Quotas dans Amazon Cognito - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Quotas dans Amazon Cognito

Amazon Cognito dispose de quotas par défaut, anciennement appelés limites, pour le nombre maximal d’opérations que vous pouvez effectuer dans votre compte. Amazon Cognito présente également des quotas pour le nombre maximal et la taille maximale des ressources Amazon Cognito.

Chaque quota Amazon Cognito représente un volume maximum de demandes une par une Région AWS . Compte AWS Par exemple, vos applications peuvent effectuer des demandes d’API jusqu’à atteindre le taux de quota par défaut (RPS) pour les opérations UserAuthentication s’appliquant à tous vos groupes d’utilisateurs de la région USA Est (Virginie du Nord). Vos applications en Asie-Pacifique (Tokyo) peuvent générer le même volume de demandes pour tous vos groupes d'utilisateurs dans leur propre région. AWS ne peut accéder à une demande d'augmentation de quota que dans une seule région à la fois. Le fait d’obtenir une augmentation de quota dans la région USA Est (Virginie du Nord) n’a aucune incidence sur le taux de demandes maximal qui est le vôtre dans la région Asie-Pacifique (Tokyo).

Comprendre les quotas de taux de demandes d’API

Catégorisation des quotas

Amazon Cognito impose un taux de requêtes maximal pour les opérations d'API. Pour en savoir plus sur les opérations d’API mises à disposition par Amazon Cognito, consultez Références de points de terminaison et d'API Amazon Cognito. Pour les groupes d’utilisateurs, ces opérations sont groupées en catégories de cas d’utilisation courants comme UserAuthentication ou UserCreation. Pour obtenir la liste des opérations d'API du pool d'utilisateurs par catégorie, consultezCatégories d’opérations d’API des groupes d’utilisateurs Amazon Cognito et quotas de taux de demandes.

Dans la console Service Quotas, vous pouvez suivre l'utilisation de vos quotas par catégories, groupes d'utilisateurs et groupes d'identités. Si le taux de demandes de vos groupes d'utilisateurs Amazon Cognito dépasse ou dépasse un quota, vous pouvez acheter de la capacité supplémentaire. Vous pouvez suivre l'utilisation des quotas de votre groupe d'utilisateurs par catégorie et les augmentations des quotas d'achat dans la console Service Quotas.

Les quotas d’opérations correspondent par définition au nombre maximal de demandes par seconde (RPS) pour toutes les opérations au sein d’une catégorie. Le service des groupes d’utilisateurs Amazon Cognito applique des quotas à toutes les opérations dans chaque catégorie. Par exemple, la catégorie UserCreation inclut quatre opérations : SignUp, ConfirmSignUp, AdminCreateUser et AdminConfirmSignUp. Un quota combiné de 50 RPS lui est alloué. Si plusieurs opérations ont lieu en même temps, chaque opération dans cette catégorie peut appeler jusqu’à 50 RPS séparément ou combinées.

Note

Les quotas de catégories ne s’appliquent qu’aux groupes d’utilisateurs. Amazon Cognito applique chaque quota de groupe d’identités à une seule opération. Pour les quotas de taux de demandes par catégorie et par opération, AWS mesure le taux agrégé de toutes les demandes provenant de tous les groupes d'utilisateurs ou groupes d'identités de votre région Compte AWS dans une même région.

Opérations API des groupes d’utilisateurs Amazon Cognito avec traitement des taux de demandes spéciaux

Les quotas d’opérations sont mesurés et appliqués pour l’ensemble des demandes combinées au niveau de la catégorie, excepté pour les opérations AdminRespondToAuthChallenge et RespondToAuthChallenge, où des règles de traitement spéciales sont appliquées.

