约束与限制
本节介绍IAM在使用过程中的约束和限制。
配额
查看每个配额项目支持的默认配额,请参考怎样查看我的配额,登录控制台查询您的配额详情。如果需要扩大配额,可以提交工单申请提升配额。
| 资源分类 | 限制项 | 默认配额限制 | 是否支持调整 |
|---|---|---|---|
| 用户 | IAM用户数 | 50 | 是 提交工单申请提升配额 |
| 用户名的字符数 | 64 | 否 | |
| 用户可加入的用户组数 | 10 | 否 | |
| 用户可创建的访问密钥(AK/SK)数 | 2 | 否 | |
| 用户可绑定的虚拟MFA设备数 | 1 | 否 | |
| 一个用户基于企业项目可绑定的权限数(包括系统权限和自定义策略) | 500 | 否 | |
| 用户组 | 用户组数 | 20 | 是 提交工单申请提升配额 |
| 用户组名的字符数 | 128 | 否 | |
| 一个用户组中可添加的用户数 | 账号下的IAM用户数 | 否 | |
| 一个用户组基于IAM项目可绑定的权限数(包括系统权限和自定义策略) | 200 | 否 | |
| 一个用户组基于企业项目可绑定的权限数(包括系统权限和自定义策略) | 500 | 否 | |
| 项目 | 项目数 | 10 | 是 提交工单申请提升配额 |
| 策略 | 策略名称的字符数 | 128 | 否 |
| 自定义策略 | 自定义策略个数 | 200 | 是 提交工单申请提升配额 |
| 字符数 | 6144 | 否 | |
| Statement | 无限制 | 否 | |
| Action | 无限制 | 否 | |
| Resource | 无限制 | 否 | |
| Condition | 无限制 | 否 | |
| 委托 | 委托数 | 50 | 是 提交工单申请提升配额 |
| 委托名称的字符数 | 64 | 否 | |
| 一个委托可绑定的权限数(包括系统权限和自定义策略) | 200 | 否 | |
| 身份提供商 | 数量 | 10 | 是 提交工单申请提升配额 |
| 名称字符数 | 64 | 否 | |
| 账号中所有身份提供商的映射规则总数 | 10 | 是 提交工单申请提升配额 | |
| 联邦虚拟用户绑定的用户组数 | 100 | 否 | |
| 联邦虚拟用户的用户名的字符数 | 255 | 否 |
命名限制
| 限制项 | 说明 |
|---|---|
| 用户名 |
|
| 用户组名 |
|
| 自定义策略名 |
|
| 项目名 |
|
| 委托名 | 长度不能超过64个字符。 |
| 身份提供商名 |
|
操作限制
| 操作场景 | 限制项 | 限制说明 |
|---|---|---|
| 创建IAM用户 | 单次最多创建IAM用户数量 | 10个 |
| IAM用户名设置 | 不能与当前已创建的IAM用户同名。 | |
| 手机号和邮件地址 | 手机号和邮件地址只能绑定一个用户(IAM用户或账号),不可重复绑定。 | |
| IAM用户密码 | 密码不能是用户名或者用户名的倒序,例如:用户名为A12345,则密码不能为A12345、a12345、54321A和54321a。 | |
| 创建自定义策略 | 策略内容 |
|
| 创建委托 | 被委托的账号 | 被委托的账号只能是账号,不能是联邦用户、IAM用户。 |
| 配置安全设置 | 敏感操作 |
|
| 登录验证操作 |
| |
| 密码策略 |
| |
| 访问控制 |
| |
| 创建项目 | / |
|
| 删除项目 | / | 预置项目不支持删除。 如果需要删除子项目,请在项目列表进行删除操作。 |
| 联邦用户通过身份提供商功能访问华为云 | 联邦用户登录形式 | IAM支持两种形式的联邦身份认证:
|
| 敏感操作保护 | 如果账号开启了敏感操作保护(登录保护或操作保护),对联邦用户不生效,即联邦用户在执行敏感操作时,不需要二次验证。 | |
| 永久访问密钥(AK/SK) | 不支持创建永久访问密钥(AK/SK),支持通过用户或委托token来获取临时访问凭证(临时AK/SK和securitytoken),具体方法请参见:获取临时AK/SK和securitytoken。 |