Amazon Cognito 中的限额 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Cognito 中的限额

Amazon Cognito 对您可以在账户中执行的最大操作数具有默认限额,以前称为限制。Amazon Cognito 对于 Amazon Cognito 资源的最大数量和规模也具有限额。

每个 Amazon Cognito 配额表示在一个 Amazon Web Services 区域、一个 Amazon Web Services 账户中的最大请求量。例如,您的应用程序可以对美国东部(弗吉尼亚州北部)中的所有用户池,最高默认配额(RPS)速率为 UserAuthentication 操作发出 API 请求。您的应用程序在亚太地区(东京)可以对在其自己区域中的用户池生成相同数量的请求。Amazon 一次只能批准一个区域中的配额增加请求。在美国东部(弗吉尼亚州北部)成功增加限额对您在亚太地区(东京)的最大请求速率没有任何效果。

了解 API 请求速率配额

配额分类

Amazon Cognito 为 API 操作强制执行最大请求速率。有关 Amazon Cognito 提供的 API 操作的更多信息,请参阅《API 参考指南》中的用户池身份池。对于用户池,这些操作分为多个常见使用场景类别,例如 UserAuthenticationUserCreation。有关按类别列出的用户池 API 操作列表,请参阅Amazon Cognito 用户池 API 操作类别和请求速率配额

Service Quotas 控制台中,您可以按用户池和身份池类别跟踪配额使用情况。如果您的 Amazon Cognito 用户池的请求速率超过配额,则可以购买更多容量。在 Service Quotas 控制台中,您可以按类别跟踪用户池配额使用情况以及购买增加的配额。

操作限额定义如下:某类别内所有操作的每秒最大请求数(RPS)。Amazon Cognito 用户池服务将配额应用于每个类别下的所有操作。例如,类别 UserCreation,包括四项操作:SignUpConfirmSignUpAdminCreateUserAdminConfirmSignUp。该类别分配有组合配额 50 RPS。如果多个操作同时发生,此类别中的每个操作最多可以单独调用 50 RPS,也可以组合调用。

注意

类别配额仅适用于用户池。Amazon Cognito 将每个身份池配额应用于单个操作。对于按类别和按操作的请求速率配额,Amazon 会衡量您的 Amazon Web Services 账户在一个区域内的所有用户池或身份池的所有请求的聚合速率。

使用特殊请求速率处理 Amazon Cognito 用户池 API 操作

操作配额针对组合请求总数在类别级别进行衡量和实施,但 AdminRespondToAuthChallengeRespondToAuthChallenge 操作除外,在这两个操作中,将应用特殊处理规则。

UserAuthentication 类别包括 Amazon Cognito 用户池 API 中的四个操作:AdminInitiateAuthInitiateAuthAdminRespondToAuthChallengeRespondToAuthChallenge。此外,托管 UI 中的用户身份验证也会计入这个配额。InitiateAuthAdminInitiateAuth 操作按照类别配额进行衡量和执行。匹配的 RespondToAuthChallengeAdminRespondToAuthChallenge 操作需依据单独的配额,该配额是 UserAuthentication 类别限制的三倍。这个提升的配额适合您的应用程序中设置的多重身份验证质询。此配额足以涵盖大多数使用案例。在您的应用程序对身份验证质询作出最多三次响应后,其他请求将计入 UserAuthentication 类别配额。多重身份验证(MFA)设备身份验证自定义身份验证都是您可以设计到用户池中的质询提示示例。

例如,如果 UserAuthentication 类别的配额为 80 RPS,您可以按照高达 240 RPS(3 * 80 RPS)的速率调用 RespondToAuthChallengeAdminRespondToAuthChallenge。如果您的用户池每次身份验证提示进行四轮质询,并且每秒有 70 个用户登录,则总 RespondToAuthChallenge 为 280 RPS(70 x 4),比配额高出 40 RPS。将额外的 40 RPS 添加到 70 个 InitiateAuth 调用,使 UserAuthentication 类别的总使用量为 110 RPS(40 + 70)。由于此值比设置为 80 RPS 的类别配额高出 30 RPS,因此 Amazon Cognito 会限制来自您的应用程序的请求。