La UserAuthentication catégorie inclut quatre opérations dans l'API des groupes d'utilisateurs Amazon Cognito :AdminInitiateAuth, InitiateAuthAdminRespondToAuthChallenge, et. RespondToAuthChallenge En outre, l'authentification des utilisateurs dans l'interface utilisateur hébergée contribue à ce quota. Les opérations InitiateAuth et AdminInitiateAuth sont mesurées et appliquées par quota de catégorie. Les opérations RespondToAuthChallenge et AdminRespondToAuthChallenge correspondantes sont soumises à un quota distinct qui est trois fois la limite de catégorie UserAuthentication. Ce quota élevé répond aux multiples défis d'authentification définis dans vos applications. Le quota est suffisant pour couvrir la grande majorité des cas d’utilisation. Une fois que votre application a répondu jusqu'à trois à des problèmes d'authentification, les demandes supplémentaires sont prises en compte dans le quota de UserAuthentication catégories. L'authentification multifactorielle (MFA), l'authentification des appareils et l'authentification personnalisée sont autant d'exemples de demandes de défi que vous pourriez intégrer à votre groupe d'utilisateurs.

Par exemple, si votre quota pour UserAuthentication cette catégorie est de 80 RPS, vous pouvez appeler RespondToAuthChallenge ou AdminRespondToAuthChallenge à un débit allant jusqu'à 240 RPS (3 x 80 RPS). Si votre groupe d'utilisateurs vous invite à lancer quatre séries de défis par authentification et que 70 utilisateurs se connectent par seconde, le total RespondToAuthChallenge est de 280 RPS (70 x 4), soit 40 RPS de plus que le quota. Les 40 RPS supplémentaires sont ajoutés à 70 appels InitiateAuth, ce qui porte l’utilisation totale de la catégorie UserAuthentication à 110 RPS (40 + 70). Comme cette valeur dépasse le quota de catégorie défini à 80 RPS par 30 RPS, Amazon Cognito limite les demandes provenant de votre application.

Monthly active users (Utilisateurs actifs mensuels)

Lorsqu'Amazon Cognito calcule la facturation du groupe d'utilisateurs, il vous facture un tarif pour chaque utilisateur actif mensuel (MAU). Tenez compte de votre nombre de MAU actuel et prévu dans le cadre de la planification des demandes d'augmentation de quota. Un utilisateur est comptabilisé comme un MAU si, au cours d’un mois civil, une opération d’identité est associée à cet utilisateur. Les activités qui rendent un utilisateur actif incluent les suivantes.

  • Inscription ou création administrative d’un utilisateur

  • Connexion

  • Déconnexion

  • Confirmation du compte d’utilisateur ou vérification des attributs

  • Réinitialisation du mot de passe

  • Modification des attributs utilisateur, de l’appartenance au groupe ou des préférences MFA

  • Requêtes d’attributs détaillés d’un utilisateur

  • Activation, désactivation ou suppression d’un utilisateur

Note

La catégorie Query detailed attributes of a user inclut le fonctionnement de l'API AdminGetUser, mais pas ListUsers. Une user-by-user requête détaillée auprès d'un large groupe d'utilisateurs peut avoir un impact significatif sur votre AWS facture. Pour éviter des frais supplémentaires, collectez les données utilisateur ListUsers ou stockez-les dans une base de données externe.

Gestion des quotas de taux de demandes d’API

Identifier les besoins en matière de quota

Important

Si vous augmentez les quotas Amazon Cognito pour des catégories telles queUserAuthentication, ou UserCreationAccountRecovery, vous devrez peut-être augmenter les quotas pour d'autres catégories. Services AWS Par exemple, les messages envoyés par Amazon Cognito avec Amazon Simple Notification Service (Amazon SNS) et Amazon Simple Email Service (Amazon SES) peuvent échouer si les quotas de taux de demande sont insuffisants dans ces services.

Pour calculer les besoins en matière de quota, déterminez le nombre d’utilisateurs actifs qui interagiront avec votre application au cours d’une période donnée. Par exemple, si votre application s’attend à ce qu’en moyenne 1 million d’utilisateurs actifs se connectent par période de 8 heures, vous devriez pouvoir authentifier en moyenne 35 utilisateurs par seconde.

En outre, si vous supposez que la session moyenne d’un utilisateur dure deux heures et que vous configurez les jetons pour qu’ils expirent après une heure, chaque utilisateur doit rafraîchir ses jetons une fois au cours de sa session. Ensuite, le quota moyen requis pour la catégorie UserAuthentication afin de supporter cette charge est de 70 RPS.

