Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Einschränkungen und Kontingente in AWS Control Tower In diesem Kapitel werden die AWS Servicebeschränkungen und Kontingente behandelt, die Sie bei der Nutzung von AWS Control Tower beachten sollten. Wenn Sie Ihre landing zone aufgrund eines Problems mit der Servicequote nicht einrichten können, wenden Sie sich an [AWS Support](https://aws.amazon.com/premiumsupport/). Weitere Informationen zu Einschränkungen, die für Steuerelemente spezifisch sind, finden Sie unter[Einschränkungen der Kontrolle](control-limitations.md). **Das Referenzhandbuch für Steuerungen** Detaillierte Informationen zu AWS Control Tower Controls wurden in [das AWS Control Tower Controls Reference Guide](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html) verschoben. ## Bekannte Einschränkungen in AWS Control Tower In diesem Abschnitt werden bekannte Einschränkungen und nicht unterstützte Anwendungsfälle in AWS Control Tower beschrieben. + AWS Control Tower hat allgemeine *Einschränkungen bei der Parallelität*. Im Allgemeinen ist jeweils ein Vorgang zulässig. Zwei Ausnahmen von dieser Beschränkung sind zulässig: + Optionale Steuerungen können über einen asynchronen Prozess gleichzeitig aktiviert und deaktiviert werden. Insgesamt können bis zu einhundert (100) steuerungsbezogene Operationen gleichzeitig ausgeführt werden, unabhängig davon, ob sie von der Konsole oder von einer API aus aufgerufen werden. + Konten können über einen asynchronen Prozess gleichzeitig in Account Factory bereitgestellt, aktualisiert und registriert werden, wobei bis zu fünf (5) kontobezogene Vorgänge gleichzeitig ausgeführt werden. Das Aufheben der Verwaltung von Konten muss für jedes Konto einzeln durchgeführt werden. + Account Factory for Terraform (AFT) verfügt über zusätzliche Parallelitätsparameter, die während der Bereitstellung konfiguriert wurden. AWS hat AFT mit diesen Standardwerten getestet: + `concurrent_account_factory_actions`: 5 (Kontobereitstellung) + `maximum_concurrent_customizations`: 5 (Pipelines zur Anpassung) Eine Erhöhung dieser Grenzwerte über die getesteten Standardwerte hinaus kann die Stabilität beeinträchtigen. + E-Mail-Adressen von gemeinsam genutzten Konten in der Security OU können geändert werden, aber Sie müssen Ihre landing zone aktualisieren, um diese Änderungen in der AWS Control Tower Tower-Konsole zu sehen. + OUs In Ihrer AWS Control Tower Tower-Landezone gilt ein Limit von fünf (5) SCPs pro OU. + AWS Control Tower unterstützt bis zu 10.000 Konten in der Organisation Ihrer Landing Zone, aufgeteilt auf alle Ihre OUs. + Bestehende Konten OUs mit über 1000 direkt verschachtelten Konten können nicht in AWS Control Tower registriert oder erneut registriert werden. Weitere Informationen zu Einschränkungen bei der Registrierung finden Sie OUs unter. [Einschränkungen, die auf den zugrunde liegenden Diensten basieren AWS](region-stackset-limitations.md) + **Anpassungen für AWS Control Tower (cFCT)** sind in diesen nicht verfügbar AWS-Regionen, da einige Abhängigkeiten nicht verfügbar sind: + Europa (Zürich), eu-central-2 + Europa (Spanien), eu-south-2 + Kanada West (Calgary) ca-west-1 + Asien-Pazifik (Melbourne), ap-southeast-4 + Asien-Pazifik (Malaysia), ap-Southeast-5 + Asien-Pazifik (Thailand), ap-Southeast-7 + Mexiko (Zentral), mx-central-1 Sie können Ressourcen in diesen Regionen mit cFCT bereitstellen und verwalten, wenn Sie cFCT in Ihrer AWS Control Tower Tower-Heimatregion bereitstellen, aber Sie können cFCT in diesen Regionen nicht erstellen. + **AWS Control Tower Account Factory for Terraform (AFT)** ist im Folgenden nicht verfügbar AWS-Regionen, da einige Abhängigkeiten nicht verfügbar sind: + Europa (Zürich), eu-central-2 + Europa (Spanien), eu-south-2 + Kanada West (Calgary), ca-west-1 + Asien-Pazifik (Melbourne), ap-southeast-4 + Asien-Pazifik (Malaysia), ap-Southeast-5 + Asien-Pazifik (Thailand), ap-Southeast-7 + Mexiko (Zentral), mx-central-1 + **AWS Control Tower Account Factory for Terraform (AFT)** kann