本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Control Tower 中的限制和配額
<a name="limits"></a>

本章涵蓋使用 AWS Control Tower 時應謹記 AWS 的服務限制和配額。如果您因為服務配額問題而無法設定登陸區域，請聯絡 [AWS 支援](https://aws.amazon.com/premiumsupport/)。

如需控制項特定限制的詳細資訊，請參閱 [控制限制](control-limitations.md)。

**控制項參考指南**  
AWS Control Tower 控制項的詳細資訊已移至 [AWS Control Tower 控制項參考指南](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html)。

## AWS Control Tower 中的已知限制
<a name="controltower-limits"></a>

本節說明 AWS Control Tower 中的已知限制和不支援的使用案例。
+ AWS Control Tower 有整體*並行限制*。一般而言，允許一次一個操作。允許此限制的兩個例外狀況：
  + 選用控制項可以透過非同步程序同時啟用和停用。一次最多可以進行一百 (100) 個控制相關操作，無論它們是從主控台還是 API 呼叫。
  + 帳戶可以透過非同步程序在 Account Factory 中同時佈建、更新和註冊，同時進行最多五 (5) 個帳戶相關操作。取消管理帳戶必須一次執行一個帳戶。
  + Account Factory for Terraform (AFT) 在部署期間設定了額外的並行參數。AWS 已使用下列預設值測試 AFT：
    + `concurrent_account_factory_actions`：5 （帳戶佈建）
    + `maximum_concurrent_customizations`：5 （自訂管道）

    提高這些限制超過測試的預設值可能會降低穩定性。
+ 安全 OU 中共用帳戶的電子郵件地址可以變更，但您必須更新登陸區域，才能在 AWS Control Tower 主控台中查看這些變更。
+ 每個 OU 限制五 (5) SCPs 適用於 AWS Control Tower 登陸區域中OUs。
+ AWS Control Tower 支援登陸區域組織中最多 10，000 個帳戶，除以所有 OUs。
+ 具有超過 1000 個直接巢狀帳戶的現有 OUs 無法在 AWS Control Tower 中註冊或重新註冊。如需註冊 OUs 限制的詳細資訊，請參閱 [以基礎 AWS 服務為基礎的限制](region-stackset-limitations.md)。
+ **AWS Control Tower (CfCT) 的自訂**無法用於這些項目 AWS 區域，因為某些相依性無法使用：
  + 歐洲 （蘇黎世）、eu-central-2
  + 歐洲 （西班牙）、eu-south-2
  + 加拿大西部 （卡加利） ca-west-1
  + 亞太區域 （墨爾本）、ap-southeast-4
  + 亞太區域 （馬來西亞）、ap-southeast-5
  + 亞太區域 （泰國），ap-southeast-7
  + 墨西哥 （中部）、mx-central-1

  如果您將 CfCT 部署 CfCT 到 AWS Control Tower 主區域，但您無法在這些區域中建置 CfCT，則可以使用 CfCT 在這些區域中部署和管理資源。
+ 下列無法使用 **AWS Control Tower Account Factory for Terraform (AFT)** AWS 區域，因為某些相依性無法使用：
  + 歐洲 （蘇黎世）、eu-central-2
  + 歐洲 （西班牙）、eu-south-2
  + 加拿大西部 （卡加利），ca-west-1
  + 亞太區域 （墨爾本）、ap-southeast-4
  + 亞太區域 （馬來西亞）、ap-southeast-5
  + 亞太區域 （泰國），ap-southeast-7
  + 墨西哥 （中部）、mx-central-1
+ 下列區域中的新 AFT 客戶無法部署**適用於 Terraform 的 AWS Control Tower 帳戶工廠 (AFT)**，因為 AWS CodeConnections 無法連線至第三方版本控制系統 (VCS)：
  + 亞太區域 （香港）、非洲 （開普敦）、中東 （巴林）、歐洲 （蘇黎世）、亞太區域 （雅加達）、亞太區域 （海德拉巴）、亞太區域 （大阪）、亞太區域 （墨爾本）、以色列 （特拉維夫）、歐洲 （西班牙）、中東 （阿拉伯聯合大公國）、亞太區域 （泰國）、墨西哥 （中部）
+ 下列區域不支援 **AWS Service Catalog**。
  + 加拿大西部 （卡加利），ca-west-1
  + 亞太區域 （馬來西亞）、ap-southeast-5
  + 亞太區域 （泰國），ap-southeast-7
  + 墨西哥 （中部）、mx-central-1
**注意**  
不支援 Service Catalog 的區域不支援 AWS Control Tower (AFC) 的 Account Factory Customizations。

