AWS Organizations 的配额和服务限制 - AWS Organizations

AWS Organizations 的配额和服务限制

本主题介绍 AWS Organizations 的配额和服务限制。

命名指南

下面是在 AWS Organizations 中创建时的名称指南(包括账户、组织单位 (OU)、根和策略的名称):

  • 名称必须由 Unicode 字符组成

  • 名称的最大字符串长度因对象而异。有关每个对象的实际限制的信息,请参阅 AWS Organizations API 参考并找到创建该对象的 API 操作,然后查看该操作的 Name 参数详细信息。例如:账户名称或者 OU 名称

最大值和最小值

以下是 AWS Organizations 中的实体的默认最大数量。

注意

您可以使用服务限额控制台请求增加其中一些值。

Organizations 是一项物理托管在美国东部(弗吉尼亚北部)区域(us-east-1)的全球服务。因此,您在使用 Service Quotas 控制台、AWS CLI 或 AWS SDK 时,必须使用 us-east-1 来访问 Organizations 配额。

描述 限制

组织中的AWS 账户数量

10 – 一个组织中允许的原定设置最大账户数。如果您需要更多,则可以使用服务限额控制台请求增加。

注意:只有组织的管理账户才能提交此配额增加请求。根据客户的资格和要求,最多可以准予将限制增加到 1 万个账户。对于新创建的账户和组织,此配额可能能会低于默认的 10 个账户。

发送到账户的邀请将计入此限额。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期,则撤销此计数。

账户注销后,不会停止计算此配额的使用情况,直到账户永久注销为止。有关何时永久注销账户的更多信息,请参阅《AWS Account Management 参考指南》中的 Post-closure period

一些服务存在账户限制,账户限制与组织中允许的最大账户数量分开计算。有关更多信息,请参阅各 AWS 的限制

组织中的根数量

1

组织中的 OU 数量

1000

组织中的每种类型的策略数量

服务控制策略:2000

备份策略:1000

标签策略:1000

聊天机器人策略:1000

AI 服务选择退出策略:1000

策略文档的最大大小

服务控制策略:5120 个字符

备份策略:10000 个字符

聊天机器人策略:1 万个字符

AI 服务选择退出策略:2500 个字符

标签策略:10000 个字符

注意:如果您使用AWS Management Console保存策略,JSON 元素之间和引号之外的额外白色空格(如空格和换行符)不计算在内。如果您使用 SDK 操作或 AWS CLI 保存策略,则策略将完全按照您提供的方式保存,并且不会自动删除字符。

根中的最大 OU 嵌套数

根下方最深五层 OU。

您可在 24 小时内可以执行的最大邀请尝试次数

您组织中允许的最大账户数或 20 个账户(以较大值为准)。已接受的邀请不计入此配额。一旦某个邀请被接受,您就可以发送另一个同一天的邀请。

如果您的组织中允许的最大账户数少于 20,则如果您尝试邀请超过组织所能容纳的账户数,则会出现“超出账户限制”异常。但是,您可以在一天内取消邀请并发送多次新邀请(最多 20 次尝试)。

您可以同时创建的成员账户数量

5 – 一个创建完成后即可开始另一个,但正在进行中的只能有五个。

您可以在 30 天的周期内关闭的成员账户数量

组织中 10% 的成员账户,最多 1000 个成员账户。

  • < 100 个账户 – 您最多可以关闭 10 个成员账户

  • 100 – 1 万个账户 – 您最多可以注销 10% 的成员账户

  • > 1 万个账户 – 您最多可以注销 1000 个成员账户

达到此配额后,您可以注销额外的账户或等待您的配额重置。有关更多信息,请参阅《AWS 账户管理指南》中的 Close an AWS account

您可以同时关闭的成员账户数量 3 – 同一时间只能处理三个账户关闭。一个账户关闭完成后,您就可以关闭另一个账户。

可以附加到策略的实体数

无限制

您可以附加到根、OU 或账户的标签数

50

基于资源的委托策略的最大大小 40000 个字符

各 AWS 服务的限制

大多数 AWS 服务都支持公布的组织中最大账户数。但一些服务存在账户限制,账户限制与组织中允许的最大账户数量分开计算。

下表展示了具有单独账户限制的服务。

AWS 服务 限制 能否增加
AWS IAM Identity Center 3000
AWS Application Migration Service 5000
AWS Directory Service 250

