Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Batasan dan kuota di AWS Control Tower
Bab ini mencakup batasan AWS layanan dan kuota yang harus Anda ingat saat menggunakan AWS Control Tower. Jika Anda tidak dapat mengatur landing zone karena masalah kuota layanan, hubungi [AWS Dukungan](https://aws.amazon.com/premiumsupport/).
Untuk informasi selengkapnya tentang batasan yang khusus untuk kontrol, lihat[Keterbatasan kontrol](control-limitations.md).
**Panduan Referensi Kontrol**
Informasi terperinci tentang kontrol AWS Control Tower telah dipindahkan ke [Panduan Referensi AWS Control Tower Controls](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html).
## Keterbatasan yang diketahui di AWS Control Tower
Bagian ini menjelaskan batasan yang diketahui dan kasus penggunaan yang tidak didukung di AWS Control Tower.
+ AWS Control Tower memiliki *batasan konkurensi* keseluruhan. Secara umum, satu operasi pada satu waktu diizinkan. Dua pengecualian untuk batasan ini diperbolehkan:
+ Kontrol opsional dapat diaktifkan dan dinonaktifkan secara bersamaan, melalui proses asinkron. Hingga seratus (100) operasi terkait kontrol pada satu waktu dapat berlangsung, secara total, tidak peduli apakah mereka dipanggil dari konsol atau dari API.
+ Akun dapat disediakan, diperbarui, dan didaftarkan secara bersamaan di Account Factory, melalui proses asinkron, dengan hingga lima (5) operasi terkait akun yang sedang berlangsung secara bersamaan. Akun yang tidak dikelola harus dilakukan satu akun pada satu waktu.
+ Account Factory for Terraform (AFT) memiliki parameter konkurensi tambahan yang dikonfigurasi selama penerapan. AWS telah menguji AFT dengan nilai default ini:
+ `concurrent_account_factory_actions`: 5 (penyediaan akun)
+ `maximum_concurrent_customizations`: 5 (pipa kustomisasi)
Meningkatkan batas ini di luar default yang diuji dapat mengurangi stabilitas.
+ Alamat email akun bersama di Security OU dapat diubah, tetapi Anda harus memperbarui landing zone untuk melihat perubahan ini di konsol AWS Control Tower.
+ Batas lima (5) SCPs per OU berlaku OUs di landing zone AWS Control Tower Anda.
+ AWS Control Tower mendukung hingga 10.000 akun di organisasi zona pendaratan Anda, dibagi di antara semua akun Anda OUs.
+ Yang ada OUs dengan lebih dari 1000 akun bersarang langsung tidak dapat didaftarkan atau didaftarkan ulang di AWS Control Tower. Untuk informasi selengkapnya tentang batasan pendaftaran OUs, lihat[Batasan berdasarkan AWS layanan yang mendasarinya](region-stackset-limitations.md).
+ **Kustomisasi untuk AWS Control Tower (CFCT)** tidak tersedia dalam hal ini Wilayah AWS, karena beberapa dependensi tidak tersedia:
+ Eropa (Zürich), eu-central-2
+ Eropa (Spanyol), eu-south-2
+ Kanada Barat (Calgary) ca-west-1
+ Asia Pasifik (Melbourne), ap-southeast-4
+ Asia Pasifik (Malaysia), ap-tenggara - 5
+ Asia Pasifik (Thailand), ap-tenggara - 7
+ Meksiko (Tengah), mx-central-1
Anda dapat menerapkan dan mengelola sumber daya di Wilayah ini dengan CFCT, jika Anda menerapkan CFCT ke Wilayah asal AWS Control Tower, tetapi Anda tidak dapat membuat CFCT di Wilayah ini.