每月活跃用户

当 Amazon Cognito 计算用户池账单时,它会根据每个每月活跃用户(MAU)来收费。在为配额增加请求做计划时,请考虑您当前和预计的 MAU 数量。如果在一个日历月内有与该用户相关的身份操作,则该用户将计为 MAU。当您将联合用户与本地用户关联时,MAU 计数为一加 n,其中 n 是已登录的关联身份数。使用户变为活动状态的活动包括以下各项。

  • 注册和以管理员身份创建用户

  • 登录

  • 注销

  • 用户账户确认或属性验证

  • 密码重置

  • 更改用户属性、组成员资格或 MFA 首选项

  • 查询用户的详细属性

  • 用户激活、停用或删除

注意

查询用户的详细属性类别包括 API 操作 AdminGetUser,但不包括 ListUsers。在一个大用户池中,逐个用户进行详细查询会对您的 Amazon 账单产生显著影响。为避免额外收费,请使用 ListUsers 收集用户数据或将用户信息存储在外部数据库中。

管理 API 请求速率配额

确定配额要求

重要

如果您增加 UserAuthenticationUserCreationAccountRecovery 等类别的 Amazon Cognito 配额,您可能需要增加其他 Amazon Web Services 服务的配额。例如,如果这些服务的请求率配额不足,Amazon Cognito 使用 Amazon Simple Notification Service(Amazon SNS)或 Amazon Simple Email Service(Amazon SES)发送的邮件可能会发送失败。

要计算配额要求,请确定在特定时间段内将与您的应用程序交互的活跃用户数。例如,如果您的应用程序预计在八小时内平均有 100 万个活跃用户登录,则您必须平均每秒对 35 个用户进行身份验证。

此外,如果您假设平均用户会话为两个小时,并且令牌配置为在一个小时后过期,则每个用户必须在此会话期间刷新其令牌一次。为支持此负载,UserAuthentication 类别所需的平均配额为 70 RPS。

如果考虑八小时内用户登录频率的变化,假设峰值与平均值比率为 3:1,则所需的 UserAuthentication 配额为 200 RPS。

注意

如果您为每个用户操作调用多个操作,则必须在类别级别对各个操作调用速率进行求和。

优化请求速率以避免达到配额限制

由于提高 API 速率限制会增加 Amazon 账单成本,因此在请求增加配额之前,请考虑调整使用模式。以下是优化请求速率的一些应用程序架构示例。

在回退等待期之后重试尝试

您可以在每次 API 调用时捕获错误,然后在回退期之后重试尝试。您可以根据业务需求和负载调整回退算法。Amazon SDK 具有内置重试逻辑。有关更多信息,请参阅用于在 Amazon 上进行构建的工具

使用外部数据库处理频繁更新的属性

如果您的应用程序需要对用户池进行多次调用以读取或写入自定义属性,可使用外部存储。您可以使用首选数据库存储自定义属性,也可以在登录期间使用缓存层来加载用户配置文件。您可以在需要时从缓存中引用此配置文件,而无需从用户池重新加载用户配置文件。

在客户端验证 JSON Web 令牌(JWT)

应用程序必须在信任 JWT 令牌之前验证这些令牌。您可以在客户端验证令牌的签名和有效性,而无需向用户池发送 API 请求。验证令牌后,您可以信任令牌中的陈述并使用陈述,而不是执行更多 getUser API 调用。有关更多信息,请参阅 验证 JSON Web 令牌

