As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Limitações e cotas no AWS Control Tower
Este capítulo aborda as limitações e cotas do AWS serviço que você deve ter em mente ao usar o AWS Control Tower. Se você não conseguir configurar a zona de pouso devido a um problema de cota de serviço, entre em contato com o [AWS Support](https://aws.amazon.com/premiumsupport/).
Consulte mais informações sobre limitações específicas de controles em [Limitações de controle](control-limitations.md).
**Guia de referência de controles**
Informações detalhadas sobre os controles do AWS Control Tower foram transferidas para o [Guia de referência de controles do AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html).
## Limitações conhecidas no AWS Control Tower
Esta seção descreve limitações conhecidas e casos de uso incompatíveis no AWS Control Tower.
+ O AWS Control Tower tem *limitações gerais de simultaneidade*. Em geral, é permitida uma operação por vez. Duas exceções a essa limitação são permitidas:
+ Os controles opcionais podem ser ativados e desativados simultaneamente, por meio de um processo assíncrono. Até cem (100) operações relacionadas ao controle por vez podem estar em andamento, no total, independentemente de serem chamadas do console ou de uma API.
+ As contas podem ser provisionadas, atualizadas e inscritas simultaneamente no Account Factory, por meio de um processo assíncrono, com até cinco (5) operações relacionadas à conta em andamento simultaneamente. O cancelamento do gerenciamento de contas deve ser realizado em uma conta por vez.
+ O Account Factory for Terraform (AFT) tem parâmetros adicionais de simultaneidade configurados durante a implantação. A AWS testou o AFT com esses valores padrão:
+ `concurrent_account_factory_actions`: 5 (provisionamento de contas)
+ `maximum_concurrent_customizations`: 5 (pipelines de personalização)
Aumentar esses limites além dos padrões testados pode reduzir a estabilidade.
+ Os endereços de e-mail das contas compartilhadas na UO de segurança podem ser alterados, mas você deve atualizar a zona de pouso para ver essas alterações no console do AWS Control Tower.
+ Um limite de cinco (5) SCPs por OU se aplica à OUs sua landing zone do AWS Control Tower.
+ O AWS Control Tower suporta até 10.000 contas na organização da sua zona de destino, divididas entre todas as suas OUs.
+ As contas existentes OUs com mais de 1000 contas diretamente aninhadas não podem ser registradas ou registradas novamente no AWS Control Tower. Para obter mais informações sobre limitações no registro OUs, consulte[Limitações com base nos AWS serviços subjacentes](region-stackset-limitations.md).
+ **As personalizações do AWS Control Tower (cFct)** não estão disponíveis nestes Regiões da AWS, porque algumas dependências não estão disponíveis:
+ Europa (Zurique) eu-central-2
+ Europa (Espanha) eu-south-2
+ Oeste do Canadá (Calgary) ca-west-1
+ Ásia-Pacífico (Melbourne) ap-southeast-4
+ Ásia-Pacífico (Malásia), ap-southeast-5
+ Ásia-Pacífico (Tailândia), ap-southeast-7
+ México (Centro), mx-central-1
Será possível implantar e gerenciar recursos nessas regiões com o CfCT, se você implantar o CfCT na sua região de origem do AWS Control Tower, mas não poderá criar o CfCT nessas regiões.
+ **O AWS Control Tower Account Factory for Terraform (AFT)** não está disponível no seguinte Regiões da AWS, porque algumas dependências não estão disponíveis:
+ Europa (Zurique) eu-central-2
+ Europa (Espanha) eu-south-2
+ Oeste do Canadá (Calgary) ca-west-1
+ Ásia-Pacífico (Melbourne) ap-southeast-4
+ Ásia-Pacífico (Malásia), ap-southeast-5
+ Ásia-Pacífico (Tailândia), ap-southeast-7
+ México (Centro), mx-central-1
+ **O AWS Control Tower Account Factory for Terraform (AFT)** não pode ser implantado por novos clientes do AFT nas seguintes regiões, porque não AWS CodeConnections está disponível para conexão com um sistema de controle de versão (VCS) de terceiros:
+ Ásia-Pacífico (Hong Kong), África (Cidade do Cabo), Oriente Médio (Bahrein), Europa (Zurique), Ásia-Pacífico (Jacarta), Ásia-Pacífico (Hyderabad), Ásia-Pacífico (Osaka), Ásia-Pacífico (Melbourne), Israel (Tel Aviv), Europa (Espanha), Oriente Médio (EAU), Ásia-Pacífico (Tailândia), México (Centro)
+ As regiões a seguir não são compatíveis com o **AWS Service Catalog**.