+ **AWS Control Tower Account Factory for Terraform (AFT)** tidak tersedia di bawah ini Wilayah AWS, karena beberapa dependensi tidak tersedia:
+ Eropa (Zürich), eu-central-2
+ Eropa (Spanyol), eu-south-2
+ Kanada Barat (Calgary), ca-west-1
+ Asia Pasifik (Melbourne), ap-southeast-4
+ Asia Pasifik (Malaysia), ap-tenggara - 5
+ Asia Pasifik (Thailand), ap-tenggara - 7
+ Meksiko (Tengah), mx-central-1
+ **AWS Control Tower Account Factory for Terraform (AFT)** tidak dapat digunakan oleh pelanggan AFT baru di Wilayah berikut, karena tidak AWS CodeConnections tersedia untuk terhubung ke sistem kontrol versi (VCS) pihak ketiga:
+ Asia Pasifik (Hong Kong), Afrika (Cape Town), Timur Tengah (Bahrain), Eropa (Zurich), Asia Pasifik (Jakarta), Asia Pasifik (Hyderabad), Asia Pasifik (Osaka), Asia Pasifik (Melbourne), Israel (Tel Aviv), Eropa (Spanyol), Timur Tengah (UEA), Asia Pasifik (Thailand), Meksiko (Tengah)
+ Wilayah berikut tidak mendukung **AWS Service Catalog**.
+ Kanada Barat (Calgary), ca-west-1
+ Asia Pasifik (Malaysia), ap-tenggara - 5
+ Asia Pasifik (Thailand), ap-tenggara - 7
+ Meksiko (Tengah), mx-central-1
**catatan**
Wilayah yang tidak mendukung Service Catalog tidak mendukung Penyesuaian Account Factory untuk AWS Control Tower (AFC).
Untuk informasi selengkapnya tentang fungsionalitas AWS Control Tower di Wilayah yang tidak mendukung AWS Service Catalog, lihat[AWS Control Tower tersedia di AWS Kanada Barat (Calgary)](2024-all.md#yyc-available).
+ Saat memanggil API kontrol untuk mengaktifkan atau menonaktifkan kontrol, batas `EnableControl` dan `DisableControl` pembaruan di AWS Control Tower adalah seratus (100) operasi bersamaan. Sepuluh operasi (10) dapat berlangsung secara bersamaan, dengan sisa operasi antri. Anda mungkin perlu menyesuaikan kode Anda untuk menunggu penyelesaian.
+ Saat Anda menyediakan akun melalui **Penyesuaian Account Factory (AFC)**, dengan cetak biru yang berbasis di Terraform, Anda dapat menerapkan cetak biru tersebut hanya ke satu. Wilayah AWS Secara default, AWS Control Tower diterapkan ke Wilayah asal.
# Meminta peningkatan kuota
Konsol Service Quotas menyediakan informasi tentang kuota AWS Control Tower. Anda dapat menggunakan konsol Service Quotas untuk melihat kuota layanan default atau [mengajukan penambahan kuota](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/controltower/quotas) untuk kuota yang dapat disesuaikan.
**catatan**
Akun dan organisasi yang baru dibuat mungkin mengalami kuota di bawah default 10 akun.
**Kuota berikut dapat dilihat melalui konsol Service Quotas**
+ *Kuota operasi akun bersamaan*: Jumlah maksimum operasi akun bersamaan yang dapat dilakukan secara bersamaan. Default: 5, Maksimum: 10, dapat disesuaikan
+ *Jumlah akun dalam satu OU*: Jumlah maksimum akun terkelola AWS Control Tower yang dapat hadir dalam satu OU. Jika Anda menambahkan akun di luar batas ini, proses pendaftaran OU di AWS Control Tower tidak dapat dilakukan. Untuk mempelajari lebih lanjut tentang jumlah akun per OU, tinjau [Batasan berdasarkan AWS layanan yang mendasarinya](region-stackset-limitations.md) di dokumentasi AWS Control Tower. Default: 1000, tidak dapat disesuaikan.
+ *Operasi bersamaan untuk unit organisasi (OUs)*: Jumlah maksimum operasi terkait OU bersamaan yang dapat dilakukan pada waktu yang sama. Default: 1, tidak dapat disesuaikan.
Misalnya, Anda dapat meminta peningkatan kuota dari lima hingga sepuluh operasi terkait akun bersamaan. Beberapa karakteristik kinerja AWS Control Tower dapat berubah setelah kuota meningkat. Misalnya, mungkin perlu waktu lebih lama untuk memperbarui OU ketika Anda memiliki lebih banyak akun di dalamnya. Atau, mungkin perlu waktu lebih lama untuk menyelesaikan tindakan pada OU dengan lima SCPs daripada dengan tiga SCPs.
