的配額和服務限制 AWS Organizations - AWS Organizations
命名指導方針考量事項最大值和最小值交握過期時間您可以連接實體的政策數量調節限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的配額和服務限制 AWS Organizations

本主題說明 的配額和服務限制 AWS Organizations。

命名指導方針

以下是您在其中建立的名稱準則 AWS Organizations,包括帳戶、組織單位 (OUs)、根和政策的名稱:

  • 名稱必須由 Unicode 字元組成。

  • 名稱的最大字串長度因物件而異。如需有關每個物件實際限制的資訊,請參閱 AWS Organizations API 參考並尋找建立物件的 API 操作,並查看該操作Name參數的詳細資訊。例如:Account name (帳戶名稱) 或 OU name (OU 名稱)。

考量事項

由於更新,服務配額代碼可能會隨著時間而變更。這不會影響配額值或名稱。若要尋找特定配額的配額代碼,請使用 ListServiceQuotas 操作,並在您想要的配額輸出中尋找QuotaCode回應。

最大值和最小值

以下是 中實體的預設上限 AWS Organizations。

注意

請考慮下列 AWS Organizations 有關配額的資訊:

  • 您可以使用 Service Quotas 主控台,請求增加某些值。

  • AWS Organizations 除非另有說明,否則 限制適用於組織層級。許多配額僅適用於從 AWS Organizations 管理帳戶執行的動作。

  • AWS Organizations 是一項全球服務,實際託管於美國東部 (維吉尼亞北部) 區域 (us-east-1)。因此,在使用 Service Quotas 主控台 AWS CLI、 或 AWS SDK 時,您必須使用 us-east-1來存取這些配額。

描述 限制

預設帳戶數量上限

10 – 組織中允許的預設帳戶上限。此配額是可調整的,而且可以使用 Service Quotas 主控台來增加。

注意:只有組織的管理帳戶可以提交此配額增加請求。根據客戶資格和要求,最多可授予 50,000 個帳戶提高限制。新建立的帳戶和組織可能會遇到低於預設 10 個帳戶的配額。

傳送給帳戶的邀請計入此配額。若受邀帳戶拒絕、管理帳戶取消邀請或邀請到期,便會退回計數。

當帳戶關閉時,在永久關閉之前,不會停止計入此配額。如需帳戶何時永久關閉的詳細資訊,請參閱《 AWS 帳戶管理 參考指南》中的關閉後期間

有些服務的帳戶限制與組織中允許的帳戶數量上限不同。如需詳細資訊,請參閱依 AWS 服務區分的限制

移除已建立帳戶的最短存留期

每個支援的區域:7 — 建立的帳戶必須存在的天數下限,然後才能將其從組織中移除。

組織中根帳戶的數量

1

組織中 OU 的數量

2000

組織中每個類型的政策數目

服務控制政策:10,000

資源控制政策:1000

宣告政策:1000

備份政策:1000

標籤政策:1000

聊天應用程式政策:1000

AI 服務選擇退出政策:1000

Security Hub CSPM 政策:1000

政策文件的大小上限

服務控制政策:5120 個字元

資源控制政策:5120 個字元

宣告政策:10,000 個字元

備份政策:10,000 個字元

聊天應用程式政策:10,000 個字元

AI 服務選擇退出政策:2500 個字元

標籤政策:10,000 個字元

Security Hub CSPM 政策:10,000 個字元

注意:如果您使用 儲存政策 AWS 管理主控台,則 JSON 元素與引號外部之間的額外空格 (例如空格和換行符號) 會被移除且不計算在內。如果您使用 SDK 操作或 儲存政策 AWS CLI,則政策會完全按照您提供的方式儲存,而不會自動移除字元。