von neuen AFT-Kunden in den folgenden Regionen nicht bereitgestellt werden, da AWS CodeConnections keine Verbindung zu einem Versionskontrollsystem (VCS) eines Drittanbieters hergestellt werden kann: + Asien-Pazifik (Hongkong), Afrika (Kapstadt), Naher Osten (Bahrain), Europa (Zürich), Asien-Pazifik (Jakarta), Asien-Pazifik (Hyderabad), Asien-Pazifik (Osaka), Asien-Pazifik (Melbourne), Israel (Tel Aviv), Europa (Spanien), Naher Osten (VAE), Asien-Pazifik (Thailand), Mexiko (Zentral) + Die folgenden Regionen unterstützen nicht. **AWS Service Catalog** + Kanada West (Calgary), ca-west-1 + Asien-Pazifik (Malaysia), ap-Southeast-5 + Asien-Pazifik (Thailand), ap-Southeast-7 + Mexiko (Zentral), mx-central-1 **Anmerkung** Regionen, die Service Catalog nicht unterstützen, unterstützen Account Factory Customizations for AWS Control Tower (AFC) nicht. Weitere Informationen zur AWS Control Tower Tower-Funktionalität in Regionen, die dies nicht unterstützen AWS Service Catalog, finden Sie unter[AWS Control Tower in AWS Kanada West (Calgary) verfügbar](2024-all.md#yyc-available). + Wenn Sie eine Kontroll-API aufrufen, um eine Steuerung zu aktivieren oder zu deaktivieren, liegt das Limit für `EnableControl` und `DisableControl` Updates in AWS Control Tower bei einhundert (100) gleichzeitigen Vorgängen. Zehn Operationen (10) können gleichzeitig ausgeführt werden, wobei die verbleibenden Vorgänge in die Warteschlange gestellt werden. Möglicherweise müssen Sie Ihren Code anpassen, um auf die Fertigstellung zu warten. + Wenn Sie Konten über **Account Factory Customizations (AFC)** mit Blueprints bereitstellen, die auf Terraform basieren, können Sie diese Blueprints nur für einen bereitstellen. AWS-Region Standardmäßig wird AWS Control Tower in der Heimatregion bereitgestellt. # Anfordern einer Kontingenterhöhung Die Service Quotas Quotas-Konsole bietet Informationen über AWS Control Tower Tower-Kontingente. Sie können die Servicekontingenten-Konsole verwenden, um die Standard-Servicekontingenten einzusehen oder um [Kontingenterhöhungen für anpassbare Kontingente anzufordern](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/controltower/quotas). **Anmerkung** Bei neu erstellten Konten und Organisationen liegt das Kontingent möglicherweise unter dem Standardwert von 10 Konten. **Die folgenden Kontingente können über die Service Quotas Quotas-Konsole eingesehen werden:** + *Kontingent für gleichzeitige Kontovorgänge*: Die maximale Anzahl gleichzeitiger Kontovorgänge, die gleichzeitig ausgeführt werden können. Standard: 5, Maximum: 10, einstellbar + *Anzahl der Konten in einer einzelnen OU*: Die maximale Anzahl von von AWS Control Tower verwalteten Konten, die in einer OU vorhanden sein können. Wenn Sie Konten hinzufügen, die dieses Limit überschreiten, kann der OU-Registrierungsprozess in AWS Control Tower nicht durchgeführt werden. Weitere Informationen zur Anzahl der Konten pro Organisationseinheit finden Sie [Einschränkungen, die auf den zugrunde liegenden Diensten basieren AWS](region-stackset-limitations.md) in der AWS Control Tower Tower-Dokumentation. Standard: 1000, nicht einstellbar. + *Gleichzeitige Operationen für Organisationseinheiten (OUs)*: Die maximale Anzahl gleichzeitiger Operationen im Zusammenhang mit Organisationseinheiten, die gleichzeitig ausgeführt werden können. Standard: 1, nicht einstellbar. Sie können beispielsweise eine Kontingenterhöhung von fünf von bis zu zehn gleichzeitigen kontobezogenen Vorgängen beantragen. Einige Leistungsmerkmale von AWS Control Tower können sich nach einer Erhöhung des Kontingents ändern. Beispielsweise kann es länger dauern, eine Organisationseinheit zu aktualisieren, wenn Sie mehr Konten darin haben. Oder es kann länger dauern, eine Aktion an einer Organisationseinheit mit fünf abzuschließen SCPs als an einer Organisationseinheit mit drei SCPs. **Anmerkung** Eine Anfrage zur Erhöhung des Servicekontingents kann bis zu zwei Tage dauern, bis sie wirksam wird. Stellen Sie sicher, dass Sie die Erhöhung des