**catatan**
Permintaan peningkatan kuota layanan mungkin memerlukan waktu hingga dua hari sebelum berlaku. Pastikan untuk meminta peningkatan kuota dari Wilayah AWS Control Tower home Anda.
Sebagai alternatif, Anda dapat menghubungi [AWS Support](https://aws.amazon.com//premiumsupport/) untuk meminta peningkatan kuota untuk beberapa sumber daya di AWS Control Tower. Atau Anda dapat melihat video berikut, dan mempelajari cara mengotomatiskan peningkatan kuota layanan tertentu.
**Video: Mengotomatiskan permintaan untuk peningkatan kuota layanan, dalam layanan yang terkait dengan AWS Control Tower**
Video ini (7:24) menjelaskan cara mengotomatiskan peningkatan kuota layanan untuk AWS layanan terintegrasi terkait, berdasarkan penerapan di AWS Control Tower. Ini juga menunjukkan cara mengotomatiskan pendaftaran akun baru ke dukungan AWS Perusahaan untuk organisasi Anda. Untuk tampilan yang lebih baik, pilih ikon di sudut kanan bawah video untuk memperbesarnya ke layar penuh. Captioning tersedia.
[](http://www.youtube.com/watch?v=3WUShZ4lZGE)
Saat menyediakan akun baru di lingkungan ini, Anda dapat menggunakan peristiwa siklus hidup untuk memicu permintaan otomatis untuk peningkatan kuota layanan yang ditentukan. Wilayah AWS
Informasi lebih lanjut tentang AWS kuota tersedia di [Referensi AWS Umum](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html#limits_config).
# Keterbatasan kontrol
AWS Control Tower membantu Anda menjaga lingkungan multi-akun yang aman AWS melalui kontrol, yang diterapkan dalam berbagai bentuk, seperti kebijakan kontrol layanan (SCPs), AWS Config aturan, dan CloudFormation kait.
**Panduan Referensi Kontrol**
Informasi terperinci tentang kontrol AWS Control Tower telah dipindahkan ke [Panduan Referensi AWS Control Tower Controls](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html).
Jika Anda mengubah sumber daya AWS Control Tower, seperti SCP, atau menghapus AWS Config sumber daya apa pun, seperti perekam atau agregator Config, AWS Control Tower tidak dapat lagi menjamin bahwa kontrol berfungsi seperti yang dirancang. Oleh karena itu, keamanan lingkungan multi-akun Anda dapat dikompromikan. [Model keamanan tanggung jawab AWS bersama](https://aws.amazon.com/compliance/shared-responsibility-model) berlaku untuk setiap perubahan yang mungkin Anda buat.
**catatan**
AWS Control Tower membantu menjaga integritas lingkungan Anda dengan mengatur ulang kontrol preventif ke konfigurasi standarnya saat Anda memperbarui landing zone. SCPs Perubahan yang mungkin telah Anda buat digantikan oleh versi standar kontrol, dengan desain. SCPs
**Batasan menurut Wilayah**
Beberapa kontrol di AWS Control Tower tidak beroperasi di Wilayah AWS tempat AWS Control Tower tertentu tersedia, karena Wilayah tersebut tidak mendukung fungsionalitas dasar yang diperlukan. Akibatnya, saat Anda menerapkan kontrol tersebut, kontrol tersebut mungkin tidak beroperasi di semua Wilayah yang Anda atur dengan AWS Control Tower. Batasan ini memengaruhi kontrol detektif tertentu, kontrol proaktif tertentu, dan kontrol tertentu dalam Standar yang dikelola **Layanan CSPM Security Hub: AWS Control** Tower. Untuk informasi selengkapnya tentang ketersediaan Regional, lihat [kontrol Security Hub](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html). Lihat juga [dokumentasi daftar layanan Regional dan dokumentasi](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) [referensi kontrol CSPM Security Hub](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-controls-reference.html).