在根帳戶中形成巢狀的最大 OU 數量

在根帳戶下可以有 5 個層級的 OU。

您在 24 小時期間內可執行的邀請嘗試上限

您的組織允許的帳戶為 20 或數目上限,以較大者為準。已接受的邀請不會計入此限制之內。一旦有邀請被接受,當天即可以傳送另一個邀請。

如果組織中允許的帳戶數目上限少於 20,如果您嘗試邀請的帳戶超過組織所能包含的帳戶數目時,則會出現「超出帳戶限制」例外狀況。不過,您可以在一天內取消邀請並傳送新邀請,最多可嘗試 20 次。

您可以同時建立的成員帳戶數量

5 個 – 一旦一個完成,您便可以開始另一個,但一次只能有 5 個進行中。
您可以在 30 天內關閉的帳戶數量

組織中 10% 的成員帳戶,上限為 1000。此配額不可調整。

  • 小於 100 個帳戶 – 您最多可以關閉 10 個成員帳戶

  • 100 - 10,000 個帳戶 – 您可以關閉最多 10% 的成員帳戶

  • > 10,000 個帳戶 – 您可以關閉最多 1000 個成員帳戶

達到此配額後,您可以關閉其他帳戶或等待配額重設。如需詳細資訊,請參閱《 AWS 帳戶管理指南》中的關閉AWS 帳戶
您可以同時關閉的成員帳戶數量 3 個,一次只能關閉三個帳戶。完成後,您便可關閉另一個帳戶。

您可以連接政策的目標實體數目

無限制

您可以連接至根、OU 或帳戶的標籤數目

50
以資源為基礎的委派政策大小上限 40,000 個字元

依 AWS 服務劃分的限制

大多數 AWS 服務 支援您在組織中可以擁有的指定帳戶數量上限。不過,某些服務的帳戶限制與組織中允許的帳戶數量上限不同。

下表顯示具有個別帳戶限制的服務。

AWS 服務 限制 可以提高 服務文件
AWS Directory Service (目錄共用適用於 AWS Managed Microsoft AD) 目錄共用帳戶容量因版本而異。 Directory Service 配額
AWS Audit Manager 250 AWS Audit Manager 配額
Amazon Detective 1200 Amazon Detective Quotas
AWS IAM Identity Center 3000 AWS IAM Identity Center 配額
AWS Application Migration Service 5000 AWS 配額
AWS Security Hub 10000 AWS Security Hub 配額
Amazon Macie 10000 Amazon Macie Quotas
AWS Control Tower 10000 AWS Control Tower 配額
Amazon Inspector 10000 Amazon Inspector Quotas
AWS Firewall Manager 10000 AWS Firewall Manager 配額
Amazon DevOps Guru 10000 Amazon DevOpsGuru Quotas

交握過期時間

以下是 中交握的逾時 AWS Organizations。

描述 限制

邀請加入組織

15 天

請求啟用組織中的所有功能

90 天

刪除交握並且不再顯示在清單中

完成交握之後的 30 天

您可以連接實體的政策數量

下限和上限取決於政策類型和您要連接政策的目標實體。下表顯示每個政策類型,以及您可以連接每個類型的目標實體數量。

注意

這些數目只適用於那些直接連接至 OU 或帳戶的政策。透過繼承影響 OU 或帳戶的政策並未根據這些限制計數。所有政策限制都是硬性限制。

Policy type (政策類型) 連接至實體的數目下限 連接至根的數目上限 每個 OU 的連接數目上限 每個帳戶的連接數目上限
服務控制政策 1 — 啟用 SCP 時,每個實體都必須隨時連接至少一個 SCPs。您無法從實體移除最後一個 SCP。 5 5 5
資源控制政策 1 — 當您啟用 RCPs 時,RCPFullAWSAccess政策會自動連接到根帳戶、每個 OU 和組織中的每個帳戶。您無法分離此政策,且會計入 5 個政策配額。 5 5 5
宣告政策 0 10 10 10
備份政策 0 10 10 10
標籤政策 0 10 10 10
聊天應用程式政策 0 5 5 5
AI 服務選擇退出政策 0 5 5 5
Security Hub CSPM 政策 0 10 10 10
注意

