本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Cognito 的配額
對於您可在帳戶中執行的操作數目上限,Amazon Cognito 有預設配額 (先前稱為*限制*)。Amazon Cognito 也具有 Amazon Cognito 資源數目上限和大小的配額。
每個 Amazon Cognito 配額代表一個 中一個 AWS 區域 的最大請求量 AWS 帳戶。例如,您的應用程式可以針對美國東部 (維吉尼亞北部) 中所有使用者集區的 `UserAuthentication` 操作提出*最多*達**預設配額 (RPS)** 速率的 API 請求。您在亞太區域 (東京) 的應用程式可以針對自己區域中的所有使用者集區產生相同的請求量。 AWS 一次只能在一個區域中授予配額增加請求。在美國東部 (維吉尼亞北部) 成功增加配額,不會影響您在亞太區域 (東京) 的最大請求率。
**Topics**
+ [了解 API 請求率配額](#operation-quotas)
+ [管理 API 請求速率配額](#managing-request-rate-quotas)
+ [Amazon Cognito 使用者集區 API 操作類別和請求率配額](#category_operations)
+ [Amazon Cognito 身分集區 (聯合身分) API 操作請求率配額](#amazon-cognito-identity-pools-federated-identities-request-rate-quotas)
+ [資源數量和大小的配額](#resource-quotas)
## 了解 API 請求率配額
### 配額分類
Amazon Cognito 會強制執行 API 操作的最大請求率。如需 Amazon Cognito 提供 API 操作的詳細資訊,請參閱[使用者集](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/Welcome.html)區和[身分集區的](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/Welcome.html) API 參考指南。對於使用者集區,這些操作會分組為常見使用案例的類別,例如 `UserAuthentication`或 `UserCreation`。如需依類別的使用者集區 API 操作清單,請參閱 [Amazon Cognito 使用者集區 API 操作類別和請求率配額](#category_operations)。
在 [Service Quotas 主控台](https://console.aws.amazon.com/servicequotas/home)中,您可以依類別使用者集區和身分集區來追蹤配額用量。如果 Amazon Cognito 使用者集區的請求率或超過配額,您可以購買額外的容量。您可以在 [Service Quotas 主控台](https://console.aws.amazon.com/servicequotas/home)中依類別和購買配額增加來追蹤使用者集區配額用量。
操作配額的定義為同一類別中,所有操作的每秒請求 (RPS) 數目上限。Amazon Cognito 使用者集區服務會將配額套用於每個類別中的所有操作。例如,`UserCreation` 類別包括四個操作:`SignUp`、`ConfirmSignUp`、`AdminCreateUser` 和 `AdminConfirmSignUp`。它會分配到 50 個 RPS 的合併配額。若同時進行多個操作,此類別中的每個操作最多可呼叫 50 個 RPS (單獨或合併計算)。
**注意**
類別配額僅適用於使用者集區。Amazon Cognito 會將每個身分集區配額套用至單一操作。對於每個類別和每個操作請求速率配額, 會 AWS 測量 AWS 帳戶 一個區域中來自 中所有使用者集區或身分集區的所有請求的彙總速率。
### 適用特殊請求率處理的 Amazon Cognito 使用者集區 API 操作
操作配額是針對類別層級的合併請求總數計算並強制套用,但 `AdminRespondToAuthChallenge` 和 `RespondToAuthChallenge` 操作除外,這兩者適用特殊處理規則。
`UserAuthentication` 類別包含 Amazon Cognito 使用者集區 API 中的四個操作:`AdminInitiateAuth`、`AdminRespondToAuthChallenge`、 `InitiateAuth`和 `RespondToAuthChallenge`。此外,託管 UI 中的使用者身分驗證有助於此配額。`InitiateAuth` 和 `AdminInitiateAuth` 操作會根據每個類別配額計算和強制執行。相符的 `RespondToAuthChallenge` 和 `AdminRespondToAuthChallenge` 操作適用另外的配額,是 `UserAuthentication` 類別限制的三倍。此提高的配額可因應應用程式中設定的多個身分驗證挑戰。