Amazon Cognito 中的限额
Amazon Cognito 对您可以在账户中执行的最大操作数具有原定设置限额,以前称为限制。Amazon Cognito 对于 Amazon Cognito 资源的最大数量和规模也具有限额。
每个 Amazon Cognito 配额表示在一个 Amazon Web Services 区域、一个 Amazon Web Services 账户 中最大的请求量。例如,您的应用程序可以对美国东部(弗吉尼亚州北部)中的所有用户群体,最高 以默认配额(RPS)速率为 UserAuthentication 操作发出 API 请求。您的应用程序在亚太地区(东京)可以对在其自己区域中的用户群体生成相同数量的请求。Amazon 一次只能批准一个区域中的配额增加请求。在美国东部(弗吉尼亚州北部)成功增加限额对您在亚太地区(东京)的最大请求速率没有任何效果。
主题
了解 API 请求速率配额
配额分类
Amazon Cognito 为 API 操作设置了最大请求速率。有关 Amazon Cognito 提供的 API 操作的更多信息,请参阅 Amazon Cognito API 参考,对于用户群体,这些操作分为几个常见使用案例类别,例如 UserAuthentication 或 UserCreation。有关按类别列出的 API 操作列表,请参阅Amazon Cognito 用户池 API 操作类别和请求速率配额。您可以在 Service Quotas 控制台
操作限额定义如下:某类别内所有操作的每秒最大请求数 (RPS)。Amazon Cognito 用户池服务将配额应用于每个类别下的所有操作。例如,类别 UserCreation,包括四项操作:SignUp、ConfirmSignUp、AdminCreateUser 和 AdminConfirmSignUp。该类别分配有组合配额 50 RPS。如果多个操作同时发生,此类别中的每个操作最多可以单独调用 50 RPS,也可以组合调用。
类别配额仅适用于用户群体。Amazon Cognito 将每个身份池配额应用于单个操作。对于按类别和按操作的请求速率配额,Amazon 将来自所有用户群体或身份池的所有请求汇总到在一个 Amazon Web Services 区域 的您的 Amazon Web Services 账户 中。
使用特殊请求速率处理 Amazon Cognito 用户池 API 操作
操作配额针对组合请求总数在类别级别进行衡量和实施,但 AdminRespondToAuthChallenge 和 RespondToAuthChallenge 操作除外,在这两个操作中,将应用特殊处理规则。
UserAuthentication 类别包括四项操作:AdminInitiateAuth、InitiateAuth、AdminRespondToAuthChallenge 和 RespondToAuthChallenge。InitiateAuth 和 AdminInitiateAuth 操作按照类别配额进行衡量和执行。匹配的 RespondToAuthChallenge 和 AdminRespondToAuthChallenge 操作需依据单独的配额,该配额是 UserAuthentication 类别限制的三倍。此提升的配额适应开发人员应用程序中设置的多重身份验证质询。此配额足以涵盖大多数使用案例。如果超出每次身份验证调用三倍的阈值,超出率会计入 UserAuthentication 类别限额。
例如,如果 UserAuthentication 类别的配额为 80 RPS,您可以调用 RespondToAuthChallenge 或 AdminRespondToAuthChallenge 最多 240 RPS(80 RPS x 3)。如果将应用程序设置为每次身份验证调用有四轮质询,并且您每秒有 70 次登录,则 RespondToAuthChallenge 总数为 280 RPS(70 x 4),比配额高出 40 RPS。将额外的 40 RPS 添加到 70 个 InitiateAuth 调用,使 UserAuthentication 类别的总使用量为 110 RPS(40 + 70)。该值比设置为 80 RPS 的类别配额多出 30 RPS,因此该应用程序受限。
Monthly active users (月活跃用户数)
月活跃用户(MAU)是计算 Amazon Cognito 用户池账单的基准。MAU 还用于确定您的用户池是否符合增加配额资格。如果在一个日历月内有与该用户相关的身份操作,例如注册、登录、令牌刷新、密码更改或用户账户属性更新,则该用户将被计为 MAU。对于您采取旨在停用或删除用户或其属性的操作的月份,Amazon Cognito 也会将用户计为活跃用户。
