本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# IAM Identity Center 中的配额和限制
<a name="limits"></a>

下表描述了 IAM Identity Center 内的配额。配额增加请求必须来自管理帐户或委托管理员帐户。要增加配额，请参阅[请求增加配额](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)。

**注意**  
如果您拥有超过 50,000 个用户、10,000 个群组或 500 个权限集，我们建议您使用 AWS CLI 和 APIs 管理 IAM 身份中心。有关 CLI 的更多信息，请参阅 [将 AWS CLI 与 IAM 身份中心集成](integrating-aws-cli.md)。有关更多信息 APIs，请参阅[欢迎来到 IAM 身份中心 API 参考](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)。

## 应用程序配额
<a name="applicationlimits"></a>


| 资源 | 默认配额 | 能否增加 | 
| --- | --- | --- | 
| 服务提供商 SAML 证书的文件大小（采用 PEM 格式） | 2KB | 否 | 
| SAML 断言限制 | 50000 个字符 | 否 | 
| 上传到 IAM Identity Center 的 IdP 证书的文件大小限制 | 2500 (UTF-8) 个字符 | 否 | 
| 每个应用程序的访问范围 | 25 | 否 | 

## AWS 账户 配额
<a name="awsaccountlimits"></a>


| 资源 | 默认配额 | 能否增加 | 
| --- | --- | --- | 
| IAM Identity Center 中允许的权限集合数 | 3500 | 是 | 
| 每组允许的已配置权限集数量 AWS 账户  | 500 | 是 | 
| 每个权限集合中的内联策略数 | 1 | 否 | 
| 每个权限集的 AWS 托管策略和客户托管策略数量 | 25 1 | 否 | 
| 每个权限集合中内联策略的最大大小 | 32,768 字节。<br />每个权限集的内联策略中非空格字符的最大大小为 10,240 字节。 | 否 | 
| 中可以同时更新的 IAM 角色（权限集）的数量 AWS 账户  | 1 | 否 | 

1AWS Identity and Access Management (IAM) 为每个角色设置 10 个托管策略的配额。要利用此配额，请在 Service Quotas 控制台中为每个要部署权限集 AWS 账户 的地方申请增加*附加到 IAM 角色的 IAM 配额托管策略*。

**注意**  
[AWS 账户 使用权限集进行管理](permissionsetsconcept.md) AWS 账户 作为 IAM 角色进行配置，或者在中使用现有 IAM 角色 AWS 账户，因此遵守 IAM 配额。有关与 IAM 角色关联的配额的更多信息，请参阅 [IAM 和 STS 配额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)。

## Active Directory 配额
<a name="connecteddirectorylimits"></a>


| 资源 | 默认配额 | 能否增加 | 
| --- | --- | --- | 
| 您可以一次拥有的连接目录数量 | 1 | 否 | 

## IAM Identity Center 身份存储配额
<a name="ssodirectorylimits"></a>


| 资源 | 默认配额 | 能否增加 | 
| --- | --- | --- | 
| IAM Identity Center 中支持的用户数 | 200000 | 是 | 
| IAM Identity Center 中支持的组数 | 100000 | 是 | 
| 可用于评估用户权限的唯一组数量 | 1000 | 否 | 

## IAM Identity Center 节流限制
<a name="ssothrottlelimits"></a>


| 资源 | 默认配额 | 
| --- | --- | 
| IAM 身份中心 APIs | [IAM Iden APIs tity](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) Center 的集体限制为每秒 20 笔交易 (TPS)。为了便于阅读 APIs，您可以打开支持案例以请求提高限制。[CreateAccountAssignment](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_CreateAccountAssignment.html)写入 API 的未完成异步调用限制为 15 个。不能提高此限制。 | 
| 身份存储 APIs |  Ident@@ [ity Store APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html) 对每个 API 的限制为每秒 20 笔交易 (TPS)。此限制适用于每个身份存储实例。您可以提交支持案例，请求提高限额。 | 
| SCIM APIs | [SCIM APIs](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) 对每个 API 的写入 APIs 限制为每秒 25 个事务 (TPS)，读取限制为 40 TPS。 APIs这些限制适用于每个身份存储实例。您可以提交支持案例，请求提高限额。<br />每个 Identity Store 中的每个成员资格操作`CreateGroup`或`PatchGroup`调用都算作一次交易，以达到每个身份存储区单独的成员资格操作限制限制。 | 

如果您的 IAM Identity Center 实例以多个方式启用 AWS 区域，则限制限制同样适用于每个已启用的区域。例如，您将在每个启用区域的身份存储 APIs 上限为 20 TPS。有关其他区域提供哪些 API 操作的更多信息，请参阅相应的[表格](api-support-in-additional-regions.md)。

## OIDC 服务请求配额
<a name="oidcthrottlelimits"></a>


| 资源 | 默认值（每秒请求数） | 能否增加 | 
| --- | --- | --- | 
| 从远程地址请求速率以注册公共 OAuth 客户端<br />适用于：[ RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) | 20 | 是 | 
| 来自向 OIDC 服务注册的公共客户端的请求速率<br />适用于：[ CreateToken](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateToken.html)，[ StartDeviceAuthorization](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_StartDeviceAuthorization.html) | 80 | 是 | 
| 来自向同一 IAM Identity Center 实例注册的所有公共客户端的请求速率<br />适用于：[ CreateToken](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateToken.html) | 250 | 是 | 
| 通过令牌交换和刷新令牌授权，向在 IAM 身份中心实例中注册的 IAM 身份中心应用程序请求费率。<br />适用于：[ CreateTokenWithIAM](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) | 80 | 是 | 
| 使用 JWT Bearer 授权方式，来自向同一 IAM Identity Center 实例注册的所有 IAM Identity Center 应用程序的令牌生成速率<br />适用于：[ CreateTokenWithIAM](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) | 10 | 联系 Supp AWS ort | 

如果您的 IAM Identity Center 实例以多个方式启用 AWS 区域，则上述请求费率同样适用于每个已启用的区域。例如，如果您允许从远程地址注册公共 OAuth 客户端的请求速率为每秒 20 个请求，则每个启用的区域都可以使用此吞吐量。有关其他区域提供哪些 API 操作的更多信息，请参阅相应的[表格](api-support-in-additional-regions.md)。

## 其他配额
<a name="additionallimits"></a>


| 资源 | 默认配额 | 能否增加 | 
| --- | --- | --- | 
| 可以配置的 AWS 账户 或应用程序总数\*\*\* | 3000 | 是 | 
| 每个账户的 IAM Identity Center 实例总数 | 1 | 否 | 
| 可信令牌发布者总数 | 10 | 否 | 
| 可以分配给每个 AWS 账户权限集或应用程序的组总数 | 100 | 否 | 
| 为单个 IAM 身份中心实例 AWS 区域 启用的总数 | 3 | 是 | 

\* 例如，您可能配置了 2750 个账户和 250 个应用程序，总共有 3000 个账户和应用程序。

\*\* [https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_ProvisionPermissionSet.html](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_ProvisionPermissionSet.html) API 操作使用 `ALL_PROVISIONED_ACCOUNTS` 选项时，最多可向 3500 个 AWS 账户预置权限集。如果需向超过 3500 个 AWS 账户预置权限集，可使用带有 `AWS_ACCOUNT` 选项的 `ProvisionPermissionSet` API 操作（单次向一个 AWS 账户预置权限集）。您最多可以同时调用 `ProvisionPermissionSet` 三次。