Limitaciones y cuotas en la Torre de Control de AWS - AWS Control Tower
Limitaciones de AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Limitaciones y cuotas en la Torre de Control de AWS

En este capítulo se AWS describen las limitaciones y cuotas del servicio que debe tener en cuenta al utilizar AWS Control Tower. Si no puedes configurar tu landing zone debido a un problema de cuota de servicio, ponte en contacto con nosotros AWS Support.

Para obtener más información sobre las limitaciones específicas de los controles, consulteLimitaciones de control.

Una nueva guía de referencia de controles

La información sobre los controles de la Torre de Control de AWS se ha trasladado a la Guía de referencia de controles de la Torre de Control de AWS.

Limitaciones de AWS Control Tower

En esta sección se describen las limitaciones conocidas y los casos de uso no admitidos en AWS Control Tower.

  • AWS Control Tower tiene limitaciones generales de simultaneidad. En general, se permite realizar una operación a la vez. Se permiten dos excepciones a esta limitación:

    • Los controles opcionales se pueden activar y desactivar simultáneamente, mediante un proceso asíncrono. Pueden estar en curso hasta cien (100) operaciones relacionadas con el control a la vez, en total, sin importar si se realizan desde la consola o desde una API. De estas 100 operaciones, hasta 20 a la vez pueden ser operaciones de control proactivo.

    • Las cuentas se pueden aprovisionar, actualizar e inscribir simultáneamente en Account Factory, mediante un proceso asíncrono, con hasta cinco (5) operaciones relacionadas con la cuenta en curso simultáneamente. La desadministración de las cuentas se debe realizar de una en una.

  • Se pueden cambiar las direcciones de correo electrónico de las cuentas compartidas de la OU de seguridad, pero debe actualizar su landing zone para ver estos cambios en la consola de AWS Control Tower.

  • Se aplica un límite de cinco (5) SCP por OU a las OU de su zona de aterrizaje de AWS Control Tower.

  • AWS Control Tower admite hasta 10 000 cuentas en la organización de su zona de destino, divididas entre todas sus unidades organizativas.

  • Las unidades organizativas existentes con más de 300 cuentas directamente anidadas no se pueden registrar ni volver a registrar en AWS Control Tower. Para obtener más información sobre las limitaciones del registro de unidades organizativas, consulte. Las regiones y la pila establecen limitaciones

  • Las personalizaciones de AWS Control Tower (cFCT) no están disponibles en estos sitios Regiones de AWS porque algunas dependencias no están disponibles:

    • Asia-Pacífico (Yakarta y Osaka)

    • Israel (Tel Aviv)

    • Medio Oriente (EAU)

    • Europa (España)

    • Asia-Pacífico (Hyderabad)

    • Europa (Zúrich)

    • Oeste de Canadá (Calgary)

    Puede implementar y administrar recursos en estas regiones con cFCT si implementa cFCT en su región de origen de AWS Control Tower, pero no puede crear cFCT en estas regiones.

  • AWS Control Tower Account Factory for Terraform (AFT) no está disponible en las siguientes Regiones de AWS ubicaciones porque algunas dependencias no están disponibles:

    • Israel (Tel Aviv)

    • Medio Oriente (EAU)

    • Europa (España)

    • Asia-Pacífico (Hyderabad)

    • Europa (Zúrich)

    • Oeste de Canadá (Calgary)

  • Las siguientes regiones no admiten el IAM Identity Center.

    • Región de Oriente Medio (EAU), me-central-1

    • Región Asia Pacífico (Hyderabad), ap-south-2

    • Canadá oeste (Calgary), ca-west-1

    Para obtener más información Regiones de AWS y soporte para IAM Identity Center, consulte Regiones y puntos finales en la Guía del usuario de AWS Identity and Access Management.

  • Las siguientes regiones no son compatibles. AWS Service Catalog

    • Canadá oeste (Calgary), ca-west-1

    Para obtener más información sobre la funcionalidad de la Torre de Control de AWS en las regiones que no son compatibles AWS Service Catalog, consulteLa Torre de Control de AWS está disponible en el oeste de AWS Canadá (Calgary).

  • Al llamar a una API de control para activar o desactivar un control, el límite EnableControl y DisableControl las actualizaciones en AWS Control Tower son de cien (100) operaciones simultáneas. Pueden estar en curso diez operaciones (10) de forma simultánea, con las operaciones restantes en cola. Es posible que tengas que ajustar el código para esperar a que se complete.

  • Dentro del límite general de 100 operaciones de control, hasta 20 operaciones a la vez pueden ser operaciones de control proactivas.

  • Cuando aprovisionas cuentas a través de Account Factory Customizations (AFC), con planos basados en Terraform, puedes implementar esos planos solo en uno. Región de AWS De forma predeterminada, AWS Control Tower se implementa en la región de origen.