管理 API 请求速率配额
确定配额要求
如果您增加例如 UserAuthentication、UserCreation 或 AccountRecovery 等类别的 Amazon Cognito 配额,您可能需要增加其它服务的配额。例如,如果这些服务的请求率配额不足,Amazon Cognito 使用 Amazon Simple Notification Service(Amazon SNS)或 Amazon Simple Email Service(Amazon SES)发送的邮件可能会发送失败。
要计算配额要求,请确定在特定时间段内将与您的应用程序交互的活跃用户数。例如,如果您的应用程序预计在八小时内平均有 100 万个活跃用户登录,则您必须平均每秒对 35 个用户进行身份验证。
此外,如果您假设平均用户会话为两个小时,并且令牌配置为在一个小时后过期,则每个用户必须在此会话期间刷新其令牌一次。为支持此负载,UserAuthentication 类别所需的平均配额为 70 RPS。
如果考虑八小时内用户登录频率的变化,假设峰值与平均值比率为 3:1,则所需的 UserAuthentication 配额为 200 RPS。
如果您为每个用户操作调用多个操作,则必须在类别级别对各个操作调用速率进行求和。
优化配额
请按照以下方法之一处理峰值调用速率。
- 在回退等待期之后重试尝试
-
您可以在每次 API 调用时捕获错误,然后在回退期之后重试尝试。您可以根据业务需求和负载调整回退算法。Amazon SDK 具有内置重试逻辑。有关更多信息,请参阅用于在 Amazon 上进行构建的工具
。 - 使用外部数据库处理频繁更新的属性
-
如果您的应用程序需要对用户池进行多次调用以读取或写入自定义属性,可使用外部存储。您可以使用首选数据库存储自定义属性,也可以在登录期间使用缓存层来加载用户配置文件。您可以在需要时从缓存中引用此配置文件,而无需从用户池重新加载用户配置文件。
- 在客户端验证 JWT 令牌
-
应用程序必须在信任 JWT 令牌之前验证这些令牌。您可以在客户端验证令牌的签名和有效性,而无需向用户池发送 API 调用。验证令牌后,您可以信任令牌中的陈述并使用陈述,而不是执行更多
getUserAPI 调用。有关更多信息,请参阅 验证 JSON Web 令牌。 - 使用等候室限制 Web 应用程序的流量
-
如果您预计在有时限的活动(例如参加考试或参加实时活动)期间会有大量用户登录,则可以使用自我限制机制优化请求流量。例如,您可以设置一个等候室,用户可以在其中等待直到会话可用,从而允许您在有可用容量时处理请求。请参阅 Amazon 虚拟等候室解决方案
以获取等候室的参考架构。
跟踪配额使用量
Amazon Cognito 为每个 API 操作类别生成账户级别的 Amazon CloudWatch 中的 CallCount 和 ThrottleCount 指标。您可以使用 CallCount 跟踪客户发出的与类别相关的调用总数。您可以使用 ThrottleCount 跟踪与类别相关的节流调用总数。您可以使用 CallCount 和 ThrottleCount 指标以及 Sum 统计数据计算类别中的调用总数。有关更多信息,请参阅 CloudWatch 使用情况指标。
监控服务配额时,utilization(利用率)是使用中的服务配额的百分比。例如,如果配额值为 200 个资源,正在使用 150 个资源,则利用率为 75%。Usage(使用量)是指服务配额中正在使用的资源或操作的数量。
通过 CloudWatch 指标跟踪使用量
您可以使用 CloudWatch 跟踪和收集 Amazon Cognito 用户池利用率指标。CloudWatch 控制面板将显示您所使用的每个 Amazon Web Service 的指标。借助 CloudWatch,您可以创建指标告警以通知您或更改您正在监控的特定资源。有关 CloudWatch 使用量指标的更多信息,请参阅跟踪您的 CloudWatch 使用量指标。
通过 Service Quotas 指标跟踪利用率
Amazon Cognito 用户池已与 Service Quotas 集成,后者是一个基于浏览器的界面,可用于查看和管理您的服务配额使用量。在 Service Quotas 控制台中,您可以查找特定配额的值、查看监控信息、请求增加配额或设置 CloudWatch 告警。在您的账户处于活动状态一段时间后,您可以查看资源利用率图。
有关在 Service Quotas 控制台中查看配额的更多信息,请参阅查看 Service Quotas。
请求增加配额