Si vous supposez un peak-to-average ratio de 3:1 en tenant compte de la variation de la fréquence de connexion des utilisateurs au cours de la période de huit heures, vous avez besoin du UserAuthentication quota souhaité de 200 RPS.

Note

Si vous appelez plusieurs opérations pour chaque action utilisateur, vous devez additionner les taux d’appels d’opération individuels au niveau de la catégorie.

Optimisation des taux de demandes pour les limites de quotas

Étant donné que l'augmentation des limites de débit des API augmente les coûts de votre AWS facture, pensez à ajuster votre modèle d'utilisation avant de demander une augmentation de quota. Voici quelques exemples d'architecture d'applications qui optimisent les taux de demandes.

Faire une nouvelle tentative après une période d’interruption

Vous pouvez détecter l’erreur à chaque appel de l’API, puis faire une nouvelle tentative après une période d’interruption. Vous pouvez ajuster l’algorithme d’interruption en fonction des besoins de l’activité et de la charge. Les kits SDK Amazon intègrent une logique de nouvelle tentative. Pour plus d'informations, consultez la section Outils sur lesquels vous pouvez vous appuyer AWS.

Utiliser une base de données externe pour les attributs fréquemment mis à jour

Si votre application nécessite plusieurs appels à un groupe d’utilisateurs pour lire ou écrire des attributs personnalisés, utilisez un stockage externe. Vous pouvez utiliser votre base de données préférée pour stocker des attributs personnalisés, ou utiliser une couche de cache pour charger un profil utilisateur lors de la connexion. Vous pouvez référencer ce profil à partir du cache si nécessaire au lieu de recharger le profil utilisateur à partir d’un groupe d’utilisateurs.

Validez les jetons Web JSON (JWT) côté client

Les applications doivent valider les jetons JWT avant de les approuver. Vous pouvez vérifier la signature et la validité des jetons côté client sans envoyer de demandes d'API à un groupe d'utilisateurs. Une fois le jeton validé, vous pouvez approuver les revendications qu’il contient et utiliser celles-ci au lieu de faire plus d’appels d’API getUser. Pour plus d’informations, consultez la page Jeton JWT (JSON Web Token).

Limiter le trafic vers votre application web avec une salle d’attente

Si vous vous attendez à ce que le trafic provienne d’un grand nombre d’utilisateurs qui se connectent pendant un événement limité dans le temps, comme passer un examen ou assister à un événement en direct, vous pouvez optimiser le trafic des demandes à l’aide de mécanismes d’auto-limitation. Vous pouvez, par exemple, mettre en place une salle d’attente où les utilisateurs peuvent patienter jusqu’à ce qu’une session soit disponible, ce qui vous permet de traiter les demandes lorsque vous disposez d’une capacité disponible. Consultez Solution AWS Virtual Waiting Room pour une architecture de référence d’une salle d’attente.

JWT en cache

Réutilisez les jetons d'accès jusqu'à leur expiration. Pour un exemple de framework avec mise en cache de jetons dans une API Gateway, consultezJetons de mise en cache. Au lieu de générer des demandes d'API pour demander des informations sur les utilisateurs, mettez en cache les jetons d'identification jusqu'à leur expiration et lisez les attributs utilisateur depuis le cache.

Pour plus d'informations sur l'utilisation des taux de demandes d'API dans AWS, consultez la section Gestion et surveillance de la limitation des API dans vos charges de travail. Pour plus d'informations sur l'optimisation des opérations Amazon Cognito qui ajoutent des coûts à votre AWS facture, consultez. Gestion des coûts

Suivre l’usage des quotas

Amazon Cognito génère CallCount des ThrottleCount statistiques dans Amazon CloudWatch pour chaque catégorie d'opérations d'API au niveau du compte. Vous pouvez utiliser la métrique CallCount pour suivre le nombre total d’appels effectués par des clients en rapport avec une catégorie. Vous pouvez utiliser la métrique ThrottleCount pour suivre le nombre total d’appels limités en rapport avec une catégorie. Vous pouvez utiliser les métriques CallCount et ThrottleCount avec la statistique Sum pour compter le nombre total d’appels dans une catégorie. Pour plus d'informations, consultez la section Mesures CloudWatch d'utilisation.

