Limitações e cotas no AWS Control Tower - AWS Control Tower
Limitações no AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Limitações e cotas no AWS Control Tower

Este capítulo aborda as limitações e cotas do AWS serviço que você deve ter em mente ao usar o AWS Control Tower. Se você não conseguir configurar sua landing zone devido a um problema de cota de serviço, entre em contato AWS Support.

Para obter mais informações sobre limitações específicas dos controles, consulteLimitações de controle.

Limitações no AWS Control Tower

Esta seção descreve limitações conhecidas e casos de uso sem suporte no AWS Control Tower.

  • O AWS Control Tower tem limitações gerais de simultaneidade. Em geral, uma operação por vez é permitida. Duas exceções a essa limitação são permitidas:

    • Os controles opcionais podem ser ativados e desativados simultaneamente, por meio de um processo assíncrono. Até dez (10) operações relacionadas ao controle por vez podem estar em andamento, no total, independentemente de serem chamadas do console ou de uma API.

    • As contas podem ser provisionadas, atualizadas e inscritas simultaneamente no Account Factory, por meio de um processo assíncrono, com até cinco (5) operações relacionadas à conta em andamento simultaneamente. O não gerenciamento de contas deve ser realizado uma conta por vez.

  • Os endereços de e-mail das contas compartilhadas na OU de segurança podem ser alterados, mas você deve atualizar sua landing zone para ver essas mudanças no console do AWS Control Tower.

  • Um limite de cinco (5) SCPs por OU se aplica às OUs em sua landing zone do AWS Control Tower.

  • O AWS Control Tower suporta até 10.000 contas na organização da sua zona de destino, divididas entre todas as suas OUs.

  • As OUs existentes com mais de 300 contas diretamente aninhadas não podem ser registradas ou registradas novamente no AWS Control Tower. Para obter mais informações sobre limitações no registro de OUs, consulteLimitações de regiões e conjuntos de pilhas.

  • As personalizações do AWS Control Tower (cFct) não estão disponíveis nestes Regiões da AWS, porque algumas dependências não estão disponíveis:

    • Ásia-Pacífico (Jacarta e Osaka)

    • Israel (Tel Aviv)

    • Oriente Médio (Emirados Árabes Unidos)

    • Europa (Espanha)

    • Ásia-Pacífico (Hyderabad)

    • Europa (Zurique)

    Você pode implantar e gerenciar recursos nessas regiões com o cFCT, se você implantar o cFCT na sua região de origem do AWS Control Tower, mas não pode criar o cFct nessas regiões.

  • O AWS Control Tower Account Factory for Terraform (AFT) não está disponível no seguinte Regiões da AWS, porque algumas dependências não estão disponíveis:

    • Israel (Tel Aviv)

    • Oriente Médio (Emirados Árabes Unidos)

    • Europa (Espanha)

    • Ásia-Pacífico (Hyderabad)

    • Europa (Zurique)

  • As regiões a seguir não oferecem suporte ao IAM Identity Center.

    • Região do Oriente Médio (EAU), me-central-1

    • Região Ásia-Pacífico (Hyderabad), ap-south-2

    Para obter mais informações Regiões da AWS e suporte para o IAM Identity Center, consulte Regiões e endpoints no Guia do usuário doAWS Identity and Access Management.

  • Ao chamar uma API de controle para ativar ou desativar um controle, o limite EnableControl e as DisableControl atualizações no AWS Control Tower são dez (10) operações simultâneas. Talvez seja necessário ajustar seu código para aguardar a conclusão.

  • Ao provisionar contas com o AFC, com blueprints baseados no Terraform, você pode implantar esses blueprints em apenas um. Região da AWSPor padrão, o AWS Control Tower é implantado na região de origem.

Você pode entrar em contato com o AWS Support para solicitar um aumento de limite para alguns recursos no AWS Control Tower. Por exemplo, você pode solicitar um aumento de limite de cinco de até dez operações simultâneas relacionadas à conta. Algumas características de desempenho do AWS Control Tower podem mudar após o aumento do limite. Por exemplo, pode levar mais tempo para atualizar uma OU quando você tem mais contas nela. Ou pode levar mais tempo para concluir uma ação na OU com cinco SCPs do que com três SCPs.

Vídeo: Automatize as solicitações de aumento do limite de serviço

Este vídeo (7:24) descreve como automatizar o aumento do limite de serviço para implantações no AWS Control Tower. Também mostra como automatizar a inscrição de novas contas no suporte AWS corporativo da sua organização. Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.

Ao provisionar novas contas nesse ambiente, você pode usar eventos de ciclo de vida para acionar solicitações automatizadas de aumento do limite de serviço em regiões específicas. AWS

Mais informações sobre AWS cotas estão disponíveis na ReferênciaAWS Geral.

O comportamento de controle também é limitado no caso de governança mista. Para ter mais informações, consulte Evite governança mista ao configurar regiões.