


 简短描述
-----



向 IAM 角色或用户附加托管策略的上限是 20 个。托管策略的字符大小上限为 6144。有关更多信息，请参阅 [IAM 对象配额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities)以及 [IAM 和 AWS STS 配额名称要求和字符限制](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)。


**注意：**托管策略的默认限制为 10。要将默认限制从 10 增加到 20，您必须[提交提高服务配额的请求](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)。



 解决方法
-----



如果您达到 IAM 组、用户、角色或策略的托管策略或字符大小限制，则请根据您的场景使用这些解决方法。



###  IAM 组



创建另一个 IAM 组。每个账户最多可拥有 300 个 IAM 组。将托管策略附加到 IAM 用户，而不是附加到 IAM 组。您最多可以将 20 个托管策略附加到 IAM 角色和用户。



###  IAM 用户



创建多个 IAM 组，并将托管策略附加到相应组。您可以将 IAM 用户分配到最多 10 个组。您还可以给每个组附加最多 10 个托管策略，以及最多 120 个策略（将 20 个托管策略附加到 IAM 用户；10 个 IAM 组，每个组附加 10 个策略）。



###  合并托管策略



将多个托管策略合并为单个策略。每个托管策略最多可以添加 6144 个字符。



###  减少托管策略的字符大小



通过将所有具备相同**效果**的操作合并来移除重复的权限。合并资源和条件语句。删除不必要的语句，例如 **Sid**。将通配符 **(\*)** 用于带有相同后缀或前缀的操作。



###  使用内联策略而不是托管策略



您可以使用任意数量的内联策略，但总计策略大小不得超过[字符配额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entity-length)。对于内联策略字符限制，用户为 2048 个，角色为 10240 个，组为 5120 个。


**重要提示：**最佳实践是[使用客户托管策略而不是内联策略](https://docs.aws.amazon.com/us_en/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline)。





---




 相关信息
-----



[内联策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies)


[IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)


[CIS AWS 基础基准控件](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html)







我收到了类似于以下内容的 AWS Identity and Access Management（IAM）错误消息：
“超出用户或角色的最大策略大小 xxxxx 字节。”
如何为 IAM 角色或用户的增加默认托管策略或提高字符大小上限？

为 IAM 角色或用户增加托管策略或提高字符大小上限

如何解决“超出用户或角色的 xxxxx 字节的最大策略大小”的 IAM 错误。

简短描述

解决方法

IAM 组

IAM 用户

合并托管策略

减少托管策略的字符大小

使用内联策略而不是托管策略

相关信息

相关视频

相关内容