Lors de la surveillance des quotas de service, l’utilisation correspond au pourcentage d’un quota de service utilisé. Par exemple, si la valeur du quota est de 200 ressources et que 150 ressources sont utilisées, l’utilisation est de 75 %. L’usage est le nombre de ressources ou d’opérations utilisées pour un quota de service.

Suivi de l'utilisation par le biais de CloudWatch métriques

Vous pouvez suivre et collecter les statistiques d'utilisation des groupes d'utilisateurs Amazon Cognito avec. CloudWatch Le CloudWatch tableau de bord affiche des statistiques sur tout Service AWS ce que vous utilisez. Vous pouvez ainsi créer des alarmes métriques pour vous avertir ou modifier une ressource spécifique que vous surveillez. CloudWatch Pour plus d'informations sur CloudWatch les statistiques, consultez la section Suivi de vos statistiques CloudWatch d'utilisation.

Suivi de l’utilisation via les métriques de Service Quotas

Les groupes d'utilisateurs Amazon Cognito sont intégrés à Service Quotas, une interface de console permettant d'afficher et de gérer l'utilisation de vos quotas de service. Dans la console Service Quotas, vous pouvez rechercher la valeur d'un quota spécifique, consulter les informations de surveillance, demander une augmentation de quota ou configurer des CloudWatch alarmes. Une fois que votre compte a été actif pendant un certain temps, vous pouvez consulter un graphique de l'utilisation de vos ressources.

La colonne Valeur de quota appliquée au niveau du compte dans la console Service Quotas pour les groupes d'utilisateurs Amazon Cognito et les groupes d'identités Amazon Cognito affiche votre quota actuel. La colonne Utilisation indique votre taux actuel d'utilisation des quotas. Les quotas ajustables des groupes d'utilisateurs requests-per-second (RPS) Amazon Cognito indiquent leur utilisation actuelle. La console Service Quotas peut également vous faire accéder aux CloudWatch métriques pour examiner de plus près une métrique de quota sélectionnée. Pour plus d’informations sur l’affichage des quotas dans la console Service Quotas, consultez Affichage de Service Quotas.

Suivez les utilisateurs actifs mensuels (MAU)

Le nombre d'utilisateurs actifs (MAU) mensuels de votre groupe d'utilisateurs fournit des données importantes pour planifier l'augmentation des quotas de taux de demandes. Vous pouvez comparer le taux de vos demandes d'API au nombre d'utilisateurs que vous avez actifs au cours d'une période donnée. Grâce à ces connaissances, vous pouvez calculer l'impact d'une augmentation du nombre d'utilisateurs actifs de vos applications sur les quotas de votre modèle d'utilisation. Par exemple, imaginez que vos applications combinées dans l'ouest des États-Unis (Oregon) aient généré 2 millions d'utilisateurs actifs en un mois et que votre UserAuthentication catégorie subisse des erreurs de régulation occasionnelles au quota par défaut de 120 demandes par seconde (RPS). Le mois précédent, avant le succès de votre campagne publicitaire, vous disposiez d'un million de MAU et vos applications n'ont jamais dépassé 80 RPS. Si vous prévoyez un pic similaire à la suite d'un nouveau spot télévisé, vous pourriez acheter 40 RPS supplémentaires pour répondre aux besoins du prochain million d'utilisateurs avec un quota ajusté de 160 RPS.

Pour revoir votre MAU

Accédez à la AWS Billing console et consultez une facture récente. Dans la section Frais par service, vous pouvez filtrer sur Cognito pour afficher le détail de vos MAU pour cette période de facturation.

Demande d’augmentation de quota

Amazon Cognito impose un quota pour le nombre maximum d'opérations par seconde que vous pouvez effectuer dans vos groupes d'utilisateurs et vos groupes d'identités dans chacun d'eux. Région AWS Vous pouvez acheter une augmentation des quotas ajustables de taux de demandes d'API pour les groupes d'utilisateurs Amazon Cognito. Vérifiez votre quota actuel et achetez une augmentation depuis la console Service Quotas ou via les opérations de l'API Service Quotas ListAWSDefaultServiceQuotas etRequestServiceQuotaIncrease.

