本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Verified Permissions 的配额
您的每项 AWS 服务 AWS 账户 都有默认配额,以前称为限制。除非另有说明,否则,每个限额是区域特定的。您可以请求增加某些配额,但其他一些配额无法增加。
要查看 Verified Permissions 的配额,请打开 [Service Quotas 控制台](https://console.aws.amazon.com/servicequotas/home)。在导航窗格中,选择 **AWS 服务**,然后选择 **Verified Permissions**。
要请求提高配额,请参阅《Service Quotas 用户指南》中的[请求提高配额](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)**。如果限额在服务限额中尚不可用,请使用[提高限制表格](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase)。
您 AWS 账户 具有以下与已验证权限相关的配额。
**Topics**
+ [资源配额](#quotas-resources)
+ [层次结构的配额](#quotas-hierarchies)
+ [每秒操作配额](#quotas-tps)
## 资源配额
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/verifiedpermissions/latest/userguide/quotas.html)
¹ [IsAuthorized](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorized.html)和的授权请求配额相同[IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)。
² 适用于单个资源的所有策略的总大小默认限制为 200,000 字节。同样,默认情况下,所有策略的总大小限制为 200,000 字节,其中范围未定义资源,因此适用于所有资源。请注意,对于模板关联策略,策略模板的大小仅计算一次,再加上用于实例化每个模板关联策略的每组参数的大小。如果您的策略设计满足某些限制,则可以提高此限制。如果您需要探索此选项,[请联系 支持](https://aws.amazon.com/contact-us/)。
### 与模板关联的策略大小示例
您可以通过计算委托人和资源长度的总和来确定模板关联*策略如何影响每个资源配额的策略大小*。如果未指定主体或资源,则该部分的长度为 0。如果未指定资源,则其大小将计入`"unspecified"`资源配额。模板正文本身的大小对策略大小没有影响。
让我们来看看下面的模板:
```
@id("template1")
permit (
principal in ?principal,
action in [Action::"view", Action::"comment"],
resource in ?resource
)
unless {
resource.tag =="private"
};
```
让我们根据该模板创建以下策略:
```
TemplateLinkedPolicy {
policyId: "policy1",
templateId: "template1",
principal: User::"alice",
resource: Photo::"car.jpg"
}
TemplateLinkedPolicy {
policyId: "policy2",
templateId: "template1",
principal: User::"bob",
resource: Photo::"boat.jpg"
}
TemplateLinkedPolicy {
policyId: "policy3",
templateId: "template1",
principal: User::"jane",
resource: Photo::"car.jpg"
TemplateLinkedPolicy {
policyId: "policy4",
templateId: "template1",
principal: User::"jane",
resource
}
```
现在,让我们通过计算`principal`和`resource`中每个策略的字符来计算这些策略的大小。每个字符计为 1 个字节。
的大小`policy1`将是主体的长度 `User::"alice"` (13) 加上资源的长度 `Photo::"car.jpg"` (16)。将它们加起来我们有 13 \$1 16 = 29 字节。
的大小`policy2`将是主体的长度 `User::"bob"` (11) 加上资源的长度 `Photo::"boat.jpg"` (17)。将它们加起来我们有 11 \$1 17 = 28 个字节。
的大小`policy3`将是主体的长度 `User::"jane"` (12) 加上资源的长度 `Photo::"car.jpg"` (16)。将它们加起来我们有 12 \$1 16 = 28 个字节。
的大小`policy4`将是主体的长度 `User::"jane"` (12) 加上资源的长度 (0)。将它们加起来我们有 12 \$1 0 = 12 个字节。
由于`policy2`是引用资源的唯一策略`Photo::"boat.jpg"`,因此资源总大小为 28 字节。
由于`policy1``policy3`两者都引用资源`Photo::"car.jpg"`,因此资源总大小为 29 \$1 28 = 57 字节。
由于`policy4`是引用资源的唯一策略,因此`"unspecified"`资源总大小为 12 字节。
## 层次结构的配额
**注意**
以下配额是汇总的,这意味着它们是相加在一起的。该群组中可传递父母的最大数量就是所列数字。例如,如果*每位校长的传递父母*限制为100,则意味着可能有100名*校*长的父母,0名家长负责*行为*和*资源*,或者任何父母的组合加起来为100名父母**。**
| Name | 默认值 | 可调整 | 说明 |
| --- | --- | --- | --- |
| 每个主体的可传递父项数 | 100 | 否 | 每个主体可传递父项的最大数量。 |
| 每项操作可传递的父项数 | 100 | 否 | 每项操作可传递父项的最大数量。 |
| 每个资源的可传递父项数 | 100 | 否 | 每个资源可传递父项的最大数量。 |
下图说明了如何为实体(主体、操作或资源)定义可传递父项。
![\[每个实体的可传递父项数\]](http://docs.aws.amazon.com/zh_cn/verifiedpermissions/latest/userguide/images/quotas-transitive-parents.png)
## 每秒操作配额
AWS 区域 当应用程序请求超过 API 操作的配额时,Verified Permissions 会限制对服务端点的请求。当您超过每秒请求数的配额或尝试同步写入操作时,已验证权限可能会返回异常。您可以在 Service Quotas 中查看您当前的 RPS [配额](https://console.aws.amazon.com/servicequotas/home/services/verifiedpermissions/quotas)。要防止应用程序超出某项操作的配额,您必须针对重试和指数级退避对其进行优化。有关更多信息,请参阅[使用退避模式重试](https://docs.aws.amazon.com/prescriptive-guidance/latest/cloud-design-patterns/retry-backoff.html)[和管理和监控工作负载中的 API 限制](https://aws.amazon.com/blogs/mt/managing-monitoring-api-throttling-in-workloads/)。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/verifiedpermissions/latest/userguide/quotas.html)