本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
本章介绍在使用 AWS Control Tower 时应记住的 AWS 服务限制和配额。如果您因服务配额问题无法设置登录区,请联系 AWS 支持
有关特定于控件的限制的更多信息,请参阅 控件限制。
控件参考指南
有关 AWS Control Tower 控件的详细信息已移至 AWS Control Tower 控件参考指南。
AWS Control Tower 中的已知限制
本部分介绍 AWS Control Tower 中的已知限制和不受支持的使用案例。
-
AWS Control Tower 具有总体并发限制。通常,一次只允许进行一个操作。这一限制允许有两种例外情况:
-
可选控件可通过异步流程同时进行激活和停用。一次最多可执行一百(100)项与控件相关的操作,无论这些操作是从控制台调用还是从 API 调用。
-
可通过异步流程在 Account Factory 中同时预置、更新和注册账户,最多可以同时执行五(5)项与账户相关的操作。一次只能对一个账户进行取消管理操作。
-
-
可以更改安全 OU 中共享账户的电子邮件地址,但您必须更新登录区才能在 AWS Control Tower 控制台中查看这些更改。
-
在您的 AWS Control Tower 着陆区 OUs 中, SCPs 每个 OU 的限制为五 (5) 个。
-
AWS Control Tower 支持您的着陆区组织中的多达 10,000 个账户,这些账户分配给您的所有账户 OUs。
-
OUs 拥有超过 1000 个直接嵌套账户的现有账户无法在 AWS Control Tower 中注册或重新注册。有关注册限制的更多信息 OUs,请参阅基于基础 AWS 服务的限制。
-
由于某些依赖项不可用,因此无法@@ 在 AWS Control Tower (cfcT) 中进行 AWS 区域自定义:
-
欧洲(苏黎世)区域,eu-central-2
-
欧洲(西班牙)区域,eu-south-2
-
加拿大西部(卡尔加里)
AWS 亚太地区(马来西亚)区域,ap-southeast-5
如果您将 CfCT 部署到 AWS Control Tower 主区域,则可以使用 CfCT 在这些区域中部署和管理资源,但不能在这些区域中构建 CfCT。
-
-
AWS Control Tower Account Factory for Terraform (AFT) 在以下 AWS 区域版本中不可用,因为某些依赖项不可用:
-
欧洲(苏黎世)区域,eu-central-2
-
欧洲(西班牙)区域,eu-south-2
-
加拿大西部(卡尔加里)
AWS 亚太地区(马来西亚)区域,ap-southeast-5
-
-
A@@ FT 的新客户无法在以下区域部署 AWS Control Tower Account Factory for Terraform (AFT),因为 Conn AWS CodeStar ections 无法连接到第三方版本控制系统 (VCS):
-
亚太地区(香港)、非洲(开普敦)、中东(巴林)、欧洲(苏黎世)、亚太地区(雅加达)、亚太地区(海得拉巴)、亚太地区(大阪)、亚太地区(墨尔本)、以色列(特拉维夫)、欧洲(西班牙)和中东(阿联酋)
-
-
以下区域不支持 IAM Identity Center。
AWS 亚太地区(马来西亚)区域,ap-southeast-5
有关 IAM Identity Center 的更多 AWS 区域 信息和支持,请参阅 Identity and A ccess Managem AWS ent 用户指南中的区域和终端节点。
-
以下区域不支持 AWS Service Catalog。
-
加拿大西部(卡尔加里),ca-west-1
AWS 亚太地区(马来西亚)区域,ap-southeast-5
有关不支持的区域中的 AWS Control Tower 功能的更多信息 AWS Service Catalog,请参阅AWS Control Tower 在 AWS 加拿大西部(卡尔加里)推出。
-
-
调用控件 API 激活或停用控件时,AWS Control Tower 中
EnableControl和DisableControl更新的限制为一百(100)项并发操作。十(10)项操作可以同时进行,其余操作则排队等候。您可能需要调整代码以等待完成。 -
当您使用基于 Terraform 的蓝图通过 Account Factory Customizations(AFC)预置账户时,只能将这些蓝图部署到一个 AWS 区域。默认情况下,AWS Control Tower 会部署到主区域。
