本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Verified Permissions 的配额
您的每项 Amazon 服务 Amazon Web Services 账户 都有默认配额,以前称为限制。除非另有说明,否则每个配额都是 Region-specific。您可以请求增加某些配额,但其他一些配额无法增加。
要查看 Verified Permissions 的配额,请打开 Service Quotas 控制台
要请求提高配额,请参阅《Service Quotas 用户指南》中的请求提高配额。如果限额在服务限额中尚不可用,请使用提高限制表格
您 Amazon Web Services 账户 有以下与已验证权限相关的配额。
资源配额
| Name | 默认值 | 可调整 | 说明 |
|---|---|---|---|
| 每个账户在每个区域的策略存储数 | 每个支持的区域:30,000 | 是 |
策略存储的最大数量。 |
| 每个策略存储的策略模板 | 每个受支持的区域:40 个 | 是 |
一个策略存储中策略模板的最大数量。 |
| 每个策略存储的身份来源数 | 1 | 否 | 您可以为一个策略存储定义的身份来源最大数量。 |
| 每个策略存储区的策略存储别名 | 10 | 是 | 您可以与单个策略存储关联的最大策略存储别名数。 |
| 授权请求大小¹ | 1MB | 否 | 授权请求的最大大小。 |
| 保单规模 | 10000 字节 | 是 | 单个策略的最大大小。 |
| 架构大小 | 100000 字节 | 是 | 策略存储区架构的最大大小。 |
| 每个策略存储架构的命名空间 | 100 | 是 | 您可以在策略存储架构中定义的最大命名空间数。 |
| 每个资源的策略大小 | 200,000 个字节² | 是 | 引用特定资源的所有策略的最大大小。 |
¹ IsAuthorized和的授权请求配额相同IsAuthorizedWithToken。
² 适用于单个资源的所有策略的总大小默认限制为 200,000 字节。同样,默认情况下,所有策略的总大小限制为 200,000 字节,其中范围未定义资源,因此适用于所有资源。请注意,对于模板关联策略,策略模板的大小仅计算一次,再加上用于实例化每个模板关联策略的每组参数的大小。如果您的策略设计满足某些限制,则可以提高此限制。如果您需要探索此选项,请联系 Amazon Web Services 支持
Template-linked 策略规模示例
您可以通过计算委托人和资源长度的总和来确定模板关联策略如何影响每个资源配额的策略大小。如果未指定主体或资源,则该部分的长度为 0。如果未指定资源,则其大小将计入"unspecified"资源配额。模板正文本身的大小对策略大小没有影响。
让我们来看看下面的模板:
@id("template1") permit ( principal in ?principal, action in [Action::"view", Action::"comment"], resource in ?resource ) unless { resource.tag =="private" };
让我们根据该模板创建以下策略:
TemplateLinkedPolicy { policyId: "policy1", templateId: "template1", principal: User::"alice", resource: Photo::"car.jpg" } TemplateLinkedPolicy { policyId: "policy2", templateId: "template1", principal: User::"bob", resource: Photo::"boat.jpg" } TemplateLinkedPolicy { policyId: "policy3", templateId: "template1", principal: User::"jane", resource: Photo::"car.jpg" TemplateLinkedPolicy { policyId: "policy4", templateId: "template1", principal: User::"jane", resource }
现在,让我们通过计算principal和resource中每个策略的字符来计算这些策略的大小。每个字符计为 1 个字节。
的大小policy1将是主体的长度 User::"alice" (13) 加上资源的长度 Photo::"car.jpg" (16)。将它们加起来我们有 13 + 16 = 29 字节。
的大小policy2将是主体的长度 User::"bob" (11) 加上资源的长度 Photo::"boat.jpg" (17)。将它们加起来我们有 11 + 17 = 28 个字节。
的大小policy3将是主体的长度 User::"jane" (12) 加上资源的长度 Photo::"car.jpg" (16)。将它们加起来我们有 12 + 16 = 28 个字节。
的大小policy4将是主体的长度 User::"jane" (12) 加上资源的长度 (0)。将它们加起来我们有 12 + 0 = 12 个字节。
由于policy2是引用资源的唯一策略Photo::"boat.jpg",因此资源总大小为 28 字节。
由于policy1policy3两者都引用资源Photo::"car.jpg",因此资源总大小为 29 + 28 = 57 字节。
由于policy4是引用资源的唯一策略,因此"unspecified"资源总大小为 12 字节。
层次结构的配额
注意
以下配额是汇总的,这意味着它们是相加在一起的。该群组中可传递父母的最大数量就是所列数字。例如,如果每位校长的传递父母限制为100,则意味着可能有100名校长的父母,0名家长负责行为和资源,或者任何父母的组合加起来为100名父母。
| Name | 默认值 | 可调整 | 说明 |
|---|---|---|---|
| 每个主体的可传递父项数 | 100 | 否 | 每个主体可传递父项的最大数量。 |
| 每项操作可传递的父项数 | 100 | 否 | 每项操作可传递父项的最大数量。 |
| 每个资源的可传递父项数 | 100 | 否 | 每个资源可传递父项的最大数量。 |
下图说明了如何为实体(主体、操作或资源)定义可传递父项。
每秒操作配额
Amazon Web Services 区域 当应用程序请求超过 API 操作的配额时,经过验证的权限会限制对服务端点的请求。当您超过每秒请求数的配额或尝试同步写入操作时,已验证权限可能会返回异常。您可以在 Service Quotas 中查看您当前的 RPS 配额