使用等候室限制 Web 应用程序的流量

如果您预计在有时限的活动(例如参加考试或参加实时活动)期间会有大量用户登录,则可以使用自我限制机制优化请求流量。例如,您可以设置一个等候室,用户可以在其中等待直到会话可用,从而允许您在有可用容量时处理请求。请参阅 Amazon 虚拟等候室解决方案以获取等候室的参考架构。

缓存 JWT

在访问令牌过期前重用令牌。有关在 API Gateway 中使用令牌缓存的框架示例,请参阅管理用户池令牌到期和缓存。与其生成 API 请求来查询用户信息,不如在 ID 令牌到期前先缓存令牌,然后从缓存中读取用户属性。

有关在 Amazon 中使用 API 请求速率的更多信息,请参阅 Managing and monitoring API throttling in your workloads。若要了解如何优化会在 Amazon 账单中增加费用的 Amazon Cognito 操作,请参阅管理 成本

跟踪配额使用量

Amazon Cognito 为每个 API 操作类别生成账户级别的 Amazon CloudWatch 中的 CallCountThrottleCount 指标。您可以使用 CallCount 跟踪客户发出的与类别相关的调用总数。您可以使用 ThrottleCount 跟踪与类别相关的节流调用总数。您可以使用 CallCountThrottleCount 指标以及 Sum 统计数据计算类别中的调用总数。有关更多信息,请参阅 CloudWatch 使用情况指标

监控服务配额时,利用率是使用中的服务配额的百分比。例如,如果配额值为 200 个资源,正在使用 150 个资源,则利用率为 75%。使用量是指服务配额中正在使用的资源或操作的数量。

通过 CloudWatch 指标跟踪使用量

您可以使用 CloudWatch 跟踪和收集 Amazon Cognito 用户池利用率指标。CloudWatch 控制面板将显示您所使用的每个 Amazon Web Services 服务 的指标。借助 CloudWatch,您可以创建指标告警以通知您或更改您正在监控的特定资源。有关 CloudWatch 使用量指标的更多信息,请参阅跟踪您的 CloudWatch 使用量指标

通过 Service Quotas 指标跟踪利用率

Amazon Cognito 用户池已与 Service Quotas 集成,Service Quotas 是一个控制台界面,可用于显示和管理您的服务配额使用量。在 Service Quotas 控制台中,您可以查找特定配额的值、查看监控信息、请求增加配额或设置 CloudWatch 告警。在您的账户处于活动状态一段时间后,您可以查看资源利用率图。

Service Quotas 控制台中适用于 Amazon Cognito 用户池Amazon Cognito 身份池已应用的账户级别配额值列显示您的当前配额。利用率列显示您当前的配额使用率。可调整的 Amazon Cognito 用户池每秒请求数(RPS)配额显示其当前使用量。Service Quotas 控制台还可以引导您查看 CloudWatch 指标,以便更详细地查看选定的配额指标。有关在 Service Quotas 控制台中查看配额的更多信息,请参阅查看 Service Quotas

跟踪每月活跃用户(MAU)

用户池中的每月活跃用户(MAU)数量为您规划请求速率配额的增加提供了重要的数据。您可以将您的 API 请求速率与您在给定时间段内的活跃用户数量进行比较。有了这些信息,您就可以计算出应用程序活跃用户的增加将如何影响使用模型中的配额。例如,假设您在美国西部(俄勒冈州)的合并应用程序在一个月内产生了 200 万个活跃用户,而您的 UserAuthentication 类别在默认的每秒 120 次请求(RPS)配额下,偶尔出现了限流错误。在成功的广告活动之前的上个月,您有 100 万个 MAU,并且您的应用程序请求从未超过 80 RPS。如果您预计新的电视广告会导致出现类似的流量激增,则可能需要额外购买 40 RPS 的配额,使调整后的配额为 160 RPS,从而可容纳下一个百万用户。