Perilaku kontrol juga terbatas dalam kasus *tata kelola campuran*. Untuk informasi selengkapnya, lihat [Hindari tata kelola campuran saat mengonfigurasi Wilayah](mixed-governance.md).
Untuk informasi selengkapnya tentang cara AWS Control Tower mengelola batasan Wilayah dan kontrol, lihat[Pertimbangan untuk mengaktifkan AWS Wilayah keikutsertaan](opt-in-region-considerations.md).
**catatan**
Untuk informasi terbaru tentang kontrol dan dukungan Wilayah, kami sarankan Anda memanggil operasi [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)dan [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html)API.
## Temukan kontrol dan Wilayah yang tersedia
Anda dapat melihat Wilayah yang tersedia untuk setiap kontrol di konsol AWS Control Tower. Anda dapat melihat Wilayah yang tersedia secara terprogram dengan [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)dan [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) APIs dari Katalog AWS Kontrol.
Untuk informasi tentang AWS Security Hub CSPM kontrol dari **Standar yang Dikelola Layanan: AWS Control Tower** yang tidak didukung secara tertentu Wilayah AWS, lihat “Wilayah Tidak Didukung” dalam standar CSPM [Security Hub](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html).
# Batasan berdasarkan AWS layanan yang mendasarinya
Halaman ini menjelaskan batasan yang mungkin Anda temui karena keterbatasan dalam AWS layanan lain, dan cara AWS Control Tower bekerja dengan layanan tersebut.
**Pedoman umum**
Sebagai aturan umum, kami berharap bahwa jumlah akun yang didukung saat mendaftarkan OU berkurang saat Anda meningkatkan jumlah Wilayah yang diatur, dan jumlah kontrol yang diaktifkan, untuk OU tersebut. Pedoman umum ini mengasumsikan bahwa Anda memiliki 15 kontrol opsional yang diaktifkan. Jika Anda memiliki lebih banyak atau lebih sedikit kontrol yang diaktifkan pada OU Anda, batas akun per OU akan berbeda saat mendaftar.
+ Dengan 15 Wilayah yang diatur, OUs hingga 1000 akun didukung.
+ Dengan 16 hingga 21 Wilayah yang diatur, ukuran OU maksimum yang didukung adalah dalam kisaran 600-1000 akun.
+ Dengan 22 Wilayah yang diatur, OUs hingga 680 akun didukung.
+ Dengan 23 atau lebih Wilayah yang diatur, ukuran OU maksimum yang didukung kurang dari 680 akun.
**Jika terjadi kesalahan**
Jika pendaftaran gagal, Anda dapat mencoba **mendaftar ulang** OU. Juga, Anda dapat membuat OU lebih kecil dengan menggunakan OU bersarang atau dengan memindahkan acounts ke OU lain.
**catatan**
Kontrol wajib yang selalu diberlakukan AWS Control Tower tidak dihitung dalam jumlah kontrol yang telah Anda aktifkan pada OU, untuk keperluan pendaftaran.
**CloudFormation tumpukan menetapkan batasan**
Jika Anda berencana untuk mendaftarkan sejumlah besar akun di beberapa akun Wilayah AWS, Anda mungkin menemukan batasan yang dibuat oleh kumpulan CloudFormation tumpukan pada ukuran keseluruhan organisasi. Anda dapat memperkirakan batasan dengan rumus ini:
*Jumlah akun terkelola dalam organisasi x Jumlah Wilayah yang diatur <= 150.000*
Keterbatasan ini menjadi jelas selama proses pendaftaran OU. Misalnya, jika 15 Wilayah diatur, dan 15 kontrol opsional diaktifkan, batas untuk mendaftarkan OU adalah 1000 akun. Namun, jika Anda perlu mendaftar OUs dengan lebih dari 1000 akun, atau jika Anda memiliki sejumlah besar kontrol opsional yang diaktifkan, Anda harus mengurangi jumlah Wilayah yang diatur di bawah 15. Pengurangan ini disebabkan oleh keterbatasan stack set.