此配額足以涵蓋大多數使用案例。在您的應用程式對身分驗證挑戰做出最多三個回應之後,額外的請求會計入`UserAuthentication`類別配額。[多重要素驗證 (MFA)](user-pool-settings-mfa.md#user-pool-settings-mfa.title)、[裝置身分驗證](amazon-cognito-user-pools-device-tracking.md#amazon-cognito-user-pools-device-tracking.title)和[自訂身分驗證](user-pool-lambda-challenge.md#user-pool-lambda-challenge.title)都是您可能在使用者集區中設計的挑戰提示範例。
例如,如果您的 `UserAuthentication`類別配額為 80 RPS,您可以呼叫 `RespondToAuthChallenge`或以高達 240 RPS (3 \* 80 RPS) `AdminRespondToAuthChallenge`的速率呼叫 或 。如果您的使用者集區每次身分驗證提示四輪挑戰,且每秒有 70 名使用者登入,則總計`RespondToAuthChallenge`為 280 RPS (70 x 4),高於配額 40 RPS。額外 40 個 RPS 將新增至 70 個 `InitiateAuth` 呼叫,使 `UserAuthentication` 類別的總用量成為 110 (40 \+ 70) 個 RPS。由於此值超過設定為 80 RPS 乘以 30 RPS 的類別配額,Amazon Cognito 會調節來自您應用程式的請求。
### 每月作用中使用者
當 Amazon Cognito 計算使用者集區帳單時,它會向您收取*每月作用中使用者 (MAU)* 的費率。在規劃增加配額請求時,請考慮您目前和預計的 MAU 計數。如果在一個日曆月內,存在與該使用者相關的身分操作,則該使用者計為 MAU。當您使用 SAML 或 OIDC 聯合[將聯合身分使用者連結至本機使用者](cognito-user-pools-identity-federation-consolidate-users.md)時,無論使用者是直接登入或透過聯合身分登入`EnterpriseMAU`,本機使用者都會計入企業目錄 MAU 或 。如需詳細資訊,請參閱 [Amazon Cognito 定價](https://aws.amazon.com/cognito/pricing/)。
+ 使用者的註冊或管理建立。[使用者 CSV 匯入](cognito-user-pools-using-import-tool.md)*不會*計入您的 MAU 計數。
+ 使用者帳戶確認或屬性驗證。
+ 登入和挑戰回應。您使用目前登入使用者的存取權杖授權的操作不會計入您的 MAU 計數;不過,由於登入會產生存取權杖,因此這些操作會指出相關聯的使用者是 MAU。
+ 登出和字符撤銷。
+ 密碼自助式重設,並以管理員身分設定使用者密碼。將使用者密碼*重設*為管理員 ([AdminResetUserPassword](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminResetUserPassword.html)) 不會計入您的 MAU 計數。
+ 變更使用者屬性或群組成員資格。
+ 以管理員身分查詢使用者的詳細屬性。
**注意**
類別 以*管理員身分查詢使用者的詳細屬性*包括 API 操作 [AdminGetUser](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminGetUser.html),但不包括 [ListUsers](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ListUsers.html)。大型使用者集區中的詳細user-by-user使用者查詢可能會對您的 AWS 帳單產生重大影響。若要避免額外費用,請使用 收集使用者資料,`ListUsers`或將使用者資訊存放在外部資料庫中。
任何作用中的使用者,或任何未在日曆月內作用中的使用者,都不會向您收取額外的工作階段費用。在 *Lite*、*Essentials* 和 *Plus* 的可用選項之間變更使用者集區功能計畫的月份中,該月的帳單是根據每個方案中的每月作用中使用者 (MAUs) 總和計算,而每個 MAU 會在使用者處於作用中狀態時指派給最高價格的指派方案。例如:
1. 在月初,您的使用者集區已加入 Plus 功能計劃。
1. 使用者 A 會在當月第一天登入。
1. 使用者 B 在當月的第一天和最後一天登入。
1. 在每月的第十天,您將功能計劃切換為 Essentials。
1. 使用者 C 在當月最後一天登入。
在此案例中,使用者 A 和使用者 B 是 Plus MAUs而使用者 C 是 Essentials MAU。
**Lite MAU**
當使用者集區在 Lite 功能計劃中時,每月至少作用中一次的使用者,以及當使用者集區在 Essentials 或 Plus 計劃中時從未作用中的使用者。
