本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 的配额和服务限制 AWS Organizations
<a name="orgs_reference_limits"></a>

本主题介绍的配额和服务限制 AWS Organizations。

## 命名指南
<a name="name-limits"></a>

以下是您在中创建的名称的指导原则 AWS Organizations，包括帐户名称、组织单位 (OUs)、根和策略：
+ 名称必须由 Unicode 字符组成。
+ 名称的最大字符串长度因对象而异。有关每个对象的实际限制的信息，请参阅 [AWS Organizations API 参考](https://docs.aws.amazon.com/organizations/latest/APIReference/)并找到创建该对象的 API 操作，然后查看该操作的 `Name` 参数详细信息。例如：[账户名称](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateAccount.html#organizations-CreateAccount-request-AccountName)或者 [OU 名称](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateOrganizationalUnit.html#organizations-CreateOrganizationalUnit-request-Name)。

## 注意事项
<a name="orgs_reference_limits-considerations"></a>

由于更新，服务配额代码可能会随着时间的推移而更改。这不会影响配额值或名称。要查找特定配额的配额代码，请使用[ListServiceQuotas](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_ListServiceQuotas.html)操作，并在输出中查找所需配额的`QuotaCode`响应。

## 最大值和最小值
<a name="min-max-values"></a>

以下是中实体的***默认最大值***。 AWS Organizations

**注意**  
请考虑以下有关 AWS Organizations 配额的信息：  
您可以使用[服务限额控制台](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/organizations/quotas)请求增加其中一些值。
AWS Organizations 除非另有说明，否则限制适用于组织级别。许多配额仅适用于通过 AWS Organizations 管理账户执行的操作。
AWS Organizations 是一项全球服务，在美国东部（弗吉尼亚北部）地区实际托管 (`us-east-1`)。因此，在使用 `us-east-1` Service Quotas 控制台、或 AWS SDK 时，必须使用来访问这些配额。 AWS CLI


****  

| 说明 | 限制 | 
| --- | --- | 
| <a name="default-maximum-number-of-accounts"></a> 最大账户数  | 10-组织中允许的最大帐户数。此配额可调整，您可以使用[服务配额控制台](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/organizations/quotas)请求增加配额。 **注意：**只有组织的管理账户才能提交此配额增加请求。根据客户的资格和要求，最多可以准予将限制增加到 5 万个账户。对于新创建的账户和组织，此配额可能能会低于默认的 10 个账户。 发送到账户的邀请将计入此限额。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期，则撤销此计数。 账户注销后，不会停止计算此配额的使用情况，直到账户永久注销为止。有关何时永久注销账户的更多信息，请参阅《AWS 账户管理 参考指南》中的 [Post-closure period](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period)**。 一些服务存在账户限制，账户限制与组织中允许的最大账户数量分开计算。有关更多信息，请参阅[按 AWS 服务划分的限制](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html#min-max-service-limits)。  | 
|  删除已创建账户的最短期限  |  每个受支持的区域：7。在您能将创建的某个账户从组织中移除之前，该账户必须存在的最短天数。  | 
|  组织中的根数量  |  1  | 
|  组织 OUs 中的人数  |  2000  | 
|  组织中的每种类型的策略数量  |  服务控制策略：10,000 资源控制策略：1000 声明性策略：1000 备份策略：1000 标签策略：1000 聊天应用程序政策：1000 AI 服务选择退出策略：1000 Security Hub 策略：1000  | 
|  策略文档的最大大小  |  服务控制策略：5120 个字符 资源控制策略：5120 个字符 声明性策略：1 万个字符 备份策略：10000 个字符 聊天应用程序政策：1 万个字符 AI 服务选择退出策略：2500 个字符 标签策略：10000 个字符 Security Hub 策略：1 万个字符 **注意：**如果您使用保存策略 AWS 管理控制台，则 JSON 元素之间和引号之外的多余空格（例如空格和换行符）将被移除且不计算在内。如果您使用 SDK 操作或保存策略 AWS CLI，则策略将完全按照您提供的方式保存，并且不会自动删除字符。  | 
|  根中的最大 OU 嵌套数  |  根 OUs 深处有五个关卡。  | 
|  您可在 24 小时内可以执行的最大邀请尝试次数  |  您组织中允许的最大账户数或 20 个账户（以较大值为准）。已接受的邀请不计入此配额。一旦某个邀请被接受，您就可以发送另一个同一天的邀请。 如果您的组织中允许的最大账户数少于 20，则如果您尝试邀请超过组织所能容纳的账户数，则会出现“超出账户限制”异常。但是，您可以在一天内取消邀请并发送多次新邀请（最多 20 次尝试）。  | 
|  您可以同时创建的成员账户数量  |  5 – 一个创建完成后即可开始另一个，但正在进行中的只能有五个。  | 
| <a name="number-of-accounts-you-can-close"></a>您可以在 30 天内关闭的账户数量 |  组织中成员账户的 20% 或 250 个（以较高者为准），最多为 1,000 个。此限额不可调整。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/orgs_reference_limits.html) 达到此配额后，您可以注销额外的账户或等待您的配额重置。有关更多信息，请参阅《[AWS 账户管理指南》中的关闭AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html)*账户*。  | 
| 您可以同时关闭的成员账户数量 | 3 – 同一时间只能处理三个账户关闭。一个账户关闭完成后，您就可以关闭另一个账户。 | 
|  可以附加到策略的实体数  |  无限制  | 
|  您可以附加到根、OU 或账户的标签数  |  50  | 
| 基于资源的委托策略的最大大小 |  40000 个字符 | 

