AWS Control Tower の制限とクォータ - AWS Control Tower
AWS Control Tower の既知の制限事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower の制限とクォータ

この章では、AWS Control Tower を使用する際に留意すべき AWS サービスの制限とクォータについて説明します。サービスクォータの問題によりランディングゾーンをセットアップできない場合は、AWS サポート にお問い合わせください。

コントロール固有の制限の詳細については、「コントロールの制限事項」を参照してください。

Controls Reference Guide

AWS Control Tower のコントロールに関する詳細情報は、「AWS Control Tower Controls Reference Guide」に移動されました。

AWS Control Tower の既知の制限事項

このセクションでは、AWS Control Tower の既知の制限事項とサポートされていないユースケースについて説明します。

  • AWS Control Tower には全体的な同時実行数の制限があります。通常、一度に実行できるオペレーション数は 1 つです。この制限には次の 2 つの例外があります。

    • オプションのコントロールは、非同期プロセスを通じて同時にアクティブ化および非アクティブ化できます。呼び出し元がコンソールか API に関係なく、一度に合計最大 100 のコントロール関連オペレーションを実行できます。

    • アカウントは、非同期プロセスを通じて Account Factory で同時にプロビジョニング、更新、登録でき、アカウント関連のオペレーションは同時に 5 つまで実行できます。アカウントの管理を解除するには、一度に 1 つのアカウントを実行する必要があります。

  • セキュリティ OU の共有アカウントの E メールアドレスは変更できますが、これらの変更を AWS Control Tower コンソールで確認するには、ランディングゾーンを更新する必要があります。

  • AWS Control Tower ランディングゾーンの OU には、OU あたり 5 個の SCP という制限が適用されます。

  • AWS Control Tower は、ランディングゾーンの組織で、すべての OU 間で分けられたアカウントを最大 10,000 個までサポートします。

  • 直接ネストされたアカウントの数が 1000 を超える既存の OU は、AWS Control Tower に登録または再登録することはできません。OU の登録に伴う制限の詳細については、「基盤となる AWS サービスに基づく制限事項」を参照してください。

  • AWS Control Tower (CfCT) のカスタマイズは AWS リージョン、一部の依存関係が利用できないため、これらでは使用できません。

    • 欧州 (チューリッヒ) リージョン、eu-central-2

    • 欧州 (スペイン) リージョン、eu-south-2

    • カナダ西部 (カルガリー)

    • AWS アジアパシフィック (マレーシア) リージョン、ap-southeast-5

    CfCT を AWS Control Tower のホームリージョンにデプロイする場合、CfCT を使用してこれらのリージョンにリソースをデプロイおよび管理できますが、これらのリージョンに CfCT を構築することはできません。

  • 一部の依存関係は使用できないため AWS リージョン、AWS Control Tower Account Factory for Terraform (AFT) は以下では利用できません。

    • 欧州 (チューリッヒ) リージョン、eu-central-2

    • 欧州 (スペイン) リージョン、eu-south-2

    • カナダ西部 (カルガリー)

    • AWS アジアパシフィック (マレーシア) リージョン、ap-southeast-5

  • AWS Control Tower Account Factory for Terraform (AFT) は、次のリージョンの新規の AFT のお客様にデプロイできません。 AWS CodeStar Connections はサードパーティーのバージョン管理システム (VCS) に接続できないためです。

    • アジアパシフィック (香港)、アフリカ (ケープタウン)、中東 (バーレーン)、欧州 (チューリッヒ)、アジアパシフィック (ジャカルタ)、アジアパシフィック (ハイデラバード)、アジアパシフィック (大阪)、アジアパシフィック (メルボルン)、イスラエル (テルアビブ)、欧州 (スペイン)、中東 (アラブ首長国連邦)

  • 以下のリージョンは IAM アイデンティティセンターをサポートしていません。

    • AWS アジアパシフィック (マレーシア) リージョン、ap-southeast-5

    IAM Identity Center の詳細 AWS リージョン とサポートについては、AWS 「 Identity and Access Management ユーザーガイド」の「リージョンとエンドポイント」を参照してください。

  • 以下のリージョンは AWS Service Catalog をサポートしていません。

    • カナダ西部 (カルガリー)、ca-west-1

    • AWS アジアパシフィック (マレーシア) リージョン、ap-southeast-5

    がサポートしていないリージョンの AWS Control Tower 機能の詳細については AWS Service Catalog、「」を参照してくださいAWS Control Tower が AWS のカナダ西部 (カルガリー) で利用可能に

  • コントロール API を呼び出してコントロールをアクティブ化または非アクティブ化する場合、AWS Control Tower での EnableControlDisableControl の更新の同時オペレーションの上限は 100 です。10 個のオペレーションを同時に実行でき、残りのオペレーションはキューに入れられます。完了するまでコードを調整する必要がある場合があります。

  • Terraform をベースにしたブループリントを使用して、Account Factory Customizations (AFC) でアカウントをプロビジョニングする場合、それらのブループリントは 1 つの AWS リージョンにしかデプロイできません。デフォルトでは、AWS Control Tower はホームリージョンにデプロイします。