**基本 MAU**
當使用者集區在 Essentials 功能計劃中時,每個月至少作用中一次的使用者,以及當使用者集區在 Plus 計劃中時從未作用中的使用者。
**Plus MAU**
當使用者集區在 Plus 計劃中時,每個月至少作用中一次的使用者。
如需詳細資訊,請參閱[使用者集區功能計劃](cognito-sign-in-feature-plans.md)。
## 管理 API 請求速率配額
### 確認配額需求
**重要**
如果您增加 `UserAuthentication`、 `UserCreation`或 等類別的 Amazon Cognito 配額`AccountRecovery`,您可能需要增加其他 的配額 AWS 服務。例如,如果這些服務的請求率配額不足,則 Amazon Cognito 使用 Amazon Simple Notification Service (Amazon SNS) 和 Amazon Simple Email Service (Amazon SES) 傳送的訊息可能會失敗。
若要計算配額需求,請決定在特定時段內與您應用程式互動的作用中使用者數量。舉例來說,如果您預期應用程式在八小時內平均有 100 萬個作用中使用者登入,則您必須能每秒平均對 35 個使用者進行身分驗證。
此外,如果您假設使用者工作階段平均為兩個小時,且權杖設定為一小時後過期,則每位使用者必須在此工作階段期間重新整理其權杖一次。於是,支援此負載的 `UserAuthentication` 類別所需平均配額為 70 個 RPS。
如果您考慮八小時期間內使用者登入頻率的差異,假設峰值與平均值的比例為 3:1,則所需 `UserAuthentication` 配額為 200 個 RPS。
**注意**
如果您為每個使用者動作呼叫多個操作,必須在類別層級加總個別操作呼叫速率。
### 最佳化配額限制的請求率
由於提高 API 速率限制會增加 AWS 帳單成本,因此在請求提高配額之前,請考慮調整用量模型。以下是最佳化請求率之應用程式架構的一些範例。
**在退避等候期間後重試**
您可以在每次 API 呼叫時擷取錯誤,然後在退避期間後重試。您可以根據業務需求和負載,調整退避演算法。Amazon 開發套件有內建重試邏輯。如需詳細資訊,請參閱[要建置的工具 AWS。](https://aws.amazon.com/tools/ )
**為經常更新的屬性使用外部資料庫**
如果您的應用程式需要多次呼叫使用者集區來讀取或寫入自訂屬性,請使用外部儲存空間。您可以使用偏好的資料庫來存放自訂屬性,或使用快取層在登入期間載入使用者描述檔。您可以在需要時從快取參考此設定檔,而不必從使用者集區重新載入使用者描述檔。
**在用戶端驗證 JSON Web 字符 JWTs)**
應用程式必須先驗證 JWT 權杖,才能信任該權杖。您可以在用戶端驗證字符的簽章和有效性,而無需向使用者集區傳送 API 請求。驗證權杖後,您可以信任權杖中的宣告,並使用該宣告,而無需發出更多 `getUser` API 呼叫。如需詳細資訊,請參閱[驗證 JSON Web 權杖](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-tokens-verifying-a-jwt.html)。
**使用等候室調節 Web 應用程式的流量**
如果您預期在限時事件期間 (例如應試或參加即時活動) 會有大量使用者登入流量,可以使用自我調節機制來最佳化請求流量。例如,您可以設定等候室,讓使用者在工作階段可供使用之前先行等待,以利您在有可用容量時處理請求。如需等候室的參考架構,請參閱 [AWS 虛擬等候室解決方案](https://aws.amazon.com/solutions/implementations/aws-virtual-waiting-room)。
**快取 JWTs**
重複使用存取權杖,直到過期為止。如需 API Gateway 中具有字符快取的範例架構,請參閱 [管理使用者集區字符過期和快取](amazon-cognito-user-pools-using-tokens-caching-tokens.md)。而不是產生 API 請求來查詢使用者資訊、快取 ID 字符直到過期,以及從快取讀取使用者屬性。
如需在 中使用 API 請求率的詳細資訊 AWS,請參閱[管理和監控工作負載中的 API 限流](https://aws.amazon.com/blogs/mt/managing-monitoring-api-throttling-in-workloads/)。如需最佳化 Amazon Cognito 操作以將成本新增至 AWS 帳單的相關資訊,請參閱 [管理成本](tracking-cost.md#tracking-cost-managing)。
### 追蹤配額使用量
Amazon Cognito 在 Amazon CloudWatch 中產生 `CallCount` 和 `ThrottleCount` 指標,供每個 API 操作類別在帳戶層級套用。您可以使用 `CallCount` 追蹤客戶所發出與類別相關的呼叫總數。您可以使用 `ThrottleCount` 追蹤與類別相關的調節呼叫總數。您可以使用具 `Sum` 統計數字的 `CallCount` 和 `ThrottleCount` 指標,計算一個類別的呼叫總數。如需詳細資訊,請參閱 [CloudWatch 使用量指標](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)。
