Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Limitations et quotas dans AWS Control Tower
Ce chapitre décrit les limites AWS de service et les quotas que vous devez garder à l'esprit lorsque vous utilisez AWS Control Tower. Si vous ne parvenez pas à configurer votre zone d'atterrissage en raison d'un problème de quota de service, contactez [AWS Support](https://aws.amazon.com/premiumsupport/).
Pour plus d'informations sur les limitations spécifiques aux contrôles, consultez[Limites de contrôle](control-limitations.md).
**Le guide de référence sur les commandes**
Des informations détaillées sur les contrôles d'AWS Control Tower ont été transférées dans [le guide de référence d'AWS Control Tower Controls](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html).
## Limitations connues d'AWS Control Tower
Cette section décrit les limitations connues et les cas d'utilisation non pris en charge dans AWS Control Tower.
+ AWS Control Tower présente des *limites générales de simultanéité*. En général, une opération à la fois est autorisée. Deux exceptions à cette limitation sont autorisées :
+ Les commandes facultatives peuvent être activées et désactivées simultanément, par le biais d'un processus asynchrone. Jusqu'à cent (100) opérations liées au contrôle peuvent être en cours à la fois, au total, qu'elles soient appelées depuis la console ou depuis une API.
+ Les comptes peuvent être approvisionnés, mis à jour et inscrits simultanément dans Account Factory, par le biais d'un processus asynchrone, avec jusqu'à cinq (5) opérations liées aux comptes en cours simultanément. La dégestion des comptes doit être effectuée un compte à la fois.
+ Account Factory for Terraform (AFT) dispose de paramètres de simultanéité supplémentaires configurés lors du déploiement. AWS a testé AFT avec les valeurs par défaut suivantes :
+ `concurrent_account_factory_actions`: 5 (provisionnement du compte)
+ `maximum_concurrent_customizations`: 5 (pipelines de personnalisation)
L'augmentation de ces limites au-delà des valeurs par défaut testées peut réduire la stabilité.
+ Les adresses e-mail des comptes partagés dans l'unité d'organisation de sécurité peuvent être modifiées, mais vous devez mettre à jour votre zone de landing zone pour voir ces modifications dans la console AWS Control Tower.
+ Une limite de cinq (5) SCPs par unité d'organisation s'applique OUs à la zone d'atterrissage de votre AWS Control Tower.
+ AWS Control Tower prend en charge jusqu'à 10 000 comptes dans l'organisation de votre zone d'atterrissage, répartis entre tous les membres de votre organisation OUs.
+ Les comptes existants OUs comportant plus de 1 000 comptes directement imbriqués ne peuvent pas être enregistrés ou réenregistrés dans AWS Control Tower. Pour plus d'informations sur les restrictions liées à l'enregistrement OUs, consultez[Limitations basées sur les AWS services sous-jacents](region-stackset-limitations.md).
+ **Les personnalisations pour AWS Control Tower (CfCT)** ne sont pas disponibles dans ces zones Régions AWS, car certaines dépendances ne sont pas disponibles :
+ Europe (Zurich), eu-central-2
+ Europe (Espagne), eu-south-2
+ Canada Ouest (Calgary) ca-west-1
+ Asie-Pacifique (Melbourne), ap-southeast-4
+ Asie-Pacifique (Malaisie), ap-southeast-5
+ Asie-Pacifique (Thaïlande), ap-southeast-7
+ Mexique (centre), mx-central-1
Vous pouvez déployer et gérer des ressources dans ces régions avec CfCT, si vous déployez CfCT dans votre région d'origine AWS Control Tower, mais que vous ne pouvez pas créer CfCT dans ces régions.