**AWS Config keterbatasan**
Jika Anda berencana untuk mendaftar OUs dengan sejumlah besar akun, Anda mungkin menemukan batasan dengan [jumlah maksimum akun yang AWS Config memungkinkan untuk dibuat atau dihapus setiap minggu](https://docs.aws.amazon.com//config/latest/developerguide/configlimits.html), di semua agregator. Akun terdaftar tidak dihitung dalam batas ini: Anda dapat mendaftarkan hingga 1000 akun baru ke AWS Control Tower setiap minggu.
**Batasan pertama kali untuk akun dan Wilayah keikutsertaan**
Jika Anda berencana untuk mendaftar OUs dengan sejumlah besar akun di beberapa Wilayah keikutsertaan *untuk pertama kalinya*, Anda mungkin mengalami batasan [karena kuota Manajemen Akun](https://docs.aws.amazon.com//accounts/latest/reference/quotas.html), yang dapat menyebabkan latensi berkepanjangan. Kesalahan dapat terjadi selama pendaftaran OU karena latensi.
# Perbedaan regional untuk fungsionalitas AWS Control Tower
Perbedaan tertentu ada dalam perilaku AWS Control Tower Wilayah AWS, karena AWS Control Tower mengatur perilaku layanan lain. AWS Contoh:
+ AWS Service Catalog tidak tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia, yang mengubah perilaku Account Factory di Wilayah tersebut.
+ Di Wilayah tertentu, Penyesuaian Account Factory (AFC) tidak tersedia karena Service Catalog tidak tersedia untuk mendukung fungsionalitas dasar cetak biru.
+ Kontrol tertentu tidak tersedia di semua Wilayah AWS karena kurangnya fungsionalitas yang mendasarinya.
+ AFT dan CFCT tidak tersedia secara keseluruhan Wilayah AWS karena kurangnya fungsionalitas yang mendasarinya.
Untuk menentukan perilaku terbaik untuk lingkungan AWS Control Tower Anda, pastikan Wilayah asal Anda. Kemudian, evaluasi item berikut. Untuk detail selengkapnya, lihat [Batasan dan kuota di AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html).
+ Apakah AWS Service Catalog tersedia di wilayah rumah yang Anda inginkan?
+ Apakah kontrol tersedia yang Anda butuhkan? Lihat [Batasan kontrol](https://docs.aws.amazon.com/controltower/latest/userguide/control-limitations.html).
+ Apakah IAM Identity Center tersedia di wilayah rumah yang Anda inginkan?
**Wilayah Deployable untuk kontrol**
AWS Control Tower tidak dapat mengaktifkan kontrol tertentu saat Anda menerapkannya di Wilayah tertentu, karena kurangnya dependensi yang mendasarinya. Anda dapat menemukan informasi terbaru tentang Wilayah yang dapat diterapkan untuk kontrol apa pun dengan menghubungi dan`ListControls`. `GetControl` APIs Anda juga dapat melihat Wilayah yang dapat diterapkan di konsol AWS Control Tower.
Saat Anda mengaktifkan kontrol pada OU yang diatur oleh AWS Control Tower, area efektif kontrol adalah *persimpangan* Wilayah yang diatur AWS Control Tower Anda dengan Wilayah kontrol yang dapat diterapkan.
Misalnya, kontrol dapat diaktifkan pada OU yang beroperasi di Wilayah X, Y dan Z yang diatur. Tetapi setelah diaktifkan, kontrol yang sama diterapkan hanya pada Wilayah X dan Z, karena kontrol itu sendiri tidak mendukung Wilayah Y.
Penting untuk memantau hubungan antara kontrol yang Anda terapkan dan Wilayah tempat Anda mengoperasikan beban kerja di AWS Control Tower, sehingga Anda tidak mengalami kesenjangan dalam perlindungan sumber daya Anda AWS .
**Cara memeriksa Wilayah Anda yang dilindungi**
+ Di konsol AWS Control Tower, Anda dapat melihat kontrol dan Wilayah yang **diaktifkan di bagian Kontrol yang diaktifkan**.
+ Jika Anda memanggil `GetEnabledControl` API, parameter **targetRegions** hanya akan menampilkan Wilayah tempat Anda dapat menerapkan kontrol secara efektif, bukan Wilayah yang tidak dapat diterapkan.