監控服務配額時,*使用率*是指使用中的服務配額百分比。舉例來說,如果配額值為 200 個資源,其中 150 個資源正在使用中,則使用率為 75%。*使用量*是指服務配額中使用的資源或操作數量。
**透過 CloudWatch 指標追蹤使用情況**
您可以使用 CloudWatch 追蹤和收集 Amazon Cognito 使用者集區使用率指標。CloudWatch 儀表板會顯示您使用 AWS 服務 的每個 的指標。您可以使用 CloudWatch 建立指標警示,以傳送通知或變更您正在監控的特定資源。如需 CloudWatch 指標的詳細資訊,請參閱[追蹤 CloudWatch 使用量指標](tracking-quotas-and-usage-in-cloud-watch-and-service-quotas.md)。
**透過 Service Quotas 指標追蹤使用率**
Amazon Cognito 使用者集區與 Service Quotas 整合,Service Quotas 是用來顯示和管理服務配額用量的主控台界面。在 Service Quotas 主控台中,您可以查詢特定配額的值、檢視監控資訊、要求增加配額,或設定 CloudWatch 警示。在您的帳戶處於作用中狀態一段時間後,您可以檢視資源使用率的圖表。
[Amazon Cognito 使用者集區](https://console.aws.amazon.com/servicequotas/home/services/cognito-idp/quotas)和 [Amazon Cognito](https://console.aws.amazon.com/servicequotas/home/services/cognito-identity/quotas)**Amazon Cognito 身分集區的 Service Quotas 主控台中的套用帳戶層級配額值**欄會顯示您目前的配額。 Service Quotas **使用率**欄會顯示您目前的配額使用率。可調整的 Amazon Cognito 使用者集區requests-per-second數 (RPS) 配額會顯示其目前的用量。Service Quotas 主控台也可以導覽至 CloudWatch 指標,以更仔細地查看選取的配額指標。如需在 Service Quotas 主控台中檢視配額的詳細資訊,請參閱[檢視 Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/gs-request-quota.html)。
### 追蹤每月作用中使用者 MAUs)
您的使用者集區中的每月作用中使用者 (MAUs) 數量會為您的規劃增加請求率配額提供重要資料。您可以比較 API 請求率與您在指定期間內作用中的使用者數量。有了這些知識,您可以計算應用程式的作用中使用者增加將如何影響用量模型中的配額。例如,假設您在美國西部 (奧勒岡) 的合併應用程式一個月產生 200 萬名作用中使用者,而您的`UserAuthentication`類別偶爾會收到調節錯誤,預設配額為每秒 120 個請求 (RPS)。在上個月,在您成功的廣告行銷活動之前,您有 100 萬MAUs,而且您的應用程式從未超過 80 個 RPS。如果您預期因為新的電視據點而出現類似的峰值,您可以購買額外的 40 RPS,以容納調整後配額為 160 RPS 的下一個百萬使用者。
**檢閱您的 MAUs**
存取 [AWS Billing 主控台](https://console.aws.amazon.com/billing/home)並檢閱最近的帳單。在**依服務收費**的情況下,您可以在 **Cognito** 上進行篩選,以檢視該計費期間的 MAUs 明細。
### 請求提高配額
Amazon Cognito 具有您每秒可在每個使用者集區和身分集區中執行的最大操作數量配額 AWS 區域。您可以購買增加可調整的 Amazon Cognito 使用者集區 API 請求率配額。檢查您目前的配額,並從 Service Quotas 主控台或透過 Service Quotas API 操作 `ListAWSDefaultServiceQuotas`和 購買增加`RequestServiceQuotaIncrease`。
+ 若要使用 Service Quotas 主控台購買增加配額,請參閱*Service Quotas 使用者指南*》中的[請求增加 API 配額](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)。
+ AWS 目標是在 10 天內完成配額增加請求。不過,數個考量可能會導致請求處理時間超過 10 天。例如,某些請求可能需要 Amazon Cognito 佈建額外的硬體容量,而請求量的季節性增加可能會導致延遲。