查看您的 MAU

访问 Amazon Billing 控制台并查看最近的账单。在按服务计费下,您可以筛选 Cognito 以查看该账单周期的 MAU 明细。

请求提高限额

Amazon Cognito 对于每秒可在每个 Amazon Web Services 区域 的用户池和身份池中执行的最大操作数有一个限额。您可以购买额外的配额来增加可调整 Amazon Cognito 用户池 API 请求速率配额。查看您当前的配额,然后通过 Service Quotas 控制台或通过 Service Quotas API 操作 ListAWSDefaultServiceQuotasRequestServiceQuotaIncrease 购买增量配额。

  • 要使用 Service Quotas 控制台购买增量配额,请参阅《Service Quotas 用户指南》中的请求增加 API 配额

  • Amazon 目标是在 10 天内完成配额增加请求。然而,一些因素可能导致请求处理时间超过 10 天。例如,某些请求可能要求 Amazon Cognito 预配置额外的硬件容量,而请求量的季节性增加可能会导致延迟。

  • 如果配额在 Service Quotas 中尚不可用,请使用服务限制提高表单

重要

只能增加可调配额。您必须购买增加的配额容量。有关提高配额的定价,请参阅 Amazon Cognito 定价

Amazon Cognito 用户池 API 操作类别和请求速率配额

由于 Amazon Cognito 的重叠 API 操作类具有不同的授权模型,因此每个操作都属于一个类别。每个类别对所有成员 API 操作都有自己的共同使用配额,跨您账户中一个 Amazon Web Services 区域 的所有用户池。您只能请求提升可调整类别配额。有关更多信息,请参阅 请求提高限额。配额调整适用于您的账户在单个区域中的用户池。对于每个用户池,Amazon Cognito 将某些类别3中的操作限制为每秒 5 次请求(RPS)。默认配额(RPS)还适用于 Amazon Web Services 账户中的所有用户池。

注意

每个类别的配额按每月活跃用户数(MAU)计。不超过 200 万个 MAU 的 Amazon Web Services 账户 可以在默认配额内操作。如果您的 MAU 少于一百万,并且 Amazon Cognito 正在限制请求速率,请考虑优化您的应用程序。有关更多信息,请参阅 优化请求速率以避免达到配额限制

类别操作配额适用于一个 Amazon Web Services 区域 的所有用户池中的所有用户。Amazon Cognito 还为您的应用程序可以针对一个用户生成的请求数量保留了配额。您必须限制每个用户的 API 请求数,如下表所示。

Amazon Cognito 用户池中每个用户的请求速率配额

操作 每个用户每秒操作数
读取用户配置文件

示例:GetUserGetDeviceInitiateAuthRespondToAuthChallenge

10
写入用户配置文件

示例:UpdateUserAttributesSetUserSettings

10

您必须限制每个类别的 API 请求数,如下表所示。

Amazon Cognito 用户池中每个类别的请求速率配额

类别 描述 默认配额(RPS) 可调整
UserAuthentication 对用户进行身份验证(登录)的操作。

这些操作受使用特殊请求速率处理 Amazon Cognito 用户池 API 操作 的制约。

120
UserCreation 用于创建或确认 Amazon Cognito 本地用户的操作。这是由您的 Amazon Cognito 用户池直接创建和验证的用户。 50 可以
UserFederation

通过第三方身份提供商将用户联合(身份验证)到您的 Amazon Cognito 用户池的操作。

向用户池联合身份验证端点提交 IdP 响应的操作。生成 IdP 令牌的 OIDC 或社交服务提供商操作以及所有 SAML 请求一起构成此限额。 25
UserAccountRecovery 恢复用户账户或者更改或更新用户密码的操作。 30
UserRead 从用户池中检索用户的操作。 120
UserUpdate 用于管理用户和用户属性的操作。 25
UserToken 令牌管理的操作 120
UserResourceRead 从 Amazon Cognito 检索用户资源信息(如记忆设备或组成员资格)的操作。 50 可以
UserResourceUpdate 用于更新用户的资源信息(如记忆设备或组成员资格)的操作。 25
UserList 返回用户列表的操作。 30
UserPoolRead 读取用户池的操作。 15
UserPoolUpdate 创建、更新或删除用户池的操作。 15
UserPoolResourceRead 从用户池中检索有关资源信息(如组或资源服务器)的操作。3 20
UserPoolResourceUpdate 修改用户池中的资源(如组或资源服务器)的操作。3 15
UserPoolClientRead 检索用户池客户端的相关信息的操作。3 15
UserPoolClientUpdate 创建、更新和删除用户池客户端的操作。3 15
ClientAuthentication

