本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
的配额和服务限制 AWS Organizations
本主题介绍的配额和服务限制 AWS Organizations。
命名指南
以下是您在中创建的名称的指导原则 AWS Organizations,包括帐户名称、组织单位 (OUs)、根和策略:
-
名称必须由 Unicode 字符组成。
-
名称的最大字符串长度因对象而异。有关每个对象的实际限制的信息,请参阅AWS Organizations API参考并找到创建该对象的API操作,并查看该操作
Name参数的详细信息。例如:账户名称或者 OU 名称。
注意事项
由于更新,服务配额代码可能会随着时间的推移而发生变化。这不会影响配额值或名称。要查找特定配额的配额代码,请使用ListServiceQuotas操作,然后在输出中查找所需配额的QuotaCode响应。
最大值和最小值
以下是中实体的默认最大值。 AWS Organizations
注意
您可以使用服务限额控制台
Organizations 是一项物理托管在美国东部(弗吉尼亚北部)区域(us-east-1)的全球服务。因此,在使用 us-east-1 Service Quotas 控制台、或时,必须使用来访问 Organiz AWS CLI ations 配额 AWS
SDK。
| 描述 | 限制 |
|---|---|
|
组织 AWS 账户 中的人数 |
10 – 一个组织中允许的原定设置最大账户数。如果您需要更多,则可以使用服务限额控制台 注意:只有组织的管理账户才能提交此配额增加请求。根据客户的资格和要求,最多可以准予将限制增加到 1 万个账户。对于新创建的账户和组织,此配额可能能会低于默认的 10 个账户。 发送到账户的邀请将计入此限额。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期,则撤销此计数。 账户注销后,不会停止计算此配额的使用情况,直到账户永久注销为止。有关何时永久注销账户的更多信息,请参阅《AWS Account Management 参考指南》中的 Post-closure period。 一些服务存在账户限制,账户限制与组织中允许的最大账户数量分开计算。有关更多信息,请参阅按 AWS 服务划分的限制。 |
|
组织中的根数量 |
1 |
|
组织中的OUs数量 |
1000 |
|
组织中的每种类型的策略数量 |
服务控制策略:2000 资源控制策略:1000 声明性政策:1000 备份策略:1000 标签策略:1000 聊天机器人策略:1000 AI 服务选择退出策略:1000 |
|
策略文档的最大大小 |
服务控制策略:5120 个字符 资源控制策略:5120 个字符 声明性策略:10,000 个字符 备份策略:10000 个字符 聊天机器人策略:1 万个字符 AI 服务选择退出策略:2500 个字符 标签策略:10000 个字符 注意:如果使用保存策略 AWS Management Console,则JSON元素之间和引号之外的多余空格(例如空格和换行符)将被删除且不计算在内。如果您使用SDK操作或保存策略 AWS CLI,则策略将完全按照您提供的方式保存,并且不会自动删除字符。 |
|
根中的最大 OU 嵌套数 |
根OUs深处有五个关卡。 |
|
您可在 24 小时内可以执行的最大邀请尝试次数 |
您组织中允许的最大账户数或 20 个账户(以较大值为准)。已接受的邀请不计入此配额。一旦某个邀请被接受,您就可以发送另一个同一天的邀请。 如果您的组织中允许的最大账户数少于 20,则如果您尝试邀请超过组织所能容纳的账户数,则会出现“超出账户限制”异常。但是,您可以在一天内取消邀请并发送多次新邀请(最多 20 次尝试)。 |
|
您可以同时创建的成员账户数量 |
5 – 一个创建完成后即可开始另一个,但正在进行中的只能有五个。 |
| 您可以在 30 天的周期内关闭的成员账户数量 |
组织中 10% 的成员账户,最多 1000 个成员账户。
达到此配额后,您可以注销额外的账户或等待您的配额重置。有关更多信息,请参阅《AWS 账户管理指南》中的关闭AWS账户。 |
| 您可以同时关闭的成员账户数量 | 3 – 同一时间只能处理三个账户关闭。一个账户关闭完成后,您就可以关闭另一个账户。 |
|
可以附加到策略的实体数 |
无限制 |
|
您可以附加到根、OU 或账户的标签数 |
50 |
| 基于资源的委托策略的最大大小 | 40000 个字符 |
按 AWS 服务划分的限制
大多数都 AWS 服务 支持您在组织中可以拥有的最大账户数量。但一些服务存在账户限制,账户限制与组织中允许的最大账户数量分开计算。
下表展示了具有单独账户限制的服务。
| AWS 服务 | 限制 | 能否增加 |
|---|---|---|
| AWS IAM Identity Center | 3000 | 是 |
| AWS Application Migration Service | 5000 | 否 |
| AWS Directory Service | 250 | 是 |
有关更多信息,请参阅AWS IAM Identity Center Ident IAMity Center 用户指南中的配额和AWS MGN应用程序迁移服务用户指南中的服务配额限制。
握手的过期时间
以下是中握手的超时时间。 AWS Organizations
| 描述 | 限制 |
|---|---|
|
邀请加入组织 |
15 天 |
|
请求启用组织中的所有功能 |
90 天 |
|
握手将被删除,不再显示在列表中 |
握手完成后 30 天 |
可附加到实体的策略数
最小值和最大值取决于策略类型以及您要将策略附加到的实体。下表显示了各种策略类型以及可将每种类型附加到的实体数。
注意
这些数字仅适用于那些直接附加到 OU 或账户的策略。通过继承影响 OU 或账户的策略不计入这些限制。所有策略限制都属于硬限制。