+ 如果 Service Quotas 中沒有提供配額,請使用[增加服務配額表單](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase)。
**重要**
只能增加可調整的配額。您必須購買增加的配額容量。如需提高配額定價,請參閱 [Amazon Cognito 定價](https://aws.amazon.com/cognito/pricing/)。
## Amazon Cognito 使用者集區 API 操作類別和請求率配額
由於 Amazon Cognito 對於[不同的授權模型](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pools-API-operations.html)具有重疊的 API 操作類別,因此每個操作都屬於一個類別。每個類別都有自己的集區配額,用於所有成員 API 操作,橫跨您帳戶中一個 AWS 區域 的所有使用者集區。您只能請求增加*可調整*類別配額。如需詳細資訊,請參閱[請求提高配額](#api-request-rate-quotas)。配額調整會套用至您帳戶單一區域中的使用者集區。Amazon Cognito 限制某些類別 [3](#cognito-quotas-individual-rates-note) 的操作為每個使用者集區每秒 5 個請求 (RPS)。**預設配額 (RPS)** 也會套用至 中的所有使用者集區 AWS 帳戶。
**注意**
每個類別的配額測量單位為每月作用中使用者 (MAU) 數量。MAU 少於 200 萬的 AWS 帳戶 可以在預設配額內操作。如果您有不到一百萬MAUs,且 Amazon Cognito 正在調節請求,請考慮最佳化您的應用程式。如需詳細資訊,請參閱[最佳化配額限制的請求率](#optimize-quotas)。
類別操作配額會套用於一個 AWS 區域的使用者集區中所有使用者。Amazon Cognito 也會為您的應用程式可針對一個使用者產生的請求數量維護配額。您必須用下表顯示的方式,限制各使用者 API 請求。
**Amazon Cognito 使用者集區各使用者請求率配額**
| 作業 | 每使用者每秒操作數 |
| --- | --- |
| 讀取使用者描述檔範例:`GetUser`、`GetDevice`、`InitiateAuth`、`RespondToAuthChallenge` | 10 |
| 寫入使用者描述檔範例: `UpdateUserAttributes`, `SetUserSettings` | 10 |
您必須用下表顯示的方式,限制分類 API 請求。
**Amazon Cognito 使用者集區 分類請求率配額**
| 類別 | 描述 | 預設配額 (RPS) | 可調整 |
| --- | --- | --- | --- |
| UserAuthentication[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 驗證 (登入) 使用者的操作。這些操作受 [適用特殊請求率處理的 Amazon Cognito 使用者集區 API 操作](#api-operation-special-handling) 規範。 | 120 | 是 |
| UserCreation[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 建立或確認 Amazon Cognito 本機使用者的操作。原生使用者是您的 Amazon Cognito 使用者集區直接建立和驗證的使用者。 | 50 | 是 |
| UserFederation透過第三方身分提供者將使用者聯合 (驗證) 至您 Amazon Cognito 使用者集區的操作。 | 將 IdP 回應提交至使用者集區聯合端點的操作。產生 IdP 權杖的 OIDC 或社交供應商操作,以及所有 SAML 請求都會計入此配額。 | 25 | 是 |
| UserAccountRecovery[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 復原使用者帳戶,或者變更或更新使用者密碼的操作。 | 30 | 否 |
| UserRead[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 從使用者集區擷取使用者的操作。 | 120 | 是 |
| UserUpdate[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 用來管理使用者和使用者屬性的操作。 | 25 | 否 |
| UserToken[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 權杖管理操作 | 120 | 是 |
| UserResourceRead[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 從 Amazon Cognito 擷取使用者資源資訊 (例如記住的裝置或群組成員資格) 的操作。 | 50 | 是 |
