翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Control Tower の制限とクォータ
この章では、AWS Control Tower を使用する際に留意すべき AWS サービスの制限とクォータについて説明します。サービスクォータの問題によりランディングゾーンをセットアップできない場合は、[AWS サポート](https://aws.amazon.com/premiumsupport/) にお問い合わせください。
コントロール固有の制限の詳細については、「[コントロールの制限事項](control-limitations.md)」を参照してください。
**Controls Reference Guide**
AWS Control Tower のコントロールに関する詳細情報は、「[AWS Control Tower Controls Reference Guide](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html)」に移動されました。
## AWS Control Tower の既知の制限事項
このセクションでは、AWS Control Tower の既知の制限事項とサポートされていないユースケースについて説明します。
+ AWS Control Tower には全体的な*同時実行数の制限*があります。通常、一度に実行できるオペレーション数は 1 つです。この制限には次の 2 つの例外があります。
+ オプションのコントロールは、非同期プロセスを通じて同時にアクティブ化および非アクティブ化できます。呼び出し元がコンソールか API に関係なく、一度に合計最大 100 のコントロール関連オペレーションを実行できます。
+ アカウントは、非同期プロセスを通じて Account Factory で同時にプロビジョニング、更新、登録でき、アカウント関連のオペレーションは同時に 5 つまで実行できます。アカウントの管理を解除するには、一度に 1 つのアカウントを実行する必要があります。
+ Account Factory for Terraform (AFT) には、デプロイ中に追加の同時実行パラメータが設定されています。AWS は、次のデフォルト値を使用して AFT をテストしています。
+ `concurrent_account_factory_actions`: 5 (アカウントのプロビジョニング)
+ `maximum_concurrent_customizations`: 5 (カスタマイズパイプライン)
これらの制限をテスト済みのデフォルトを超えて増やすと、安定性が低下する可能性があります。
+ セキュリティ OU の共有アカウントの E メールアドレスは変更できますが、これらの変更を AWS Control Tower コンソールで確認するには、ランディングゾーンを更新する必要があります。
+ AWS Control Tower ランディングゾーンの OU には、OU あたり 5 個の SCP という制限が適用されます。
+ AWS Control Tower は、ランディングゾーンの組織で、すべての OU 間で分けられたアカウントを最大 10,000 個までサポートします。
+ 直接ネストされたアカウントの数が 1000 を超える既存の OU は、AWS Control Tower に登録または再登録することはできません。OU の登録に伴う制限の詳細については、「[基盤となる AWS サービスに基づく制限](region-stackset-limitations.md)」を参照してください。
+ 一部の依存関係は使用できないため AWS リージョン、**AWS Control Tower (CfCT) のカスタマイズ**はこれらでは使用できません。
+ 欧州 (チューリッヒ) eu-central-2
+ 欧州 (スペイン) eu-south-2
+ カナダ西部 (カルガリー) ca-west-1
+ アジアパシフィック (メルボルン) ap-southeast-4
+ アジアパシフィック (マレーシア)、ap-southeast-5
+ アジアパシフィック (タイ)、ap-southeast-7
+ メキシコ (中部)、mx-central-1
CfCT を AWS Control Tower のホームリージョンにデプロイする場合、CfCT を使用してこれらのリージョンにリソースをデプロイおよび管理できますが、これらのリージョンに CfCT を構築することはできません。
+ 一部の依存関係は使用できないため AWS リージョン、**AWS Control Tower Account Factory for Terraform (AFT) **は以下では利用できません。
+ 欧州 (チューリッヒ) eu-central-2
+ 欧州 (スペイン) eu-south-2
+ カナダ西部 (カルガリー)、ca-west-1
+ アジアパシフィック (メルボルン) ap-southeast-4
+ アジアパシフィック (マレーシア)、ap-southeast-5
+ アジアパシフィック (タイ)、ap-southeast-7
+ メキシコ (中部)、mx-central-1
+ サードパーティーのバージョン管理システム (VCS) への接続には AWS CodeConnections 接続を使用できないため、AFT の新規のお客様が **AWS Control Tower Account Factory for Terraform (AFT)** を以下のリージョンにデプロイすることはできません。
+ アジアパシフィック (香港)、アフリカ (ケープタウン)、中東 (バーレーン)、欧州 (チューリッヒ)、アジアパシフィック (ジャカルタ)、アジアパシフィック (ハイデラバード)、アジアパシフィック (大阪)、アジアパシフィック (メルボルン)、イスラエル (テルアビブ)、欧州 (スペイン)、中東 (アラブ首長国連邦)、アジアパシフィック (タイ)、メキシコ (中部)
+ 以下のリージョンは **AWS Service Catalog** をサポートしていません。