有关更多信息,请参阅《IAM Identity Center 用户指南》中的 AWS IAM Identity Center quotas,以及《Application Migration Service 用户指南》中的 AWS MGN service quota limits

握手的过期时间

以下是 AWS Organizations 中的握手超时时间。

描述 限制

邀请加入组织

15 天

请求启用组织中的所有功能

90 天

握手将被删除,不再显示在列表中

握手完成后 30 天

可附加到实体的策略数

最小值和最大值取决于策略类型以及您要将策略附加到的实体。下表显示了各种策略类型以及可将每种类型附加到的实体数。

注意

这些数字仅适用于那些直接附加到 OU 或账户的策略。通过继承影响 OU 或账户的策略计入这些限制。所有策略限制都属于硬限制。

策略类型 附加到实体的数量上限 附加到根的数量上限 每个 OU 附加的数量上限 每个账户附加的数量上限
服务控制策略 1 – 每个实体始终必须至少附加一个 SCP。您无法从实体上删除最后一个 SCP。 5 5 5
备份策略 0 10 10 10
标签策略 0 10 10 10
聊天机器人策略 0 5 5 5
AI 服务选择退出策略 0 5 5 5
注意

一个组织中只能有一个根。

节流限制

下表按管理类别列出了 AWS Organizations API,并显示了在账户和组织层面相应的节流速率。

账户管理限制

下表列出了用于账户管理的 AWS Organizations API。

AWS Organizations API 每账户限制(速率、突发量) 每组织限制(速率、突发量)
CloseAccount 0.05、1
CreateAccount、CreateGovCloudAccount 0.1、3
DescribeAccount 20、30 24、36
DescribeCreateAccountStatus 2、2 2、3
LeaveOrganization 1、1
ListCreateAccountStatus 5、8 6、10

握手管理限制

下表列出了用于账户握手的 AWS Organizations API。

AWS Organizations API 每账户限制(速率、突发量) 每组织限制(速率、突发量)
AcceptHandshake、DescribeHandshake 1、1
CancelHandshake 2、3
DeclineHandshake 1、3
InviteAccountToOrganization 3、5
ListHandshakesForAccount、ListHandshakesForOrganization 5、8 6、10

组织管理限制

下表列出了用于组织管理的 AWS Organizations API。

AWS Organizations API 每账户限制(速率、突发量) 每组织限制(速率、突发量)
CreateOrganization、DeleteOrganization、EnableFullControl 1、1
CreateOrganizationalUnit、DescribeOrganization 1、2
MoveAccount、UpdateOrganizationalUnit、DeleteOrganizationalUnit 2、3
DescribeOrganizationalUnit 2、2 2、3
ListAccounts 8、12 9、15
ListChildren 6、10 7、12
ListParents、ListAccountsForParent、ListOrganizationalUnitsForParent 5、8 6、10
ListRoots 1、2 1、3
ListTagsForResource 10、15 12、18
RemoveAccountFromOrganization 2、2
TagResource、UntagResource 4、6

策略管理限制

下表列出了用于策略管理的 AWS Organizations API。

AWS Organizations API 每账户限制(速率、突发量) 每组织限制(速率、突发量)
CreatePolicy、DeletePolicy、AttachPolicy、DetachPolicy 2、3
DescribePolicy 2、2 2、3
DisablePolicyType、EnablePolicyType 1、1
ListPolicies、ListPoliciesForTarget、ListTargetsForPolicy 5、8 6、10
UpdatePolicy 2、3

服务管理限制

下表列出了用于服务管理的 AWS Organizations API。

AWS Organizations API 每账户限制(速率、突发量) 每组织限制(速率、突发量)
EnableAWSServiceAccess、DisableAWSServiceAccess 1、2
ListAWSServiceAccessForOrganization、ListDelegatedServicesForAccount 1、3 1、4
ListDelegatedAdministrators 5、8 6、10
RegisterDelegatedAdministrator、DeregisterDelegatedAdministrator 1、2