Amazon Organizations 的配额和服务限制
本主题介绍 Amazon Organizations 的配额和服务限制。
命名指南
下面是在 Amazon Organizations 中创建时的名称指南(包括账户、组织单位 (OU)、根和策略的名称):
-
名称必须由 Unicode 字符组成
-
名称的最大字符串长度因对象而异。有关每个对象的实际限制的信息,请参阅 Amazon Organizations API 参考并找到创建该对象的 API 操作,然后查看该操作的
Name
参数详细信息。例如:账户名称或者 OU 名称。
最大值和最小值
以下是 Amazon Organizations 中的实体的默认最大数量。
注意
您可以使用服务限额控制台
Organizations 是一项物理托管在美国东部(弗吉尼亚北部)区域(us-east-1
)的全球服务。因此,您在使用 Service Quotas 控制台、Amazon CLI 或 Amazon SDK 时,必须使用 us-east-1
来访问 Organizations 配额。
描述 | 限制 |
---|---|
组织中的Amazon Web Services 账户数量 |
10 – 一个组织中允许的原定设置最大账户数。如果您需要更多,则可以使用服务限额控制台 注意:只有组织的管理账户才能提交此配额增加请求。根据客户的资格和要求,最多可以准予将限制增加到 1 万个账户。对于新创建的账户和组织,此配额可能能会低于默认的 10 个账户。 发送到账户的邀请将计入此限额。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期,则撤销此计数。 账户注销后,不会停止计算此配额的使用情况,直到账户永久注销为止。有关何时永久注销账户的更多信息,请参阅《Amazon Account Management 参考指南》中的 Post-closure period。 一些服务存在账户限制,账户限制与组织中允许的最大账户数量分开计算。有关更多信息,请参阅各 Amazon 的限制。 |
组织中的根数量 |
1 |
组织中的 OU 数量 |
1000 |
组织中的每种类型的策略数量 |
服务控制策略:2000 备份策略:1000 标签策略:1000 聊天机器人策略:1000 AI 服务选择退出策略:1000 |
策略文档的最大大小 |
服务控制策略:5120 个字符 备份策略:10000 个字符 聊天机器人策略:1 万个字符 AI 服务选择退出策略:2500 个字符 标签策略:10000 个字符 注意:如果您使用Amazon Web Services Management Console保存策略,JSON 元素之间和引号之外的额外白色空格(如空格和换行符)不计算在内。如果您使用 SDK 操作或 Amazon CLI 保存策略,则策略将完全按照您提供的方式保存,并且不会自动删除字符。 |
根中的最大 OU 嵌套数 |
根下方最深五层 OU。 |
您可在 24 小时内可以执行的最大邀请尝试次数 |
您组织中允许的最大账户数或 20 个账户(以较大值为准)。已接受的邀请不计入此配额。一旦某个邀请被接受,您就可以发送另一个同一天的邀请。 如果您的组织中允许的最大账户数少于 20,则如果您尝试邀请超过组织所能容纳的账户数,则会出现“超出账户限制”异常。但是,您可以在一天内取消邀请并发送多次新邀请(最多 20 次尝试)。 |
您可以同时创建的成员账户数量 |
5 – 一个创建完成后即可开始另一个,但正在进行中的只能有五个。 |
您可以在 30 天的周期内关闭的成员账户数量 |
组织中 10% 的成员账户,最多 1000 个成员账户。
达到此配额后,您可以注销额外的账户或等待您的配额重置。有关更多信息,请参阅《Amazon 账户管理指南》中的 Close an Amazon account。 |
您可以同时关闭的成员账户数量 | 3 – 同一时间只能处理三个账户关闭。一个账户关闭完成后,您就可以关闭另一个账户。 |
可以附加到策略的实体数 |
无限制 |
您可以附加到根、OU 或账户的标签数 |
50 |
基于资源的委托策略的最大大小 | 40000 个字符 |
各 Amazon 服务的限制
大多数 Amazon Web Services 服务都支持公布的组织中最大账户数。但一些服务存在账户限制,账户限制与组织中允许的最大账户数量分开计算。
下表展示了具有单独账户限制的服务。
Amazon 服务 | 限制 | 能否增加 |
---|---|---|
Amazon IAM Identity Center | 3000 | 是 |
Amazon Application Migration Service | 5000 | 否 |
Amazon Directory Service | 250 | 是 |
有关更多信息,请参阅《IAM Identity Center 用户指南》中的 Amazon IAM Identity Center quotas,以及《Application Migration Service 用户指南》中的 Amazon MGN service quota limits。
握手的过期时间
以下是 Amazon Organizations 中的握手超时时间。
描述 | 限制 |
---|---|
邀请加入组织 |
15 天 |
请求启用组织中的所有功能 |
90 天 |
握手将被删除,不再显示在列表中 |
握手完成后 30 天 |
可附加到实体的策略数
最小值和最大值取决于策略类型以及您要将策略附加到的实体。下表显示了各种策略类型以及可将每种类型附加到的实体数。
