本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Control Tower 中的限制和配额
本章介绍在使用 AWS Control Tower 时应记住的 AWS 服务限制和配额。如果您由于服务配额问题而无法设置着陆区,请联系AWS Support
有关特定于控件的限制的更多信息,请参阅控制限制。
新的《控件参考指南》
有关 AWS Control Tower 控件的信息已移至 AWS 控制塔控件参考指南。
AWS Control Tower 的局限性
本节介绍了 AWS Control Tower 中的已知限制和不支持的用例。
-
AWS Control Tower 存在总体并发限制。通常,一次只能进行一次操作。此限制允许有两个例外情况:
-
可选控件可以通过异步过程同时激活和停用。一次最多可以进行一百 (100) 个与控制相关的操作,无论这些操作是从控制台调用还是从 API 调用。在这100个操作中,一次最多有20个可以是主动控制操作。
-
可以通过异步流程在 Account Factory 中同时配置、更新和注册账户,最多可以同时进行五 (5) 次与账户相关的操作。一次只能对一个账户执行取消管理操作。
-
-
可以更改安全 OU 中共享账户的电子邮件地址,但您必须更新着陆区才能在 AWS Control Tower 控制台中看到这些更改。
-
在 AWS Control Tower 着陆区内,每个 OU 有五 (5) 个 SCP 的上限。
-
AWS Control Tower 支持您的着陆区组织中的多达 10,000 个账户,这些账户分配给您的所有 OU。
-
拥有超过 300 个直接嵌套账户的现有 OU 无法在 AWS Control Tower 中注册或重新注册。有关注册 OU 的限制的更多信息,请参阅区域和堆栈集限制。
-
由于某些依赖项不可用,因此无法在 AWS Control Tower (cfcT) 中进行 AWS 区域自定义:
-
欧洲(苏黎世)区域,eu-central-2
欧洲(西班牙)区域,eu-south-2
-
加拿大西部(卡尔加里)
如果您将 cfcT 部署到您的 AWS Control Tower 主区域,则可以使用 cfCT 在这些区域部署和管理资源,但无法在这些区域构建 cfcT。
-
-
AWS Control Tower Account Factory for Terraform (AFT) 在以下 AWS 区域版本中不可用,因为某些依赖项不可用:
-
欧洲(苏黎世)区域,eu-central-2
欧洲(西班牙)区域,eu-south-2
-
加拿大西部(卡尔加里)
-
-
以下区域不支持 IAM 身份中心。
-
中东(阿联酋)区域,me-central-1
-
亚太地区(海得拉巴)区域,ap-south-2
-
加拿大西部(卡尔加里),ca-west-1
有关 IAM Identity Center 的更多 AWS 区域 信息和支持,请参阅 Identity and A ccess Managem AWS ent 用户指南中的区域和终端节点。
-
-
以下区域不支持 AWS Service Catalog。
-
加拿大西部(卡尔加里),ca-west-1
有关不支持的区域中的 AWS Control Tower 功能的更多信息 AWS Service Catalog,请参阅AWS Control Tower 已在 AWS 加拿大西部(卡尔加里)上市。
-
-
调用控制 API 来激活或停用控件时,AWS Control Tower 中的限制
EnableControl
和DisableControl
更新限制为一百 (100) 个并发操作。十个操作 (10) 可以同时进行,其余操作则排队。您可能需要调整代码以等待完成。 -
在 100 个控制操作的总体限制范围内,一次最多可以有 20 个操作是主动控制操作。
-
当您使用基于 Terraform 的蓝图通过 Account Factory 自定义 (AFC) 配置账户时,您只能将这些蓝图部署到一个蓝图。 AWS 区域默认情况下,AWS Control Tower 会部署到主区域。