| UserResourceUpdate[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 更新使用者資源資訊 (例如記住的裝置或群組成員資格) 的操作。 | 25 | 否 |
| UserList[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 傳回使用者清單的操作。 | 30 | 否 |
| UserPoolRead[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 讀取使用者集區的操作。 | 15 | 否 |
| UserPoolUpdate[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 建立、更新或刪除使用者集區的操作。 | 15 | 否 |
| UserPoolResourceRead[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 從使用者集區擷取資源 (例如群組或資源伺服器) 相關資訊的操作。[3](#cognito-quotas-individual-rates-note) | 20 | 否 |
| UserPoolResourceUpdate[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 修改使用者集區中資源 (例如群組或資源伺服器) 的操作。[3](#cognito-quotas-individual-rates-note) | 15 | 否 |
| UserPoolClientRead[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 擷取使用者集區用戶端相關資訊的操作。[3](#cognito-quotas-individual-rates-note) | 15 | 否 |
| UserPoolClientUpdate[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/cognito/latest/developerguide/quotas.html) | 建立、更新和刪除使用者集區用戶端的操作。[3](#cognito-quotas-individual-rates-note) | 15 | 否 |
| ClientAuthentication`client_credentials` 會向權杖端點授予類型請求。 | 產生憑證以用於授權機器對機器請求的操作 | 150 | 否 |
1 A `RespondToAuthChallenge`或 的`AdminRespondToAuthChallenge`回應`ChallengeName``NEW_PASSWORD_REQUIRED`會計入 `UserAccountRecovery`類別。所有其他挑戰回應都會計入 `UserAuthentication`類別。
2 登入期間的每個受管登入或傳統託管 UI 操作都會對配額貢獻一個請求。例如,登入並提供 MFA 程式碼的使用者會提供 2 個請求。授權碼授予中的字符兌換受制於額外的配額分配,費率與 `UserAuthentication`類別中的配額相同。
3 此類別中的任何個別操作都有限制,可防止單一使用者集區以高於 5 RPS 的速率呼叫操作。
### 使用者集區網域的大量請求速率限制
下列配額適用於使用者集區網域的整體請求量。
| 作業 | Description | 預設配額 (RPS) | 可調整 |
| --- | --- | --- | --- |
| 來自來源 IP 的請求 | 從一個 IP 地址到一個網域的請求量 | 300 | 否 |
| 對應用程式用戶端的請求 | 一個網域中一個應用程式用戶端 ID 的請求量 | 300 | 否 |
| 對網域的請求 | 一個使用者集區網域之服務的整體請求量 | 500 | 否 |
| JSON Web 金鑰文件的請求 | jwks.json AWS 帳戶 一對一的 請求量 AWS 區域 | 50,000 | 否 |
## Amazon Cognito 身分集區 (聯合身分) API 操作請求率配額
| 作業 | Description | 預設配額 (RPS)[1](#identity-pools-request-rate-variable-note) | 可調整 | 配額增加資格 |
| --- | --- | --- | --- | --- |
| GetId | 從身分集區擷取身分 ID。 | 25 | 是 | 請聯絡您的帳戶團隊。 |
| GetOpenIdToken | 在傳統工作流程中從使用者集區擷取 OpenID 權杖。 | 200 | 是 | 請聯絡您的帳戶團隊。 |
| GetCredentialsForIdentity | 從增強型工作流程中的身分集區擷取 AWS 憑證。 | 200 | 是 | 請聯絡您的帳戶團隊。 |
