本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Control Tower 的限制和配額
本章介紹使用 AWS Control Tower 時應記住的 AWS 服務限制和配額。如果因為服務配額問題而無法設定 landing zone,請聯絡AWS Support
如需控制項特定限制的詳細資訊,請參閱控制限制。
新的控制項參考指南
AWS Control Tower 控制的相關資訊已移至 AWS Control Tower 控制參考指南。
AWS Control Tower 的限制
本節說明 AWS Control Tower 中的已知限制和不支援的使用案例。
-
AWS Control Tower 有整體並行限制。一般而言,允許一次執行一項作業。允許使用此限制的兩個例外情況:
-
可透過非同步程序同時啟動和停用選用控制項。無論是從控制台還是從 API 調用,一次最多可以進行一百(100)個控制項相關操作。在這 100 項作業中,一次最多 20 個可以是主動式控制作業。
-
您可以透過非同步程序在 Account Factory 中同時佈建、更新和註冊帳戶,最多可同時進行五 (5) 個帳戶相關作業。取消管理帳戶必須一次執行一個帳戶。
-
-
您可以變更安全 OU 中共用帳戶的電子郵件地址,但您必須更新 landing zone,才能在 AWS Control Tower 主控台中查看這些變更。
-
每個 OU 只能有五 (5) 個 SCP 適用於 AWS Control Tower landing zone 中的 OU。
-
AWS Control Tower 在您的登陸區域組織中最多支援 10,000 個帳戶,分為所有 OU。
-
擁有超過 300 個直接巢狀帳戶的現有 OU 無法在 AWS Control Tower 註冊或重新註冊。如需註冊 OU 之限制的詳細資訊,請參閱區域和堆疊集限制。
-
AWS Control Tower (CFCT) 的自訂無法在下列項目中使用 AWS 區域,因為某些相依性無法使用:
-
歐洲(蘇黎世)區域,eu-central-2
歐洲 (西班牙) 地區,eu-south-2
-
加拿大西部 (卡加利)
如果您將 CFCT 部署到 AWS Control Tower 本地區域,但無法在這些區域中建立 CFCT,則可以使用 CFCT 在這些區域部署和管理資源。
-
-
下列項目無法使用適用於 Terraform 的 AWS Control Tower Account Factory (AFT) AWS 區域,因為某些相依性無法使用:
-
歐洲(蘇黎世)區域,eu-central-2
歐洲 (西班牙) 地區,eu-south-2
-
加拿大西部 (卡加利)
-
-
下列區域不支援 IAM 身分中心。
-
中東(阿拉伯聯合酋長國)區域,me-central-1
-
亞太區域 (海德拉巴),ap-south-2
-
加拿大西部 (卡加利), ca-west-1
如需 IAM 身分中心 AWS 區域 和支援的詳細資訊,請參閱 Identity and Access Management 使用者指南中的區域和端點。AWS
-
-
下列區域不支援 AWS Service Catalog。
-
加拿大西部 (卡加利), ca-west-1
如需不支援的區域中 AWS Control Tower 功能的詳細資訊 AWS Service Catalog,請參閱AWS Control Tower 於 AWS 加拿大西部 (卡加立) 提供。
-
-
呼叫控制 API 以啟用或停用控制項時,AWS Control Tower 中的
EnableControl和DisableControl更新限制為一百 (100) 個並行操作。可以同時進行十個作業 (10),剩餘的作業會排入佇列。您可能需要調整代碼以等待完成。 -
在 100 個控制作業的整體限制內,一次最多 20 個作業可以是主動式控制作業。
-
當您透過 Account Factory 自訂 (AFC) 佈建帳戶時,使用以 Terraform 為基礎的藍圖,您只能將這些藍圖部署到一個藍圖。 AWS 區域根據預設,AWS Control Tower 會部署到主區域。