Amazon Cognito 对于您可以在账户中执行的用户群体操作的最大数量具有限额。您可以在 Amazon Cognito 中请求增加可调 API 请求速率配额。要请求增加配额,请使用 Service Quotas 控制台、服务限制提高表单或 RequestServiceQuotaIncrease 或 ListAWSDefaultServiceQuotas API 操作。
-
要使用 Service Quotas 控制台请求增加配额,请参阅《Service Quotas 用户指南》中的请求增加 API 配额。
-
如果配额在 Service Quotas 中尚不可用,请使用服务限制提高表单
。
只能增加可调配额。根据当前的利用率、现有或预期的 MAU 以及优化最佳实践的实施情况来评估配额增加请求。当您提交提高限额请求时,请尽可能提供有关当前使用情况、预计使用量和优化方法的更多信息。如果限额提升会提高您的请求速率,您当前的平均请求速率应已接近当前限额的最高速率。请参阅 Amazon Cognito 用户池 API 操作类别和请求速率配额,了解有关可调配额的更多信息。
考虑一个示例场景,您的应用程序正在增长到 500 万个 MAU。您当前在 UserAuthentication 类别操作中的平均利用率很高:为 60%,或每秒 72 个请求,而当前的配额为 120 个。对于超过前 200 万个 MAU 的 300 万个 MAU 中的每一个 MAU,您可以为每秒 40 个请求申请提升 UserAuthentication 限额,从而使您的限额为每秒最多 240 个请求。
Amazon Cognito 用户池 API 操作类别和请求速率配额
由于 Amazon Cognito 的重叠 API 操作类具有不同的授权模型,因此每个操作都属于一个类别。每个类别对所有成员 API 操作都有自己的共同使用配额,跨您账户中一个 Amazon Web Services 区域 的所有用户群体。您只能请求提升可调整类别配额。有关更多信息,请参阅请求增加配额。配额调整适用于您的账户在单个区域中的用户群体。对于每个用户群体,Amazon Cognito 将某些类别1 中的操作限制为每秒 5 次请求(RPS,Requests Per Second)。Default quota (RPS) [默认配额(RPS)] 还适用于账户中的所有用户群体。
每个类别的配额按每月活跃用户数(MAU,Monthly Active User)计。不超过 200 万个 MAU 的 Amazon Web Services 账户 可以在默认配额内操作。如果您的 MAU 少于 100 万,则不应请求提升配额。
类别操作配额适用于一个 Amazon Web Services 区域 的所有用户群体中的所有用户。Amazon Cognito 还为您的应用程序可以针对一个用户生成的请求数量保留了配额。您必须限制每个用户的 API 请求数,如下表所示。
Amazon Cognito 用户群体中每个用户的请求速率配额
| 运算 | 每个用户每秒操作数 |
|---|---|
| 读取用户配置文件 示例: |
10 |
| 写入用户配置文件 示例: |
10 |
您必须限制每个类别的 API 请求数,如下表所示。
Amazon Cognito 用户群体中每个类别的请求速率配额
| 类别 | 描述 | 默认配额(RPS)2 | 可调整 | 提高配额的资格3 |
|---|---|---|---|---|
UserAuthentication |
对用户进行身份验证(登录)的操作。 这些操作受使用特殊请求速率处理 Amazon Cognito 用户池 API 操作 的制约。 |
120 | 是 | 每增加 100 万个 MAU 就可获得 40 RPS |
UserCreation |
创建或确认 Amazon Cognito native user(本机用户)的操作。这是由您的 Amazon Cognito 用户池直接创建和验证的用户。 | 50 | 是 | 每增加 100 万个 MAU 就可获得 10 RPS |
UserFederationAmazon Cognito 托管式操作,用于通过第三方 IdP 将用户联合到 Cognito。 |
通过第三方身份提供商将用户联合(身份验证)到您的 Amazon Cognito 用户池的操作。 | 25 | 是 | 每增加 100 万个 MAU 就可获得 10 RPS |
UserAccountRecovery |
恢复用户账户或者更改或更新用户密码的操作。 | 30 | 否 | 不适用 |
UserRead |
从用户池中检索用户的操作。 | 120 | 是 | 每增加 100 万个 MAU 就可获得 40 RPS |
UserUpdate |
