Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Limitaciones y cuotas en AWS Control Tower
En este capítulo se AWS describen las limitaciones y cuotas del servicio que debe tener en cuenta al utilizar AWS Control Tower. Si no puede configurar la zona de aterrizaje debido a un problema de cuota de servicio, póngase en contacto con [AWS Support](https://aws.amazon.com/premiumsupport/).
Para obtener más información sobre las limitaciones específicas de los controles, consulte [Limitaciones de control](control-limitations.md).
**Guía de referencia de controles**
La información detallada sobre los controles de AWS Control Tower se ha trasladado a [AWS Control Tower Controls Reference Guide](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html).
## Limitaciones conocidas de AWS Control Tower
En esta sección se describen las limitaciones conocidas y los casos de uso no admitidos en AWS Control Tower.
+ AWS Control Tower tiene *limitaciones de simultaneidad* generales. Por lo general, se permite una sola operación a la vez. Esta limitación tiene dos excepciones:
+ Los controles opcionales se pueden activar y desactivar simultáneamente mediante un proceso asíncrono. Se pueden realizar hasta cien (100) operaciones de control a la vez, independientemente de que se ejecuten desde la consola o desde una API.
+ Las cuentas se pueden aprovisionar, actualizar e inscribir simultáneamente en el generador de cuentas mediante un proceso asíncrono con hasta cinco (5) operaciones de cuentas en curso simultáneamente. La desadministración de cuentas debe realizarse de una en una.
+ Account Factory for Terraform (AFT) tiene parámetros de simultaneidad adicionales configurados durante la implementación. AWS ha probado AFT con estos valores predeterminados:
+ `concurrent_account_factory_actions`: 5 (aprovisionamiento de cuentas)
+ `maximum_concurrent_customizations`: 5 (canalizaciones de personalización)
Aumentar estos límites más allá de los valores predeterminados probados puede reducir la estabilidad.
+ Las direcciones de correo electrónico de las cuentas compartidas en la OU de seguridad se pueden cambiar, pero debe actualizar la zona de aterrizaje para ver estos cambios en la consola de AWS Control Tower.
+ Se aplica un límite de cinco (5) SCPs por unidad organizativa OUs en la zona de aterrizaje de AWS Control Tower.
+ AWS Control Tower admite hasta 10 000 cuentas en la organización de su zona de aterrizaje, divididas entre todas sus cuentas OUs.
+ Las cuentas existentes OUs con más de 1000 cuentas anidadas directamente no se pueden registrar ni volver a registrar en AWS Control Tower. Para obtener más información sobre las limitaciones del registro OUs, consulte. [Limitaciones basadas en los servicios subyacentes AWS](region-stackset-limitations.md)
+ **Las personalizaciones de AWS Control Tower (cFCT)** no están disponibles en estos sitios Regiones de AWS porque algunas dependencias no están disponibles:
+ Europa (Zúrich): eu-central-2
+ Europa (España): eu-south-2
+ Oeste de Canadá (Calgary) ca-west-1
+ Asia Pacífico (Melbourne): ap-southeast-4
+ Asia-Pacífico (Malasia), ap-southeast-5
+ Asia-Pacífico (Tailandia), ap-southeast-7
+ México (centro), mx-central-1
Puede implementar y administrar recursos en estas regiones con CfCT si las implementa en la región de origen de AWS Control Tower, pero no puede crear CfCT en estas regiones.
+ **AWS Control Tower Account Factory for Terraform (AFT)** no está disponible en las siguientes Regiones de AWS ubicaciones porque algunas dependencias no están disponibles:
+ Europa (Zúrich): eu-central-2
+ Europa (España): eu-south-2
+ Oeste de Canadá (Calgary), ca-west-1
+ Asia Pacífico (Melbourne): ap-southeast-4
+ Asia-Pacífico (Malasia), ap-southeast-5
+ Asia-Pacífico (Tailandia), ap-southeast-7
+ México (centro), mx-central-1
+ Los nuevos clientes de **AFT no pueden implementar AWS Control Tower Account Factory for Terraform (AFT)** en las siguientes regiones porque no AWS CodeConnections está disponible para conectarse a un sistema de control de versiones (VCS) de terceros:
+ Asia-Pacífico (Hong Kong), África (Ciudad del Cabo), Medio Oriente (Baréin), Europa (Zúrich), Asia-Pacífico (Yakarta), Asia-Pacífico (Hyderabad), Asia-Pacífico (Osaka), Asia-Pacífico (Melbourne), Israel (Tel Aviv), Europa (España), Medio Oriente (EAU), Asia-Pacífico (Tailandia), México (centro)
+ Las siguientes regiones no son compatibles con **AWS Service Catalog**.