  如需不支援 區域中 AWS Control Tower 功能的詳細資訊 AWS Service Catalog，請參閱 [AWS Control Tower 可在 AWS 加拿大西部 （卡加利） 使用](2024-all.md#yyc-available)。
+ 呼叫控制項 API 來啟用或停用控制項時，AWS Control Tower 中的 `EnableControl`和 `DisableControl` 更新限制為一百 (100) 個並行操作。十個操作 (10) 可以同時進行，剩餘操作已排入佇列。您可能需要調整程式碼以等待完成。
+ 當您透過 **Account Factory Customizations (AFC)** 佈建帳戶時，如果藍圖是以 Terraform 為基礎，則只能將這些藍圖部署到一個 AWS 區域。根據預設，AWS Control Tower 會部署到主區域。

# 請求提高配額
<a name="request-an-increase"></a>

Service Quotas 主控台提供 AWS Control Tower 配額的相關資訊。您可以使用 Service Quotas 主控台來檢視預設的服務配額，或[請求增加](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/controltower/quotas)可調整配額的配額。

**注意**  
新建立的帳戶和組織可能會遇到低於預設值 10 個帳戶的配額。

**您可以透過 Service Quotas 主控台檢視下列配額**
+ *並行帳戶操作配額* ：可同時執行的並行帳戶操作數目上限。預設：5，上限：10，可調整
+ *單一 OU 中的帳戶數目*：一個 OU 中可存在的 AWS Control Tower 受管帳戶數目上限。如果您新增超過此限制的帳戶，則無法執行 AWS Control Tower 中的 OU 註冊程序。若要進一步了解每個 OU 的帳戶數量，請參閱 AWS Control Tower 文件[以基礎 AWS 服務為基礎的限制](region-stackset-limitations.md)。預設：1000，不可調整。
+ *組織單位 (OUs) 的並行操作*：可同時執行的並行 OU 相關操作數目上限。預設：1，不可調整。

例如，您可以請求從最多 10 個並行帳戶相關操作中的 5 個提高配額。配額增加後，某些 AWS Control Tower 效能特性可能會變更。例如，當您擁有更多帳戶時，更新 OU 可能需要更長的時間。或者，在具有五個 SCPs OU 上完成動作可能需要更長的時間，而不是使用三個 SCPs。

**注意**  
增加服務配額請求可能需要最多兩天的時間才會生效。請務必向 AWS Control Tower 主區域請求增加配額。

或者，您可以聯絡 [AWS Support](https://aws.amazon.com//premiumsupport/)，請求提高 AWS Control Tower 中某些資源的配額。或者，您可以檢視以下影片，並了解如何自動提高特定服務配額。

**影片：在與 AWS Control Tower 相關的服務中，自動化提高服務配額的請求**

此影片 (7：24) 說明如何根據 AWS Control Tower 中的部署，自動提高相關整合式 AWS 服務的服務配額。它還顯示如何自動將新帳戶註冊到您組織的 AWS Enterprise 支援。若要獲得更佳的觀賞效果，請選取影片右下角的圖示，將影片放大至全螢幕。並提供字幕。

[![AWS Videos](http://img.youtube.com/vi/3WUShZ4lZGE/0.jpg)](http://www.youtube.com/watch?v=3WUShZ4lZGE)