+ カナダ西部 (カルガリー)、ca-west-1
+ アジアパシフィック (マレーシア)、ap-southeast-5
+ アジアパシフィック (タイ)、ap-southeast-7
+ メキシコ (中部)、mx-central-1
**注記**
Service Catalog をサポートしていないリージョンは、Account Factory Customizations for AWS Control Tower (AFC) をサポートしていません。
サポートされていないリージョンの AWS Control Tower 機能の詳細については AWS Service Catalog、「」を参照してください[AWS Control Tower が AWS カナダ西部 (カルガリー) で利用可能に](2024-all.md#yyc-available)。
+ コントロール API を呼び出してコントロールをアクティブ化または非アクティブ化する場合、AWS Control Tower での `EnableControl` と `DisableControl` の更新の同時オペレーションの上限は 100 です。10 個のオペレーションを同時に実行でき、残りのオペレーションはキューに入れられます。完了するまでコードを調整する必要がある場合があります。
+ Terraform をベースにしたブループリントを使用して、**Account Factory Customizations (AFC)** でアカウントをプロビジョニングする場合、それらのブループリントは 1 つの AWS リージョンにしかデプロイできません。デフォルトでは、AWS Control Tower はホームリージョンにデプロイします。
# クォータ引き上げをリクエストする
Service Quotas コンソールは、AWS Control Tower のクォータに関する情報を提供します。Service Quotas コンソールを使用して、デフォルトのサービスクォータを表示したり、調整可能なクォータの[クォータの引き上げをリクエスト](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/controltower/quotas)したりすることができます。
**注記**
新しく作成されたアカウントや Organizations では、デフォルトの 10 アカウントを下回るクォータが発生する可能性があります。
**Service Quotas コンソールから次のクォータを表示できます**
+ *同時アカウントオペレーションのクォータ*: 同時に実行できる同時アカウントオペレーションの最大数。デフォルト: 5、最大: 10、調整可能
+ *1 つの OU 内のアカウント数*: 1 つの OU に存在することができる AWS Control Tower 管理アカウントの最大数。この上限を超えるアカウントを追加すると、AWS Control Tower での OU 登録プロセスは実行できません。OU あたりのアカウント数の詳細については、AWS Control Tower ドキュメントの「[基盤となる AWS サービスに基づく制限](region-stackset-limitations.md)」を参照してください。デフォルト: 1000、調整不可。
+ *組織単位 (OU) の同時オペレーション*: 同時に実行できる OU 関連の同時オペレーションの最大数。デフォルト: 1、調整不可。
例えば、アカウント関連の同時オペレーションのクォータを 5 から 10 に引き上げるようにリクエストできます。AWS Control Tower の一部のパフォーマンス特性がクォータの引き上げ後に変化する場合があります。たとえば、OU のアカウント数が多いと、OU の更新に時間がかかることがあります。または、SCP が 5 つある OU でのアクションの完了には、SCP が 3 つある場合よりも時間がかかる可能性があります。
**注記**
サービスクォータの引き上げリクエストは、実行されるまでに最大 2 日かかる場合があります。クォータの引き上げは、必ず AWS Control Tower のホームリージョンからリクエストしてください。
別の方法として、[AWS サポート](https://aws.amazon.com//premiumsupport/)に連絡し、AWS Control Tower の一部のリソースについてクォータの引き上げをリクエストすることもできます。または、以下のビデオを見て、特定のサービスクォータの引き上げを自動化する方法を確認することもできます。
**ビデオ: AWS Control Tower に関連するサービスでのサービスクォータ引き上げのリクエストを自動化する**
この動画 (7:24) では、AWS Control Tower でのデプロイに基づいて、関連する統合 AWS サービスのサービスクォータの増加を自動化する方法について説明します。また、組織の AWS エンタープライズサポートへの新しいアカウントの登録を自動化する方法も示します。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。
[](http://www.youtube.com/watch?v=3WUShZ4lZGE)
この環境で新しいアカウントをプロビジョニングしているときに、ライフサイクルイベントを使用して、指定された AWS リージョンでのサービスクォータ引き上げの自動リクエストをトリガーできます。
AWS クォータの詳細については、 [AWS 全般のリファレンス](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html#limits_config)を参照してください。
# コントロールの制限事項
AWS Control Tower は、サービスコントロールポリシー (SCPs)、 AWS Config ルール、 CloudFormation フックなど、さまざまな形式で実装されるコントロール AWS を使用して、 で安全なマルチアカウント環境を維持するのに役立ちます。