+ Oeste do Canadá (Calgary) ca-west-1
+ Ásia-Pacífico (Malásia), ap-southeast-5
+ Ásia-Pacífico (Tailândia), ap-southeast-7
+ México (Centro), mx-central-1
**nota**
As regiões que não oferecem suporte ao Service Catalog não oferecem suporte às personalizações de Account Factory para o AWS Control Tower (AFC).
Para obter mais informações sobre a funcionalidade do AWS Control Tower em regiões que não oferecem suporte AWS Service Catalog, consulte[O AWS Control Tower está disponível no Oeste AWS do Canadá (Calgary)](2024-all.md#yyc-available).
+ Ao chamar uma API de controle para ativar ou desativar um controle, o limite de atualizações de `EnableControl` e `DisableControl` no AWS Control Tower é de cem (100) operações simultâneas. Dez operações (10) podem estar em andamento simultaneamente, com as demais operações na fila. Talvez seja necessário ajustar seu código para aguardar a conclusão.
+ Ao provisionar contas por meio do **Account Factory Customizations (AFC)**, com esquemas baseados no Terraform, você pode implantar esses esquemas em apenas uma Região da AWS. Por padrão, o AWS Control Tower é implantado na região de origem.
# Solicitar um aumento da cota
O console do Service Quotas fornece informações sobre as cotas do AWS Control Tower. É possível usar o console do serviço de cotas para visualizar cotas padrão ou [ solicitar aumentos de cota](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/controltower/quotas) para cotas ajustáveis.
**nota**
As contas e organizações recém-criadas podem ter uma cota abaixo do padrão de 10 contas.
**As cotas a seguir podem ser visualizadas por meio do console Service Quotas**
+ *Cota de operações de conta simultâneas*: o número máximo de operações de conta simultâneas que podem ser executadas ao mesmo tempo. Padrão: 5, máximo: 10, ajustável
+ *Número de contas em uma única UO*: o número máximo de contas gerenciadas do AWS Control Tower que podem estar presentes em uma UO. Se você adicionar contas além desse limite, o processo de registro da UO no AWS Control Tower não poderá ser executado. Para saber mais sobre o número de contas por UO, consulte [Limitações com base nos AWS serviços subjacentes](region-stackset-limitations.md) na documentação do AWS Control Tower. Padrão: 1000, não ajustável.
+ *Operações simultâneas para unidades organizacionais (OUs)*: o número máximo de operações simultâneas relacionadas à UO que podem ser executadas ao mesmo tempo. Padrão: 1, não ajustável.
Por exemplo, você pode solicitar um aumento de cota de cinco de até dez operações simultâneas relacionadas à conta. Algumas características de desempenho do AWS Control Tower podem mudar após o aumento da cota. Por exemplo, pode levar mais tempo para atualizar uma UO quando você tem mais contas nela. Ou pode levar mais tempo para concluir uma ação em uma OU com cinco SCPs do que com três SCPs.
**nota**
Uma solicitação de aumento de cota de serviço pode exigir até dois dias antes de entrar em vigor. Certifique-se de solicitar o aumento da cota na sua região de origem do AWS Control Tower.
Como alternativa, você pode entrar em contato com o [AWS Support](https://aws.amazon.com//premiumsupport/) para solicitar um aumento de cota para alguns recursos no AWS Control Tower. Ou você pode assistir ao vídeo a seguir e aprender como automatizar determinados aumentos da cota de serviço.
**Vídeo: Automatizar solicitações para aumentos de cota de serviço em serviços relacionados ao AWS Control Tower**
Este vídeo (7:24) descreve como automatizar o aumento da cota de AWS serviços relacionados e integrados, com base em implantações no AWS Control Tower. Também mostra como automatizar a inscrição de novas contas no suporte AWS corporativo da sua organização. Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.
[](http://www.youtube.com/watch?v=3WUShZ4lZGE)
Ao provisionar novas contas nesse ambiente, você pode usar eventos de ciclo de vida para acionar solicitações automatizadas de aumentos de cota de serviço em Regiões da AWS especificadas.