在此環境中佈建新帳戶時，您可以使用生命週期事件來觸發指定 中服務配額增加的自動請求 AWS 區域。

如需 AWS 配額的詳細資訊，請參閱 [AWS 一般參考](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html#limits_config)。

# 控制限制
<a name="control-limitations"></a>

AWS Control Tower AWS 透過以各種形式實作的控制，例如服務控制政策 (SCPs)、 AWS Config 規則和 CloudFormation 勾點，協助您在 上維護安全的多帳戶環境。

**控制項參考指南**  
AWS Control Tower 控制項的詳細資訊已移至 [AWS Control Tower 控制項參考指南](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html)。

如果您修改 AWS Control Tower 資源，例如 SCP，或移除任何 AWS Config 資源，例如 Config 記錄器或彙總器，AWS Control Tower 無法再保證控制項如設計般運作。因此，多帳戶環境的安全性可能會受到影響。安全性 AWS [的共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model)適用於您可能進行的任何此類變更。

**注意**  
 當您更新登陸區域時，AWS Control Tower 會將預防性控制的 SCPs 重設為其標準組態，以協助維護您環境的完整性。您對 SCPs 所做的變更將由標準版本的控制項依設計取代。

**區域限制**

AWS Control Tower 中的某些控制項無法在可使用 AWS Control Tower AWS 區域 的特定 中運作，因為這些區域不支援所需的基礎功能。因此，當您部署該控制項時，它可能不會在您使用 AWS Control Tower 管理的所有區域中運作。此限制會影響 **Security Hub CSPM 服務受管標準：AWS Control Tower **中的特定偵測控制、特定主動控制和特定控制。如需區域可用性的詳細資訊，請參閱 [Security Hub 控制項](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html)。另請參閱[區域服務清單文件](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)和 [Security Hub CSPM 控制參考文件](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-controls-reference.html)。

在*混合控管*的情況下，控制行為也會受到限制。如需詳細資訊，請參閱[設定區域時避免混合控管](mixed-governance.md)。

如需 AWS Control Tower 如何管理區域和控制項限制的詳細資訊，請參閱 [啟用 AWS 選擇加入區域的考量事項](opt-in-region-considerations.md)。

**注意**  
如需控制和區域支援的最新資訊，建議您呼叫 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)和 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) API 操作。

## 尋找可用的控制項和區域
<a name="find-available-controls-and-regions"></a>

您可以在 AWS Control Tower 主控台中檢視每個控制項的可用區域。您可以使用 AWS Control Catalog 中的 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)和 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) APIs，以程式設計方式檢視可用的區域。

如需特定 中不支援**之服務受管標準：AWS Control Tower** AWS Security Hub CSPM 控制的相關資訊 AWS 區域，請參閱 [Security Hub CSPM 標準](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html)中的「不支援的區域」。

# 以基礎 AWS 服務為基礎的限制
<a name="region-stackset-limitations"></a>

此頁面說明由於其他服務的限制 AWS ，以及 AWS Control Tower 如何與這些服務搭配使用而可能遇到的限制。

**一般準則**

一般而言，我們預期註冊 OU 時支援的帳戶數量會隨著您增加該 OU 的受管區域數量和啟用的控制項數量而減少。這些一般準則假設您已啟用 15 個選用控制項。如果您的 OU 已啟用更多或更少的控制項，註冊時每個 OU 的帳戶限制會有所不同。
+ 透過 15 個受管區域，支援最多 1000 個帳戶的 OUs。
+ 使用 16 到 21 個受管區域，支援的最大 OU 大小範圍為 600-1000 個帳戶。
+ 透過 22 個受管區域，支援最多 680 個帳戶的 OUs。
+ 對於 23 個以上的受管區域，支援的最大 OU 大小小於 680 個帳戶。