**Controls Reference Guide**
AWS Control Tower のコントロールに関する詳細情報は、「[AWS Control Tower Controls Reference Guide](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html)」に移動されました。
SCP などの AWS Control Tower リソースを変更したり、Config レコーダーやアグリゲータなどの AWS Config リソースを削除したりすると、AWS Control Tower はコントロールが設計どおりに機能することを保証できなくなります。このため、マルチアカウント環境のセキュリティが危険にさらされる可能性があります。セキュリティ AWS [の責任共有モデルは](https://aws.amazon.com/compliance/shared-responsibility-model)、お客様が行う可能性のある変更に適用されます。
**注記**
AWS Control Tower は、ランディングゾーンを更新したときに予防コントロールの SCP を標準設定にリセットすることで、環境の完全性が維持されるように支援します。SCP に加えられた可能性がある変更は、設計により、標準バージョンのコントロールに置き換えられます。
**リージョン別の制限事項**
AWS Control Tower の一部のコントロールは、AWS Control Tower が利用可能な特定の AWS リージョン 場所で動作しません。これらのリージョンは、必要な基盤となる機能をサポートしていないためです。したがって、そのコントロールをデプロイしても、AWS Control Tower で管理しているすべてのリージョンで動作しない可能性があります。この制限は、**Security Hub CSPM Service-managed Standard: AWS Control Tower **の特定の検出コントロール、特定のプロアクティブコントロール、および特定のコントロールに影響します。リージョン別の利用可能性の詳細については、「[Security Hub controls](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html)」を参照してください。また、[リージョンサービスリストドキュメント](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)と [Security Hub CSPM コントロールリファレンスドキュメント](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-controls-reference.html)も参照してください。
*混合ガバナンス*の場合、コントロールの動作も制限されます。詳細については、「[リージョンを設定する際は混合ガバナンスを避ける](mixed-governance.md)」を参照してください。
AWS Control Tower がリージョンとコントロールの制限を管理する方法の詳細については、「[AWS オプトインリージョンをアクティブ化する際の考慮事項](opt-in-region-considerations.md)」を参照してください。
**注記**
コントロールとリージョンのサポートに関する最新情報については、[https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) および [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) API オペレーションを呼び出すことをお勧めします。
## 使用可能なコントロールとリージョンを確認する
各コントロールの使用可能なリージョンは、AWS Control Tower コンソールで表示できます。 AWS Control Catalog の [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)および [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) APIs を使用して、利用可能なリージョンをプログラムで表示できます。
特定の でサポートされていない**サービスマネージドスタンダード: AWS Control Tower** の AWS Security Hub CSPM コントロールについては AWS リージョン、[Security Hub CSPM 標準の](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html)「サポートされていないリージョン」を参照してください。
# 基盤となる AWS サービスに基づく制限
このページでは、他の AWS サービスの制限が原因で生じる可能性のある制限と、AWS Control Tower がそれらのサービスとどのように連携するかについて説明します。
**一般的なガイドライン**
原則として、OU の登録時にサポートされるアカウントの数は、その OU に対して管理されるリージョンの数と有効なコントロールの数が増えるにつれて減少すると予想されます。これらの一般的なガイドラインは、15 個のオプションコントロールが有効になっていることを前提としています。OU で有効になっているコントロールの数がそれより多くても少なくても、登録時の OU あたりのアカウント数の上限は異なります。
+ 管理対象リージョン数が 15 である場合、最大 1000 のアカウントを持つ OU がサポートされます。
+ 管理対象リージョン数が 16~21 である場合、サポートされる OU の最大サイズは 600~1000 アカウントの範囲です。
+ 管理対象リージョン数が 22 である場合、最大 680 のアカウントを持つ OU がサポートされます。
+ 管理対象リージョン数が 23 以上である場合、サポートされる OU の最大サイズは 680 アカウント未満です。