| 策略类型 | 附加到实体的数量上限 | 附加到根的数量上限 | 每个 OU 附加的数量上限 | 每个账户附加的数量上限 |
|---|---|---|---|---|
| 服务控制策略 | 1 — 启用时,每个实体必须始终至少SCP连接一个SCPs。你无法SCP从实体中移除最后一个。 | 5 | 5 | 5 |
| 资源控制政策 | 1 — 启用后,该RCPFullAWSAccess策略会自动附加到根目录、每个 OU 以及组织中的每个账户RCPs。您无法分离此策略,它会计入 5 个策略的配额。 |
5 | 5 | 5 |
| 声明性政策 | 0 | 10 | 10 | 10 |
| 备份策略 | 0 | 10 | 10 | 10 |
| 标签策略 | 0 | 10 | 10 | 10 |
| 聊天机器人策略 | 0 | 5 | 5 | 5 |
| AI 服务选择退出策略 | 0 | 5 | 5 | 5 |
注意
一个组织中只能有一个根。
节流限制
下表 AWS Organizations APIs按管理类别列出了这些类别,并显示了它们在账户和组织层面各自的限制率。
AWS Organizations 使用令牌桶算法
账户管理限制
下表列出了 AWS Organizations APIs用于账户管理的。
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| CloseAccount | 0.05、1 | |
| CreateAccount, CreateGovCloudAccount | 0.1、3 | |
| DescribeAccount | 20、30 | 24、36 |
| DescribeCreateAccountStatus | 2、2 | 2、3 |
| LeaveOrganization | 1、1 | |
| ListCreateAccountStatus | 5、8 | 6、10 |
握手管理限制
下表列出了账户 AWS Organizations APIs的握手。
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| AcceptHandshake | 1、2 | 5、5 |
| DescribeHandshake | 1、2 | 6、10 |
| CancelHandshake | 2、3 | |
| DeclineHandshake | 1、1 | 5、5 |
| InviteAccountToOrganization | 3、5 | |
| ListHandshakesForAccount, ListHandshakesForOrganization | 5、8 | 6、10 |
组织管理限制
下表列出了 AWS Organizations APIs用于组织管理的。
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| CreateOrganization, DeleteOrganization, EnableFullControl | 1、1 | |
| CreateOrganizationalUnit, DescribeOrganization | 1、2 | |
| MoveAccount, UpdateOrganizationalUnit, DeleteOrganizationalUnit | 2、3 | |
| DescribeOrganizationalUnit | 2、2 | 2、3 |
| ListAccounts | 8、12 | 9、15 |
| ListChildren | 6、10 | 7、12 |
| ListParents, ListAccountsForParent, ListOrganizationalUnitsForParent | 5、8 | 6、10 |
| ListRoots | 1、2 | 1、3 |
| ListTagsForResource | 10、15 | 12、18 |
| RemoveAccountFromOrganization | 2、2 | |
| TagResource, UntagResource | 4、6 |
策略管理限制
下表列出了 AWS Organizations APIs用于策略管理的。
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| CreatePolicy, DeletePolicy, AttachPolicy, DetachPolicy | 2、3 | |
| DescribePolicy | 2、2 | 2、3 |
| DisablePolicyType, EnablePolicyType | 1、1 | |
| ListPolicies, ListPoliciesForTarget, ListTargetsForPolicy | 5、8 | 6、10 |
| UpdatePolicy | 2、3 |
服务管理限制
下表列出了 AWS Organizations APIs用于服务管理的。
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
|---|---|---|
| E nableAWSService 访问权限、D isableAWSService 访问权限 | 1、2 | |
| L istAWSServiceAccessForOrganization, ListDelegatedServicesForAccount | 1、3 | 1、4 |
| ListDelegatedAdministrators | 5、8 | 6、10 |
| RegisterDelegatedAdministrator, DeregisterDelegatedAdministrator | 1、2 |
