如何解决“超出用户或角色的 xxxxx 字节的最大策略大小”的 IAM 错误。

上次更新日期:2022 年 3 月 10 日

我收到了类似于以下内容的 AWS Identity and Access Management (IAM) 错误消息:

“超出用户或角色的最大策略大小 xxxxx 字节。”

如何为 IAM 角色或用户的增加默认托管策略或提高字符大小上限?

简短描述

向 IAM 角色或用户附加托管策略的上限是 20 个。托管策略的字符大小上限为 6144。有关更多信息,请参阅 IAM 对象配额以及 IAM 和 AWS STS 配额

注意:托管策略的默认限制为 10。要将默认限制从 10 增加到 20,您必须提交提高服务配额的请求

解决方法

如果您达到 IAM 组、用户、角色或策略的托管策略或字符大小限制,请根据您的场景使用以下解决方法。

IAM 组

创建另一个 IAM 组。每个账户最多可拥有 300 个 IAM 组。将托管策略附加到 IAM 用户,而不是附加到 IAM 组。您最多可以将 20 个托管策略附加到 IAM 角色和用户。

IAM 用户

创建多个 IAM 组,并将托管策略附加到相应组。您可以将 IAM 用户分配到最多 10 个组。您还可以给每个组附加最多 10 个托管策略,以及最多 120 个策略(将 20 个托管策略附加到 IAM 用户;10 个 IAM 组,每个组附加 10 个策略)。

合并托管策略

将多个托管策略合并为单个策略。每个托管策略最多可以添加 6144 个字符。

减少托管策略的字符大小

通过将所有具备相同效果的操作合并来删除重复的权限。合并资源和条件语句,并删除不必要的语句,例如 Sid。将通配符 (*) 用于带有相同后缀或前缀的操作。

使用内联策略而不是托管策略

您可以使用任意数量的内联策略,但总计策略大小不得超过字符配额。对于内联策略字符限制,用户为 2048 个,角色为 10240 个,组为 5120 个。

重要提示:最佳实践是使用客户托管策略而不是内联策略


这篇文章对您有帮助吗?


您是否需要账单或技术支持?