注意
这些数字仅适用于那些直接附加到 OU 或账户的策略。通过继承影响 OU 或账户的策略不计入这些限制。所有策略限制都属于硬限制。
策略类型 | 附加到实体的数量上限 | 附加到根的数量上限 | 每个 OU 附加的数量上限 | 每个账户附加的数量上限 |
---|---|---|---|---|
服务控制策略 | 1 – 每个实体始终必须至少附加一个 SCP。您无法从实体上删除最后一个 SCP。 | 5 | 5 | 5 |
备份策略 | 0 | 10 | 10 | 10 |
标签策略 | 0 | 10 | 10 | 10 |
聊天机器人策略 | 0 | 5 | 5 | 5 |
AI 服务选择退出策略 | 0 | 5 | 5 | 5 |
注意
一个组织中只能有一个根。
节流限制
下表按管理类别列出了 Amazon Organizations API,并显示了在账户和组织层面相应的节流速率。
账户管理限制
下表列出了用于账户管理的 Amazon Organizations API。
Amazon Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
---|---|---|
CloseAccount | 0.05、1 | |
CreateAccount、CreateGovCloudAccount | 0.1、3 | |
DescribeAccount | 20、30 | 24、36 |
DescribeCreateAccountStatus | 2、2 | 2、3 |
LeaveOrganization | 1、1 | |
ListCreateAccountStatus | 5、8 | 6、10 |
握手管理限制
下表列出了用于账户握手的 Amazon Organizations API。
Amazon Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
---|---|---|
AcceptHandshake、DescribeHandshake | 1、1 | |
CancelHandshake | 2、3 | |
DeclineHandshake | 1、3 | |
InviteAccountToOrganization | 3、5 | |
ListHandshakesForAccount、ListHandshakesForOrganization | 5、8 | 6、10 |
组织管理限制
下表列出了用于组织管理的 Amazon Organizations API。
Amazon Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
---|---|---|
CreateOrganization、DeleteOrganization、EnableFullControl | 1、1 | |
CreateOrganizationalUnit、DescribeOrganization | 1、2 | |
MoveAccount、UpdateOrganizationalUnit、DeleteOrganizationalUnit | 2、3 | |
DescribeOrganizationalUnit | 2、2 | 2、3 |
ListAccounts | 8、12 | 9、15 |
ListChildren | 6、10 | 7、12 |
ListParents、ListAccountsForParent、ListOrganizationalUnitsForParent | 5、8 | 6、10 |
ListRoots | 1、2 | 1、3 |
ListTagsForResource | 10、15 | 12、18 |
RemoveAccountFromOrganization | 2、2 | |
TagResource、UntagResource | 4、6 |
策略管理限制
下表列出了用于策略管理的 Amazon Organizations API。
Amazon Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
---|---|---|
CreatePolicy、DeletePolicy、AttachPolicy、DetachPolicy | 2、3 | |
DescribePolicy | 2、2 | 2、3 |
DisablePolicyType、EnablePolicyType | 1、1 | |
ListPolicies、ListPoliciesForTarget、ListTargetsForPolicy | 5、8 | 6、10 |
UpdatePolicy | 2、3 |
服务管理限制
下表列出了用于服务管理的 Amazon Organizations API。
Amazon Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
---|---|---|
EnableAWSServiceAccess、DisableAWSServiceAccess | 1、2 | |
ListAWSServiceAccessForOrganization、ListDelegatedServicesForAccount | 1、3 | 1、4 |
ListDelegatedAdministrators | 5、8 | 6、10 |
RegisterDelegatedAdministrator、DeregisterDelegatedAdministrator | 1、2 |