組織中只能有一個根。

調節限制

下表依管理類別列出 AWS Organizations APIs,並在帳戶和組織層級顯示其各自的調節速率。

AWS Organizations 使用字符儲存貯體演算法來實作 API 限流。透過此演算法,您的帳戶會有一個儲存體,其中包含特定數量的字符。儲存貯體中的字符數量代表您在任何指定秒的限流配額。

速率是字符每秒新增到字符儲存貯體的固定速度。

爆量是可新增的字符數量上限,以及每秒可使用的字符數量上限。

例如,DescribeAccountAPI 的基準速率限制為每秒 1 AWS 帳戶 到 20 個請求,爆量速率限制為每秒 30 個請求。每秒 30 個請求的爆量速率可讓您暫時超過每秒 20 個請求的基準速率。

您可以在第一秒提出 20 個請求,也就是基準率。在接下來的一秒,您可以提出 30 個請求,超過基準但保持在 30 的爆量率內。不過,在第三秒內,如果您嘗試提出超過 20 個請求,將會調節您,因為您已超過基準速率且已使用高載容量。

高載速率可讓您在不受到調節的情況下處理流量中的暫時峰值,只要每秒的平均請求隨著時間保持在基準限制內。

帳戶管理限制

下表列出帳戶管理 AWS Organizations APIs。

AWS Organizations API 每個帳戶限制 (速率、爆量) 每個組織限制 (速率、爆量)
CloseAccount .05、1
CreateAccount、CreateGovCloudAccount 0.1、3
DescribeAccount 20、30 24、36
DescribeCreateAccountStatus 2、2 2、3
LeaveOrganization 1、1
ListCreateAccountStatus 5、8 6、10

交握管理限制

下表列出帳戶交握 AWS Organizations APIs。

AWS Organizations API 每個帳戶限制 (速率、爆量) 每個組織限制 (速率、爆量)
AcceptHandshake 1、2 5、5
DescribeHandshake 1、2 6、10
CancelHandshake 2、3
DeclineHandshake 1、1 5、5
InviteAccountToOrganization 3、5
ListHandshakesForAccount、ListHandshakesForOrganization 5、8 6、10

組織管理限制

下表列出組織管理 AWS Organizations APIs。

AWS Organizations API 每個帳戶限制 (速率、爆量) 每個組織限制 (速率、爆量)
CreateOrganization、DeleteOrganization、EnableFullControl 1、1
CreateOrganizationalUnit、DescribeOrganization 1、2
MoveAccount、UpdateOrganizationalUnit、DeleteOrganizationalUnit 2、3
DescribeOrganizationalUnit 2、2 2、3
ListAccounts 8、12 9、15
ListChildren 6、10 7、12
ListParents、ListAccountsForParent、ListOrganizationalUnitsForParent 5、8 6、10
ListRoots 1、2 1、3
ListTagsForResource 10、15 12、18
RemoveAccountFromOrganization 2、2
TagResource、UntagResource 4、6

政策管理限制

下表列出政策管理 AWS Organizations APIs。

AWS Organizations API 每個帳戶限制 (速率、爆量) 每個組織限制 (速率、爆量)
CreatePolicy、DeletePolicy、 AttachPolicy、 DetachPolicy 2、3
DescribePolicy 2、2 2、3
DisablePolicyType、EnablePolicyType 1、1
ListPolicies、ListPoliciesForTarget、ListTargetsForPolicy 5、8 6、10
UpdatePolicy 2、3

服務管理限制

下表列出服務管理 AWS Organizations APIs。

AWS Organizations API 每個帳戶限制 (速率、爆量) 每個組織限制 (速率、爆量)
EnableAWSServiceAccess、DisableAWSServiceAccess 1、2
ListAWSServiceAccessForOrganization、ListDelegatedServicesForAccount 1、3 1、4
ListDelegatedAdministrators 5、8 6、10
RegisterDelegatedAdministrator、DeregisterDelegatedAdministrator 1、2