+ Oeste de Canadá (Calgary), ca-west-1
+ Asia-Pacífico (Malasia), ap-southeast-5
+ Asia-Pacífico (Tailandia), ap-southeast-7
+ México (centro), mx-central-1
**nota**
Las regiones que no admiten Service Catalog no admiten Account Factory Customizations (AFC) para AWS Control Tower.
Para obtener más información sobre la funcionalidad de la Torre de Control de AWS en las regiones que no son compatibles AWS Service Catalog, consulte[La Torre de Control de AWS está disponible en el oeste de AWS Canadá (Calgary)](2024-all.md#yyc-available).
+ Al llamar a una API de control para activar o desactivar un control, el límite para las actualizaciones de `EnableControl` y `DisableControl` en AWS Control Tower es de cien (100) operaciones simultáneas. Puede haber diez operaciones (10) en curso de forma simultánea y el resto de operaciones en cola. Es posible que tenga que ajustar el código para esperar a que se completen.
+ Cuando aprovisiona cuentas a través de las **personalizaciones del generador de cuentas (AFC)** con esquemas basados en Terraform, solo puede implementar dichos esquemas en una Región de AWS. De forma predeterminada, AWS Control Tower se implementa en la región de origen.
# Solicitud de un aumento de cuota
La consola de Service Quotas proporciona información sobre las cuotas de AWS Control Tower. Puede utilizar la consola Service Quotas para consultar las cuotas de servicio predeterminadas o para [solicitar aumentos de cuota](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/controltower/quotas) para las cuotas ajustables.
**nota**
Las cuentas y organizaciones recién creadas pueden tener una cuota inferior a la predeterminada de 10 cuentas.
**Las siguientes cuotas se pueden consultar a través de la consola de Service Quotas**
+ *Cuota de operaciones de cuentas simultáneas* : el número máximo de operaciones de cuentas simultáneas que se pueden realizar al mismo tiempo. Predeterminado: 5; Máximo: 10, ajustable
+ *Número de cuentas en una sola OU* : el número máximo de cuentas administradas por AWS Control Tower que pueden estar presentes en una OU. Si añade cuentas que superen este límite, no se podrá realizar el proceso de registro de la OU en AWS Control Tower. Para obtener más información sobre el número de cuentas por OU, consulte [Limitaciones basadas en los servicios subyacentes AWS](region-stackset-limitations.md) en la documentación de AWS Control Tower. Predeterminado: 1000, no ajustable.
+ *Operaciones simultáneas para unidades organizativas (OUs)*: número máximo de operaciones simultáneas relacionadas con la OU que se pueden realizar al mismo tiempo. Predeterminado: 1, no ajustable.
Por ejemplo, puede solicitar un aumento de cuota de cinco a diez operaciones simultáneas relacionadas con la cuenta. Algunas características de rendimiento de AWS Control Tower pueden cambiar tras un aumento de cuota. Por ejemplo, la actualización de una OU puede tardar más tiempo cuando hay más cuentas en ella. O bien, es posible que se tarde más en completar una acción en una unidad organizativa con cinco SCPs que con tres. SCPs
**nota**
Una solicitud de aumento de cuota de servicio puede tardar hasta dos días en surtir efecto. Asegúrese de solicitar el aumento de cuota desde la región de origen de AWS Control Tower.
Como alternativa, puede ponerse en contacto con [AWS Support](https://aws.amazon.com//premiumsupport/) para solicitar el aumento de cuota de determinados recursos en AWS Control Tower. O bien, puede ver el siguiente vídeo y aprender a automatizar determinados aumentos de cuotas de servicio.
**Vídeo: Automatización de solicitudes de aumento de cuota de servicio en servicios relacionados con AWS Control Tower**
Este vídeo (7:24) describe cómo automatizar los aumentos de las cuotas de servicio para los AWS servicios relacionados e integrados, en función de las implementaciones en la Torre de Control de AWS. También muestra cómo automatizar la inscripción de nuevas cuentas en el soporte AWS empresarial de su organización. Para una mejor visualización, seleccione el icono situado en la esquina inferior derecha del vídeo para agrandarlo a pantalla completa. Hay subtítulos disponibles.
[](http://www.youtube.com/watch?v=3WUShZ4lZGE)
Al aprovisionar cuentas nuevas en este entorno, puede utilizar eventos del ciclo de vida para activar solicitudes automatizadas de aumentos de cuota de servicio en Regiones de AWS especificadas.