  • Pour acheter une augmentation de quota à l'aide de la console Service Quotas, consultez la section Demander une augmentation de quota d'API dans le Guide de l'utilisateur de Service Quotas.

  • AWS vise à traiter les demandes d'augmentation de quota dans un délai de 10 jours. Cependant, plusieurs facteurs peuvent faire en sorte que le délai de traitement des demandes dépasse 10 jours. Certaines demandes, par exemple, peuvent nécessiter qu'Amazon Cognito fournisse une capacité matérielle supplémentaire, et les augmentations saisonnières du volume de demandes peuvent entraîner des retards.

  • Si le quota n’est pas encore disponible dans Service Quotas, utilisez le Formulaire d’augmentation de limite de service.

Important

Seuls des quotas ajustables peuvent être augmentés. Vous devez acheter une capacité de quota accrue. Pour connaître les tarifs en fonction de l'augmentation des quotas, consultez la tarification d'Amazon Cognito.

Catégories d’opérations d’API des groupes d’utilisateurs Amazon Cognito et quotas de taux de demandes

Sachant qu’il existe dans Amazon Cognito des classes d’opérations d’API qui se chevauchent avec des modèles d’autorisation différents, chaque opération appartient à une catégorie. Chaque catégorie dispose de son propre quota mis en commun pour toutes les opérations d’API membres, à l’échelle de tous les groupes d’utilisateurs d’une Région AWS de votre compte. Vous pouvez uniquement demander une augmentation pour des quotas de catégorie ajustables. Pour plus d’informations, consultez Demande d’augmentation de quota. Les ajustements de quota s’appliquent aux groupes d’utilisateurs de votre compte d’une même région. Amazon Cognito limite les opérations de certaines catégories3 à 5 demandes par seconde (RPS), par groupe d’utilisateurs. Le quota par défaut (RPS) s'applique également à tous les groupes d'utilisateurs d'un Compte AWS.

Note

Pour chaque catégorie, le quota est mesuré en utilisateurs actifs mensuels. Les Comptes AWS présentant moins de deux millions d’utilisateurs actifs mensuels peuvent fonctionner dans les limites du quota par défaut. Si vous avez moins d'un million d'unités MAU et qu'Amazon Cognito limite les demandes, pensez à optimiser votre application. Pour plus d’informations, consultez Optimisation des taux de demandes pour les limites de quotas.

Les quotas d’opérations de catégorie s’appliquent à l’ensemble des utilisateurs de tous les groupes d’utilisateurs d’une même Région AWS. Amazon Cognito gère également un quota pour le nombre de demandes que votre application peut générer pour un même utilisateur. Vous devez limiter le nombre de demandes d’API par utilisateur comme indiqué dans le tableau suivant.

Quotas de taux de demandes par utilisateur pour les groupes d’utilisateurs Amazon Cognito

Opération Nombre d’opérations par utilisateur à la seconde
Lecture d’un profil utilisateur

Exemples : GetUser, GetDevice

10
Écriture d’un profil utilisateur

Exemples : UpdateUserAttributes, SetUserSettings

10

Vous devez limiter le nombre de demandes d’API par catégorie comme indiqué dans le tableau suivant.

Quotas de taux de demandes par catégorie pour les groupes d’utilisateurs Amazon Cognito

Catégorie Description Quota par défaut (RPS) Ajustable
UserAuthentication
Opérations qui authentifient un utilisateur (lors de la connexion).

Ces opérations sont sujettes à Opérations API des groupes d’utilisateurs Amazon Cognito avec traitement des taux de demandes spéciaux .

120 Oui
UserCreation Opérations qui créent ou confirment un utilisateur local Amazon Cognito. Il s’agit d’un utilisateur créé et vérifié directement par vos groupes d’utilisateurs Amazon Cognito. 50 Oui
UserFederation

Opérations qui fédèrent (authentifient) des utilisateurs avec un fournisseur d’identité tiers dans vos groupes d’utilisateurs Amazon Cognito.