### 按 AWS 服务划分的限制
<a name="min-max-service-limits"></a>

大多数都 AWS 服务 支持您在组织中可以拥有的最大账户数量。但一些服务存在账户限制，账户限制与组织中允许的最大账户数量分开计算。

下表展示了具有单独账户限制的服务。


****  

| AWS 服务 | 限制 | 能否增加 | 服务文档 | 
| --- | --- | --- | --- | 
| AWS Directory Service （目录共享可用于 AWS Managed Microsoft AD） | 目录共享账户容量因版本而异。 | 是 | [Directory Service 配额](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_limits.html) | 
| AWS Audit Manager | 250 | 是 | [AWS Audit Manager 配额](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html) | 
| Amazon Detective | 1200 | 是 | [Amazon Detective 配额](https://docs.aws.amazon.com/detective/latest/userguide/regions-limitations.html) | 
| AWS IAM Identity Center | 3000 | 是 | [AWS IAM Identity Center 配额](https://docs.aws.amazon.com/singlesignon/latest/userguide/limits.html) | 
| AWS Application Migration Service | 5000 | 否 | [AWS 配额](https://docs.aws.amazon.com/mgn/latest/ug/MGN-service-limits.html) | 
| AWS Security Hub | 10000 | 否 | [AWS Security Hub 配额](https://docs.aws.amazon.com/general/latest/gr/sechub.html) | 
| Amazon Macie | 10000 | 否 | [Amazon Macie 配额](https://docs.aws.amazon.com/macie/latest/user/macie-quotas.html) | 
| AWS Control Tower | 10000 | 否 | [AWS Control Tower 配额](https://docs.aws.amazon.com/controltower/latest/userguide/limits.html) | 
| Amazon Inspector | 10000 | 否 | [Amazon Inspector 配额](https://docs.aws.amazon.com/inspector/latest/user/quotas.html) | 
| AWS Firewall Manager | 10000 | 是 | [AWS Firewall Manager 配额](https://docs.aws.amazon.com/waf/latest/developerguide/fms-limits.html) | 
| Amazon DevOps Guru | 10000 | 是 | [Amazon DevOps Guru 配额](https://docs.aws.amazon.com/devops-guru/latest/userguide/quotas.html) | 

## 握手的过期时间
<a name="min-max-handshakes"></a>

以下是中握手的超时时间。 AWS Organizations


****  

| 说明 | 限制 | 
| --- | --- | 
|  邀请加入组织  |  15 天  | 
|  请求启用组织中的所有功能  |  90 天  | 
|  握手将被删除，不再显示在列表中  |  握手完成后 30 天  | 

## 可附加到实体的策略数
<a name="min-max-policies"></a>

最小值和最大值取决于策略类型以及您要将策略附加到的实体。下表显示了各种策略类型以及可将每种类型附加到的实体数。

**注意**  
这些数字仅适用于那些直接附加到 OU 或账户的策略。通过继承影响 OU 或账户的策略***不***计入这些限制。所有策略限制都属于硬限制。


****  

| 策略类型 | 附加到实体的数量上限 | 附加到根的数量上限 | 每个 OU 附加的数量上限 | 每个账户附加的数量上限 | 
| --- | --- | --- | --- | --- | 
| 服务控制策略 | 1 — 启用 SCPs时，每个实体必须始终至少连接一个 SCP。您无法从实体上删除最后一个 SCP。 | 5 | 5 | 5 | 
| 资源控制策略 | 1 — 启用后，该RCPFullAWSAccess策略会自动附加到根目录、每个 OU 以及组织中的每个账户 RCPs。您无法分离此策略，它会计入 5 个策略配额。 | 5 | 5 | 5 | 
| 声明性策略 | 0 | 10 | 10 | 10 | 
| 备份策略 | 0 | 10 | 10 | 10 | 
| 标签策略 | 0 | 10 | 10 | 10 | 
| 聊天应用程序政策 | 0 | 5 | 5 | 5 | 
| AI 服务选择退出策略 | 0 | 5 | 5 | 5 | 
| Security Hub 策略 | 0 | 10 | 10 | 10 | 

