本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
的配额和服务限制 Amazon Organizations
本主题介绍的配额和服务限制 Amazon Organizations。
命名指南
以下是您在中创建的名称的指导原则 Amazon Organizations,包括帐户名称、组织单位 (OUs)、根和策略:
-
名称必须由 Unicode 字符组成。
-
名称的最大字符串长度因对象而异。有关每个对象的实际限制的信息,请参阅 Amazon Organizations API 参考并找到创建该对象的 API 操作,然后查看该操作的
Name参数详细信息。例如:账户名称或者 OU 名称。
注意事项
由于更新,服务配额代码可能会随着时间的推移而发生变化。这不会影响配额值或名称。要查找特定配额的配额代码,请使用ListServiceQuotas操作,并在输出中查找所需配额的QuotaCode响应。
最大值和最小值
以下是中实体的默认最大值。 Amazon Organizations
注意
请考虑以下有关 Amazon Organizations 配额的信息:
-
您可以使用服务限额控制台
请求增加其中一些值。 -
Amazon Organizations 除非另行指定,否则限制适用于组织层面。许多配额仅适用于通过 Amazon Organizations 管理账户执行的操作。
-
Amazon Organizations 是一项物理托管在美国东部(弗吉尼亚北部)区域的全球服务 (
us-east-1)。因此,您在使用us-east-1Service Quotas 控制台、或 Amazon SDK 时,必须使用来访问这些配额。 Amazon CLI
| 描述 | 限制 |
|---|---|
|
默认最大账户数 |
10 – 一个组织中允许的原定设置最大账户数。此配额是可调整的,可以通过使用 S ervice Quotas 控制台 注意:只有组织的管理账户才能提交此配额增加请求。根据客户的资格和要求,最多可以准予将限制增加到 1 万个账户。对于新创建的账户和组织,此配额可能能会低于默认的 10 个账户。 发送到账户的邀请将计入此限额。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期,则撤销此计数。 账户注销后,不会停止计算此配额的使用情况,直到账户永久注销为止。有关何时永久注销账户的更多信息,请参阅《Amazon 账户管理 参考指南》中的 Post-closure period。 一些服务存在账户限制,账户限制与组织中允许的最大账户数量分开计算。有关更多信息,请参阅按 Amazon 服务划分的限制。 |
|
删除已创建账户的最短期限 |
每个支持的区域:7 — 在您能将创建的账户从组织中删除之前,这些账户必须存在的最短天数。 |
|
组织中的根数量 |
1 |
|
组织 OUs 中的数量 |
2000 |
|
组织中的每种类型的策略数量 |
服务控制策略:2000 资源控制策略:1000 声明式策略:1000 备份策略:1000 标签策略:1000 聊天应用程序策略:1000 AI 服务选择退出策略:1000 |
|
策略文档的最大大小 |
服务控制策略:5120 个字符 资源控制策略:5120 个字符 声明式策略:10000 个字符 备份策略:10000 个字符 聊天应用程序策略:1 万个字符 AI 服务选择退出策略:2500 个字符 标签策略:10000 个字符 注意:如果您使用保存策略 Amazon Web Services Management Console,JSON 元素之间和引号之外的额外白色空格(如空格和换行符)不计算在内。如果您使用 SDK 操作或保存策略 Amazon CLI,则策略将完全按照您提供的方式保存,并且不会自动删除字符。 |
|
根中的最大 OU 嵌套数 |
根 OUs 深处有五个关卡。 |
|
您可在 24 小时内可以执行的最大邀请尝试次数 |
您组织中允许的最大账户数或 20 个账户(以较大值为准)。已接受的邀请不计入此配额。一旦某个邀请被接受,您就可以发送另一个同一天的邀请。 如果您的组织中允许的最大账户数少于 20,则如果您尝试邀请超过组织所能容纳的账户数,则会出现“超出账户限制”异常。但是,您可以在一天内取消邀请并发送多次新邀请(最多 20 次尝试)。 |
|
您可以同时创建的成员账户数量 |
5 – 一个创建完成后即可开始另一个,但正在进行中的只能有五个。 |
| 您可以在 30 天的周期内关闭的账户数量 |
组织中 10% 的成员账户,最多 1000 个成员账户。此限额不可调整。
达到此配额后,您可以注销额外的账户或等待您的配额重置。有关更多信息,请参阅《Amazon 账户管理指南》中的关闭Amazon账户。 |
| 您可以同时关闭的成员账户数量 | 3 – 同一时间只能处理三个账户关闭。一个账户关闭完成后,您就可以关闭另一个账户。 |
|
可以附加到策略的实体数 |
无限制 |
|
您可以附加到根、OU 或账户的标签数 |
50 |
| 基于资源的委托策略的最大大小 | 40000 个字符 |
按 Amazon 服务划分的限制
大多数都 Amazon Web Services 服务 支持公布的组织中最大账户数。但一些服务存在账户限制,账户限制与组织中允许的最大账户数量分开计算。
下表展示了具有单独账户限制的服务。
| Amazon 服务 | 限制 | 能否增加 |
|---|---|---|
| Amazon IAM Identity Center | 3000 | 是 |
| Amazon Application Migration Service | 5000 | 否 |
| Amazon Directory Service | 250 | 是 |
有关更多信息,请参阅《IAM Identity Center 用户指南》中的 Amazon IAM Identity Center quotas,以及《Application Migration Service 用户指南》中的 Amazon MGN service quota limits。
握手的过期时间
以下是中握手的超时时间。 Amazon Organizations
| 描述 | 限制 |
|---|---|
|
邀请加入组织 |
15 天 |
|
请求启用组织中的所有功能 |
90 天 |
|
握手将被删除,不再显示在列表中 |
握手完成后 30 天 |
可附加到实体的策略数
最小值和最大值取决于策略类型以及您要将策略附加到的实体。下表显示了各种策略类型以及可将每种类型附加到的实体数。
注意
这些数字仅适用于那些直接附加到 OU 或账户的策略。通过继承影响 OU 或账户的策略不计入这些限制。所有策略限制都属于硬限制。