用于管理用户和用户属性的操作。 | 25 | 否 | 不适用 |
UserToken |
令牌管理的操作 | 120 | 是 | 每增加 100 万个 MAU 就可获得 40 RPS |
UserResourceRead |
从 Amazon Cognito 检索用户资源信息(如记忆设备或组成员资格)的操作。 | 50 | 是 | 每增加 100 万个 MAU 就可获得 20 RPS |
UserResourceUpdate |
用于更新用户的资源信息(如记忆设备或组成员资格)的操作。 | 25 | 否 | 不适用 |
UserList |
返回用户列表的操作。 | 30 | 否 | 不适用 |
UserPoolRead |
读取用户池的操作。 | 15 | 否 | 不适用 |
UserPoolUpdate |
创建、更新或删除用户池的操作。 | 15 | 否 | 不适用 |
UserPoolResourceRead |
从用户池中检索有关资源信息(如组或资源服务器)的操作。1 | 20 | 否 | 不适用 |
UserPoolResourceUpdate |
修改用户池中的资源(如组或资源服务器)的操作。1 | 15 | 否 | 不适用 |
UserPoolClientRead |
检索用户池客户端的相关信息的操作。1 | 15 | 否 | 不适用 |
UserPoolClientUpdate |
创建、更新和删除用户池客户端的操作。1 | 15 | 否 | 不适用 |
ClientAuthentication
|
生成用于授权计算机到计算机请求的凭证的操作 | 150 | 否 | 不适用 |
1此类别中的任何单独操作都有一项约束,阻止单个用户池以高于 5 RPS 的速率调用操作。
2所有少于 200 万个 MAU 的用户池的请求速率。
3当您拥有 100 万至 1000 万个 MAU 时,将考虑提高请求速率。根据当前利用率、现有或预期的 MAU 以及优化最佳实践的实施情况来评估限额提升请求。Amazon Cognito 保留拒绝限额提升请求的权利,以防止滥用并保护所有客户的服务可用性。如果您有 1000 万个以上的 MAU,我们建议您与 Amazon 解决方案构架师合作以针对 Amazon Cognito 配额优化的方式设计解决方案。请联系您的 Amazon 账户团队寻求帮助。
Amazon Cognito 身份池(联合身份)API 操作请求速率配额
| 运算 | 描述 | 默认配额(RPS) | 可调整 | 提高配额的资格 |
|---|---|---|---|---|
GetId |
检索身份池的身份 ID。 | 25 | 是 | 请联系您的账户团队。 |
GetOpenIdToken |
在经典工作流中从身份池中检索 OpenID 令牌。 | 200 | 是 | 请联系您的账户团队。 |
GetCredentialsForIdentity |
检索增强型工作流中的身份池的 Amazon 凭证。 | 200 | 是 | 请联系您的账户团队。 |
GetOpenIdTokenForDeveloperIdentity |
从开发人员工作流中的身份池中检索 OpenID 令牌。 | 200 | 是 | 请联系您的账户团队。 |
资源数量和大小的配额
资源配额是 Amazon Cognito 中资源、输入字段、持续时间和其他杂项功能的最大数量或大小。
您可以在 Service Quotas 控制台中或者通过提高服务限制表
在 Amazon Web Services 账户 级别的资源配额,例如每个账户的用户群体数,适用于各 Amazon Web Services 区域 中的 Amazon Cognito 资源。例如,您在美国东部(弗吉尼亚州北部)中有 1000 个用户群体,在欧洲地区(斯德哥尔摩)另外有 1000 个。
下表显示了默认资源配额以及它们是否可调整。
Amazon Cognito 用户池资源配额
| 资源 | 配额 | 可调整 | 最大配额 |
|---|---|---|---|
| 每个用户池的应用程序端 | 1000 | 是 | 10000 |
| 每个账户的用户池 | 1000 | 是 | 10000 |
| 每个用户池的身份提供商 | 300 | 是 | 1000 |
| 每个用户池的资源服务器 | 25 | 是 | 300 |
| 每个用户池的用户数 | 4000 万 | 是 | 请联系您的账户团队。 |
| 每个用户池的自定义属性 | 50 | 否 | 不适用 |
| 每个属性的字符数 | 2,048 字节 | 否 | 不适用 |
| 自定义属性名称的字符数 | 20 | 否 | 不适用 |
| 密码策略中必需的最少密码字符 | 6–99 | 否 | 不适用 |