Encontrará más información sobre AWS las cuotas en la [Referencia AWS general](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html#limits_config).
# Limitaciones de control
AWS Control Tower le ayuda a mantener un entorno seguro con múltiples cuentas AWS mediante controles, que se implementan de diversas formas, como políticas de control de servicios (SCPs), AWS Config reglas y CloudFormation enlaces.
**Guía de referencia de controles**
La información detallada sobre los controles de AWS Control Tower se ha trasladado a [AWS Control Tower Controls Reference Guide](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html).
Si modifica los recursos de la Torre de Control de AWS, como un SCP, o elimina algún AWS Config recurso, como un grabador o un agregador de Config, la Torre de Control de AWS ya no puede garantizar que los controles funcionen según lo diseñado. Por lo tanto, la seguridad del entorno de varias cuentas puede verse comprometida. El [modelo de seguridad de responsabilidad AWS compartida](https://aws.amazon.com/compliance/shared-responsibility-model) se aplica a todos los cambios que realice.
**nota**
AWS Control Tower ayuda a mantener la integridad de su entorno al restablecer SCPs los controles preventivos a su configuración estándar al actualizar su landing zone. Los cambios que haya realizado SCPs se sustituirán por la versión estándar del control, por diseño.
**Limitaciones por región**
Algunos controles de la Torre de Control de AWS no funcionan en algunos Regiones de AWS lugares donde está disponible la Torre de Control de AWS, porque esas regiones no admiten la funcionalidad subyacente requerida. Como resultado, cuando implemente dicho control, es posible que no funcione en todas las regiones que gobierne con AWS Control Tower. Esta limitación afecta a determinados controles de detección, a determinados controles proactivos y a determinados controles del **estándar gestionado por el servicio CSPM de Security Hub: AWS Control Tower**. Para obtener más información sobre la disponibilidad regional, consulte los [controles de Security Hub](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html). Consulte también la documentación de la [lista de servicios regionales y la documentación](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) de [referencia de los controles CSPM de Security Hub](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-controls-reference.html).
El comportamiento de control también es limitado en caso de *gobernanza mixta*. Para obtener más información, consulte [Elusión de la gobernanza mixta al configurar regiones](mixed-governance.md).
Para obtener más información sobre cómo AWS Control Tower administra las limitaciones de las regiones y los controles, consulte [Consideraciones a la hora de activar las regiones con AWS suscripción](opt-in-region-considerations.md).
**nota**
Para obtener la información más actualizada sobre los controles y el soporte regional, le recomendamos que llame a las operaciones de API [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) y [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html).
## Búsqueda de controles y regiones disponibles
Puede ver las regiones disponibles para cada control en la consola de AWS Control Tower. Puede ver las regiones disponibles mediante programación con el catálogo de controles [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)y [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) APIs desde él. AWS
Para obtener información sobre AWS Security Hub CSPM los controles del **estándar de gestión de servicios: AWS Control Tower** que no son compatibles en algunos casos Regiones de AWS, consulte «Regiones no compatibles» en el estándar CSPM de [Security Hub](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html).
# Limitaciones basadas en los servicios subyacentes AWS
En esta página se describen las limitaciones que puede encontrar debido a las limitaciones de otros servicios de AWS y cómo AWS Control Tower funciona con dichos servicios.
**Directrices generales**
Como regla general, esperamos que el número de cuentas admitidas al registrar una OU disminuya a medida que aumenta el número de regiones gobernadas y el número de controles habilitados para dicha OU. En estas directrices generales se parte del supuesto de que tiene habilitados 15 controles opcionales. Si tiene más o menos controles habilitados en la OU, los límites de cuentas por OU diferirán al registrarse.
+ Con 15 regiones OUs gobernadas, se admiten hasta 1000 cuentas.
+ Con 16 a 21 regiones gobernadas, el tamaño máximo de OU admitido oscila entre 600 y 1000 cuentas.
+ Con 22 regiones OUs gobernadas, se admiten hasta 680 cuentas.
+ Con 23 o más regiones gobernadas, el tamaño máximo de OU admitido es inferior a 680 cuentas.
**En caso de error**
Si el registro falla, puede intentar **volver a registrar** la OU. Además, puede reducir el tamaño de la OU con una OU anidada o trasladando las cuentas a otra OU.
**nota**
Los controles obligatorios que AWS Control Tower siempre aplica no se contabilizan en el número de controles que ha habilitado en una OU a efectos de registro.
