgrund der bevorstehenden Änderungen am AWS STS globalen Endpunkt (http://sts.amazonaws.com) teilen sich Anfragen an den globalen Endpunkt kein RPS-Kontingent (Anfragen pro Sekunde) mit AWS STS regionalen Endpunkten in Regionen, die standardmäßig aktiviert sind. Wenn eine Anfrage an den AWS STS globalen Endpunkt aus einer einzelnen Region stammt, wird sie auf das RPS-Kontingent des globalen Endpunkts angerechnet. Wenn Anfragen jedoch aus mehreren Regionen kommen, erhält jede weitere Region ihr eigenes unabhängiges RPS-Kontingent. Weitere Informationen zu den AWS STS globalen Endpunktänderungen finden Sie unterAWS STS globale Änderungen an den Endpunkten.

IAM- und STS-Zeichenlimits

Im Folgenden sind die maximale Zeichenanzahl und die Größenlimits für IAM und AWS STS. Für die folgenden Limits können Sie keine Erhöhung beantragen.

Beschreibung Limit
Alias für eine AWS-Konto ID 3–63 Zeichen
Für eingebundene Richtlinien Sie können einem IAM-Benutzer, einer Rolle oder Gruppe beliebig viele Inline-Richtlinien hinzufügen. Die gesamte aggregierte Richtliniengröße (die Gesamtgröße aller eingebundenen Richtlinien) pro Entität darf jedoch die folgenden Grenzwerte nicht überschreiten:

  • Die Größe der Benutzerrichtlinie darf 2 048 Zeichen nicht überschreiten.

  • Die Größe der Rollenrichtlinie darf 10 240 Zeichen nicht überschreiten.

  • Die Größe der Gruppenrichtlinie darf 5 120 Zeichen nicht überschreiten.

Anmerkung

IAM berücksichtigt bei der Berechnung der Größe einer Richtlinie anhand dieser Grenzwerte keine Leerzeichen.
Für verwaltete Richtlinien

  • Die Größe jeder verwalteten Richtlinie darf 6 144 Zeichen nicht überschreiten.

Anmerkung

IAM berücksichtigt bei der Berechnung der Größe einer Richtlinie anhand dieses Grenzwerts keine Leerzeichen.
Group name (Gruppenname) 128 Zeichen
Instance-Profilnamen 128 Zeichen
Passwort für ein Anmeldeprofil 1–128 Zeichen
Pfad 512 Zeichen
Richtlinienname 128 Zeichen
Rollenname 64 Zeichen
Wichtig

Wenn Sie beabsichtigen, eine Rolle mit der Funktion „Rolle wechseln“ in der zu verwenden AWS Management Console, dann die Kombination Path und RoleName darf 64 Zeichen nicht überschreiten.
Rollensitzungsdauer

12 Stunden

Wenn Sie eine Rolle von der API AWS CLI oder übernehmen, können Sie den duration-seconds CLI-Parameter oder den DurationSeconds API-Parameter verwenden, um eine längere Rollensitzung anzufordern. Sie können einen Wert von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle angeben, die zwischen 1 und 12 Stunden liegen kann. Wenn Sie keinen Wert für den DurationSeconds-Parameter angeben, sind Ihre Sicherheitsanmeldeinformationen eine Stunde lang gültig. IAM-Benutzern, die in der Konsole die Rolle wechseln, wird die maximale Sitzungsdauer oder die verbleibende Zeit in der Sitzung des Benutzers gewährt, je nachdem, was kürzer ist. Die Einstellung der maximalen Sitzungsdauer schränkt die von AWS -Services angenommenen Sitzungen nicht ein. Weitere Informationen dazu, wie Sie den maximalen Wert für Ihre Rolle anzeigen, finden Sie unter Aktualisieren der maximalen Sitzungsdauer für eine Rolle.

Rollensitzungsname 64 Zeichen
Sitzungsrichtlinien für Rollen

  • Die Größe des übergebenen JSON-Richtliniendokuments und aller übergebenen ARN-Zeichen der verwalteten Richtlinie darf zusammen 2 048 Zeichen nicht überschreiten.

  • Sie können ARNs beim Erstellen einer Sitzung maximal 10 verwaltete Richtlinien übergeben.

  • Sie können nur ein JSON-Richtliniendokument übergeben, wenn Sie programmgesteuert eine temporäre Sitzung für eine Rolle oder einen AWS STS Verbundbenutzerprinzipal erstellen.

  • Darüber hinaus werden bei einer AWS Konvertierung die übergebenen Sitzungsrichtlinien und Sitzungs-Tags in ein gepacktes Binärformat komprimiert, für das ein separates Limit gilt. Das PackedPolicySize-Antwortelement gibt in Prozent an, wie nah die Richtlinien und Tags für Ihre Anforderung an der oberen Größengrenze liegen.

  • Wir empfehlen, dass Sie die Sitzungsrichtlinien mithilfe der AWS CLI AWS OR-API übergeben. Dadurch werden der gepackten Richtlinie AWS Management Console möglicherweise zusätzliche Informationen zur Konsolensitzung hinzugefügt.
Sitzungs-Tags für Rollen

  • Sitzungs-Tags müssen den Grenzwert für Tag-Schlüssel von 128 Zeichen und das Tag-Wert-Limit von 256 Zeichen einhalten.

  • Sie können bis zu 50 Sitzungs-Tags übergeben.

  • Bei einer AWS Konvertierung werden die übergebenen Sitzungsrichtlinien und Sitzungs-Tags in ein gepacktes Binärformat komprimiert, für das ein separates Limit gilt. Sie können Sitzungs-Tags mithilfe der AWS CLI oder AWS -API übergeben. Das PackedPolicySize-Antwortelement gibt in Prozent an, wie nah die Richtlinien und Tags für Ihre Anforderung an der oberen Größengrenze liegen.
SAML-Authentifizierungsantwort base64-kodiert 100 000 Zeichen

Dieses Zeichenlimit gilt für assume-role-with-saml CLI oder AssumeRoleWithSAML API-Vorgang.
Tag-Schlüssel 128 Zeichen

Dieses Zeichenlimit gilt für Tags auf IAM-Ressourcen und Sitzungs-Tags.
Tag-Wert 256 Zeichen

Dieses Zeichenlimit gilt für Tags auf IAM-Ressourcen und Sitzungs-Tags.

Tag-Werte können leer sein, was bedeutet, Tag-Werte können eine Länge von 0 Zeichen haben.

Einzigartig, IDs erstellt von IAM

128 Zeichen. Zum Beispiel:

  • Benutzer IDs , der mit beginnt AIDA

  • Gruppe IDs , die beginnt mit AGPA

  • Rollen IDs , die beginnen mit AROA

  • Verwaltete Richtlinien IDs , die beginnen mit ANPA

  • Serverzertifikate IDs , die beginnen mit ASCA

Anmerkung

Diese Liste erhebt keinen Anspruch auf Vollständigkeit und garantiert auch nicht, dass ein bestimmter Typ nur mit IDs der angegebenen Buchstabenkombination beginnt.
Benutzername 64 Zeichen