アプリケーションクォータ AWS アカウントクォータ Active Directory のクォータ IAM Identity Center Identity Store クォータ IAM Identity Center のスロットル制限 OIDC サービスリクエストのクォータ追加のクォータ

IAM アイデンティティセンターのクォータと制限

次の表では、IAM Identity Center 内のクォータについて説明します。クォータの増額リクエストは、管理者アカウントまたは委任管理者アカウントから行う必要があります。クォータの増加をリクエストするには、「クォータ増加のリクエスト」を参照してください。

注記

50,000 人を超えるユーザー、10,000 以上のグループ、または 500 を超えるアクセス許可セットがある場合は、 AWS CLI と API を使用して IAM アイデンティティセンターを管理することをお勧めします。CLI の詳細については、CLI AWS と IAM Identity Center の統合を参照してください。API の詳細については、「Welcome to the IAM Identity Center API Reference」参照してください。

アプリケーションクォータ

[リソース]	デフォルトのクォータ	引き上げ可能
サービスプロバイダーの SAML 証明書のファイルサイズ (PEM 形式)	2 KB	なし
SAML アサーション制限	50,000 文字	なし
IAM アイデンティティセンターにアップロードされる IdP 証明書のファイルサイズ制限	UTF-8 で 2500 文字	なし
アプリケーションごとのアクセススコープ	25	不可

AWS アカウントクォータ

[リソース]	デフォルトのクォータ	引き上げ可能
IAM Identity Center で許可される許可セット数	3500	はい
ごとに許可されるプロビジョニングされたアクセス許可セットの数 AWS アカウント	500	はい
アクセス権限セットあたりのインラインポリシーの数	1	不可
アクセス許可セットあたりの AWS 管理ポリシーとカスタマー管理ポリシーの数	20¹	不可
アクセス権限セットあたりのインラインポリシーの最大サイズ	32,768 バイト権限セットごとのインラインポリシー内の空白以外の文字の最大サイズは 10,240 バイトです。	不可
で一度に更新 AWS アカウントできる IAM ロール (アクセス許可セット) の数	1	不可

¹AWS Identity and Access Management (IAM) は、ロールごとに 10 の管理ポリシーのクォータを設定します。このクォータを活用するには、アクセス許可セットをデプロイ AWS アカウントする各について、Service Quotas コンソールの IAM ロールにアタッチされた IAM クォータ管理ポリシーの引き上げをリクエストします。

注記

アクセス許可セット AWS アカウントを使用してを管理するは IAM ロール AWS アカウントとしてにプロビジョニングされるか、で既存の IAM ロールを使用するため AWS アカウント、IAM クォータに従います。IAM ロールに関する IAM クォータの詳細については、「IAM と STS クォータ」を参照してください。

Active Directory のクォータ

[リソース]	デフォルトのクォータ	引き上げ可能
一度に実現できる接続ディレクトリの数	1	不可

IAM Identity Center Identity Store クォータ

[リソース]	デフォルトのクォータ	引き上げ可能
IAM Identity Center でサポートされるユーザーの数	200000	はい
IAM Identity Center でサポートされるグループの数	100000	はい
ユーザーの許可を評価するために使用できる一意のグループの数	1,000	不可

IAM Identity Center のスロットル制限

[リソース]	デフォルトのクォータ
IAM Identity Center API	IAM Identity Center APIs の集合スロットル制限は、1 秒あたり 20 トランザクション (TPS) です。サポートケースを開いて、制限の引き上げをリクエストできます。CreateAccountAssignment API には、未処理の非同期呼び出しが 15 件に制限されています。この制限を増やすことはできません。
Identity Store API	Identity Store APIsのスロットリング制限は、API あたり 1 秒あたり 20 トランザクション (TPS) です。この制限は Identity Store インスタンスごとに適用されます。サポートケースを開いて、制限の引き上げをリクエストできます。
SCIM API	SCIM APIsのスロットリング制限は、書き込み API では 25 トランザクション/秒 (TPS)APIs では 40 TPS APIs。これらの制限は Identity Store インスタンスごとに適用されます。サポートケースを開いて、制限の引き上げをリクエストできます。

IAM Identity Center インスタンスが複数ので有効になっている場合 AWS リージョン、スロットリング制限は有効になっている各リージョンに等しく適用されます。たとえば、有効な各リージョンの Identity Store APIs には 20 TPS のスロットル制限があります。追加のリージョンで使用できる API オペレーションの詳細については、対応する表を参照してください。

OIDC サービスリクエストのクォータ

[リソース]	デフォルト値 (1 秒あたりのリクエスト)	引き上げ可能
パブリック OAuth クライアントを登録するリモートアドレスからのリクエストレート適用先: RegisterClient	20	はい
OIDC サービスに登録されたパブリッククライアントからのリクエストレート適用先: CreateToken、StartDeviceAuthorization	80	はい
同じ IAM アイデンティティセンターインスタンスに登録されているすべてのパブリッククライアントからのリクエストレート適用先: CreateToken	250	はい
IAM アイデンティティセンターインスタンスに登録された IAM アイデンティティセンターアプリケーションからのリクエストレート適用先: CreateTokenWithIAM	80	はい
同じ IAM アイデンティティセンターインスタンスに登録されているすべての IAM アイデンティティセンターアプリケーションによる、JWT ベアラー認可方式でのトークン生成レート適用先: CreateTokenWithIAM	10	AWS サポートへのお問い合わせ

IAM Identity Center インスタンスが複数ので有効になっている場合 AWS リージョン、上記のリクエストレートは有効な各リージョンに等しく適用されます。たとえば、リモートアドレスからパブリック OAuth クライアントを登録するために許可されるリクエストレートが 1 秒あたり 20 リクエストの場合、このスループットは有効な各リージョンで使用できます。追加のリージョンで使用できる API オペレーションの詳細については、対応する表を参照してください。

追加のクォータ

[リソース]	デフォルトのクォータ	引き上げ可能
設定できる AWS アカウントまたはアプリケーションの総数 * **	3000	はい
IAM アイデンティティセンターのアカウントごとの合計インスタンス数	1	不可
信頼できるトークン発行者の総数	10	不可
ごとのアクセス許可セット AWS アカウント、またはアプリケーションに割り当てることができるグループの総数	100	不可
1 つの IAM Identity Center インスタンスで AWS リージョン有効になっているの合計数	3	はい

* 例えば、2,750 個のアカウントと 250 個のアプリケーションを設定し、合計 3,000 個のアカウントとアプリケーションを設定することができます。

** ProvisionPermissionSet API オペレーションは、オプション ALL_PROVISIONED_ACCOUNTS を使用してアクセス許可セットを最大 3500 AWS アカウントにプロビジョニングできます。アクセス許可セットを 3500 を超える AWS アカウントにプロビジョニングする必要がある場合は、AWS_ACCOUNT オプションで ProvisionPermissionSet API オペレーションを使用できます。これにより、アクセス許可セットが 1 つの AWS アカウントにプロビジョニングされます。ProvisionPermissionSet に対して最大 3 つの同時呼び出しを行うことができます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

プライベートアクセスに関する注意事項

トラブルシューティング