Kontingents von Ihrer AWS Control Tower Tower-Heimatregion aus beantragen. Alternativ können Sie sich an den [AWS Support](https://aws.amazon.com//premiumsupport/) wenden, um eine Erhöhung des Kontingents für einige Ressourcen in AWS Control Tower zu beantragen. Oder schauen Sie sich das folgende Video an und erfahren Sie, wie Sie die Erhöhung bestimmter Servicekontingenten automatisieren können. **Video: Automatisieren Sie Anfragen zur Erhöhung der Servicequote für Services im Zusammenhang mit AWS Control Tower** In diesem Video (7:24) wird beschrieben, wie die Erhöhung der Servicequoten für verwandte, integrierte AWS Services auf der Grundlage von Bereitstellungen in AWS Control Tower automatisiert werden kann. Außerdem wird gezeigt, wie Sie die Registrierung neuer Konten für den AWS Enterprise-Support für Ihr Unternehmen automatisieren können. Wählen Sie zur besseren Ansicht das Symbol in der rechten unteren Ecke des Videos, um es in voller Bildschirmgröße anzuzeigen. Es stehen Untertitel zur Verfügung. [![AWS Videos](http://img.youtube.com/vi/3WUShZ4lZGE/0.jpg)](http://www.youtube.com/watch?v=3WUShZ4lZGE) Bei der Bereitstellung neuer Konten in dieser Umgebung können Sie mithilfe von Lebenszyklusereignissen automatisierte Anfragen für die Erhöhung der Servicekontingenten in bestimmten Fällen auslösen. AWS-Regionen Weitere Informationen zu AWS Kontingenten finden Sie in der [AWS Allgemeinen Referenz.](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html#limits_config) # Einschränkungen der Kontrolle AWS Control Tower unterstützt Sie bei der Aufrechterhaltung einer sicheren Umgebung mit mehreren Konten mithilfe AWS von Kontrollen, die in verschiedenen Formen implementiert werden, wie z. B. Richtlinien zur Servicesteuerung (SCPs), AWS Config Regeln und CloudFormation Hooks. **Das Referenzhandbuch für Steuerungen** Detaillierte Informationen zu AWS Control Tower Controls wurden in [das AWS Control Tower Controls Reference Guide](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html) verschoben. Wenn Sie AWS Control Tower-Ressourcen wie ein SCP ändern oder AWS Config Ressourcen entfernen, z. B. einen Config-Recorder oder -Aggregator, kann AWS Control Tower nicht mehr garantieren, dass die Kontrollen wie vorgesehen funktionieren. Daher kann die Sicherheit Ihrer Umgebung mit mehreren Konten gefährdet sein. Das [Sicherheitsmodell der AWS geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model) gilt für alle derartigen Änderungen, die Sie vornehmen. **Anmerkung** AWS Control Tower trägt dazu bei, die Integrität Ihrer Umgebung aufrechtzuerhalten, indem die SCPs präventiven Kontrollen auf ihre Standardkonfiguration zurückgesetzt werden, wenn Sie Ihre landing zone aktualisieren. Änderungen, die Sie möglicherweise vorgenommen haben, SCPs werden konstruktionsbedingt durch die Standardversion der Steuerung ersetzt. **Einschränkungen nach Regionen** Einige Kontrollen in AWS Control Tower funktionieren in bestimmten Regionen, in AWS-Regionen denen AWS Control Tower verfügbar ist, nicht, da diese Regionen die erforderlichen zugrunde liegenden Funktionen nicht unterstützen. Wenn Sie diese Steuerung bereitstellen, ist sie daher möglicherweise nicht in allen Regionen verfügbar, die Sie mit AWS Control Tower verwalten. Diese Einschränkung betrifft bestimmte detektive Kontrollen, bestimmte proaktive Kontrollen und bestimmte Kontrollen im **Security Hub CSPM Service-Managed Standard: AWS** Control Tower. Weitere Informationen zur regionalen Verfügbarkeit finden Sie in den [Security Hub-Steuerelementen](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html). Weitere Informationen finden Sie in der [Dokumentation zur Liste der regionalen Dienste und in der Referenzdokumentation](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) [zu den CSPM-Steuerungen von Security Hub](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-controls-reference.html). Das Kontrollverhalten ist auch bei *gemischter* Verwaltung begrenzt. Weitere Informationen finden