本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Amazon Verified Permissions 的配额 您的每项 AWS 服务 AWS 账户 都有默认配额,以前称为限制。除非另有说明,否则,每个限额是区域特定的。您可以请求增加某些配额,但其他一些配额无法增加。 要查看 Verified Permissions 的配额,请打开 [Service Quotas 控制台](https://console.aws.amazon.com/servicequotas/home)。在导航窗格中,选择 **AWS 服务**,然后选择 **Verified Permissions**。 要请求提高配额,请参阅《Service Quotas 用户指南》中的[请求提高配额](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)**。如果限额在服务限额中尚不可用,请使用[提高限制表格](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase)。 您 AWS 账户 具有以下与已验证权限相关的配额。 **Topics** + [资源配额](#quotas-resources) + [层次结构的配额](#quotas-hierarchies) + [每秒操作配额](#quotas-tps) ## 资源配额 | Name | 默认值 | 可调整 | 说明 | | --- | --- | --- | --- | | 每个账户在每个区域的策略存储数 | 每个支持的区域:30,000 | [ 是 ](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-919F2C9C) | 策略存储的最大数量。 | | 每个策略存储的策略模板 | 每个受支持的区域:40 个 | [ 是 ](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-97BDA0CF) | 一个策略存储中策略模板的最大数量。 | | 每个策略存储的身份来源数 | 1 | 否 | 您可以为一个策略存储定义的身份来源最大数量。 | | 每个策略存储区的策略存储别名 | 10 | 是 | 您可以与单个策略存储关联的最大策略存储别名数。 | | 授权请求大小¹ | 1MB | 否 | 授权请求的最大大小。 | | 保单规模 | 10000 字节 | 是 | 单个策略的最大大小。 | | 架构大小 | 100000 字节 | 是 | 策略存储区架构的最大大小。 | | 每个资源的策略大小 | 200,000 个字节² | 是 | 引用特定资源的所有策略的最大大小。 | ¹ [IsAuthorized](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorized.html)和的授权请求配额相同[IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)。 ² 适用于单个资源的所有策略的总大小默认限制为 200,000 字节。同样,默认情况下,所有策略的总大小限制为 200,000 字节,其中范围未定义资源,因此适用于所有资源。请注意,对于模板关联策略,策略模板的大小仅计算一次,再加上用于实例化每个模板关联策略的每组参数的大小。如果您的策略设计满足某些限制,则可以提高此限制。如果您需要探索此选项,[请联系 支持](https://aws.amazon.com/contact-us/)。 ### 与模板关联的策略大小示例 您可以通过计算委托人和资源长度的总和来确定模板关联*策略如何影响每个资源配额的策略大小*。如果未指定主体或资源,则该部分的长度为 0。如果未指定资源,则其大小将计入`"unspecified"`资源配额。模板正文本身的大小对策略大小没有影响。 让我们来看看下面的模板: ``` @id("template1") permit ( principal in ?principal, action in [Action::"view", Action::"comment"], resource in ?resource ) unless { resource.tag =="private" }; ``` 让我们根据该模板创建以下策略: ``` TemplateLinkedPolicy { policyId: "policy1", templateId: "template1", principal: User::"alice", resource: Photo::"car.jpg" } TemplateLinkedPolicy { policyId: "policy2", templateId: "template1", principal: User::"bob", resource: Photo::"boat.jpg" } TemplateLinkedPolicy { policyId: "policy3", templateId: "template1", principal: User::"jane", resource: Photo::"car.jpg" TemplateLinkedPolicy { policyId: "policy4", templateId: "template1", principal: User::"jane", resource } ``` 现在,让我们通过计算`principal`和`resource`中每个策略的字符来计算这些策略的大小。每个字符计为 1 个字节。 的大小`policy1`将是主体的长度 `User::"alice"` (13) 加上资源的长度 `Photo::"car.jpg"` (16)。将它们加起来我们有 13 \+ 16 = 29 字节。 的大小`policy2`将是主体的长度 `User::"bob"` (11) 加上资源的长度 `Photo::"boat.jpg"` (17)。将它们加起来我们有 11 \+ 17 = 28 个字节。 的大小`policy3`将是主体的长度 `User::"jane"` (12) 加上资源的长度 `Photo::"car.jpg"` (16)。将它们加起来我们有 12 \+ 16 = 28 个字节。 的大小`policy4`将是主体的长度 `User::"jane"` (12) 加上资源的长度 (0)。将它们加起来我们有 12 \+ 0 = 12 个字节。 由于`policy2`是引用资源的唯一策略`Photo::"boat.jpg"`,因此资源总大小为 28 字节。 由于`policy1``policy3`两者都引用资源`Photo::"car.jpg"`,因此资源总大小为 29 \+ 28 = 57 字节。 由于`policy4`是引用资源的唯一策略,因此`"unspecified"`资源总大小为 12 字节。 ## 层次结构的配额 **注意** 以下配额是汇总的,这意味着它们是相加在一起的。该群组中可传递父母的最大数量就是所列数字。例如,如果*每位校长的传递父母*限制为100,则意味着可能有100名*校*长的父母,0名家长负责*行为*和*资源*,或者任何父母的组合加起来为100名父母**。** | Name | 默认值 | 可调整 | 说明 | | --- | --- | --- | --- | | 每个主体的可传递父项数 | 100 | 否 | 每个主体可传递父项的最大数量。 | | 每项操作可传递的父项数 | 100 | 否 | 每项操作可传递父项的最大数量。 | | 每个资源的可传递父项数 | 100 | 否 | 每个资源可传递父项的最大数量。 | 下图说明了如何为实体(主体、操作或资源)定义可传递父项。 ![每个实体的可传递父项数](http://docs.aws.amazon.com/zh_cn/verifiedpermissions/latest/userguide/images/quotas-transitive-parents.png) ## 每秒操作配额 AWS 区域 当应用程序请求超过 API 操作的配额时,Verified Permissions 会限制对服务端点的请求。当您超过每秒请求数的配额或尝试同步写入操作时,已验证权限可能会返回异常。您可以在 Service Quotas 中查看您当前的 RPS [配额](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas)。要防止应用程序超出某项操作的配额,您必须针对重试和指数级退避对其进行优化。