本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# IAM Identity Center 中的配额和限制
<a name="limits"></a>

下表描述了 IAM Identity Center 内的配额。配额增加请求必须来自管理帐户或委托管理员帐户。要增加配额，请参阅[请求增加配额](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)。

**注意**  
如果您拥有超过 50,000 个用户、10,000 个群组或 500 个权限集，我们建议您使用 AWS CLI 和 APIs 管理 IAM 身份中心。有关 CLI 的更多信息，请参阅 [将 AWS CLI 与 IAM 身份中心集成](integrating-aws-cli.md)。有关更多信息 APIs，请参阅[欢迎来到 IAM 身份中心 API 参考](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)。

## 应用程序配额
<a name="applicationlimits"></a>


| 资源 | 默认配额 | 能否增加 | 
| --- | --- | --- | 
|  服务提供商 SAML 证书的文件大小（采用 PEM 格式）  | 2KB | 否 | 
|  SAML 断言限制  | 50000 个字符 | 否 | 
|  上传到 IAM Identity Center 的 IdP 证书的文件大小限制  | 2500 (UTF-8) 个字符 | 否 | 
| 每个应用程序的访问范围 | 25 | 否 | 

## AWS 账户 配额
<a name="awsaccountlimits"></a>


| 资源 | 默认配额 | 能否增加 | 
| --- | --- | --- | 
| IAM Identity Center 中允许的权限集合数 | 3500 | 是 | 
| 每组允许的已配置权限集数量 AWS 账户  | 500 | 是 | 
| 每个权限集合中的内联策略数 | 1 | 否 | 
| 每个权限集的 AWS 托管策略和客户托管策略数量 | 25 1 | 否 | 
| 每个权限集合中内联策略的最大大小 |  32,768 字节。 每个权限集的内联策略中非空格字符的最大大小为 10,240 字节。  | 否 | 
|  中可以同时更新的 IAM 角色（权限集）数量 AWS 账户   | 1 | 否 | 

1AWS Identity and Access Management (IAM) 为每个角色设置 10 个托管策略的配额。要利用此配额，请在 Service Quotas 控制台中为每个要部署权限集 AWS 账户 的地方申请增加*附加到 IAM 角色的 IAM 配额托管策略*。

**注意**  
[AWS 账户 使用权限集进行管理](permissionsetsconcept.md) AWS 账户 作为 IAM 角色进行配置，或者在中使用现有 IAM 角色 AWS 账户，因此遵守 IAM 配额。有关与 IAM 角色关联的配额的更多信息，请参阅 [IAM 和 STS 配额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)。

## Active Directory 配额
<a name="connecteddirectorylimits"></a>


| 资源 | 默认配额 | 能否增加 | 
| --- | --- | --- | 
|  您可以一次拥有的连接目录数量  | 1 | 否 | 

## IAM Identity Center 身份存储配额
<a name="ssodirectorylimits"></a>


| 资源 | 默认配额 | 能否增加 | 
| --- | --- | --- | 
| IAM Identity Center 中支持的用户数 | 200000 | 是 | 
| IAM Identity Center 中支持的组数 | 100000 | 是 | 
| 可用于评估用户权限的唯一组数量 | 1000 | 否 | 

## IAM Identity Center 节流限制
<a name="ssothrottlelimits"></a>


| 资源 | 默认配额 | 
| --- | --- | 
| IAM 身份中心 APIs | [IAM Iden APIs tity](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) Center 的集体限制为每秒 20 笔交易 (TPS)。为了便于阅读 APIs，您可以打开支持案例以请求提高限制。[CreateAccountAssignment](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_CreateAccountAssignment.html)写入 API 的未完成异步调用限制为 15 个。不能提高此限制。 | 
| 身份存储 APIs |  Ident@@ [ity Store APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html) 对每个 API 的限制为每秒 20 笔交易 (TPS)。此限制适用于每个身份存储实例。您可以提交支持案例，请求提高限额。 | 
| SCIM APIs |  [SCIM APIs](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) 的写入限制为每秒 25 个事务 (TPS)，读 APIs 取限制为 40 TPS。 APIs这些限制适用于每个身份存储实例。您可以提交支持案例，请求提高限额。 | 

如果您的 IAM Identity Center 实例以多个方式启用 AWS 区域，则限制限制同样适用于每个已启用的区域。例如，您将在每个启用区域的身份存储 APIs 上限为 20 TPS。有关其他区域提供哪些 API 操作的更多信息，请参阅相应的[表格](api-support-in-additional-regions.md)。

## OIDC 服务请求配额
<a name="oidcthrottlelimits"></a>


| 资源 | 默认值（每秒请求数） | 能否增加 | 
| --- | --- | --- | 
|  从远程地址请求速率以注册公共 OAuth 客户端 适用于：[ RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html)  | 20 | 是 | 
|  来自向 OIDC 服务注册的公共客户端的请求速率 适用于：[ CreateToken](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateToken.html)，[ StartDeviceAuthorization](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_StartDeviceAuthorization.html)  | 80 | 是 | 
|  来自向同一 IAM Identity Center 实例注册的所有公共客户端的请求速率 适用于：[ CreateToken](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateToken.html)  | 250 | 是 | 
|  来自向 IAM Identity Center 实例注册的 IAM Identity Center 应用程序的请求速率 适用于：[ CreateTokenWithIAM](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)  | 80 | 是 | 
|  使用 JWT Bearer 授权方式，来自向同一 IAM Identity Center 实例注册的所有 IAM Identity Center 应用程序的令牌生成速率 适用于：[ CreateTokenWithIAM](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)  | 10 | 联系 Supp AWS ort | 

如果您的 IAM Identity Center 实例以多个方式启用 AWS 区域，则上述请求费率同样适用于每个已启用的区域。例如，如果您允许从远程地址注册公共 OAuth 客户端的请求速率为每秒 20 个请求，则每个启用的区域都可以使用此吞吐量。有关其他区域提供哪些 API 操作的更多信息，请参阅相应的[表格](api-support-in-additional-regions.md)。

## 其他配额
<a name="additionallimits"></a>


| 资源 | 默认配额 | 能否增加 | 
| --- | --- | --- | 
|  可以配置的 AWS 账户 或应用程序总数\$1\$1\$1  | 3000 | 是 | 
|  每个账户的 IAM Identity Center 实例总数  | 1 | 否 | 
|  可信令牌发布者总数  | 10 | 否 | 
|  可以分配给每个 AWS 账户权限集或应用程序的组总数  | 100 | 否 | 
|  为单个 IAM 身份中心实例 AWS 区域 启用的总数  | 3 | 是 | 

\$1 例如，您可能配置了 2750 个账户和 250 个应用程序，总共有 3000 个账户和应用程序。

\$1\$1 [https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_ProvisionPermissionSet.html](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_ProvisionPermissionSet.html) API 操作使用 `ALL_PROVISIONED_ACCOUNTS` 选项时，最多可向 3500 个 AWS 账户预置权限集。如果需向超过 3500 个 AWS 账户预置权限集，可使用带有 `AWS_ACCOUNT` 选项的 `ProvisionPermissionSet` API 操作（单次向一个 AWS 账户预置权限集）。您最多可以同时调用 `ProvisionPermissionSet` 三次。