| Name | 默认值 | 可调整 | 说明 |
|---|---|---|---|
| BatchGetPolicy 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 BatchGetPolicy 请求数。 |
| BatchIsAuthorized 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:30 个 | 是 |
每个策略存储每秒的最大 BatchIsAuthorized 请求数。 |
| BatchIsAuthorizedWithToken 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:30 个 | 是 |
每个策略存储每秒的最大 BatchIsAuthorizedWithToken 请求数。 |
| CreateIdentitySource 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:1 个 | 是 |
每个策略存储每秒的最大 CreateIdentitySource 请求数。 |
| CreatePolicy 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 CreatePolicy 请求数。 |
| CreatePolicyStore 每个账户每个区域的每秒请求数 | 每个受支持的区域:1 个 | 否 | 每秒的最大 CreatePolicyStore 请求数。 |
| CreatePolicyTemplate 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 CreatePolicyTemplate 请求数。 |
| DeleteIdentitySource 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:1 个 | 是 |
每个策略存储每秒的最大 DeleteIdentitySource 请求数。 |
| DeletePolicy 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 DeletePolicy 请求数。 |
| DeletePolicyStore 每个账户每个区域的每秒请求数 | 每个受支持的区域:1 个 | 否 | 每秒的最大 DeletePolicyStore 请求数。 |
| DeletePolicyTemplate 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 DeletePolicyTemplate 请求数。 |
| GetIdentitySource 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 GetIdentitySource 请求数。 |
| GetPolicy 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 GetPolicy 请求数。 |
| GetPolicyStore 每个账户每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每秒的最大 GetPolicyStore 请求数。 |
| GetPolicyTemplate 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 GetPolicyTemplate 请求数。 |
| GetSchema 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 GetSchema 请求数。 |
| IsAuthorized 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:200 个 | 是 |
每个策略存储每秒的最大 IsAuthorized 请求数。 |
| IsAuthorizedWithToken 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:200 个 | 是 |
每个策略存储每秒的最大 IsAuthorizedWithToken 请求数。 |
| ListIdentitySources 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 ListIdentitySources 请求数。 |
| ListPolicies 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 ListPolicies 请求数。 |
| ListPolicyStores 每个账户每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每秒的最大 ListPolicyStores 请求数。 |
| ListPolicyTemplates 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 ListPolicyTemplates 请求数。 |
| PutSchema 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 PutSchema 请求数。 |
| UpdateIdentitySource 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:1 个 | 是 |
每个策略存储每秒的最大 UpdateIdentitySource 请求数。 |
| UpdatePolicy 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 UpdatePolicy 请求数。 |
| UpdatePolicyStore 每个账户每个区域的每秒请求数 | 每个受支持的区域:10 个 | 否 | 每秒的最大 UpdatePolicyStore 请求数。 |
| UpdatePolicyTemplate 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | 是 |
每个策略存储每秒的最大 UpdatePolicyTemplate 请求数。 |