Sie unter [Vermeiden Sie gemischte Verwaltungsstrukturen bei der Konfiguration von Regionen](mixed-governance.md). Weitere Informationen darüber, wie AWS Control Tower die Einschränkungen von Regionen und Kontrollen verwaltet, finden Sie unter[Überlegungen zur Aktivierung von AWS Opt-in-Regionen](opt-in-region-considerations.md). **Anmerkung** Für die aktuellsten Informationen über Kontrollen und regionalen Support empfehlen wir Ihnen, die Operationen [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)und [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html)API aufzurufen. ## Suchen Sie nach verfügbaren Steuerelementen und Regionen Sie können die verfügbaren Regionen für jede Kontrolle in der AWS Control Tower Tower-Konsole anzeigen. Sie können die verfügbaren Regionen programmgesteuert mit dem [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)und [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) APIs im AWS Control Catalog anzeigen. Informationen zu AWS Security Hub CSPM Kontrollen aus dem **Service-Managed Standard: AWS Control Tower**, die in bestimmten Fällen nicht unterstützt werden AWS-Regionen, finden Sie unter „Nicht unterstützte Regionen“ im [Security Hub CSPM-Standard](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html). # Einschränkungen, die auf den zugrunde liegenden Diensten basieren AWS Auf dieser Seite werden Einschränkungen beschrieben, auf die Sie aufgrund von Einschränkungen bei anderen AWS Services stoßen können, und wie AWS Control Tower mit diesen Services zusammenarbeitet. **Allgemeine Richtlinien** In der Regel gehen wir davon aus, dass die Anzahl der Konten, die bei der Registrierung einer Organisationseinheit unterstützt werden, abnimmt, wenn Sie die Anzahl der verwalteten Regionen und die Anzahl der aktivierten Kontrollen für diese Organisationseinheit erhöhen. In diesen allgemeinen Richtlinien wird davon ausgegangen, dass Sie 15 optionale Steuerungen aktiviert haben. Wenn Sie mehr oder weniger Steuerelemente auf Ihrer OU aktiviert haben, unterscheiden sich die Limits für Konten pro OU bei der Registrierung. + In 15 regulierten Regionen werden bis zu 1000 Konten unterstützt. OUs + Bei 16 bis 21 regulierten Regionen liegt die maximal unterstützte OU-Größe im Bereich von 600-1000 Konten. + Bei 22 regulierten Regionen werden bis zu 680 Konten unterstützt. OUs + Bei 23 oder mehr regulierten Regionen liegt die maximal unterstützte OU-Größe bei weniger als 680 Konten. **Im Falle eines Fehlers** Wenn die Registrierung fehlschlägt, können Sie versuchen, die Organisationseinheit **erneut zu registrieren**. Sie können die Organisationseinheit auch verkleinern, indem Sie eine verschachtelte Organisationseinheit verwenden oder Konten in eine andere Organisationseinheit verschieben. **Anmerkung** Die obligatorischen Kontrollen, die AWS Control Tower immer durchsetzt, werden zu Registrierungszwecken nicht auf die Anzahl der Kontrollen angerechnet, die Sie auf einer Organisationseinheit aktiviert haben. **CloudFormation Einschränkungen im Stack-Set** Wenn Sie planen, eine große Anzahl von Konten für mehrere zu registrieren AWS-Regionen, können Sie auf Einschränkungen stoßen, die durch CloudFormation Stack-Sets für die Gesamtgröße einer Organisation entstehen. Sie können die Beschränkung mit der folgenden Formel abschätzen: *Anzahl der verwalteten Konten in der Organisation x Anzahl der verwalteten Regionen <= 150.000* Diese Einschränkung wird bei der Registrierung der Organisationseinheit deutlich. Wenn beispielsweise 15 Regionen verwaltet werden und 15 optionale Kontrollen aktiviert sind, liegt das Limit für die Registrierung der Organisationseinheit bei 1000 Konten. Wenn Sie sich jedoch OUs mit mehr als 1000 Konten registrieren müssen oder wenn Sie eine große Anzahl optionaler Kontrollen aktiviert haben, müssen Sie die Anzahl der verwalteten Regionen auf unter 15 reduzieren. Diese Reduzierung ist auf die Beschränkungen des Stack-Sets zurückzuführen. **AWS Config Einschränkungen** Wenn Sie planen, sich OUs mit