+ **AWS Control Tower Account Factory for Terraform (AFT)** n'est pas disponible dans les versions suivantes Régions AWS, car certaines dépendances ne le sont pas :
+ Europe (Zurich), eu-central-2
+ Europe (Espagne), eu-south-2
+ Canada Ouest (Calgary), ca-west-1
+ Asie-Pacifique (Melbourne), ap-southeast-4
+ Asie-Pacifique (Malaisie), ap-southeast-5
+ Asie-Pacifique (Thaïlande), ap-southeast-7
+ Mexique (centre), mx-central-1
+ **AWS Control Tower Account Factory for Terraform (AFT)** ne peut pas être déployé par les nouveaux clients AFT dans les régions suivantes, car il n' AWS CodeConnections est pas possible de se connecter à un système de contrôle de version (VCS) tiers :
+ Asie-Pacifique (Hong Kong), Afrique (Le Cap), Moyen-Orient (Bahreïn), Europe (Zurich), Asie-Pacifique (Jakarta), Asie-Pacifique (Hyderabad), Asie-Pacifique (Osaka), Asie-Pacifique (Melbourne), Israël (Tel Aviv), Europe (Espagne), Moyen-Orient (Émirats arabes unis), Asie-Pacifique (Thaïlande), Mexique (centre)
+ Les régions suivantes ne sont pas prises en charge **AWS Service Catalog**.
+ Canada Ouest (Calgary), ca-west-1
+ Asie-Pacifique (Malaisie), ap-southeast-5
+ Asie-Pacifique (Thaïlande), ap-southeast-7
+ Mexique (centre), mx-central-1
**Note**
Les régions qui ne prennent pas en charge Service Catalog ne prennent pas en charge les personnalisations d'Account Factory pour AWS Control Tower (AFC).
Pour plus d'informations sur les fonctionnalités d'AWS Control Tower dans les régions non prises en charge AWS Service Catalog, consultez[AWS Control Tower disponible dans l'ouest AWS du Canada (Calgary)](2024-all.md#yyc-available).
+ Lorsque vous appelez une API de contrôle pour activer ou désactiver un contrôle, la limite pour les `DisableControl` mises à jour `EnableControl` et les mises à jour dans AWS Control Tower est de cent (100) opérations simultanées. Dix opérations (10) peuvent être en cours simultanément, les opérations restantes étant mises en file d'attente. Vous devrez peut-être ajuster votre code pour attendre qu'il soit terminé.
+ Lorsque vous approvisionnez des comptes via **Account Factory Customizations (AFC)**, avec des plans basés sur Terraform, vous ne pouvez déployer ces plans que sur un seul. Région AWS Par défaut, AWS Control Tower se déploie dans la région d'origine.
# Demander une augmentation de quota
La console Service Quotas fournit des informations sur les quotas d'AWS Control Tower. Vous pouvez utiliser la console Service Quotas pour consulter les quotas de service par défaut ou pour [demander des augmentations de quotas](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/controltower/quotas) pour des quotas ajustables.
**Note**
Les comptes et organisations nouvellement créés peuvent avoir un quota inférieur à la valeur par défaut de 10 comptes.
**Les quotas suivants peuvent être consultés via la console Service Quotas**
+ *Quota d'opérations de compte simultanées* : nombre maximal d'opérations de compte simultanées pouvant être effectuées simultanément. Par défaut : 5, maximum : 10, réglable
+ *Nombre de comptes dans une seule unité d'*organisation : nombre maximum de comptes gérés par AWS Control Tower qui peuvent être présents dans une unité d'organisation. Si vous ajoutez des comptes au-delà de cette limite, le processus d'enregistrement de l'unité d'organisation dans AWS Control Tower ne peut pas être effectué. Pour en savoir plus sur le nombre de comptes par unité d'organisation, consultez [Limitations basées sur les AWS services sous-jacents](region-stackset-limitations.md) la documentation d'AWS Control Tower. Par défaut : 1000, non réglable.
+ *Opérations simultanées pour les unités organisationnelles (OUs)* : nombre maximum d'opérations simultanées liées aux unités d'organisation qui peuvent être effectuées simultanément. Par défaut : 1, non ajustable.