**注意**  
一个组织中只能有一个根。

## 节流限制
<a name="throttling-limits"></a>

下表 AWS Organizations APIs 按管理类别列出了这些类别，并显示了它们在账户和组织层面各自的限制率。

AWS Organizations 使用令[牌桶算法](https://en.wikipedia.org/wiki/Token_bucket)实现 API 限制。使用此算法，您的账户拥有一个持有特定数量的*令牌*的*存储桶*。存储桶中的令牌数表示您在任何给定秒钟的节流配额。

*速率*是指每秒向令牌存储桶中添加令牌的固定速度。

*突发*是指每秒可以添加和可以使用的最大令牌数。

例如，`DescribeAccount` API 对单个 AWS 账户 的基准速率限制为每秒 20 个请求，突发速率限制为每秒 30 个请求。每秒 30 个请求的突发速率允许您暂时超过每秒 20 个请求的基准速率。

您可以在第一秒内发出 20 个请求，这是基准速率。下一秒您可以发出 30 个请求，这超过了基准速率，但仍保持在 30 的突发速率之内。但是，如果您在第三秒尝试发出超过 20 个请求，则会受到限制，因为您已超过基准速率并且容量爆增已用完。

只要每秒平均请求数随着时间推移始终保持在基准限制之内，突发速率就允许在不受限制的情况下处理临时的流量高峰。

### 账户管理限制
<a name="throttling-limits-account-management"></a>

下表列出了 AWS Organizations APIs 用于账户管理的。


****  

| AWS Organizations API | 每账户限制（速率、突发量） | 每组织限制（速率、突发量） | 
| --- | --- | --- | 
| CloseAccount | 0.05、1 |  | 
| CreateAccount, CreateGovCloudAccount | 0.1、3 |  | 
| DescribeAccount | 20、30 | 24、36 | 
| DescribeCreateAccountStatus | 2、2 | 2、3 | 
| LeaveOrganization | 1、1 |  | 
| ListCreateAccountStatus | 5、8 | 6、10 | 

### 握手管理限制
<a name="throttling-limits-handshake-management"></a>

下表列出了账户 AWS Organizations APIs 的握手。


****  

| AWS Organizations API | 每账户限制（速率、突发量） | 每组织限制（速率、突发量） | 
| --- | --- | --- | 
| AcceptHandshake | 1、2 | 5、5 | 
| DescribeHandshake | 1、2 | 6、10 | 
| CancelHandshake | 2、3 |  | 
| DeclineHandshake | 1、1 | 5、5 | 
| InviteAccountToOrganization | 3、5 |  | 
| ListHandshakesForAccount, ListHandshakesForOrganization | 5、8 | 6、10 | 

### 组织管理限制
<a name="throttling-limits-organization-management"></a>

下表列出了 AWS Organizations APIs 用于组织管理的。


****  

| AWS Organizations API | 每账户限制（速率、突发量） | 每组织限制（速率、突发量） | 
| --- | --- | --- | 
| CreateOrganization, DeleteOrganization, EnableFullControl | 1、1 |  | 
| CreateOrganizationalUnit, DescribeOrganization | 1、2 |  | 
| MoveAccount, UpdateOrganizationalUnit, DeleteOrganizationalUnit | 2、3 |  | 
| DescribeOrganizationalUnit | 2、2 | 2、3 | 
| ListAccounts | 8、12 | 9、15 | 
| ListChildren | 6、10 | 7、12 | 
| ListParents, ListAccountsForParent, ListOrganizationalUnitsForParent | 5、8 | 6、10 | 
| ListRoots | 1、2 | 1、3 | 
| ListTagsForResource | 10、15 | 12、18 | 
| RemoveAccountFromOrganization | 2、2 |  | 
| TagResource, UntagResource | 4、6 |  | 

### 策略管理限制
<a name="throttling-limits-policy-management"></a>

下表列出了 AWS Organizations APIs 用于策略管理的。


****  

| AWS Organizations API | 每账户限制（速率、突发量） | 每组织限制（速率、突发量） | 
| --- | --- | --- | 
| CreatePolicy, DeletePolicy, AttachPolicy, DetachPolicy | 2、3 |  | 
| DescribePolicy | 2、2 | 2、3 | 
| DisablePolicyType, EnablePolicyType | 1、1 |  | 
| ListPolicies, ListPoliciesForTarget, ListTargetsForPolicy | 5、8 | 6、10 | 
| UpdatePolicy | 2、3 |  | 

### 服务管理限制
<a name="throttling-limits-serivce-management"></a>

下表列出了 AWS Organizations APIs 用于服务管理的。


****  

| AWS Organizations API | 每账户限制（速率、突发量） | 每组织限制（速率、突发量） | 
| --- | --- | --- | 
| 启用AWSService访问，禁用AWSService访问 | 1、2 |  | 
| 清单 AWSServiceAccessForOrganization， ListDelegatedServicesForAccount | 1、3 | 1、4 | 
| ListDelegatedAdministrators | 5、8 | 6、10 | 
| RegisterDelegatedAdministrator, DeregisterDelegatedAdministrator | 1、2 |  |