Ver la información de último acceso de Organizations - AWS Identity and Access Management
Comprender la ruta de la entidad AWS OrganizationsVisualización de información para Organizations (consola)Visualización de información para Organizations (AWS CLI)Visualización de información para Organizations (AWSAPI)

Ver la información de último acceso de Organizations

Puede consultar la información de acceso reciente de AWS Organizations con la consola de IAM, AWS CLI o la API de AWS. Para obtener información importante sobre los datos, los permisos necesarios, la solución de problemas y las regiones compatibles, consulte Perfeccionar los permisos con la información sobre los últimos accesos en AWS.

Cuando inicie sesión en la consola de IAM mediante las credenciales de administración de la cuenta AWS Organizations, puede ver la información de cualquier entidad de su organización. Las entidades de Organizations incluyen la raíz de la organización, las unidades organizativas (OU) y las cuentas. También puede utilizar la consola de IAM para ver información sobre las políticas de control de servicios (SCP) de su organización. IAM muestra una lista de servicios permitidos por las SCP que se aplican a la entidad. En cada servicio, puede ver la información más reciente sobre la actividad de la entidad de Organizations elegida o de sus elementos secundarios.

Si utiliza AWS CLI o la API de AWS con las credenciales de la cuenta de administración, podrá generar un informe de cualquier entidad o política de la organización. Un informe mediante programación de una entidad incluye una lista de los servicios que permiten las SCP que se aplican a la entidad. Para cada servicio, el informe incluye la actividad más reciente de las cuentas de la entidad de Organizations especificada o el subárbol de la entidad.

Si genera un informe de una política mediante programación, debe especificar una entidad de Organizations. Este informe incluye una lista de servicios permitidos por la SCP especificada. Para cada servicio, incluye la actividad de la cuenta más reciente en la entidad o los secundarios de la entidad a los que esa política concede permiso. Para obtener más información, consulte aws iam generate-organizations-access-report o GenerateOrganizationsAccessReport.

Antes de ver el informe, asegúrese de que entiende los requisitos y la información de la cuenta de administración, el período del informe, las entidades consultadas y los tipos de política evaluados. Para obtener más información, consulte Cosas que debe saber sobre la información de acceso reciente.

Comprender la ruta de la entidad AWS Organizations

Cuando utilice las API de AWS CLI o AWS para generar un informe de acceso AWS Organizations, debe especificar una ruta de acceso de entidad. Una ruta es una representación de texto de la estructura de una entidad de Organizations.

Puede crear una ruta de entidad utilizando la estructura conocida de su organización. Por ejemplo, suponga que tiene la siguiente estructura organizativa en AWS Organizations.

Estructura de ruta de organización

La ruta de acceso para la unidad organizativa (OU) de Dev Managers se crea utilizando los ID de la organización, la raíz y todas las OU de la ruta hasta la OU incluida. 

o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

La ruta de acceso de la cuenta en la unidad organizativa de Producción se genera utilizando los identificadores de la organización, la raíz, la unidad organizativa y el número de cuenta. 

o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
nota

Los ID de organización son únicos globalmente, pero los ID de unidad organizativa y los ID de raíz solo son únicos dentro de una organización. Esto significa que no hay dos organizaciones que compartan el mismo ID de organización. Sin embargo, otra organización puede tener una unidad organizativa o raíz con el mismo ID que la suya. Le recomendamos que incluya siempre el ID de organización cuando especifique una unidad organizativa o raíz.

Visualización de información para Organizations (consola)

Puede utilizar la consola de IAM para consultar información sobre los últimos servicios a los que ha accedido la raíz, la unidad organizativa, la cuenta o la política.

Para ver información de la raíz (consola)

  1. Inicie la sesión en AWS Management Console con las credenciales de la cuenta de administración de Organizations y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación situado debajo de la sección Access reports (Informes de acceso), elija Organization activity (Actividad de la organización).

  3. En la página de Organization activity (Actividad de la organización), elija Root (Raíz).

  4. En la pestaña Details and activity (Detalles y actividad), examine la sección Service access report (Informe de acceso a servicios). La información contiene una lista de los servicios permitidos por las políticas que están asociadas directamente a la raíz. La información indica desde qué cuenta se accedió por última vez al servicio y cuándo se hizo. Para obtener más información sobre las entidades principales que han accedido al servicio, inicie sesión como administrador en esa cuenta y consulte la información sobre los últimos accesos al servicio de IAM.

  5. Elija la pestaña SCP asociadas para ver la lista de políticas de control de servicio (SCP) que están asociadas a la raíz. IAM muestra el número de entidades de destino a las que está asociada cada política. Puede utilizar esta información para decidir qué SCP revisar.

  6. Elija el nombre de una SCP para ver todos los servicios que permite la política. Para cada servicio, examine desde qué cuenta se accedió al servicio por última vez, y cuándo.

  7. Seleccionar Editar en AWS Organizations para ver detalles adicionales y editar el SCP en la consola Organizations. Para obtener más información, consulte Actualización de SCP en la Guía del usuario de AWS Organizations.

Para ver información de una unidad organizativa o una cuenta (consola)

  1. Inicie la sesión en AWS Management Console con las credenciales de la cuenta de administración de Organizations y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación situado debajo de la sección Access reports (Informes de acceso), elija Organization activity (Actividad de la organización).

  3. En la página Organization activity (Actividad de la organización), amplíe la estructura de la organización. A continuación, elija el nombre de la unidad organizativa o cuenta que desea ver, excepto la cuenta de administración.