**エラーが発生した場合**
登録に失敗した場合は、OU を**再登録**できます。また、ネストされた OU を使用するか、別の OU にアカウントを移動することで、OU を小さくすることもできます。
**注記**
AWS Control Tower が常に適用する必須コントロールは、登録の目的で OU で有効にしたコントロールの数にはカウントされません。
**CloudFormation スタックセットの制限**
複数の にまたがって多数のアカウントを登録する予定の場合 AWS リージョン、組織の全体的なサイズに対して CloudFormation スタックセットによって制限が発生することがあります。次の計算式で制限を見積もることができます。
*組織内の管理されたアカウントの数 x 管理対象リージョンの数 <= 150,000*
この制限は、OU の登録プロセスで表面化します。例えば、15 のリージョンが管理され、15 のオプションコントロールが有効になっている場合、OU 登録の上限は 1000 アカウントです。しかし、1000 を超えるアカウントを持つ OU を登録する必要がある場合、または多数のオプションコントロールを有効にしている場合は、管理対象リージョンの数を 15 未満に減らす必要があります。この減少は、スタックセットの制限によるものです。
**AWS Config 制限事項**
多数のアカウントで OUs を登録する場合、すべてのアグリゲータで[毎週 が作成または削除 AWS Config できるアカウントの最大数](https://docs.aws.amazon.com//config/latest/developerguide/configlimits.html)に制限が発生することがあります。登録済みアカウントはこの制限にカウントされません。毎週最大 1000 の新しいアカウントを AWS Control Tower に登録できます。
**アカウントとオプトインリージョンに関する初回の制限事項**
複数のオプトインリージョンにまたがる多数のアカウントを持つ OU を*初めて*登録する場合、[アカウント管理クォータ](https://docs.aws.amazon.com//accounts/latest/reference/quotas.html) による制限が生じ、レイテンシーが長くなることがあります。レイテンシーが原因で OU 登録中にエラーが発生する可能性があります。
# AWS Control Tower 機能のリージョン間の違い
AWS Control Tower は他の AWS サービスの動作を調整するため AWS リージョン、AWS Control Tower の動作には特定の違いがあります。例えば、次のようになります。
+ AWS Service Catalog は、AWS Control Tower が利用可能なすべての AWS リージョン で利用できるわけではなく、それらのリージョンでの Account Factory の動作が変更されます。
+ 一部のリージョンでは、ブループリントの基盤となる機能をサポートする Service Catalog が使用できないため、Account Factory Customizations (AFC) を使用できません。
+ 基盤となる機能がないため AWS リージョン 、一部のコントロールはすべての で利用できるわけではありません。
+ AFT と CfCT は、基盤となる機能がないため、すべての AWS リージョン で利用できるわけではありません。
AWS Control Tower 環境の動作を的確に判断するには、ホームリージョンを確認します。次に、以下の項目を評価します。詳細については、「[Limitations and quotas in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html)」を参照してください。
+ 希望するホームリージョンで AWS Service Catalog 利用できますか?
+ 必要なコントロールを使用できるか? 「[Control limitations](https://docs.aws.amazon.com/controltower/latest/userguide/control-limitations.html)」を参照してください。
+ 目的のホームリージョンで IAM アイデンティティセンターを使用できるか?
**コントロールのデプロイ可能なリージョン**
AWS Control Tower は、基盤となる依存関係がないため、特定のリージョンにデプロイするときに特定のコントロールをアクティブ化できません。`ListControls` および `GetControl` API を呼び出して、任意のコントロールのデプロイ可能なリージョンに関する最新情報を確認できます。AWS Control Tower コンソールでデプロイ可能なリージョンを表示することもできます。
AWS Control Tower によって管理される OU でコントロールをアクティブ化する場合、コントロールの影響領域は、AWS Control Tower によって管理されるリージョンとコントロールのデプロイ可能なリージョンの*共通部分*です。
例えば、コントロールは、管理対象リージョン X、Y、Z で動作する OU で有効化できます。ただし、有効化すると、コントロール自体がリージョン Y をサポートしていないため、同じコントロールはリージョン X と Z にのみデプロイされます。
AWS リソースの保護にギャップが発生しないように、デプロイするコントロールと AWS Control Tower でワークロードを運用するリージョン間の関係をモニタリングすることが重要です。
**保護されたリージョンを確認する方法**
+ AWS Control Tower コンソールでは、**有効化されたコントロールセクション**で有効化されたコントロールとリージョンを表示できます。
+ `GetEnabledControl` API を呼び出すと、**targetRegions** パラメータには、デプロイ不可能なリージョンではなく、コントロールを効果的にデプロイできるリージョンのみが表示されます。