| GetOpenIdTokenForDeveloperIdentity | 在開發人員工作流程中從身分集區擷取 OpenID 權杖。 | 50 | 是 | 請聯絡您的帳戶團隊。 |
| ListIdentities | 從身分池擷取身分 ID 清單。 | 5 | 是 | 請聯絡您的帳戶團隊。 |
| DeleteIdentities | 從身分池集區刪除一個或多個已註冊的身分。 | 10 | 是 | 請聯絡您的帳戶團隊。 |
| TagResource | 將索引標籤套用至身分池。 | 5 | 是 | 請聯絡您的帳戶團隊。 |
| UntagResource | 從身分池移除索引標籤。 | 5 | 是 | 請聯絡您的帳戶團隊。 |
| ListTagsForResource | 顯示套用至身分池的索引標籤清單。 | 10 | 是 | 請聯絡您的帳戶團隊。 |
1 預設配額是 AWS 區域 中身分集區的最低請求率配額 AWS 帳戶。在某些地區,您的 RPS 配額可能會更高。
## 資源數量和大小的配額
資源配額是 Amazon Cognito 中資源、輸入欄位、持續時間和其他雜項功能的最大數量或大小。
您可以在 Service Quotas 主控台或從[增加服務限制表單](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase)請求調整某些資源配額。若要從 Service Quotas 主控台要求配額,請參閱*《Service Quotas 使用者指南》*中的[要求增加配額](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)。如果 Service Quotas 中沒有提供配額,請使用[增加服務配額表單](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase)。
**注意**
AWS 帳戶 層級的資源配額,例如*每個區域的使用者集*區,會套用至每個區域中的 Amazon Cognito 資源 AWS 區域。例如,您可以在美國東部 (維吉尼亞北部) 有 1,000 個使用者集區,在歐洲 (斯德哥爾摩) 有另外 1,000 個使用者集區。
下表說明預設資源配額,以及它們是否可調整。
### Amazon Cognito 使用者集區資源配額
下列配額說明您可以在使用者集區中建立的項目數量或長度上限。
| 資源 | 配額 | 可調整 | 最大配額 |
| --- | --- | --- | --- |
| 每個使用者集區的應用程式用戶端數量 | 1,000 | 是 | 10,000 |
| 每個區域的使用者集區數量 | 1,000 | 是 | 10,000 |
| 每個使用者集區的身分提供者數量 | 300 | 是 | 1,000 |
| 每個使用者集區的資源伺服器數量 | 25 | 是 | 300 |
| 每個使用者集區的使用者數量 | 40,000,000 | 是 | 請聯絡您的帳戶團隊。 |
| 產生權杖前 Lambda 觸發程序中的合併變更總數[1](#cognito-resource-quotas-claims-note) | 5,000 | 是 | 請聯絡您的帳戶團隊。 |
| 每個使用者集區的受管登入品牌樣式 | 20 | 否 | N/A |
| 每個使用者集區的受管登入條件文件 | 40 | 否 | N/A |
| 每個使用者集區的自訂屬性數量 | 50 | 否 | N/A |
| 每個屬性的字元數 | 2048 個位元組 | 否 | N/A |
| 自訂屬性名稱的字元數 | 20 | 否 | N/A |
| 密碼政策規定的密碼字元數下限 | 6–99 | 否 | N/A |
| 每天傳送的電子郵件訊息 AWS 帳戶[2](#cognito-resource-quotas-email-note) | 50 | 否 | N/A |
| 每個請求者 IP 地址每小時傳送到一個電子郵件地址的電子郵件 MFA 訊息 | 5-20 | 否 | N/A |
| 電子郵件主旨中的字元數 | 140 | 否 | N/A |
| 電子郵件訊息中的字元數 | 20,000 | 否 | N/A |
| 簡訊驗證訊息中的字元數 | 140 | 否 | N/A |
| 密碼中的字元數 | 256 | 否 | N/A |
| 身分提供者名稱中的字元數 | 32 | 否 | N/A |
| SAML 回應中的字元 | 100,000 | 否 | N/A |
| 每個身分提供者的識別符數量 | 50 | 否 | N/A |
| 連結至使用者的身分數量 | 5 | 否 | N/A |
| 每個使用者的 Passkey/WebAuthn 驗證器 | 20 | 否 | N/A |
| 每個應用程式用戶端的回呼 URL 數量 | 100 | 否 | N/A |
| 每個應用程式用戶端的登出 URL 數量 | 100 | 否 | N/A |
| 每個資源伺服器的範圍數量 | 100 | 否 | N/A |
| 每個應用程式用戶端的範圍數量 | 50 | 否 | N/A |
| 每個區域的自訂網域 | 4 | 否 | N/A |
| 每個使用者可隸屬的群組數量 | 100 | 否 | N/A |