有关更多信息,请参阅[使用退避模式重试](https://docs.aws.amazon.com/prescriptive-guidance/latest/cloud-design-patterns/retry-backoff.html)[和管理和监控工作负载中的 API 限制](https://aws.amazon.com/blogs/mt/managing-monitoring-api-throttling-in-workloads/)。 | Name | 默认值 | 可调整 | 说明 | | --- | --- | --- | --- | | BatchGetPolicy 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-DE99D97D) | 每个策略存储每秒的最大 BatchGetPolicy 请求数。 | | BatchIsAuthorized 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:30 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-9DB5CAA4) | 每个策略存储每秒的最大 BatchIsAuthorized 请求数。 | | BatchIsAuthorizedWithToken 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:30 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-1FC83DB7) | 每个策略存储每秒的最大 BatchIsAuthorizedWithToken 请求数。 | | CreateIdentitySource 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:1 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-6DD21905) | 每个策略存储每秒的最大 CreateIdentitySource 请求数。 | | CreatePolicy 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-9647C866) | 每个策略存储每秒的最大 CreatePolicy 请求数。 | | CreatePolicyStore 每个账户每个区域的每秒请求数 | 每个受支持的区域:1 个 | 否 | 每秒的最大 CreatePolicyStore 请求数。 | | CreatePolicyTemplate 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-8D5CB09F) | 每个策略存储每秒的最大 CreatePolicyTemplate 请求数。 | | DeleteIdentitySource 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:1 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-38A7DE67) | 每个策略存储每秒的最大 DeleteIdentitySource 请求数。 | | DeletePolicy 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-F81CF58F) | 每个策略存储每秒的最大 DeletePolicy 请求数。 | | DeletePolicyStore 每个账户每个区域的每秒请求数 | 每个受支持的区域:1 个 | 否 | 每秒的最大 DeletePolicyStore 请求数。 | | DeletePolicyTemplate 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-5CA93A13) | 每个策略存储每秒的最大 DeletePolicyTemplate 请求数。 | | GetIdentitySource 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-5A76F227) | 每个策略存储每秒的最大 GetIdentitySource 请求数。 | | GetPolicy 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-C9736881) | 每个策略存储每秒的最大 GetPolicy 请求数。 | | GetPolicyStore 每个账户每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-E1924570) | 每秒的最大 GetPolicyStore 请求数。 | | GetPolicyTemplate 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-D82415D2) | 每个策略存储每秒的最大 GetPolicyTemplate 请求数。 | | GetSchema 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-B49B9779) | 每个策略存储每秒的最大 GetSchema 请求数。 | | IsAuthorized 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:200 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-771544C7) | 每个策略存储每秒的最大 IsAuthorized 请求数。 | | IsAuthorizedWithToken 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:200 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-645D3857) | 每个策略存储每秒的最大 IsAuthorizedWithToken 请求数。 | | ListIdentitySources 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-8E2326FF) | 每个策略存储每秒的最大 ListIdentitySources 请求数。 | | ListPolicies 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-4E0E8AFD) | 每个策略存储每秒的最大 ListPolicies 请求数。 | | ListPolicyStores 每个账户每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-271BE7E8) | 每秒的最大 ListPolicyStores 请求数。 | | ListPolicyTemplates 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-70239429) | 每个策略存储每秒的最大 ListPolicyTemplates 请求数。 | | PutSchema 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-886D79EB) | 每个策略存储每秒的最大 PutSchema 请求数。 | | UpdateIdentitySource 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:1 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-D2870CD3) | 每个策略存储每秒的最大 UpdateIdentitySource 请求数。 | | UpdatePolicy 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-2AFF096D) | 每个策略存储每秒的最大 UpdatePolicy 请求数。 | | UpdatePolicyStore 每个账户每个区域的每秒请求数 | 每个受支持的区域:10 个 | 否 | 每秒的最大 UpdatePolicyStore 请求数。 | | UpdatePolicyTemplate 每个策略存储区每个区域的每秒请求数 | 每个受支持的区域:10 个 | [是](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas/L-DC54B663) | 每个策略存储每秒的最大 UpdatePolicyTemplate 请求数。 |