  4. En la pestaña Details and activity (Detalles y actividad), examine la sección Service access report (Informe de acceso a servicios). La información contiene una lista de los servicios permitidos por las SCP asociadas a la unidad organizativa o la cuenta y todos sus elementos principales. La información indica desde qué cuenta se accedió por última vez al servicio y cuándo se hizo. Para obtener más información sobre las entidades principales que han accedido al servicio, inicie sesión como administrador en esa cuenta y consulte la información sobre los últimos accesos al servicio de IAM.

  5. Elija la pestaña SCP asociadas para ver la lista de políticas de control de servicio (SCP) que están asociadas directamente a la unidad organizativa o la cuenta. IAM muestra el número de entidades de destino a las que está asociada cada política. Puede utilizar esta información para decidir qué SCP revisar.

  6. Elija el nombre de una SCP para ver todos los servicios que permite la política. Para cada servicio, examine desde qué cuenta se accedió al servicio por última vez, y cuándo.

  7. Seleccionar Editar en AWS Organizations para ver detalles adicionales y editar el SCP en la consola Organizations. Para obtener más información, consulte Actualización de SCP en la Guía del usuario de AWS Organizations.

Para ver información de la cuenta de administración (consola)

  1. Inicie la sesión en AWS Management Console con las credenciales de la cuenta de administración de Organizations y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación situado debajo de la sección Access reports (Informes de acceso), elija Organization activity (Actividad de la organización).

  3. En la página Actividad de la organización, amplíe la estructura de la organización y elija el nombre de la cuenta de administración.

  4. En la pestaña Details and activity (Detalles y actividad), examine la sección Service access report (Informe de acceso a servicios). La información contiene una lista de todos los servicios de AWS. La cuenta de administración no está limitada por las SCP. La información indica si la cuenta accedió al servicio la última vez y cuándo lo hizo. Para obtener más información sobre las entidades principales que han accedido al servicio, inicie sesión como administrador en esa cuenta y consulte la información sobre los últimos accesos al servicio de IAM.

  5. Elija la pestaña SCP asociadas para confirmar que no hay SCP asociadas porque la cuenta es la cuenta de administración.

Para ver información de una política (consola)

  1. Inicie la sesión en AWS Management Console con las credenciales de la cuenta de administración de Organizations y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación situado debajo de la sección Access reports (Informes de acceso), elija Service control policies (SCPs) (Políticas de control de servicios [SCP]).

  3. En la página Service control policies (SCPs) (Políticas de control de servicios [SCP]), consulte la lista de las políticas de su organización. Puede ver el número de entidades de destino a las que está asociada cada política.

  4. Elija el nombre de una SCP para ver todos los servicios que permite la política. Para cada servicio, examine desde qué cuenta se accedió al servicio por última vez, y cuándo.

  5. Seleccionar Editar en AWS Organizations para ver detalles adicionales y editar el SCP en la consola Organizations. Para obtener más información, consulte Actualización de SCP en la Guía del usuario de AWS Organizations.

Visualización de información para Organizations (AWS CLI)

Puede utilizar AWS CLI para recuperar información de la raíz, una unidad organizativa, una cuenta o una política de Organizations sobre los últimos accesos al servicio.

Para ver la información sobre los últimos accesos al servicio de Organizations (AWS CLI)

  1. Utilice las credenciales de la cuenta de administración de Organizations con los permisos necesarios de IAM y Organizations y confirme que las SCP están activadas para su raíz. Para obtener más información, consulte Cosas que debe saber sobre la información de acceso reciente.

  2. Genere un informe. La solicitud debe incluir la ruta de la entidad de Organizations (raíz, unidad organizativa o cuenta) para la que desea un informe. Si lo desea, puede incluir un parámetro organization-policy-id para ver un informe para una política específica. El comando devuelve un job-id que puede utilizar en el comando get-organizations-access-report para monitorizarr el job-status hasta que se complete el trabajo.

  3. Recupere detalles sobre el informe utilizando el parámetro job-id del paso anterior.

    Este comando devuelve una lista de los servicios a los que pueden acceder los miembros de la entidad. Para cada servicio, el comando devuelve la fecha y la hora del último intento del miembro de la cuenta y la ruta de la entidad de la cuenta. También devuelve el número total de servicios a los que es posible acceder y el número de servicios a los que no se ha accedido. Si ha especificado el parámetro organizations-policy-id opcional, entonces, los servicios a los que es posible acceder son aquellos que están permitidos por la política especificada.

Visualización de información para Organizations (AWSAPI)

Puede utilizar la API de AWS para recuperar información de la raíz, una unidad organizativa, una cuenta o una política de Organizations sobre los últimos accesos al servicio.

Para ver la información sobre los últimos accesos al servicio de Organizations (API de AWS)

  1. Utilice las credenciales de la cuenta de administración de Organizations con los permisos necesarios de IAM y Organizations y confirme que las SCP están activadas para su raíz. Para obtener más información, consulte Cosas que debe saber sobre la información de acceso reciente.

  2. Genere un informe. La solicitud debe incluir la ruta de la entidad de Organizations (raíz, unidad organizativa o cuenta) para la que desea un informe. Si lo desea, puede incluir un parámetro OrganizationsPolicyId para ver un informe para una política específica. La operación devuelve un JobId que puede utilizar en la operación GetOrganizationsAccessReport para monitorizar el JobStatus hasta que se complete el trabajo.

  3. Recupere detalles sobre el informe utilizando el parámetro JobId del paso anterior.

    Este operación devuelve una lista de los servicios a los que pueden acceder los miembros de la entidad. Para cada servicio, la operación devuelve la fecha y la hora del último intento del miembro de la cuenta y la ruta de la entidad de la cuenta. También devuelve el número total de servicios a los que es posible acceder y el número de servicios a los que no se ha accedido. Si ha especificado el parámetro OrganizationsPolicyId opcional, entonces, los servicios a los que es posible acceder son aquellos que están permitidos por la política especificada.