本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
的配额和服务限制 AWS Organizations
本主题介绍的配额和服务限制 AWS Organizations。
命名指南
以下是您在中创建的名称的指导原则 AWS Organizations,包括帐户名称、组织单位 (OUs)、根和策略:
-
名称必须由 Unicode 字符组成。
-
名称的最大字符串长度因对象而异。有关每个对象的实际限制的信息,请参阅 AWS Organizations API 参考并找到创建该对象的 API 操作,然后查看该操作的
Name参数详细信息。例如:账户名称或者 OU 名称。
注意事项
由于更新,服务配额代码可能会随着时间的推移而发生变化。这不会影响配额值或名称。要查找特定配额的配额代码,请使用ListServiceQuotas操作,然后在输出中查找所需配额的QuotaCode响应。
最大值和最小值
以下是中实体的默认最大值。 AWS Organizations
注意
您可以使用服务限额控制台
Organizations 是一项物理托管在美国东部(弗吉尼亚北部)区域(us-east-1)的全球服务。因此,在使用 us-east-1 Service Quotas 控制台、或 AWS
SDK 时,必须使用来访问 Organi AWS CLI zations 配额。
| 描述 | 限制 |
|---|---|
|
组织 AWS 账户 中的人数 |
10 – 一个组织中允许的原定设置最大账户数。如果您需要更多,则可以使用服务限额控制台 注意:只有组织的管理账户才能提交此配额增加请求。根据客户的资格和要求,最多可以准予将限制增加到 1 万个账户。对于新创建的账户和组织,此配额可能能会低于默认的 10 个账户。 发送到账户的邀请将计入此限额。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期,则撤销此计数。 账户注销后,不会停止计算此配额的使用情况,直到账户永久注销为止。有关何时永久注销账户的更多信息,请参阅《AWS Account Management 参考指南》中的 Post-closure period。 一些服务存在账户限制,账户限制与组织中允许的最大账户数量分开计算。有关更多信息,请参阅按 AWS 服务划分的限制。 |
|
组织中的根数量 |
1 |
|
组织 OUs 中的人数 |
1000 |
|
组织中的每种类型的策略数量 |
服务控制策略:2000 资源控制策略:1000 声明性政策:1000 备份策略:1000 标签策略:1000 聊天机器人策略:1000 AI 服务选择退出策略:1000 |
|
策略文档的最大大小 |
服务控制策略:5120 个字符 资源控制策略:5120 个字符 声明性策略:10,000 个字符 备份策略:10000 个字符 聊天机器人策略:1 万个字符 AI 服务选择退出策略:2500 个字符 标签策略:10000 个字符 注意:如果您使用保存策略 AWS Management Console,则 JSON 元素之间和引号之外的多余空格(例如空格和换行符)将被移除且不计算在内。如果您使用 SDK 操作或保存策略 AWS CLI,则策略将完全按照您提供的方式保存,并且不会自动删除字符。 |
|
根中的最大 OU 嵌套数 |
根 OUs 深处有五个关卡。 |
|
您可在 24 小时内可以执行的最大邀请尝试次数 |
您组织中允许的最大账户数或 20 个账户(以较大值为准)。已接受的邀请不计入此配额。一旦某个邀请被接受,您就可以发送另一个同一天的邀请。 如果您的组织中允许的最大账户数少于 20,则如果您尝试邀请超过组织所能容纳的账户数,则会出现“超出账户限制”异常。但是,您可以在一天内取消邀请并发送多次新邀请(最多 20 次尝试)。 |
|
您可以同时创建的成员账户数量 |
5 – 一个创建完成后即可开始另一个,但正在进行中的只能有五个。 |
| 您可以在 30 天的周期内关闭的成员账户数量 |
组织中 10% 的成员账户,最多 1000 个成员账户。
达到此配额后,您可以注销额外的账户或等待您的配额重置。有关更多信息,请参阅《AWS 账户管理指南》中的关闭AWS账户。 |
| 您可以同时关闭的成员账户数量 | 3 – 同一时间只能处理三个账户关闭。一个账户关闭完成后,您就可以关闭另一个账户。 |
|
可以附加到策略的实体数 |
无限制 |
|
您可以附加到根、OU 或账户的标签数 |
50 |
| 基于资源的委托策略的最大大小 | 40000 个字符 |
按 AWS 服务划分的限制
大多数都 AWS 服务 支持您在组织中可以拥有的最大账户数量。但一些服务存在账户限制,账户限制与组织中允许的最大账户数量分开计算。
下表展示了具有单独账户限制的服务。
| AWS 服务 | 限制 | 能否增加 |
|---|---|---|
| AWS IAM Identity Center | 3000 | 是 |
| AWS Application Migration Service | 5000 | 否 |
| AWS Directory Service | 250 | 是 |
有关更多信息,请参阅《IAM Identity Center 用户指南》中的 AWS IAM Identity Center quotas,以及《Application Migration Service 用户指南》中的 AWS MGN service quota limits。
握手的过期时间
以下是中握手的超时时间。 AWS Organizations
| 描述 | 限制 |
|---|---|
|
邀请加入组织 |
15 天 |
|
请求启用组织中的所有功能 |
90 天 |
|
握手将被删除,不再显示在列表中 |
握手完成后 30 天 |
可附加到实体的策略数
最小值和最大值取决于策略类型以及您要将策略附加到的实体。下表显示了各种策略类型以及可将每种类型附加到的实体数。
注意
这些数字仅适用于那些直接附加到 OU 或账户的策略。通过继承影响 OU 或账户的策略不计入这些限制。所有策略限制都属于硬限制。
| 策略类型 | 附加到实体的数量上限 | 附加到根的数量上限 | 每个 OU 附加的数量上限 | 每个账户附加的数量上限 |
|---|---|---|---|---|