client_credentials 向令牌端点发出授权类型请求。

生成用于授权计算机到计算机请求的凭证的操作 150

1 ChallengeNameNEW_PASSWORD_REQUIREDRespondToAuthChallengeAdminRespondToAuthChallenge 响应计入 UserAccountRecovery 类别。所有其他质询响应计入 UserAuthentication 类别。

2 登录期间的每个托管 UI 操作都会为配额贡献一个请求。例如,登录并提供 MFA 代码的用户贡献 2 个请求。授权码授予中的令牌兑换会受到额外配额分配的限制,该配额分配的速率与您在 UserAuthentication 类别中的配额速率相同。

3 此类别中的任何单独操作都有一项约束,阻止单个用户池以高于 5 RPS 的速率调用操作。

Amazon Cognito 身份池(联合身份)API 操作请求速率配额

操作 描述 默认配额(RPS)1 可调整 提高配额的资格
GetId 检索身份池的身份 ID。 25 请联系您的账户团队。
GetOpenIdToken 在经典工作流中从身份池中检索 OpenID 令牌。 200 请联系您的账户团队。
GetCredentialsForIdentity 检索增强型工作流中的身份池的 Amazon 凭证。 200 请联系您的账户团队。
GetOpenIdTokenForDeveloperIdentity 从开发人员工作流中的身份池中检索 OpenID 令牌。 50 可以 请联系您的账户团队。
ListIdentities 检索身份池中的身份 ID 列表。 5 请联系您的账户团队。
DeleteIdentities 从身份池中删除一个或多个注册的身份。 10 请联系您的账户团队。
TagResource 将标签应用于身份池。 5 请联系您的账户团队。
UntagResource 从身份池中移除标签。 5 请联系您的账户团队。
ListTagsForResource 显示应用于身份池的标签列表。 10 请联系您的账户团队。

1 默认配额是您的 Amazon Web Services 账户 中任意 Amazon Web Services 区域 的身份池的最小请求速率配额。在某些区域,您的 RPS 配额可能会更高。

资源数量和大小的配额

资源配额是 Amazon Cognito 中资源、输入字段、持续时间和其他杂项特征的最大数量或大小。

您可以在 Service Quotas 控制台中或者通过提高服务限制表调整某些资源配额。要通过 Service Quotas 控制台请求增加配额,请参阅《Service Quotas 用户指南》中的请求增加配额。如果配额在 Service Quotas 中尚不可用,请使用服务限制提高表单

注意

Amazon Web Services 账户级别的资源限额(如每个区域的用户池数)适用于每个 Amazon Web Services 区域中的 Amazon Cognito 资源。例如,您在美国东部(弗吉尼亚州北部)中有 1000 个用户池,在欧洲地区(斯德哥尔摩)另外有 1000 个。

