本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Verified Permissions 的配額
您的 AWS 帳戶 具有每個 AWS 服務的預設配額,先前稱為限制。除非另有說明,否則每個配額都是區域特定的。您可以請求提高某些配額,而其他配額無法提高。
若要檢視已驗證許可的配額,請開啟 Service Quotas 主控台
若要請求增加配額,請參閱 Service Quotas 使用者指南中的請求提高配額。如果 Service Quotas 中尚未提供配額,請使用增加服務配額表單
您的 AWS 帳戶 具有下列與 Verified Permissions 相關的配額。
資源的配額
| 名稱 | 預設 | 可調整 | Description |
|---|---|---|---|
| 每個帳戶每個區域的政策存放區 | 每個支援的區域:30,000 | 是 |
政策存放區的數目上限。 |
| 每個政策存放區的政策範本 | 每個受支援的區域:40 | 是 |
政策存放區中的政策範本數目上限。 |
| 每個政策存放區的身分來源 | 1 | 否 | 您可以為政策存放區定義的身分來源數量上限。 |
| 每個政策存放區的政策存放區別名 | 10 | 是 | 您可以與單一政策存放區建立關聯的政策存放區別名數量上限。 |
| 授權請求大小1 | 1 MB | 否 | 授權請求的大小上限。 |
| 政策大小 | 10,000 位元組 | 是 | 個別政策的大小上限。 |
| 結構描述大小 | 100,000 位元組 | 是 | 政策存放區結構描述的大小上限。 |
| 每個資源的政策大小 | 200,000 位元組2 | 是 | 參考特定資源的所有政策的大小上限。 |
1 IsAuthorized 和 IsAuthorizedWithToken 的授權請求配額相同。
2 單一資源範圍的所有政策總大小的預設限制為 200,000 位元組。同樣地,所有政策的總大小,其中範圍未定義資源,因此套用至所有資源,預設限制為 200,000 個位元組。請注意,對於範本連結政策,政策範本的大小只會計算一次,加上用於執行個體化每個範本連結政策的每組參數大小。如果您的政策設計符合特定限制,則可以提高此限制。如果您需要探索此選項,請聯絡 支援
範本連結政策大小範例
您可以透過取得委託人和資源的長度總和,來判斷範本連結政策對每個資源配額的政策大小有何貢獻。如果未指定委託人或資源,則該片段的長度為 0。如果未指定資源,其大小會計入"unspecified"資源配額。範本內文的大小不會影響政策大小。
讓我們來看看下列範本:
@id("template1") permit ( principal in ?principal, action in [Action::"view", Action::"comment"], resource in ?resource ) unless { resource.tag =="private" };
讓我們從該範本建立下列政策:
TemplateLinkedPolicy { policyId: "policy1", templateId: "template1", principal: User::"alice", resource: Photo::"car.jpg" } TemplateLinkedPolicy { policyId: "policy2", templateId: "template1", principal: User::"bob", resource: Photo::"boat.jpg" } TemplateLinkedPolicy { policyId: "policy3", templateId: "template1", principal: User::"jane", resource: Photo::"car.jpg" TemplateLinkedPolicy { policyId: "policy4", templateId: "template1", principal: User::"jane", resource }
現在,讓我們計算這些政策的大小,方法是計算 和每個政策principalresource的字元。每個字元計為 1 個位元組。
的大小policy1為委託人 User::"alice"(13) 的長度加上資源 Photo::"car.jpg"(16) 的長度。將它們加起來,我們有 13 + 16 = 29 個位元組。
的大小policy2為委託人 User::"bob"(11) 的長度加上資源 Photo::"boat.jpg"(17) 的長度。將它們加起來,我們有 11 + 17 = 28 個位元組。
的大小policy3為委託人 User::"jane"(12) 的長度加上資源 Photo::"car.jpg"(16) 的長度。將它們加起來,我們有 12 + 16 = 28 個位元組。
的大小policy4為委託人 User::"jane"(12) 的長度加上資源 (0) 的長度。將它們加起來,我們有 12 + 0 = 12 個位元組。
由於 policy2是唯一參考資源 的政策Photo::"boat.jpg",因此總資源大小為 28 個位元組。
由於 policy1和 policy3都參考資源 Photo::"car.jpg",因此總資源大小為 29 + 28 = 57 位元組。
由於 policy4是唯一參考"unspecified"資源的政策,因此總資源大小為 12 個位元組。
階層的配額
注意
下列配額會彙總,這表示它們會一起新增。群組的可轉移父項數量上限是列出的。例如,如果每個主體的可轉移父項限制為 100,表示在動作和資源中,可能會有 100 個主體的父項和 0 個父項,或總計最多 100 個父項的任何父項組合。
| 名稱 | 預設 | 可調整 | Description |
|---|---|---|---|
| 每個主體的暫時性父系 | 100 | 否 | 每個主體的可轉移父項數量上限。 |
| 每個動作的暫時性父項 | 100 | 否 | 每個動作的可轉移父項數量上限。 |
| 每個資源的暫時性父項 | 100 | 否 | 每個資源的可轉移父項數量上限。 |
下圖說明如何為實體 (委託人、動作或資源) 定義可轉移的父系。
每秒操作的配額
當應用程式請求超過 API 操作的配額 AWS 區域 時,Verified Permissions 會調節對 中服務端點的請求。當您超過每秒請求的配額,或嘗試同時寫入操作時,Verified Permissions 可能會傳回例外狀況。您可以在 Service Quotas