| 服务控制策略 | 1 — 启用 SCPs时,每个实体必须始终至少连接一个 SCP。您无法从实体上删除最后一个 SCP。 | 5 | 5 | 5 |
| 资源控制政策 | 1 — 启用后,该RCPFullAWSAccess策略会自动附加到根目录、每个 OU 以及组织中的每个账户 RCPs。您无法分离此策略,它会计入 5 个策略的配额。 |
5 | 5 | 5 |
| 声明性政策 | 0 | 10 | 10 | 10 |
| 备份策略 | 0 | 10 | 10 | 10 |
| 标签策略 | 0 | 10 | 10 | 10 |
| 聊天机器人策略 | 0 | 5 | 5 | 5 |
| AI 服务选择退出策略 | 0 | 5 | 5 | 5 |
注意
一个组织中只能有一个根。
节流限制
下表 AWS Organizations APIs 按管理类别列出了这些类别,并显示了它们在账户和组织层面各自的限制率。
AWS Organizations 使用令牌桶算法
速率是每秒将代币添加到代币桶中的固定速度。
Burst 是可以添加的最大代币数量和每秒可以使用的最大代币数量。
例如,DescribeAccountAPI 的基准速率限制 AWS 账户 为每秒 20 个请求,突发速率限制为每秒 30 个请求。每秒 30 个请求的突发速率允许您暂时超过每秒 20 个请求的基准速率。
你可以在第一秒钟内发出 20 个请求,这是基准速率。在接下来的几秒钟内,你可以发出 30 个请求,超过基准,但保持在 30 的突发速率之内。但是,在第三秒钟中,如果您尝试发出的请求超过 20 个,则会受到限制,因为您已超过基准速率并且已使用突发容量。
只要每秒的平均请求量在一段时间内保持在基准限制之内,突发速率就可以在不受到限制的情况下处理临时的流量峰值。
账户管理限制
下表列出了 AWS Organizations APIs 用于账户管理的。
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| CloseAccount | 0.05、1 | |
| CreateAccount, CreateGovCloudAccount | 0.1、3 | |
| DescribeAccount | 20、30 | 24、36 |
| DescribeCreateAccountStatus | 2、2 | 2、3 |
| LeaveOrganization | 1、1 | |
| ListCreateAccountStatus | 5、8 | 6、10 |
握手管理限制
下表列出了账户 AWS Organizations APIs 的握手。
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| AcceptHandshake | 1、2 | 5、5 |
| DescribeHandshake | 1、2 | 6、10 |
| CancelHandshake | 2、3 | |
| DeclineHandshake | 1、1 | 5、5 |
| InviteAccountToOrganization | 3、5 | |
| ListHandshakesForAccount, ListHandshakesForOrganization | 5、8 | 6、10 |
组织管理限制
下表列出了 AWS Organizations APIs 用于组织管理的。
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| CreateOrganization, DeleteOrganization, EnableFullControl | 1、1 | |
| CreateOrganizationalUnit, DescribeOrganization | 1、2 | |
| MoveAccount, UpdateOrganizationalUnit, DeleteOrganizationalUnit | 2、3 | |
| DescribeOrganizationalUnit | 2、2 | 2、3 |
| ListAccounts | 8、12 | 9、15 |
| ListChildren | 6、10 | 7、12 |
| ListParents, ListAccountsForParent, ListOrganizationalUnitsForParent | 5、8 | 6、10 |
| ListRoots | 1、2 | 1、3 |
| ListTagsForResource | 10、15 | 12、18 |
| RemoveAccountFromOrganization | 2、2 | |
| TagResource, UntagResource | 4、6 |
策略管理限制
下表列出了 AWS Organizations APIs 用于策略管理的。
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| CreatePolicy, DeletePolicy, AttachPolicy, DetachPolicy | 2、3 | |
| DescribePolicy | 2、2 | 2、3 |
| DisablePolicyType, EnablePolicyType | 1、1 | |
| ListPolicies, ListPoliciesForTarget, ListTargetsForPolicy | 5、8 | 6、10 |
| UpdatePolicy | 2、3 |
服务管理限制
下表列出了 AWS Organizations APIs 用于服务管理的。
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| 启用AWSService访问,禁用AWSService访问 | 1、2 | |
| 清单 AWSServiceAccessForOrganization, ListDelegatedServicesForAccount | 1、3 | 1、4 |
| ListDelegatedAdministrators | 5、8 | 6、10 |
| RegisterDelegatedAdministrator, DeregisterDelegatedAdministrator | 1、2 |