| 每個使用者集區的群組數量 | 10,000 | 否 | N/A |
1 來自[產生權杖前 Lambda 觸發程序](user-pool-lambda-pre-token-generation.md)的權杖中可能會遇到此配額。一個交易中現有和新增的宣告加上存取和身分字符範圍的數量,必須加總到小於或等於此配額的數字。抑制的宣告和範圍不計入此配額。
2 此配額僅適用於為 Amazon Cognito 使用者集區使用預設的電子郵件功能。若要獲得更高的電子郵件傳送量,請將您的使用者集區設定成使用您的 Amazon SES 電子郵件組態。此限制會在 UTC 每天重設為 0900。如需詳細資訊,請參閱[Amazon Cognito 使用者集區的電子郵件設定](user-pool-email.md)。
### Amazon Cognito 使用者集區工作階段有效性參數
下列配額說明使用者集區中身分驗證成品和使用者工作階段期間的可用設定。
| 權杖 | 配額 |
| --- | --- |
| ID 權杖 | 5 分鐘 – 1 天 |
| 重新整理權杖 | 1 小時 – 3,650 天 |
| 存取權杖 | 5 分鐘 – 1 天 |
| 託管 UI 工作階段 Cookie | 1 小時 |
| 身分驗證工作階段字符 | 3 分鐘至 15 分鐘 |
### Amazon Cognito 使用者集區驗證碼安全性資源配額 (不可調整)
下列配額說明與登入、註冊和密碼重設代碼相關的可用時段。
| 資源 | 配額 |
| --- | --- |
| 註冊確認碼有效期間 | 24 小時 |
| 使用者屬性驗證碼有效期間 | 24 小時 |
| 多重要素驗證 (MFA) 驗證碼有效期間 | 3 至 15 分鐘 |
| 忘記密碼確認碼有效期間 | 1 小時 |
| 每位使用者每小時的最大 ConfirmForgotPassword 與 ForgotPassword 請求數 [1](#cognito-resource-quotas-confirmforgotpassword-note) | 5–20 |
| 每位使用者每小時的最大 ResendConfirmationCode 請求數 | 5 |
| 每位使用者每小時的最大 ConfirmSignUp 請求數 | 15 |
| 每位使用者每小時的最大 ChangePassword 請求數 | 5 |
| 每位使用者每小時的最大 GetUserAttributeVerificationCode 請求數 | 5 |
| 每位使用者每小時的最大 VerifyUserAttribute 請求數 | 15 |
1 Amazon Cognito 會評估請求中更新密碼的風險因素,並指派與評估風險等級相關的配額。如需詳細資訊,請參閱[忘記密碼行為](managing-users-passwords.md#forgot-password)。
### Amazon Cognito 使用者集區使用者匯入任務資源配額
下列配額說明使用者匯入任務可用的資源和限制。
| 資源 | 配額 | 可調整 | 最大配額 |
| --- | --- | --- | --- |
| 每個使用者集區的使用者匯入任務數量 | 1,000 | 是 | 請聯絡您的帳戶團隊。 |
| 每個使用者匯入 CSV 列的字元數上限 | 16,000 | 否 | N/A |
| CSV 檔案大小上限 | 100 MB | 否 | N/A |
| 每個 CSV 檔案的使用者數目上限 | 500,000 | 否 | N/A |
### Amazon Cognito 身分集區 (聯合身分) 資源配額
下列配額說明您可以在身分集區中建立的項目數量或長度上限。
| 資源 | 配額 | 可調整 | 最大配額 |
| --- | --- | --- | --- |
| 每個帳户的身分集區數量 | 1,000 | 是 | N/A |
| 每個身分集區的 Amazon Cognito 使用者集區供應商數量 | 50 | 是 | 1000 |
| 身分集區名稱的字元長度 | 128 位元組 | 否 | N/A |
| 登入供應商名稱的字元長度 | 2048 個位元組 | 否 | N/A |
| 每個身分集區的身分數量 | 無限制 | 否 | N/A |
| 可為其指定角色映射的身分提供者數量 | 10 | 否 | N/A |
| 單一列示或查閱呼叫的結果數量 | 60 | 否 | N/A |
| 角色型存取控制 (RBAC) 規則數量 | 25 | 否 | N/A |
### Amazon Cognito Sync 資源配額
下列配額說明您可以在 Amazon Cognito Sync 中建立的項目數量或長度上限。
| 資源 | 配額 | 可調整 | 最大配額 |
| --- | --- | --- | --- |
| 每個身分的資料集數量 | 20 | 是 | 請聯絡您的帳戶團隊。 |
| 每個資料集的記錄數量 | 1,024 | 是 | 請聯絡您的帳戶團隊。 |
| 單一資料集的大小 | 1 MB | 是 | 請聯絡您的帳戶團隊。 |
| 資料集名稱的字元數 | 128 位元組 | 否 | N/A |
| 請求成功之後等待大量發佈的時間 | 24 小時 | 否 | N/A |