Opérations qui soumettent une réponse du fournisseur d’identité à un point de terminaison de fédération de groupes d’utilisateurs. Les opérations OIDC ou de fournisseur social qui aboutissent à un jeton de fournisseur d’identité, ainsi que toutes les demandes SAML, contribuent à ce quota. 25 Oui
UserAccountRecovery Opérations qui récupèrent le compte d’un utilisateur, ou qui modifient ou mettent à jour le mot de passe d’un utilisateur. 30 Non
UserRead Opérations qui extraient un utilisateur de vos groupes d’utilisateurs. 120 Oui
UserUpdate Opérations que vous utilisez pour gérer les utilisateurs et les attributs utilisateur 25 Non
UserToken Opérations de la gestion des jetons 120 Oui
UserResourceRead Opérations qui extraient d’Amazon Cognito des informations sur des ressources utilisateur telles qu’un appareil ou un groupe. 50 Oui
UserResourceUpdate Opérations qui mettent à jour les informations sur les ressources d’un utilisateur, telles qu’un appareil mémorisé ou une appartenance à un groupe. 25 Non
UserList Opérations qui renvoient une liste d’utilisateurs. 30 Non
UserPoolRead Opérations qui lisent vos groupes d’utilisateurs. 15 Non
UserPoolUpdate Opérations qui créent, mettent à jour et suppriment vos groupes d’utilisateurs. 15 Non
UserPoolResourceRead Opérations qui récupèrent des informations sur les ressources, telles que des groupes ou des serveurs de ressources, à partir d’un groupe d’utilisateurs.3 20 Non
UserPoolResourceUpdate Opérations qui modifient des ressources, telles que des groupes ou des serveurs de ressources, dans un groupe d’utilisateurs.3 15 Non
UserPoolClientRead Opérations qui récupèrent des informations sur vos clients de groupe d’utilisateurs.3 15 Non
UserPoolClientUpdate Opérations qui créent, mettent à jour et suppriment des clients de votre groupe d’utilisateurs.3 15 Non
ClientAuthentication

Demandes de type d’autorisation client_credentials au point de terminaison du jeton.

Opérations qui génèrent des informations d'identification à utiliser pour autoriser les demandes machine-to-machine 150 Non

1 Une RespondToAuthChallenge ou une AdminRespondToAuthChallenge réponse avec un ChallengeName de NEW_PASSWORD_REQUIRED compte pour la UserAccountRecovery catégorie. Toutes les autres réponses au défi sont prises en compte dans UserAuthentication cette catégorie.

2 Chaque opération d'interface utilisateur hébergée pendant la connexion contribue à une demande au quota. Par exemple, un utilisateur qui se connecte et fournit un code MFA envoie deux demandes. L'échange de jetons sous forme de subventions avec code d'autorisation est soumis à une allocation de quota supplémentaire au même taux que votre quota dans la catégorie. UserAuthentication

3 Toute opération individuelle de cette catégorie comporte une contrainte qui empêche l'opération d'être appelée à un débit supérieur à 5 RPS pour un seul groupe d'utilisateurs.

Référence d’API des groupes d’identités Amazon Cognito (identités fédérées)

Opération Description Quota par défaut (RPS)1 Ajustable Éligibilité à une augmentation de quotas
GetId Récupérez un identifiant d’identité à partir d’un groupe d’identités. 25 Oui Contactez l’équipe de votre compte.
GetOpenIdToken Récupérez un jeton OpenID à partir d’un groupe d’identités dans le flux de travail classique. 200 Oui Contactez l’équipe de votre compte.
GetCredentialsForIdentity Récupérez les AWS informations d'identification d'un pool d'identités dans le flux de travail amélioré. 200 Oui Contactez l’équipe de votre compte.
GetOpenIdTokenForDeveloperIdentity Récupérez un jeton OpenID à partir d’un groupe d’identités dans le flux de travail des développeurs. 50 Oui Contactez l’équipe de votre compte.
ListIdentities Récupérez la liste des ID d’identité figurant dans une réserve d’identités. 5 Oui Contactez l’équipe de votre compte.
DeleteIdentities Supprimez une ou plusieurs identités enregistrées d’une réserve d’identités. 10 Oui Contactez l’équipe de votre compte.
TagResource Appliquez une balise à une réserve d’identités. 5 Oui Contactez l’équipe de votre compte.
UntagResource Supprimez une balise d’une réserve d’identités. 5 Oui Contactez l’équipe de votre compte.
ListTagsForResource Affichez la liste des balises appliquées à une réserve d’identités. 10 Oui Contactez l’équipe de votre compte.

