AWS Control Tower の制限とクォータ - AWS Control Tower
AWS Control Tower の制限事項

AWS Control Tower の制限とクォータ

この章では、AWS Control Tower を使用するときに注意すべき AWS のサービスの制限とクォータについて説明します。サービスクォータの問題によりランディングゾーンをセットアップできない場合は、AWS Support にお問い合わせください。

コントロール固有の制限の詳細については、「コントロールの制限事項」を参照してください。

AWS Control Tower の制限事項

このセクションでは、AWS Control Tower の既知の制限事項とサポートされていないユースケースについて説明します。

  • AWS Control Tower には全体的な同時実行数の制限があります。通常、一度に実行できるオペレーション数は 1 つです。この制限には次の 2 つの例外があります。

    • オプションのコントロールは、非同期プロセスを通じて同時にアクティブ化および非アクティブ化できます。呼び出し元がコンソールか API に関係なく、一度に合計最大 10 のコントロール関連のオペレーションを実行できます。

    • アカウントは、非同期プロセスを通じて Account Factory で同時にプロビジョニング、更新、登録でき、アカウント関連のオペレーションは同時に 5 つまで実行できます。アカウントの管理を解除するには、一度に 1 つのアカウントを実行する必要があります。

  • セキュリティ OU の共有アカウントの E メールアドレスは変更できますが、これらの変更を AWS Control Tower コンソールで確認するには、ランディングゾーンを更新する必要があります。

  • AWS Control Tower ランディングゾーンの OU には、OU あたり 5 個の SCP という制限が適用されます。

  • AWS Control Tower は、ランディングゾーンの組織で、すべての OU 間で分けられたアカウントを最大 10,000 個までサポートします。

  • アカウント数が 300 を超える直接ネストされた既存の OU は、AWS Control Tower に登録または再登録することはできません。OU の登録に伴う制限の詳細については、「リージョンとスタックセットの制限」を参照してください。

  • CfCT は、一部の依存関係が利用できないため、以下の AWS リージョンでは使用できません。

    • アジア太平洋 (ジャカルタと大阪)

    • イスラエル (テルアビブ)

    • 中東 (アラブ首長国連邦)

    • 欧州 (スペイン)

    • アジアパシフィック (ハイデラバード)

    • 欧州 (チューリッヒ)

    CfCT を AWS Control Tower のホームリージョンにデプロイする場合、CfCT を使用してこれらのリージョンにリソースをデプロイおよび管理できますが、これらのリージョンに CfCT を構築することはできません。

  • AFT は、一部の依存関係が利用できないため、以下の AWS リージョンでは使用できません。

    • イスラエル (テルアビブ)

    • 中東 (アラブ首長国連邦)

    • 欧州 (スペイン)

    • アジアパシフィック (ハイデラバード)

    • 欧州 (チューリッヒ)

  • 以下のリージョンは IAM ID センターをサポートしていません。

    • 中東 (UAE) リージョン、me-central-1

    • アジアパシフィック (ハイデラバード) リージョン、ap-south-2

    AWS リージョン の詳細、および IAM ID センターのサポートについては、「AWS Identity and Access Management ユーザーガイド」の「リージョンとエンドポイント」を参照してください。

  • コントロール API を呼び出してコントロールをアクティブ化または非アクティブ化する場合、AWS Control Tower の EnableControlDisableControl 更新の同時オペレーション制限は 10 です。完了するまでコードを調整する必要がある場合があります。

  • Terraform をベースにしたブループリントを使用して AFC でアカウントをプロビジョニングする場合、それらのブループリントは 1 つの AWS リージョン にしかデプロイできません。デフォルトでは、AWS Control Tower はホームリージョンにデプロイします。

AWS サポートに連絡して、AWS Control Tower の一部のリソースの制限の引き上げをリクエストできます。例えば、同時実行できるアカウント関連のオペレーション数の制限を 5 から 10 に引き上げるようにリクエストできます。AWS Control Tower の一部のパフォーマンス特性は、制限の引き上げ後に変更される場合があります。たとえば、OU のアカウント数が多いと、OU の更新に時間がかかることがあります。または、SCP が 5 つある OU でのアクションの完了には、SCP が 3 つある場合よりも時間がかかる可能性があります。

動画: Automate requests for service limit increase (サービス上限引き上げのリクエストを自動化する)

この動画 (7:24) では、AWS Control Towerのデプロイのサービス制限の引き上げを自動化する方法について説明します。このビデオではこの他に、組織の AWS エンタープライズサポートへの新規アカウントの登録を自動化する方法についても説明しています。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

この環境で新しいアカウントをプロビジョニングしているときに、ライフサイクルイベントを使用して、指定された AWS リージョンでのサービス制限引き上げの自動リクエストをトリガーできます。

AWS クォータについての情報は、「AWS 全般リファレンス」を参照してください。

混合ガバナンスの場合、コントロールの動作も制限されます。詳細については、「リージョンを設定する際は混合ガバナンスを避ける」を参照してください。