einer großen Anzahl von Konten zu registrieren, kann es sein, [dass die maximale Anzahl von Konten, die jede Woche erstellt oder gelöscht werden AWS Config können](https://docs.aws.amazon.com//config/latest/developerguide/configlimits.html), für alle Aggregatoren begrenzt ist. Registrierte Konten werden nicht auf dieses Limit angerechnet: Sie können jede Woche bis zu 1000 neue Konten bei AWS Control Tower registrieren. **Erstmalige Beschränkungen für Konten und Opt-in-Regionen** Wenn Sie planen, sich zum *ersten Mal OUs mit einer großen Anzahl von Konten in mehreren Opt-in-Regionen zu registrieren, kann es aufgrund von Kontingenten für die* [Kontoverwaltung](https://docs.aws.amazon.com//accounts/latest/reference/quotas.html) zu Einschränkungen kommen, was zu längeren Wartezeiten führen kann. Bei der Registrierung der Organisationseinheit können aufgrund der Latenz Fehler auftreten. # Regionale Unterschiede bei der Funktionalität von AWS Control Tower Es gibt gewisse Unterschiede im Verhalten von AWS Control Tower Across AWS-Regionen, da AWS Control Tower das Verhalten anderer AWS Services orchestriert. Beispiel: + AWS Service Catalog ist nicht überall verfügbar, AWS-Regionen wo AWS Control Tower verfügbar ist, was das Verhalten von Account Factory in diesen Regionen verändert. + In bestimmten Regionen ist Account Factory Customizations (AFC) nicht verfügbar, da Service Catalog nicht verfügbar ist, um die zugrunde liegenden Funktionen für Blueprints zu unterstützen. + Bestimmte Steuerelemente sind AWS-Regionen aufgrund fehlender zugrundeliegender Funktionen nicht in allen Bereichen verfügbar. + AFT und CfCT sind AWS-Regionen aufgrund fehlender zugrundeliegender Funktionen nicht in allen Bereichen verfügbar. Um das Verhalten für Ihre AWS Control Tower Tower-Umgebung bestmöglich zu bestimmen, ermitteln Sie Ihre Heimatregion. Bewerten Sie dann die folgenden Punkte. Weitere Informationen finden Sie unter [Einschränkungen und Kontingente in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html). + Ist es in Ihrer gewünschten Heimatregion AWS Service Catalog verfügbar? + Sind die Steuerungen verfügbar, die Sie benötigen? Weitere Informationen finden Sie unter [Einschränkungen der Steuerung](https://docs.aws.amazon.com/controltower/latest/userguide/control-limitations.html). + Ist IAM Identity Center in Ihrer gewünschten Heimatregion verfügbar? **Bereitstellbare Regionen für Steuerungen** AWS Control Tower kann bestimmte Kontrollen nicht aktivieren, wenn Sie sie in bestimmten Regionen einsetzen, da keine zugrunde liegenden Abhängigkeiten vorliegen. Die aktuellsten Informationen zu den bereitstellbaren Regionen für jede Steuerung finden Sie unter `ListControls` und `GetControl` APIs. Sie können die bereitstellbaren Regionen auch in der AWS Control Tower Tower-Konsole anzeigen. Wenn Sie eine Steuerung auf einer Organisationseinheit aktivieren, die von AWS Control Tower verwaltet wird, ist der effektive Bereich der Kontrolle die *Schnittmenge* Ihrer vom AWS Control Tower kontrollierten Regionen mit den bereitstellbaren Regionen der Steuerung. Beispielsweise kann eine Steuerung auf einer Organisationseinheit aktiviert werden, die in den regulierten Regionen X, Y und Z tätig ist. Nach der Aktivierung wird dieselbe Steuerung jedoch nur in den Regionen X und Z bereitgestellt, da die Steuerung selbst Region Y nicht unterstützt. Es ist wichtig, die Beziehungen zwischen den von Ihnen bereitgestellten Kontrollen und den Regionen, in denen Sie Workloads in AWS Control Tower ausführen, zu überwachen, damit keine Lücken beim Schutz Ihrer AWS Ressourcen auftreten. **Wie überprüfen Sie Ihre geschützten Regionen** + In der AWS Control Tower Tower-Konsole können Sie die aktivierten Kontrollen und Regionen im Abschnitt **Enabled Controls** einsehen. + Wenn Sie die `GetEnabledControl` API aufrufen, zeigt der Parameter **targetRegions nur die Regionen** an, in denen Sie das Steuerelement effektiv einsetzen können, nicht die Regionen, die nicht bereitgestellt werden können.