1 Le quota par défaut est le quota de taux de demandes minimum pour les pools d'identités de chacun Région AWS de vos groupes Compte AWS. Votre quota RPS peut être supérieur dans certaines régions.

Quotas relatifs au nombre et à la taille des ressources

Les quotas de ressources correspondent au nombre ou à la taille maximum des ressources, des champs de saisie, de la durée et d’autres fonctionnalités diverses d’Amazon Cognito.

Vous pouvez demander un ajustement pour certains quotas de ressources dans la console Service Quotas ou à partir d’un formulaire d’augmentation des limites de service. Pour demander un quota à l’aide la console Service Quotas, consultez Demande d’augmentation de quota dans le Guide de l’utilisateur Service Quotas. Si le quota n’est pas encore disponible dans Service Quotas, utilisez le Formulaire d’augmentation de limite de service.

Note

Les quotas de ressources au Compte AWS niveau, tels que les groupes d'utilisateurs par région, s'appliquent aux ressources Amazon Cognito de chaque région. Région AWS Par exemple, vous pouvez avoir 1 000 groupes d’utilisateurs dans la région USA Est (Virginie du Nord) et 1 000 autres dans la région Europe (Stockholm).

Les tableaux suivants indiquent les quotas de ressources par défaut et s’ils sont ajustables ou non.

Quotas de ressources de groupes d’utilisateurs Amazon Cognito

Ressource Quota Ajustable Quota maximal
Clients d’applications par groupe d’utilisateurs 1 000 Oui 10 000
Groupes d’utilisateurs par région 1 000 Oui 10 000
Fournisseurs d’identité par groupe d’utilisateurs 300 Oui 1 000
Serveurs de ressources par groupe d’utilisateurs 25 Oui 300
Utilisateurs par groupe d’utilisateurs 40 000 000 Oui Contactez l’équipe de votre compte.
Total des changements combinés dans le déclencheur Lambda avant la génération du jeton 1 5 000 Oui Contactez l’équipe de votre compte.
Attributs personnalisés par groupe d’utilisateurs 50 Non N/A
Nombre maximal de caractères par attribut 2 048 octets Non N/A
Nom maximum de caractères d’un nom d’attribut personnalisé 20 Non N/A
Caractères de mot de passe minimaux requis dans la politique 6–99 Non N/A
Messages électroniques envoyés quotidiennement par Compte AWS2 50 Non N/A
Nombre maximal de caractères par objet d’e-mail 140 Non N/A
Nombre maximum de caractères d’un e-mail 20 000 Non N/A
Nombre maximal de caractères dans le message de vérification par SMS 140 Non N/A
Nombre maximal de caractères dans le mot de passe 256 Non N/A
Nombre maximum de caractères d’un nom de fournisseur d’identité 32 Non N/A
Nombre maximal d’identifiants par fournisseur d’identité 50 Non N/A
Identités liées à un utilisateur 5 Non N/A
Nombre maximal d’URL de rappel par client d’application 100 Non N/A
Nombre maximal d’URL de déconnexion par client d’application 100 Non N/A
Portée du serveur de ressources 100 Non N/A
Portées par client d’application 50 Non N/A
Domaines personnalisés par compte 4 Non N/A
Groupes auxquels chaque utilisateur peut appartenir 100 Non N/A
Groupes par groupe d’utilisateurs 10 000 Non N/A

1 Ce quota peut être atteint dans les jetons provenant d’unDéclencheur Lambda avant génération de jeton. Le nombre de demandes existantes et ajoutées ainsi que l'étendue des jetons d'accès et d'identité dans le cadre d'une transaction doivent être inférieurs ou égaux à ce quota. Les demandes et les champs d’application supprimés ne contribuent pas à ce quota.