Par exemple, vous pouvez demander une augmentation du quota de cinq opérations simultanées sur un compte sur un maximum de dix. Certaines caractéristiques de performance d'AWS Control Tower peuvent changer après une augmentation du quota. Par exemple, la mise à jour d'une unité d'organisation peut prendre plus de temps lorsqu'elle contient plusieurs comptes. Ou bien, l'exécution d'une action sur une UO avec cinq peut prendre SCPs plus de temps qu'avec trois SCPs.
**Note**
Une demande d'augmentation de quota de service peut prendre jusqu'à deux jours avant qu'elle ne prenne effet. N'oubliez pas de demander l'augmentation du quota auprès de votre région d'origine AWS Control Tower.
Vous pouvez également contacter le [AWS Support](https://aws.amazon.com//premiumsupport/) pour demander une augmentation du quota pour certaines ressources dans AWS Control Tower. Vous pouvez également visionner la vidéo qui suit et découvrir comment automatiser certaines augmentations de quotas de service.
**Vidéo : Automatisez les demandes d'augmentation des quotas de service, dans les services liés à AWS Control Tower**
Cette vidéo (7:24) explique comment automatiser l'augmentation des quotas de service pour les AWS services intégrés connexes, sur la base des déploiements dans AWS Control Tower. Il explique également comment automatiser l'inscription de nouveaux comptes au support AWS Enterprise pour votre organisation. Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.
[](http://www.youtube.com/watch?v=3WUShZ4lZGE)
Lorsque vous provisionnez de nouveaux comptes dans cet environnement, vous pouvez utiliser les événements du cycle de vie pour déclencher des demandes automatisées d'augmentation des quotas de service dans les limites spécifiées Régions AWS.
De plus amples informations sur AWS les quotas sont disponibles dans la [référence AWS générale](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html#limits_config).
# Limites de contrôle
AWS Control Tower vous aide à maintenir un environnement multi-comptes sécurisé grâce à AWS des contrôles mis en œuvre sous différentes formes, tels que des politiques de contrôle des services (SCPs), des AWS Config règles et des CloudFormation hooks.
**Le guide de référence sur les commandes**
Des informations détaillées sur les contrôles d'AWS Control Tower ont été transférées dans [le guide de référence d'AWS Control Tower Controls](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html).
Si vous modifiez les ressources d'AWS Control Tower, telles qu'un SCP, ou si vous supprimez une AWS Config ressource, telle qu'un enregistreur ou un agrégateur Config, AWS Control Tower ne peut plus garantir que les contrôles fonctionnent comme prévu. Par conséquent, la sécurité de votre environnement multi-comptes peut être compromise. Le [modèle de sécurité à responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model) s'applique à toutes les modifications que vous pourriez apporter.
**Note**
AWS Control Tower contribue à préserver l'intégrité de votre environnement en rétablissant la configuration standard SCPs des contrôles préventifs lorsque vous mettez à jour votre zone de landing zone. Les modifications que vous avez éventuellement apportées SCPs sont remplacées par la version standard du contrôle, par conception.
**Limitations par région**
Certains contrôles d'AWS Control Tower ne fonctionnent pas dans certains Régions AWS endroits où AWS Control Tower est disponible, car ces régions ne prennent pas en charge les fonctionnalités sous-jacentes requises. Par conséquent, lorsque vous déployez ce contrôle, il se peut qu'il ne fonctionne pas dans toutes les régions que vous régissez avec AWS Control Tower. Cette limitation concerne certains contrôles de détection, certains contrôles proactifs et certains contrôles de la **norme gérée par le service Security Hub CSPM : AWS Control Tower**. Pour plus d'informations sur la disponibilité régionale, consultez les [contrôles du Security Hub](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html). Consultez également la documentation de la [liste des services régionaux et la documentation](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) de [référence des contrôles Security Hub CSPM](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-controls-reference.html).