| 策略类型 | 附加到实体的数量上限 | 附加到根的数量上限 | 每个 OU 附加的数量上限 | 每个账户附加的数量上限 |
|---|---|---|---|---|
| 服务控制策略 | 1 — 在您启用 SCPs时,每个实体始终必须至少附加一个 SCP。您无法从实体上删除最后一个 SCP。 | 5 | 5 | 5 |
| 资源控制策略 | 1 — 启用后,该RCPFullAWSAccess策略会自动附加到根目录、每个 OU 以及组织中的每个账户 RCPs。您无法分离此策略,它会计入 5 个策略的配额。 |
5 | 5 | 5 |
| 声明式策略 | 0 | 10 | 10 | 10 |
| 备份策略 | 0 | 10 | 10 | 10 |
| 标签策略 | 0 | 10 | 10 | 10 |
| 聊天应用程序策略 | 0 | 5 | 5 | 5 |
| AI 服务选择退出策略 | 0 | 5 | 5 | 5 |
注意
一个组织中只能有一个根。
节流限制
下表 Amazon Organizations APIs 按管理类别列出了,并显示了在账户和组织层面相应的节流速率。
Amazon Organizations 使用令牌桶算法
R@@ at e 是每秒将令牌添加到令牌桶的固定节奏。
Burst 是可以添加的最大代币数量和每秒可以使用的最大代币数量。
例如,DescribeAccountAPI 的基准速率限制 Amazon Web Services 账户 为每秒 20 个请求,突发速率限制为每秒 30 个请求。每秒 30 个请求的突发速率允许您暂时超过每秒 20 个请求的基准速率。
你可以在第一秒钟内发出 20 个请求,这是基准速率。在接下来的几秒钟内,你可以发出 30 个请求,超过基准,但保持在 30 的突发速率之内。但是,在第三秒钟中,如果您尝试发出的请求超过 20 个,则会受到限制,因为您已超过基准速率并且已使用突发容量。
只要每秒的平均请求量在一段时间内保持在基准限制之内,突发速率就可以在不受到限制的情况下处理临时的流量峰值。
账户管理限制
下表列出了 Amazon Organizations APIs 用于账户管理的。
| Amazon Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| CloseAccount | 0.05、1 | |
| CreateAccount, CreateGovCloudAccount | 0.1、3 | |
| DescribeAccount | 20、30 | 24、36 |
| DescribeCreateAccountStatus | 2、2 | 2、3 |
| LeaveOrganization | 1、1 | |
| ListCreateAccountStatus | 5、8 | 6、10 |
握手管理限制
下表列出了 Amazon Organizations APIs 用于账户握手的。
| Amazon Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| AcceptHandshake | 1、2 | 5、5 |
| DescribeHandshake | 1、2 | 6、10 |
| CancelHandshake | 2、3 | |
| DeclineHandshake | 1、1 | 5、5 |
| InviteAccountToOrganization | 3、5 | |
| ListHandshakesForAccount, ListHandshakesForOrganization | 5、8 | 6、10 |
组织管理限制
下表列出了 Amazon Organizations APIs 用于组织管理的。
| Amazon Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| CreateOrganization, DeleteOrganization, EnableFullControl | 1、1 | |
| CreateOrganizationalUnit, DescribeOrganization | 1、2 | |
| MoveAccount, UpdateOrganizationalUnit, DeleteOrganizationalUnit | 2、3 | |
| DescribeOrganizationalUnit | 2、2 | 2、3 |
| ListAccounts | 8、12 | 9、15 |
| ListChildren | 6、10 | 7、12 |
| ListParents, ListAccountsForParent, ListOrganizationalUnitsForParent | 5、8 | 6、10 |
| ListRoots | 1、2 | 1、3 |
| ListTagsForResource | 10、15 | 12、18 |
| RemoveAccountFromOrganization | 2、2 | |
| TagResource, UntagResource | 4、6 |
策略管理限制
下表列出了 Amazon Organizations APIs 用于策略管理的。
| Amazon Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| CreatePolicy, DeletePolicy, AttachPolicy, DetachPolicy | 2、3 | |
| DescribePolicy | 2、2 | 2、3 |
| DisablePolicyType, EnablePolicyType | 1、1 | |
| ListPolicies, ListPoliciesForTarget, ListTargetsForPolicy | 5、8 | 6、10 |
| UpdatePolicy | 2、3 |
服务管理限制
下表列出了 Amazon Organizations APIs 用于服务管理的。
| Amazon Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| 启用AWSService访问,禁用AWSService访问 | 1、2 | |
| 清单 AWSServiceAccessForOrganization, ListDelegatedServicesForAccount | 1、3 | 1、4 |
| ListDelegatedAdministrators | 5、8 | 6、10 |
| RegisterDelegatedAdministrator, DeregisterDelegatedAdministrator | 1、2 |