AWS Control Tower 中的限制和配额

本章介绍在使用 AWS Control Tower 时应记住的 AWS 服务限制和配额。如果您由于服务配额问题而无法设置着陆区，请联系AWS Support。

有关特定于控件的限制的更多信息，请参阅控制限制。

新的《控件参考指南》

有关 AWS Control Tower 控件的信息已移至 AWS 控制塔控件参考指南。

AWS Control Tower 的局限性

本节介绍了 AWS Control Tower 中的已知限制和不支持的用例。

• AWS Control Tower 存在总体并发限制。通常，一次只能进行一次操作。此限制允许有两个例外情况：

  • 可选控件可以通过异步过程同时激活和停用。一次最多可以进行一百 (100) 个与控制相关的操作，无论这些操作是从控制台调用还是从 API 调用。在这100个操作中，一次最多有20个可以是主动控制操作。

  • 可以通过异步流程在 Account Factory 中同时配置、更新和注册账户，最多可以同时进行五 (5) 次与账户相关的操作。一次只能对一个账户执行取消管理操作。

• 可以更改安全 OU 中共享账户的电子邮件地址，但您必须更新着陆区才能在 AWS Control Tower 控制台中看到这些更改。

• 在 AWS Control Tower 着陆区内，每个 OU 有五 (5) 个 SCP 的上限。

• AWS Control Tower 支持您的着陆区组织中的多达 10,000 个账户，这些账户分配给您的所有 OU。

• 拥有超过 300 个直接嵌套账户的现有 OU 无法在 AWS Control Tower 中注册或重新注册。有关注册 OU 的限制的更多信息，请参阅区域和堆栈集限制。

• 由于某些依赖项不可用，因此无法在 AWS Control Tower (cfcT) 中进行 AWS 区域自定义：

  • 欧洲（苏黎世）区域，eu-central-2

  • 欧洲（西班牙）区域，eu-south-2

  • 加拿大西部（卡尔加里）

  如果您将 cfcT 部署到您的 AWS Control Tower 主区域，则可以使用 cfCT 在这些区域部署和管理资源，但无法在这些区域构建 cfcT。

• AWS Control Tower Account Factory for Terraform (AFT) 在以下 AWS 区域版本中不可用，因为某些依赖项不可用：

  • 欧洲（苏黎世）区域，eu-central-2

  • 欧洲（西班牙）区域，eu-south-2

  • 加拿大西部（卡尔加里）

• 以下区域不支持 IAM 身份中心。

  • 中东（阿联酋）区域，me-central-1

  • 亚太地区（海得拉巴）区域，ap-south-2

  • 加拿大西部（卡尔加里），ca-west-1

  有关 IAM Identity Center 的更多 AWS 区域 信息和支持，请参阅 Identity and A ccess Managem AWS ent 用户指南中的区域和终端节点。

• 以下区域不支持 AWS Service Catalog。

  • 加拿大西部（卡尔加里），ca-west-1

  有关不支持的区域中的 AWS Control Tower 功能的更多信息 AWS Service Catalog，请参阅AWS Control Tower 已在 AWS 加拿大西部（卡尔加里）上市。

• 调用控制 API 来激活或停用控件时，AWS Control Tower 中的限制EnableControl和DisableControl更新限制为一百 (100) 个并发操作。十个操作 (10) 可以同时进行，其余操作则排队。您可能需要调整代码以等待完成。

• 在 100 个控制操作的总体限制范围内，一次最多可以有 20 个操作是主动控制操作。

• 当您使用基于 Terraform 的蓝图通过 Account Factory 自定义 (AFC) 配置账户时，您只能将这些蓝图部署到一个蓝图。 AWS 区域默认情况下，AWS Control Tower 会部署到主区域。