Le comportement de contrôle est également limité en cas de *gouvernance mixte*. Pour de plus amples informations, veuillez consulter [Évitez la gouvernance mixte lors de la configuration des régions](mixed-governance.md).
Pour plus d'informations sur la façon dont AWS Control Tower gère les limites des régions et des contrôles, consultez[Considérations relatives à l'activation des AWS régions optionnelles](opt-in-region-considerations.md).
**Note**
Pour obtenir les informations les plus récentes sur les contrôles et le support régional, nous vous recommandons d'appeler les opérations [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)et [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html)API.
## Trouvez les commandes et les régions disponibles
Vous pouvez consulter les régions disponibles pour chaque contrôle dans la console AWS Control Tower. Vous pouvez afficher les régions disponibles par programmation à l'aide du catalogue de AWS contrôle [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)et [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) APIs à partir de celui-ci.
Pour plus d'informations sur les AWS Security Hub CSPM contrôles du **Service-Managed Standard : AWS Control Tower** qui ne sont pas pris en charge dans certaines régions Régions AWS, consultez la section « Régions non prises en charge » dans la norme [Security Hub CSPM](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html).
# Limitations basées sur les AWS services sous-jacents
Cette page décrit les limitations que vous pouvez rencontrer en raison des limitations d'autres AWS services, ainsi que la manière dont AWS Control Tower fonctionne avec ces services.
**Directives générales**
En règle générale, nous nous attendons à ce que le nombre de comptes pris en charge lors de l'enregistrement d'une unité d'organisation diminue à mesure que vous augmentez le nombre de régions régies et le nombre de contrôles activés pour cette unité d'organisation. Ces directives générales supposent que 15 contrôles facultatifs sont activés. Si plus ou moins de contrôles sont activés sur votre unité d'organisation, les limites de comptes par unité d'organisation seront différentes lors de l'enregistrement.
+ Avec 15 régions gouvernées, OUs jusqu'à 1 000 comptes sont pris en charge.
+ Avec 16 à 21 régions gouvernées, la taille maximale de l'unité d'organisation prise en charge est comprise entre 600 et 1 000 comptes.
+ Avec 22 régions gouvernées, OUs jusqu'à 680 comptes sont pris en charge.
+ Avec 23 régions gouvernées ou plus, la taille maximale de l'unité d'organisation prise en charge est inférieure à 680 comptes.
**En cas d'erreur**
Si l'enregistrement échoue, vous pouvez essayer de **réenregistrer l'unité d'**organisation. Vous pouvez également réduire la taille de l'UO en utilisant une UO imbriquée ou en déplaçant des comptes vers une autre UO.
**Note**
Les contrôles obligatoires qu'AWS Control Tower applique toujours ne sont pas pris en compte dans le nombre de contrôles que vous avez activés sur une unité d'organisation, aux fins de l'enregistrement.
**CloudFormation limites des ensembles de piles**
Si vous envisagez d'enregistrer un grand nombre de comptes répartis sur plusieurs comptes Régions AWS, vous risquez de rencontrer des limites imposées par CloudFormation des ensembles de comptes à la taille globale d'une organisation. Vous pouvez estimer la limite à l'aide de cette formule :
*Nombre de comptes gérés dans l'organisation x Nombre de régions gouvernées <= 150 000*
Cette limitation apparaît au cours du processus d'enregistrement de l'UO. Par exemple, si 15 régions sont gouvernées et que 15 contrôles facultatifs sont activés, la limite d'enregistrement de l'unité d'organisation est de 1 000 comptes. Toutefois, si vous devez vous inscrire OUs avec plus de 1 000 comptes, ou si un grand nombre de contrôles facultatifs sont activés, vous devez réduire le nombre de régions gouvernées à moins de 15. Cette réduction est due aux limites du stack set.