Mais informações sobre AWS cotas estão disponíveis na [Referência AWS Geral](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html#limits_config).
# Limitações de controle
O AWS Control Tower ajuda você a manter um ambiente seguro com várias contas AWS por meio de controles, que são implementados de várias formas, como políticas de controle de serviços (SCPs), AWS Config regras e CloudFormation ganchos.
**Guia de referência de controles**
Informações detalhadas sobre os controles do AWS Control Tower foram transferidas para o [Guia de referência de controles do AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html).
Se você modificar os recursos da AWS Control Tower, como um SCP, ou remover qualquer AWS Config recurso, como um gravador ou agregador do Config, a AWS Control Tower não poderá mais garantir que os controles estejam funcionando conforme projetado. Portanto, a segurança do seu ambiente de várias contas pode estar comprometida. O [modelo de segurança de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model) é aplicável a quaisquer alterações que você possa fazer.
**nota**
O AWS Control Tower ajuda a manter a integridade do seu ambiente redefinindo os SCPs controles preventivos para a configuração padrão quando você atualiza sua landing zone. As alterações que você possa ter feito SCPs são substituídas pela versão padrão do controle, por design.
**Limitações por região**
Alguns controles na AWS Control Tower não operam em determinados Regiões da AWS locais onde a AWS Control Tower está disponível, porque essas regiões não oferecem suporte à funcionalidade subjacente necessária. Como resultado, ao implanta esse controle, ele pode não operar em todas as regiões que você administra com o AWS Control Tower. Essa limitação afeta certos controles de detetive, certos controles proativos e certos controles no padrão gerenciado pelo **serviço CSPM do Security Hub: AWS Control Tower**. Consulte mais informações sobre a disponibilidade regional em [Security Hub controls](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html). Consulte também a documentação da [lista de serviços regionais e a documentação](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) de [referência dos controles CSPM do Security Hub](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-controls-reference.html).
O comportamento de controle também é limitado no caso de *governança mista*. Para obter mais informações, consulte [Evitar governança mista ao configurar regiões](mixed-governance.md).
Consulte mais informações sobre como o AWS Control Tower gerencia as limitações de regiões e controles em [Considerações sobre a ativação de regiões opcionais AWS](opt-in-region-considerations.md).
**nota**
Para ter as informações mais atualizadas sobre controles e suporte de região, recomendamos que você chame as operações de API [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) e [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html).
## Encontrar controles e regiões disponíveis
Você pode ver as regiões disponíveis para cada controle no console do AWS Control Tower. Você pode visualizar as regiões disponíveis programaticamente com o [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)e do Catálogo [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) APIs de AWS Controle.
Para obter informações sobre AWS Security Hub CSPM controles do **Padrão Gerenciado por Serviços: AWS Control Tower** que não são suportados em determinadas regiões Regiões da AWS, consulte “Regiões não suportadas” no padrão CSPM do [Security Hub](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html).
# Limitações com base nos AWS serviços subjacentes
Esta página descreve as limitações que você pode encontrar devido a limitações em outros serviços da AWS e como o AWS Control Tower funciona com esses serviços.
**Diretrizes gerais**
Como regra geral, esperamos que o número de contas compatíveis ao registrar uma UO diminua à medida que você aumenta o número de regiões administradas e o número de controles habilitados para essa UO. Essas diretrizes gerais pressupõem que você tenha 15 controles opcionais habilitados. Se você tiver mais ou menos controles habilitados em sua UO, os limites de contas por UO serão diferentes ao se registrar.
+ Com 15 regiões governadas, OUs há suporte para até 1000 contas.
+ Com 16 a 21 regiões administradas, o tamanho máximo de UO permitido está na faixa de 600 a 1.000 contas.
+ Com 22 regiões governadas, há OUs suporte para até 680 contas.
+ Com 23 ou mais regiões administradas, o tamanho máximo de OU suportado é inferior a 680 contas.
**Em caso de erro**
Se o registro falhar, você poderá tentar **Registrar novamente** a UO. Além disso, é possível diminuir a UO usando uma UO aninhada ou transferindo contas para outra UO.
**nota**
Os controles obrigatórios que o AWS Control Tower sempre impõe não são contabilizados no número de controles que você habilitou em uma UO, para fins de registro.