**如果發生錯誤**

如果註冊失敗，您可以嘗試**重新註冊** OU。此外，您可以使用巢狀 OU 或將帳戶移至另一個 OU，讓 OU 變小。

**注意**  
基於註冊目的，AWS Control Tower 一律強制執行的強制性控制項不會計入您在 OU 上啟用的控制項數量。

**CloudFormation 堆疊集限制**

如果您計劃跨多個帳戶註冊大量帳戶 AWS 區域，您可能會遇到 CloudFormation 堆疊集針對組織整體大小所建立的限制。您可以使用此公式估計限制：

*組織中的受管帳戶數目 x 受管區域數目 <= 150，000*

此限制在 OU 註冊程序期間變得明顯。例如，如果 15 個區域受管，並啟用 15 個選用控制項，則註冊 OU 的限制為 1000 個帳戶。不過，如果您需要向超過 1000 個帳戶註冊 OUs，或者如果您已啟用大量選用控制項，則必須將受管區域的數量減少到 15 以下。此減少是由於堆疊集限制所致。

**AWS Config 限制**

如果您計劃向大量帳戶註冊 OUs，您可能會遇到帳戶[數量上限的限制， AWS Config 允許 每週在所有彙總工具之間建立或刪除](https://docs.aws.amazon.com//config/latest/developerguide/configlimits.html)。已註冊帳戶不計入此限制：您每週最多可以在 AWS Control Tower 中註冊 1000 個新帳戶。

**帳戶和選擇加入區域的第一次限制**

如果您計劃*第一次*向多個選擇加入區域的大量帳戶註冊 OUs，您可能會因為[帳戶管理配額](https://docs.aws.amazon.com//accounts/latest/reference/quotas.html)而遇到限制，這可能會導致延遲延長。由於延遲，OU 註冊期間可能會發生錯誤。

# AWS Control Tower 功能的區域差異
<a name="regional-differences"></a>

AWS Control Tower 的行為存在某些差異 AWS 區域，因為 AWS Control Tower 協調了其他服務的行為 AWS 。例如：
+ AWS Service Catalog 不適用於 AWS Control Tower 提供的所有 AWS 區域 ，這會變更這些區域中帳戶工廠的行為。
+ 在某些區域中，帳戶工廠自訂 (AFC) 無法使用，因為 Service Catalog 無法支援藍圖的基礎功能。
+  AWS 區域 由於缺少基礎功能，某些控制項無法在所有 中使用。
+  AWS 區域 由於缺少基礎功能，所有 都無法使用 AFT 和 CfCT。

若要為您的 AWS Control Tower 環境做出行為的最佳判斷，請確認您的所在區域。然後，評估下列項目。如需詳細資訊，請參閱 [AWS Control Tower 中的限制和配額](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html)。
+ 您所需的主要區域是否 AWS Service Catalog 可用？
+ 您需要的控制項是否可用？ 請參閱[控制限制](https://docs.aws.amazon.com/controltower/latest/userguide/control-limitations.html)。
+ IAM Identity Center 是否可在您想要的主區域中使用？

**控制項的可部署區域**

由於缺少基礎相依性，AWS Control Tower 無法在特定區域中部署特定控制項。您可以呼叫 `ListControls`和 `GetControl` APIs，找到任何控制項可部署區域的最新資訊。您也可以在 AWS Control Tower 主控台中檢視可部署的區域。

當您在由 AWS Control Tower 管理的 OU 上啟用控制項時，控制項的有效區域是 AWS Control Tower 受管區域與控制項可部署區域的*交集*。

例如，可以在在受管區域 X、Y 和 Z 中操作的 OU 上啟用控制項。但在啟用之後，相同的控制項只會部署在區域 X 和 Z 上，因為控制項本身不支援區域 Y。

請務必監控您部署的控制項與在 AWS Control Tower 中操作工作負載的 區域之間的關係，以免您遇到 AWS 資源保護漏洞。

**如何檢查您的受保護區域**
+ 在 AWS Control Tower 主控台中，您可以在已啟用控制項區段中檢視**已啟用的控制項**和區域。
+ 如果您呼叫 `GetEnabledControl` API，**targetRegions** 參數只會顯示您可以有效部署控制項的區域，而不是無法部署的區域。