**AWS Config limites**
Si vous prévoyez de vous enregistrer OUs avec un grand nombre de comptes, vous pouvez rencontrer des limites quant [au nombre maximum de comptes pouvant AWS Config être créés ou supprimés chaque semaine](https://docs.aws.amazon.com//config/latest/developerguide/configlimits.html), tous agrégateurs confondus. Les comptes inscrits ne sont pas pris en compte dans cette limite : vous pouvez inscrire jusqu'à 1 000 nouveaux comptes dans AWS Control Tower chaque semaine.
**Limitations relatives à la première utilisation des comptes et des régions d'inscription**
Si vous prévoyez de vous inscrire pour la *première fois OUs auprès d'un grand nombre de comptes répartis dans plusieurs régions participantes*, vous risquez de rencontrer des limites en raison des [quotas de gestion des comptes](https://docs.aws.amazon.com//accounts/latest/reference/quotas.html), ce qui peut entraîner une latence prolongée. Des erreurs peuvent survenir lors de l'enregistrement de l'unité d'organisation en raison de la latence.
# Différences régionales en ce qui concerne les fonctionnalités d'AWS Control Tower
Certaines différences existent dans le comportement d'AWS Control Tower d'un bout à l'autre Régions AWS, car AWS Control Tower orchestre le comportement des autres AWS services. Par exemple :
+ AWS Service Catalog n'est pas disponible partout Régions AWS où AWS Control Tower est disponible, ce qui modifie le comportement d'Account Factory dans ces régions.
+ Dans certaines régions, Account Factory Customizations (AFC) n'est pas disponible car Service Catalog n'est pas disponible pour prendre en charge les fonctionnalités sous-jacentes des plans.
+ Certaines commandes ne sont pas disponibles du tout en Régions AWS raison de l'absence de fonctionnalités sous-jacentes.
+ AFT et CfCT ne sont pas disponibles du tout en Régions AWS raison de l'absence de fonctionnalités sous-jacentes.
Pour déterminer au mieux le comportement de votre environnement AWS Control Tower, déterminez votre région d'origine. Ensuite, évaluez les éléments suivants. Pour plus de détails, consultez la section [Limitations et quotas dans AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html).
+ Est-il AWS Service Catalog disponible dans la région d'origine de votre choix ?
+ Les commandes dont vous avez besoin sont-elles disponibles ? Voir [Limites de contrôle](https://docs.aws.amazon.com/controltower/latest/userguide/control-limitations.html).
+ Le centre d'identité IAM est-il disponible dans la région d'origine de votre choix ?
**Régions déployables pour les contrôles**
AWS Control Tower ne peut pas activer certains contrôles lorsque vous les déployez dans certaines régions, en raison de l'absence de dépendances sous-jacentes. Vous pouvez trouver les informations les plus récentes sur les régions déployables pour n'importe quel contrôle en appelant le `ListControls` et `GetControl` APIs. Vous pouvez également consulter les régions déployables dans la console AWS Control Tower.
Lorsque vous activez un contrôle sur une unité d'organisation régie par AWS Control Tower, la zone effective du contrôle est l'*intersection entre* les régions gouvernées par votre AWS Control Tower et les régions déployables du contrôle.
Par exemple, un contrôle peut être activé sur une unité d'organisation qui fonctionne dans les régions X, Y et Z gouvernées. Mais une fois activé, le même contrôle est déployé uniquement dans les régions X et Z, car le contrôle lui-même ne prend pas en charge la région Y.
Il est important de surveiller les relations entre les contrôles que vous déployez et les régions dans lesquelles vous gérez les charges de travail dans AWS Control Tower, afin de ne pas rencontrer de lacunes dans la protection de vos AWS ressources.
**Comment vérifier vos régions protégées**
+ Dans la console AWS Control Tower, vous pouvez consulter les contrôles et les régions activés dans la section **Contrôles activés**.
+ Si vous appelez l'`GetEnabledControl`API, le paramètre **TargetRegions affiche uniquement les régions** dans lesquelles vous pouvez déployer le contrôle de manière efficace, et non les régions non déployables.