Limitations et quotas dans AWS Control Tower - AWS Control Tower
Limitations d'AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Limitations et quotas dans AWS Control Tower

Ce chapitre décrit les limites AWS de service et les quotas que vous devez garder à l'esprit lorsque vous utilisez AWS Control Tower. Si vous ne parvenez pas à configurer votre zone d'atterrissage en raison d'un problème de quota de service, contactez AWS Support.

Pour plus d'informations sur les limitations spécifiques aux contrôles, consultezLimites de contrôle.

Un nouveau guide de référence sur les commandes

Les informations relatives aux contrôles d'AWS Control Tower ont été transférées vers le guide de référence d'AWS Control Tower Controls.

Limitations d'AWS Control Tower

Cette section décrit les limitations connues et les cas d'utilisation non pris en charge dans AWS Control Tower.

  • AWS Control Tower présente des limites générales de simultanéité. En général, une opération à la fois est autorisée. Deux exceptions à cette limitation sont autorisées :

    • Les commandes facultatives peuvent être activées et désactivées simultanément, par le biais d'un processus asynchrone. Jusqu'à cent (100) opérations liées au contrôle peuvent être en cours à la fois, au total, qu'elles soient appelées depuis la console ou depuis une API. Sur ces 100 opérations, jusqu'à 20 à la fois peuvent être des opérations de contrôle proactives.

    • Les comptes peuvent être approvisionnés, mis à jour et inscrits simultanément dans Account Factory, par le biais d'un processus asynchrone, avec jusqu'à cinq (5) opérations liées aux comptes en cours simultanément. La dégestion des comptes doit être effectuée un compte à la fois.

  • Les adresses e-mail des comptes partagés dans l'unité d'organisation de sécurité peuvent être modifiées, mais vous devez mettre à jour votre zone de landing zone pour voir ces modifications dans la console AWS Control Tower.

  • Une limite de cinq (5) SCP par unité d'organisation s'applique aux unités d'organisation situées dans votre zone d'atterrissage AWS Control Tower.

  • AWS Control Tower prend en charge jusqu'à 10 000 comptes dans l'organisation de votre zone d'atterrissage, répartis entre toutes vos unités d'organisation.

  • Les UO existantes comportant plus de 300 comptes directement imbriqués ne peuvent pas être enregistrées ou réenregistrées dans AWS Control Tower. Pour plus d'informations sur les limites liées à l'enregistrement des unités d'organisation, consultezLimites relatives aux régions et aux ensembles de piles.

  • Les personnalisations pour AWS Control Tower (CfCT) ne sont pas disponibles dans ces zones Régions AWS, car certaines dépendances ne sont pas disponibles :

    • Asie-Pacifique (Jakarta et Osaka)

    • Israël (Tel Aviv)

    • Moyen-Orient (EAU)

    • Europe (Espagne)

    • Asie-Pacifique (Hyderabad)

    • Europe (Zurich)

    • Canada Ouest (Calgary)

    Vous pouvez déployer et gérer des ressources dans ces régions avec CfCT, si vous déployez CfCT dans votre région d'origine AWS Control Tower, mais que vous ne pouvez pas créer CfCT dans ces régions.

  • AWS Control Tower Account Factory for Terraform (AFT) n'est pas disponible dans les versions suivantes Régions AWS, car certaines dépendances ne le sont pas :

    • Israël (Tel Aviv)

    • Moyen-Orient (EAU)

    • Europe (Espagne)

    • Asie-Pacifique (Hyderabad)

    • Europe (Zurich)

    • Canada Ouest (Calgary)

  • Les régions suivantes ne prennent pas en charge le centre d'identité IAM.

    • Région du Moyen-Orient (EAU), me-central-1

    • Région Asie-Pacifique (Hyderabad), ap-south-2

    • Canada-Ouest (Calgary), ca-west-1

    Pour plus d'informations Régions AWS et d'assistance concernant IAM Identity Center, consultez la section Régions et points de terminaison dans le guide de l'utilisateur AWS d'Identity and Access Management.

  • Les régions suivantes ne sont pas prises en charge AWS Service Catalog.

    • Canada-Ouest (Calgary), ca-west-1

    Pour plus d'informations sur les fonctionnalités d'AWS Control Tower dans les régions non prises en charge AWS Service Catalog, consultezAWS Control Tower est disponible dans l'ouest AWS du Canada (Calgary).

  • Lorsque vous appelez une API de contrôle pour activer ou désactiver un contrôle, la limite pour les DisableControl mises à jour EnableControl et les mises à jour dans AWS Control Tower est de cent (100) opérations simultanées. Dix opérations (10) peuvent être en cours simultanément, les opérations restantes étant mises en file d'attente. Vous devrez peut-être ajuster votre code pour attendre qu'il soit terminé.

  • Dans la limite globale de 100 opérations de contrôle, jusqu'à 20 opérations à la fois peuvent être des opérations de contrôle proactives.

  • Lorsque vous approvisionnez des comptes via Account Factory Customizations (AFC), avec des plans basés sur Terraform, vous ne pouvez déployer ces plans que sur un seul. Région AWS Par défaut, AWS Control Tower se déploie dans la région d'origine.