下表显示了默认资源配额以及它们是否可调整。

Amazon Cognito 用户池资源配额

资源 限额 可调整 最大配额
每个用户池的应用程序端 1000 10000
每个区域的用户池数 1000 10000
每个用户池的身份提供商 300 1000
每个用户池的资源服务器 25 300
每个用户池的用户数 40000000 请联系您的账户团队。
令牌生成前 Lambda 触发器中的合并更改总数1 5000 请联系您的账户团队。
每个用户池的自定义属性 50 不可以 不适用
每个属性的字符数 2,048 字节 不适用
自定义属性名称的字符数 20 不适用
密码策略中必需的最少密码字符 6–99 不适用
每 Amazon Web Services 账户每天发送的电子邮件数2 50 不可以 不适用
电子邮件主题中的字符数 140 不适用
电子邮件消息中的字符数 20000 不适用
SMS 验证消息中的字符数 140 不适用
密码中的字符数 256 不适用
身份提供商名称的字符数 32 不适用
每个身份提供商的标识符数 50 不可以 不适用
链接到用户的身份数 5 不适用
每个应用程序客户端的回调 URL 数 100 不适用
每个应用程序客户端的注销 URL 数 100 不适用
每个资源服务器的范围 100 不适用
每个应用程序客户端的范围 50 不可以 不适用
每个账户的自定义域 4 不适用
每个用户都可以属于的组 100 不适用
每个用户池的组数 10000 不适用

1 来自 令牌生成前 Lambda 触发器 的令牌可能会遇到此限额。一个事务中的访问令牌和身份令牌中现有和已添加的声明数量以及范围数量加起来必须小于或等于此配额。被隐藏的声明和范围不计入此限额。

2 仅当您使用 Amazon Cognito 用户池的默认电子邮件功能时,此限额才适用。要提高电子邮件发送量,请配置您的用户池以使用 Amazon SES 电子邮件配置。有关更多信息,请参阅 Amazon Cognito 用户池的电子邮件设置

Amazon Cognito 用户池会话验证参数

令牌 限额
ID 令牌 5 分钟 – 1 天
刷新令牌 1 小时 – 3650 天
访问令牌 5 分钟 – 1 天
托管 UI 会话 Cookie 1 小时
身份验证会话令牌 3 分钟 – 15 分钟

Amazon Cognito 用户池代码安全资源限额(不可调整)

资源 限额
注册确认码有效期 24 小时
用户属性验证码有效期 24 小时
多重身份验证(MFA)代码有效期 3–15 分钟
忘记密码代码有效期 1 小时
每位用户每小时的最大 ConfirmForgotPasswordForgotPassword 请求数1 5–20
每位用户每小时的最大 ResendConfirmationCode 请求数 5
每位用户每小时的最大 ConfirmSignUp 请求数 15
每位用户每小时的最大 ChangePassword 请求数 5
每位用户每小时的最大 GetUserAttributeVerificationCode 请求数 5
每位用户每小时的最大 VerifyUserAttribute 请求数 15

1 Amazon Cognito 会评估更新密码请求中的风险因素,然后分配一个与评估的风险等级相关的配额。有关更多信息,请参阅 忘记密码行为

Amazon Cognito 用户池用户导入任务资源限额

资源 限额 可调整 最大配额
每个用户池的用户导入任务 1000 请联系您的账户团队。
每个用户导入 CSV 行的最大字符数 16000 不适用
最大 CSV 文件大小 100 MB 不适用
每个 CSV 文件的最大用户数 500,000 不适用

Amazon Cognito 身份池(联合身份)资源配额

资源 限额 可调整 最大配额
每个账户的身份池 1000 不适用
每个身份池的 Amazon Cognito 用户池提供商数 50 可以 1000
身份池名称的字符长度 128 字节 不适用
登录提供商名称的字符长度 2,048 字节 不适用
每个身份池的身份 无限制 不适用
可以为其指定角色映射的身份提供商数 10 不适用
单个列表或查找调用的结果数 60 不适用
基于角色的访问控制(RBAC)规则 25 不适用

Amazon Cognito Sync 资源配额

资源 限额 可调整 最大配额
每个身份的数据集 20 请联系您的账户团队。
每个数据集的记录数 1024 请联系您的账户团队。
单个数据集的大小 1 MB 请联系您的账户团队。
数据集名称的字符数 128 字节 不适用
请求成功后批量发布的等待时间 24 小时 不适用