AMS アカウントの制限 - AMS Advanced ユーザーガイド
AMS アカウント API の制限AMS マルチアカウントランディングゾーンアカウントのリソース制限AWS アカウントの制限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS アカウントの制限

AMS マルチアカウントランディングゾーン内で考慮すべき制限には、AMS API の制限、AMS リソースの制限、AWS の制限の 3 種類があります。

AMS シングルアカウントランディングゾーン内で考慮すべき制限には、AMS API の制限と AWS の制限の 2 種類があります。

AMS アカウント API の制限

このセクションでは、AWS Managed Services (AMS) が AMS SKMS API サービスをスロットリングした後のアカウントレベルの制限について説明します。つまり、リストされている APIs「スロットリング」されます ( を受け取りますThrottleException)。まれに、外部またはダウンストリームの依存関係によって AMS API がスロットリングされ、AMS によって API コールがより低いレートでスロットリングされる場合があります。

注記

AMS SKMS API の詳細については、AWS Artifact コンソールのレポートタブからリファレンスをダウンロードしてください。

リストされている AMS SKMS API ごとに、オペレーションは 10 TPS (トランザクション/秒) 後にスロットリングされます。

  • GetStack

  • GetSubnet

  • GetVpc

  • ListAmis

  • ListStackSummaries

  • ListSubnetSummaries

  • ListVpcSummaries

AMS マルチアカウントランディングゾーンアカウントのリソース制限

アカウントリソースの制限は、AMS マルチアカウントランディングゾーンアプリケーションアカウントと VPCsおよびサブネットに関連しています。

アプリケーションアカウントのリソース制限

組織ごとに 50 個のアプリケーションアカウントというソフト制限があります。50 を超えるアプリケーションアカウントのユースケースがある場合は、クラウドサービスデリバリーマネージャー (CSDM) に連絡して要件を伝達してください。

VPCsとサブネットのリソース制限

組織の事前定義された AWS リージョン内のアプリケーションアカウントあたり 10 VPCs というソフト制限があります。

各 VPC には、2~3 つのアベイラビリティーゾーンにまたがる 1~10 のプライベートサブネット層があります。さらに、各 VPC には、2~3 つのアベイラビリティーゾーンにまたがる 0~5 つのパブリックサブネット層があります。これらの制限を超える要件がある場合は、CSDM または Cloud Architect に連絡してユースケースを確認してください。

AMS マルチアカウントランディングゾーンアプリケーションとアカウントの比率

AMS マルチアカウントランディングゾーンでは、アプリケーションごとに 1 つのアカウントがサポートされています。ただし、各アプリケーションアカウントは低コストで、1 時間あたりの Transit Gateway への接続数と、Transit Gateway AWS を通過するトラフィック量に対して課金されます。したがって、アプリケーションがアカウントまたは VPCs に分離されるほど、コストは高くなります。

コストを削減し、適切な職務分離を確保するために、AMS では、1) 緊密に結合されたビジネスプロセスを持つチームによってアプリケーションをグループ化し、2) 異なる段階 (製品と非製品) にあるか、異なるチームによって管理されているアプリケーションを混在させないことをお勧めします。これにより、アカウントが少なくなり、アクセス管理と職務の分離が容易になり、トラフィックコストが軽減される可能性があります。

例: 企業では、本番環境に取引アプリケーションとポートフォリオ管理アプリケーションがあり、どちらのアプリケーションも投資 IT チームによって管理され、相互に大量のトラフィックを交換します。このシナリオでは、投資 IT チームが複数のアプリケーションアカウントへのアクセスをリクエストする必要はなく、トラフィックコストを節約できるため、会社は同じアカウントと同じ VPC の両方のアプリケーションをグループ化することでメリットを得ることができます。この場合、会社は開発段階で同じアプリケーション用に別のアカウントを作成し、開発チームにアクセスを提供する必要があります。

別のシナリオでは、企業は本番稼働中に給与アプリケーションと経理アプリケーションがあり、それぞれ人事 IT チームおよび経理 IT チームによって管理されています。ペイロールアプリケーションはアカウンティングアプリケーションと情報を交換する必要がありますが、両方のアプリケーションをチームごとに異なるアカウントに分離し、ネットワーキングアカウントを使用して両方のアプリケーションの VPCs 間の接続を確立することをお勧めします。このようにして、同社は人事 IT チームが会計アプリケーションインフラストラクチャに影響を与える変更をリクエストすることを禁止しますが、その変更には知識がありません。

アカウントを組織単位 (OUsにグループ化する方法に関するヒント。OU は、アカウントを分類 (グループ化) し、それらのグループに基づいてポリシーと設定を に適用できる論理的なグループ化メカニズムです。OUs を作成するための推奨アプローチは、レポート構造内のチームの内部階層ではなく、特定のアカウントグループに適用する必要があるポリシーに基づいて作成することです。OU は Active Directory の OU と同等ではなく、 で AD OU 構造をレプリケートしようとすることは推奨 AWS Organizations されず、構造の維持や運用が困難になります。

AWS アカウントの制限

AWS アカウント制限は、AWS Managed Services (AMS) アカウントに適用されます。 AWS サービスのデフォルトと現在の制限を決定する最も簡単な方法は、AWS Service Quotas を活用することです。AMS では、アカウントでサービスを実行するために、個々のサービス制限を適切なサイズにサイズ変更することをお勧めします (複数可)。制限はガードレールのように動作し、セキュリティとコストの暴走のためにアカウントを保護します。特定の制限を引き上げる場合は、AMS でサービスリクエストを送信すると、AMS Operations がユーザーに代わって制限を引き上げます。例えば、RDS インスタンスのデフォルトの制限 (またはクォータ) は 40 です。ワークロードに 50 個の RDS インスタンスが必要な場合は、AMS オペレーションのサービスリクエストを発行して、必要な値に制限を引き上げます。