2 Ce quota s’applique uniquement si vous utilisez la fonction de messagerie par défaut pour un groupe d’utilisateurs Amazon Cognito. Pour permettre un volume de remise d’e-mails plus élevé, configurez votre groupe d’utilisateurs afin qu’il utilise votre configuration d’e-mail Amazon SES. Pour plus d’informations, consultez Paramètres d'e-mail pour les groupes d'utilisateurs Amazon Cognito.

Paramètres de validité de session de groupes d’utilisateurs Amazon Cognito

Jeton Quota
Jeton d’identification 5 minutes – 1 jour
Jeton d’actualisation 1 heure – 3 650 jours
Jeton d’accès 5 minutes – 1 jour
Cookie de session d’interface utilisateur hébergée 1 heure
Jeton d’authentification de session 3 minutes à 15 minutes

Quotas de ressources de sécurité de code des groupes d’utilisateurs Amazon Cognito (non ajustables)

Ressource Quota
Période de validité du code de confirmation d’inscription 24 heures
Période de validité du code de vérification des attributs utilisateur 24 heures
Période de validité du code d’authentification MFA 3 à 15 minutes
Période de validité du code d’oubli de mot de passe 1 heure
Nombre maximum de demandes ConfirmForgotPassword et ForgotPassword par utilisateur et par heure 1 5–20
Nombre maximum de demandes ResendConfirmationCode par utilisateur et par heure 5
Nombre maximum de demandes ConfirmSignUp par utilisateur et par heure 15
Nombre maximum de demandes ChangePassword par utilisateur et par heure 5
Nombre maximum de demandes GetUserAttributeVerificationCode par utilisateur et par heure 5
Nombre maximum de demandes VerifyUserAttribute par utilisateur et par heure 15

1 Amazon Cognito évalue les facteurs de risque dans la demande de mise à jour des mots de passe et attribue un quota lié au niveau de risque évalué. Pour plus d’informations, consultez Comportement en cas d'oubli de mot de passe.

Quotas de ressources de tâches d’importation d’utilisateurs des groupes d’utilisateurs Amazon Cognito

Ressource Quota Ajustable Quota maximal
Tâches d’importation d’utilisateurs par groupe d’utilisateurs 1 000 Oui Contactez l’équipe de votre compte.
Nombre maximal de caractères par ligne CSV d’importation d’utilisateurs 16,000 Non N/A
Taille maximale du fichier CSV 100 Mo Non N/A
Nombre maximal d’utilisateurs par fichier CSV 500 000 Non N/A

Référence d’API des groupes d’identités Amazon Cognito (identités fédérées)

Ressource Quota Ajustable Quota maximal
Groupes d’identités par compte 1 000 Oui N/A
Nombre maximum de fournisseurs de groupes d’utilisateurs Amazon Cognito par groupe d’identités 50 Oui 1 000
Nombre maximal de caractères pour le nom du groupe d’identités 128 bytes Non N/A
Nombre maximal de caractères pour le nom du fournisseur de connexion 2 048 octets Non N/A
Identités par groupe d’identités Illimité Non N/A
Nombre maximum de fournisseurs d’identité pour lesquels des mappages de rôles peuvent être spécifiés 10 Non N/A
Nombre maximum de résultats renvoyés par appel d’API de liste ou de recherche 60 Non N/A
Règles de contrôle d’accès en fonction du rôle (RBAC) 25 Non N/A

Quotas de ressources Amazon Cognito Sync

Ressource Quota Ajustable Quota maximal
Jeux de données par identité 20 Oui Contactez l’équipe de votre compte.
Enregistrements par jeu de données 1,024 Oui Contactez l’équipe de votre compte.
Taille maximum d’un seul jeu de données 1 Mo Oui Contactez l’équipe de votre compte.
Nombre maximum de caractères d’un nom de jeu de données 128 bytes Non N/A
Temps d’attente minimal pour une publication groupée après une requête réussie 24 heures Non N/A