| 按 Amazon Web Services 账户¹ 每天发送的电子邮件 | 50 | 否 | 不适用 |
| 电子邮件主题中的字符数 | 140 | 否 | 不适用 |
| 电子邮件消息中的字符数 | 20000 | 否 | 不适用 |
| SMS 验证消息中的字符数 | 140 | 否 | 不适用 |
| 密码中的字符数 | 256 | 否 | 不适用 |
| 身份提供商名称的字符数 | 40 | 否 | 不适用 |
| 每个身份提供商的标识符数 | 50 | 否 | 不适用 |
| 链接到用户的身份数 | 5 | 否 | 不适用 |
| 每个应用程序客户端的回调 URL 数 | 100 | 否 | 不适用 |
| 每个应用程序客户端的注销 URL 数 | 100 | 否 | 不适用 |
| 每个资源服务器的范围 | 100 | 否 | 不适用 |
| 每个应用程序客户端的范围 | 50 | 否 | 不适用 |
| 每个账户的自定义域 | 4 | 否 | 不适用 |
| 每个用户都可以属于的组 | 100 | 否 | 不适用 |
| 每个用户池的组数 | 10000 | 否 | 不适用 |
¹ 仅当您使用 Amazon Cognito 用户群体的原定设置电子邮件功能时,此限额才适用。要提高电子邮件送达量,请配置您的用户池以使用 Amazon SES 电子邮件配置。有关更多信息,请参阅Amazon Cognito 用户池的电子邮件设置。
Amazon Cognito 用户池会话验证参数
| 令牌 | 配额 |
|---|---|
| ID 令牌 | 5 分钟 – 1 天 |
| 刷新令牌 | 1 小时 – 3650 天 |
| 访问令牌 | 5 分钟 – 1 天 |
| 托管 UI 会话 Cookie | 1 小时 |
| 身份验证会话令牌 | 3 分钟 – 15 分钟 |
Amazon Cognito 用户群体代码安全资源限额(不可调整)
| 资源 | 配额 |
|---|---|
| 注册确认码有效期 | 24 小时 |
| 用户属性验证码有效期 | 24 小时 |
| 多重身份验证 (MFA) 代码有效期 | 3–15 分钟 |
| 忘记密码代码有效期 | 1 小时 |
每用户最大 ConfirmForgotPassword 调用数 |
每小时 5 至 20 次尝试,具体取决于风险评分 |
每用户最大 ResendConfirmationCode 调用数 |
每小时 5 次尝试次数 |
每用户最大 ConfirmSignUp 调用数 |
每小时 15 次尝试次数 |
每用户最大 ChangePassword 调用数 |
每小时 5 次尝试次数 |
每用户最大 GetUserAttributeVerificationCode 调用数 |
每小时 5 次尝试次数 |
每用户最大 VerifyUserAttribute 调用数 |
每小时 15 次尝试次数 |
Amazon Cognito 用户群体用户导入任务资源限额(不可调整)
| 资源 | 配额 |
|---|---|
| 每个用户池的用户导入任务 | 1000 |
| 每个用户导入 CSV 行的最大字符数 | 16000 |
| 最大 CSV 文件大小 | 100MB |
| 每个 CSV 文件的最大用户数 | 500,000 |
Amazon Cognito 身份池(联合身份)资源配额
| 资源 | 配额 | 可调整 | 最大配额 |
|---|---|---|---|
| 每个账户的身份池 | 1000 | 否 | 不适用 |
| 每个身份池的 Amazon Cognito 用户池提供商数 | 50 | 是 | 1000 |
| 身份池名称的字符长度 | 128 字节 | 否 | 不适用 |
| 登录提供商名称的字符长度 | 2,048 字节 | 否 | 不适用 |
| 每个身份池的身份 | 无限 | 否 | 不适用 |
| 可以为其指定角色映射的身份提供商数 | 10 | 否 | 不适用 |
| 单个列表或查找调用的结果数 | 60 | 否 | 不适用 |
| 基于角色的访问控制(RBAC)规则 | 25 | 否 | 不适用 |
Amazon Cognito Sync 资源配额
| 资源 | 配额 | 可调整 | 最大配额 |
|---|---|---|---|
| 每个身份的数据集 | 20 | 是 | 请联系您的账户团队。 |
| 每个数据集的记录数 | 1024 | 是 | 请联系您的账户团队。 |
| 单个数据集的大小 | 1MB | 是 | 请联系您的账户团队。 |
| 数据集名称的字符数 | 128 字节 | 否 | 不适用 |
| 请求成功后批量发布的等待时间 | 24 小时 | 否 | 不适用 |