**CloudFormation limitaciones del conjunto de pilas**
Si planeas registrar un gran número de cuentas en varias cuentas Regiones de AWS, es posible que te encuentres con límites creados por los conjuntos CloudFormation apilados en relación con el tamaño total de una organización. Puede estimar la limitación con esta fórmula:
*Número de cuentas de administración en la organización x Número de regiones regidas <= 150 000*
Esta limitación se hace evidente durante el proceso de registro de la OU. Por ejemplo, si se gobiernan 15 regiones y se habilitan 15 controles opcionales, el límite para registrar la OU es de 1000 cuentas. Sin embargo, si necesita registrarse OUs con más de 1000 cuentas o si ha activado un gran número de controles opcionales, debe reducir el número de regiones gobernadas a menos de 15. Esta reducción se debe a las limitaciones del conjunto de pilas.
**AWS Config Limitaciones**
Si planea registrarse OUs con un gran número de cuentas, es posible que se le impongan límites [al número máximo de cuentas que AWS Config se pueden crear o eliminar cada semana](https://docs.aws.amazon.com//config/latest/developerguide/configlimits.html), en todos los agregadores. Las cuentas inscritas no cuentan para este límite: puede inscribir hasta 1000 cuentas nuevas en AWS Control Tower cada semana.
**Primeras limitaciones de cuentas y regiones de inscripción**
Si por *primera vez* planeas registrarte OUs con un gran número de cuentas en varias regiones en las que puedes registrarte, es posible que te encuentres con limitaciones debido a las [cuotas de administración de cuentas](https://docs.aws.amazon.com//accounts/latest/reference/quotas.html), lo que puede provocar una latencia prolongada. Puede que se produzcan errores durante el registro de OU debido a la latencia.
# Diferencias regionales para la funcionalidad de AWS Control Tower
Existen ciertas diferencias en el comportamiento de la Torre de Control de AWS entre sí Regiones de AWS, ya que la Torre de Control de AWS organiza el comportamiento de otros AWS servicios. Por ejemplo:
+ AWS Service Catalog no está disponible en todos los Regiones de AWS lugares donde AWS Control Tower está disponible, lo que cambia el comportamiento de Account Factory en esas regiones.
+ En algunas regiones, las personalizaciones del generador de cuentas (AFC) no está disponible porque el generador de cuentas no lo está para admitir la funcionalidad subyacente de los esquemas.
+ Algunos controles no están disponibles en todos los casos Regiones de AWS debido a la falta de una funcionalidad subyacente.
+ AFT y cFCT no están disponibles en todos los casos Regiones de AWS debido a la falta de funcionalidad subyacente.
Para determinar mejor el comportamiento de su entorno de AWS Control Tower, determine su región de origen. A continuación, evalúe los siguientes elementos. Para obtener más información, consulte [Limitations and quotas in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html).
+ ¿Está AWS Service Catalog disponible en la región de origen deseada?
+ ¿Están disponibles los controles que necesita? Consulte [Control limitations](https://docs.aws.amazon.com/controltower/latest/userguide/control-limitations.html).
+ ¿IAM Identity Center está disponible en la región de origen que desea?
**Regiones implementables para controles**
AWS Control Tower no puede activar determinados controles cuando los implementa en algunas regiones debido a la falta de dependencias subyacentes. Para obtener la información más actualizada sobre las regiones desplegables de cualquier control, llama al `ListControls` y `GetControl` APIs. También puede ver las regiones implementables en la consola de AWS Control Tower.
Al activar un control en una UO que está regida por AWS Control Tower, el área efectiva del control es la *intersección* de las regiones regias por AWS Control Tower con las regiones implementables del control.
Por ejemplo, se puede habilitar un control en una UO que funcione en las regiones regidas X, Y y Z. Sin embargo, una vez habilitado, el mismo control se implementa solo en las regiones X y Z, ya que el control en sí no es compatible con la región Y.
Es importante supervisar las relaciones entre los controles que implementa y las regiones en las que opera las cargas de trabajo en AWS Control Tower, de modo que no se produzcan brechas en la protección de sus AWS recursos.
**Cómo comprobar las regiones protegidas**
+ En la consola de AWS Control Tower, puede ver los controles y las regiones habilitados en la sección **Controles habilitados**.
+ Si llama a la API `GetEnabledControl`, el parámetro **targetRegions** mostrará solo las regiones en las que puede implementar el control de manera efectiva, no las regiones no implementables.