Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
如何增加 IAM 用户或角色的托管策略或字符大小的默认大小配额?
我想增加 AWS Identity and Access Management (IAM) 用户或角色的托管策略或字符大小的默认大小配额。
简短描述
附加到 IAM 角色或用户的托管策略的最大配额为 20。托管策略的最大字符大小限制为 6,144。要查看默认和最大可调整配额值,请参阅 IAM 资源配额表。
每个用户、角色或组的 IAM 托管策略的默认配额为 10。要将用户或角色的默认配额由 10 增加到最多 20,您必须提交配额增加请求。
注意:
- 您只能申请增加可调整的默认配额。
- IAM 配额增加请求仅适用于美国东部(弗吉尼亚州北部) AWS 区域。
有关详细信息,请参阅如何申请增加 IAM 配额?
解决方法
如果您达到了 IAM 组、用户、角色或策略的托管策略或字符大小配额,请根据需要使用以下解决方法。
IAM 用户
创建更多 IAM 组并将托管策略附加到这些组。
注意: 一个 IAM 用户可直接附加最多 20 个托管策略。一个 IAM 组最多可附加 10 个托管策略,一个 IAM 用户最多可加入 10 个组。因此,一个用户可通过组成员资格获得 100 个托管策略(10 个组 × 每个组 10 个策略)。该用户可以直接附加 20 个策略。这使得托管策略的最大总数达到 120 个。
IAM 组
创建其他 IAM 组。每个 AWS 账户最多可以有 300 个 IAM 组。请将托管策略附加到 IAM 用户而不是 IAM 组。您可以将最多 20 个托管策略附加到 IAM 角色和用户。
合并托管策略
将多个托管策略合并为一个策略。每个托管策略最多可以添加 6,144 个字符。
减少托管策略的字符大小
要删除重复的权限,请执行以下操作:
- 合并具有相同效果的所有操作。
- 合并资源和条件语句。
- 删除不必要的语句,例如 Sid。
- 对于具有相同后缀或前缀的操作,请使用通配符 (*)。
您也可以使用 NotAction 和 NotResource 策略元素来缩短策略。使用这些策略元素仅列出几个禁止匹配的操作,而非一长串允许匹配的操作。
使用内联策略代替托管策略
您可以根据需要使用尽可能多的内联策略,但策略总大小不能超过字符限制。用户的 IAM 内联策略字符限制为 2,048 个,角色字符限制为 10,240 个,组字符限制为 5,120 个。
**重要事项:**最佳做法是使用托管策略而不是内联策略。
