本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Cont AWS rol Tower 中的限制和配额
本章介绍在使用 Cont AWS rol Tower 时应记住的 AWS 服务限制和配额。如果您由于服务配额问题而无法设置着陆区,请联系AWS Support
有关控件特定限制的更多信息,请参阅控制限制。
新的《控件参考指南》
有关AWS控制塔控件的信息已移至AWS控制塔控件参考指南。
Cont AWS rol Tower 的局限性
本节介绍了 Cont AWS rol Tower 中的已知限制和不支持的用例。
-
AWSControl Tower 具有总体并发限制。通常,一次只能进行一次操作。此限制允许有两个例外情况:
-
可选控件可以通过异步过程同时激活和停用。一次最多可以进行一百 (100) 个与控制相关的操作,无论这些操作是从控制台调用还是从控制台调用。API在这100个操作中,一次最多有20个可以是主动控制操作。
-
可以通过异步流程在 Account Factory 中同时配置、更新和注册账户,最多可以同时进行五 (5) 次与账户相关的操作。一次只能对一个账户进行取消管理。
-
-
可以更改安全 OU 中共享账户的电子邮件地址,但您必须更新着陆区才能在 Cont AWS rol Tower 控制台中看到这些更改。
-
在你的 Cont AWS rol Tower 着陆区,SCPs每个 OU OUs 的上限为五 (5) 个。
-
AWSControl Tower 支持您的着陆区域组织中的多达 10,000 个帐户,这些帐户分配给您的所有帐户OUs。
-
OUs拥有超过 300 个直接嵌套账户的现有账户无法在 Cont AWS rol Tower 中注册或重新注册。有关注册限制的更多信息OUs,请参阅区域和堆栈集限制。
-
由于某些依赖项不可用,因此无法对 Cont AWS rol Tower (cfcT) 进行 AWS 区域自定义:
-
欧洲(苏黎世)区域,eu-central-2
欧洲(西班牙)区域,eu-south-2
-
加拿大西部(卡尔加里)
如果您将 cfcT 部署到您的 Cont AWS rol Tower 主区域,则可以使用 cfCT 在这些区域部署和管理资源,但无法在这些区域构建 cfCT。
-
-
AWSControl Tower Account Factory for Terraform (AFT) 在以下版本中不可用 AWS 区域,因为某些依赖项不可用:
-
欧洲(苏黎世)区域,eu-central-2
欧洲(西班牙)区域,eu-south-2
-
加拿大西部(卡尔加里)
-
-
以下区域不支持IAM身份中心。
-
中东 (UAE) 区域,me-central-1
-
亚太地区(海得拉巴)区域,ap-south-2
-
加拿大西部(卡尔加里),ca-west-1
有关IAM身份中心的更多 AWS 区域 信息和支持,请参阅 Identity and A ccess Managem AWS ent 用户指南中的区域和终端节点。
-
-
以下区域不支持 AWS Service Catalog。
-
加拿大西部(卡尔加里),ca-west-1
有关不支持的区域中的 Cont AWS rol Tower 功能的更多信息 AWS Service Catalog,请参阅AWSControl Tower 在 AWS 加拿大西部(卡尔加里)上市。
-
-
调用控件API来激活或停用控件时,Control Tower 中的AWS限制
EnableControl和DisableControl更新限制为一百 (100) 个并发操作。十个操作 (10) 可以同时进行,其余操作则排队。您可能需要调整代码以等待完成。 -
在 100 个控制操作的总体限制范围内,一次最多可以有 20 个操作是主动控制操作。
-
当您使用基于 Terraform 的蓝图通过 Account Factory Customizations (AFC) 配置账户时,您只能将这些蓝图部署到一个蓝图。 AWS 区域默认情况下,Cont AWS rol Tower 会部署到主区域。