| 名稱 | 預設 | 可調整 | Description |
|---|---|---|---|
| 每個政策存放區每個區域的每秒 BatchGetPolicy 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 BatchGetPolicy 請求數量上限。 |
| 每個政策存放區每個區域每秒 BatchIsAuthorized 請求數 | 每個受支援的區域:30 | 是 |
每個政策存放區每秒 BatchIsAuthorized 請求的數量上限。 |
| 每個政策存放區每個區域每秒 BatchIsAuthorizedWithToken 請求數 | 每個受支援的區域:30 | 是 |
每個政策存放區每秒 BatchIsAuthorizedWithToken 請求的數量上限。 |
| 每個政策存放區每個區域的每秒 CreateIdentitySource 請求數 | 每個受支援的區域:1 | 是 |
每個政策存放區每秒的 CreateIdentitySource 請求數目上限。 |
| 每個政策存放區每個區域的每秒 CreatePolicy 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 CreatePolicy 請求數目上限。 |
| 每個帳戶每個區域每秒的 CreatePolicyStore 請求數 | 每個受支援的區域:1 | 否 | 每秒 CreatePolicyStore 請求的數量上限。 |
| 每個政策存放區每個區域每秒的 CreatePolicyTemplate 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 CreatePolicyTemplate 請求數目上限。 |
| 每個政策存放區每個區域的每秒 DeleteIdentitySource 請求數 | 每個受支援的區域:1 | 是 |
每個政策存放區每秒的 DeleteIdentitySource 請求數目上限。 |
| 每個政策存放區每個區域每秒的 DeletePolicy 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 DeletePolicy 請求數目上限。 |
| 每個帳戶每個區域每秒的 DeletePolicyStore 請求數 | 每個受支援的區域:1 | 否 | 每秒 DeletePolicyStore 請求的數量上限。 |
| 每個政策存放區每個區域每秒的 DeletePolicyTemplate 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 DeletePolicyTemplate 請求數目上限。 |
| 每個政策存放區每個區域的每秒 GetIdentitySource 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 GetIdentitySource 請求數量上限。 |
| 每個政策存放區每個區域的每秒 GetPolicy 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 GetPolicy 請求數量上限。 |
| 每個帳戶每個區域的每秒 GetPolicyStore 請求數 | 每個受支援的區域:10 | 是 |
每秒 GetPolicyStore 請求的數量上限。 |
| 每個政策存放區每個區域的每秒 GetPolicyTemplate 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 GetPolicyTemplate 請求數量上限。 |
| 每個政策存放區每個區域的每秒 GetSchema 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 GetSchema 請求數量上限。 |
| 每個政策存放區每個區域每秒的 IsAuthorized 請求數 | 每個受支援的區域:200 | 是 |
每個政策存放區每秒的 IsAuthorized 請求數目上限。 |
| 每個政策存放區每個區域每秒的 IsAuthorizedWithToken 請求數 | 每個受支援的區域:200 | 是 |
每個政策存放區每秒的 IsAuthorizedWithToken 請求數量上限。 |
| 每個政策存放區每個區域的每秒 ListIdentitySources 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 ListIdentitySources 請求數目上限。 |
| 每個政策存放區每個區域每秒的 ListPolicies 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 ListPolicies 請求數目上限。 |
| 每個帳戶每個區域的 ListPolicyStores 每秒請求數 | 每個受支援的區域:10 | 是 |
ListPolicyStores 每秒請求的數量上限。 |
| 每個政策存放區每個區域的 ListPolicyTemplates 每秒請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 ListPolicyTemplates 請求數目上限。 |
| 每個政策存放區每個區域的每秒 PutSchema 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 PutSchema 請求數量上限。 |
| 每個政策存放區每個區域的每秒 UpdateIdentitySource 請求數 | 每個受支援的區域:1 | 是 |
每個政策存放區每秒的 UpdateIdentitySource 請求數目上限。 |
| 每個政策存放區每個區域的每秒 UpdatePolicy 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 UpdatePolicy 請求數目上限。 |
| 每個帳戶每個區域的每秒 UpdatePolicyStore 請求數 | 每個受支援的區域:10 | 否 | 每秒 UpdatePolicyStore 請求的數量上限。 |
| 每個政策存放區每個區域每秒的 UpdatePolicyTemplate 請求數 | 每個受支援的區域:10 | 是 |
每個政策存放區每秒的 UpdatePolicyTemplate 請求數目上限。 |