**CloudFormation limitações do conjunto de pilhas**
Se você planeja registrar um grande número de contas em várias Regiões da AWS, pode encontrar limites criados por conjuntos de CloudFormation pilhas no tamanho geral de uma organização. Você pode estimar a limitação com esta fórmula:
*Número de contas gerenciadas na organização x Número de regiões governadas <= 150.000*
Essa limitação se torna aparente durante o processo de registro da UO. Por exemplo, se 15 regiões forem governadas e 15 controles opcionais estiverem habilitados, o limite para registrar a UO será de mil contas. No entanto, se você precisar se registrar OUs com mais de 1.000 contas ou se tiver um grande número de controles opcionais ativados, deverá reduzir o número de regiões governadas para menos de 15. Essa redução se deve às limitações do conjunto de pilhas.
**AWS Config Limitações **
Se você planeja se registrar OUs com um grande número de contas, poderá encontrar limites com [o número máximo de contas que AWS Config podem ser criadas ou excluídas a cada semana](https://docs.aws.amazon.com//config/latest/developerguide/configlimits.html), em todos os agregadores. As contas inscritas não são contabilizadas nesse limite: é possível inscrever até mil novas contas no AWS Control Tower a cada semana.
**Limitações iniciais para contas e regiões opcionais**
Se você planeja se registrar OUs com um grande número de contas em várias regiões optativas *pela primeira vez*, poderá encontrar limitações devido às [cotas de gerenciamento de contas](https://docs.aws.amazon.com//accounts/latest/reference/quotas.html), o que pode levar a uma latência prolongada. Podem ocorrer erros durante o registro da UO devido à latência.
# Diferenças regionais para a funcionalidade do AWS Control Tower
Existem certas diferenças no comportamento do AWS Control Tower Regiões da AWS, porque o AWS Control Tower orquestra o comportamento de outros AWS serviços. Por exemplo:
+ AWS Service Catalog não está disponível em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível, o que muda o comportamento do Account Factory nessas regiões.
+ Em determinadas regiões, o Account Factory Customization (AFC) não está disponível porque o Service Catalog não está disponível para oferecer suporte à funcionalidade subjacente dos esquemas.
+ Alguns controles não estão disponíveis em todos Regiões da AWS devido à falta de funcionalidade subjacente.
+ AFT e cFct não estão disponíveis em todos Regiões da AWS devido à falta de funcionalidade subjacente.
Para determinar melhor o comportamento do ambiente do AWS Control Tower, verifique sua região de origem. Depois, avalie os itens a seguir. Consulte mais detalhes em [Limitations and quotas in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html).
+ Está AWS Service Catalog disponível na região de origem desejada?
+ Os controles de que você precisa estão disponíveis? Consulte [Control limitations](https://docs.aws.amazon.com/controltower/latest/userguide/control-limitations.html).
+ O Centro de Identidade do IAM está disponível na região de origem desejada?
**Regiões implantáveis para controles**
O AWS Control Tower não pode ativar determinados controles quando você os implanta em determinadas regiões, devido à falta de dependências subjacentes. Você pode encontrar as informações mais atualizadas sobre as regiões implantáveis para qualquer controle chamando `ListControls` e. `GetControl` APIs É possível visualizar as regiões implantáveis no console do AWS Control Tower.
Quando você ativa um controle em uma UO que é governada pelo AWS Control Tower, a área efetiva do controle é a *interseção* das suas regiões governadas pelo AWS Control Tower com as regiões implantáveis do controle.
Por exemplo, um controle pode ser ativado em uma UO que opera nas Regiões X, Y e Z governadas. Mas depois de habilitado, o mesmo controle é implantado somente nas Regiões X e Z, porque o controle em si não é compatível com a Região Y.
É importante monitorar as relações entre os controles que você implanta e as regiões em que você opera cargas de trabalho no AWS Control Tower, para que você não tenha lacunas na proteção de seus AWS recursos.
**Como verificar suas regiões protegidas**
+ No console do AWS Control Tower, você pode ver os controles e regiões habilitados na seção **Controles habilitados**.
+ Se você chamar a API `GetEnabledControl`, o parâmetro **targetRegions** mostrará somente as regiões nas quais você pode implantar o controle de forma eficaz, não as regiões não implantáveis.