Terminología y conceptos de AWS Organizations - AWS Organizations

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Terminología y conceptos de AWS Organizations

En este tema se explican algunos de los conceptos clave que debe conocer para comenzar a utilizar AWS Organizations.

En el siguiente diagrama se muestra una organización básica que se compone de cinco cuentas organizadas en cuatro unidades organizativas bajo el nodo raíz. La organización también dispone de varias políticas asociadas a algunas de las unidades organizativas o directamente a las cuentas. Para obtener una descripción de cada uno de estos elementos, consulte las definiciones incluidas en este tema.

Diagrama de una organización básica
Organización

Una entidad que crea para consolidar sus cuentas AWS para que pueda administrarlas como una única unidad. Puede utilizar la consola de AWS Organizations para ver y administrar de forma centralizada todas las cuentas de su organización. Una organización tiene una cuenta de administración junto con cero o más cuentas miembro. Puede organizar las cuentas jerárquicamente en una estructura de árbol con un nodo raíz en la parte superior y unidades organizativas anidadas bajo el nodo raíz. Cada cuenta puede estar directamente en el nodo raíz o colocarse en una de las unidades organizativas de la jerarquía. Una organización tiene la funcionalidad determinada por el conjunto de características habilitadas.

Nodo raíz

El contenedor principal de todas las cuentas de su organización. Si aplica una política al nodo raíz, esta se aplica a todas las unidades organizativas y cuentas de la organización.

nota

En la actualidad, puede disponer de un solo nodo raíz, que AWS Organizations crea automáticamente cuando usted crea su organización.

Unidad organizativa (OU)

Un contenedor para las cuentas de un nodo raíz. Una unidad organizativa también puede contener otras unidades organizativas, lo que le permite crear una jerarquía que se asemeja a un árbol invertido, con un nodo raíz en la parte superior y ramas de unidades organizativas descendentes que terminan en las cuentas (las hojas del árbol). Cuando asocia una política a uno de los nodos de la jerarquía, esta se transmite y aplica a todas las ramas (unidades organizativas) y hojas (cuentas) que se encuentran debajo. Una unidad organizativa puede tener uno y solo un nodo raíz y cada cuenta puede ser miembro de exactamente una unidad organizativa.

Cuenta

Una cuenta en Organizations es un Cuenta de AWS estándar que contiene sus recursos AWS y las identidades que pueden acceder a esos recursos.

sugerencia

Una cuenta de AWS no es lo mismo que una cuenta de usuario. Un usuario deAWS es una identidad que se crea usando AWS Identity and Access Management (IAM) y toma la forma de Usuario de IAM con credenciales a largo plazo, o un rol de IAM con credenciales a corto plazo. Una sola cuenta AWS puede, y normalmente contiene muchos usuarios y roles.

Hay dos tipos de cuentas en una organización: una cuenta única que se denomina la cuenta de administración y una o más cuentas miembro.

  • La cuenta de administración es la cuenta que usa para crear la organización. Desde la cuenta de administración de la organización, puede hacer lo siguiente:

    • Crear cuentas en la organización

    • Invitar a otras cuentas existentes a la organización

    • Eliminar cuentas de la organización

    • Designar cuentas de administrador delegado

    • Administrar invitaciones

    • Aplicar políticas a entidades (nodos raíz, unidades organizativas o cuentas) dentro de la organización

    • Habilite la integración con los servicios AWS admitidos para proporcionar funcionalidad de servicio en todas las cuentas de la organización.

    La cuenta de administración tiene las responsabilidades de una cuenta de pago y es responsable de todos los cargos devengados por las cuentas miembro. No puede cambiar la cuenta de administración de una organización.

  • Las cuentas de miembros componen el resto de cuentas de una organización. Una cuenta no puede pertenecer a más de una organización a la vez. Puede asociar una política a una cuenta para aplicar controles a esa sola cuenta.

    nota

    Puede designar algunas cuentas de miembros para que sean cuentas de administrador delegado. Consulte Delegated administrator a continuación.

Administrador delegado

Le recomendamos que utilice la cuenta de administración de Organizations y sus usuarios y roles solo para las tareas que deba realizar dicha cuenta. Almacene todos sus recursos de AWS en otras cuentas de miembros de la organización y manténgalos fuera de la cuenta de administración. Esto se debe a que las características de seguridad, como las políticas de control de servicios (SCP) de las organizaciones, no restringen ningún usuario usuarios ni rol de la cuenta de administración. Separar los recursos de su cuenta de administración también lo ayudará a comprender los cargos de sus facturas. Desde la cuenta de administración de la organización, puede designar una o más cuentas de miembros como cuentas de administrador delegado para ayudarlo a implementar esta recomendación. Hay dos tipos de administradores delegados:

  • Administrador delegado de Organizations: desde estas cuentas, puede administrar las políticas de la organización y adjuntar políticas a las entidades (raíces, unidades organizativas o cuentas) de la organización. La cuenta de administración puede controlar los permisos de delegación en niveles detallados. Para obtener más información, consulte Administrador delegado para AWS Organizations.

  • Administrador delegado de un servicio de AWS: desde estas cuentas, puede administrar los servicios de AWS que se integran con las organizaciones. La cuenta de administración puede registrar diferentes cuentas de miembros como administradores delegados para diferentes servicios, según sea necesario. Estas cuentas tienen permisos administrativos para un servicio específico, así como permisos para las acciones de solo lectura de las organizaciones. Para obtener más información, consulte Administrador delegado para los servicios de AWS que funcionan con Organizations.

Invitación

El proceso de pedir a otra cuenta que se una a su organización. Únicamente la cuenta de administración de la organización puede emitir una invitación. La invitación se amplía al ID de la cuenta o a la dirección de correo electrónico asociada a la cuenta invitada. Una vez que la cuenta invitada acepta una invitación, pasa a ser una cuenta miembro de la organización. También se pueden enviar invitaciones a todas las cuentas miembro actuales cuando la organización necesita que todos los miembros aprueben el cambio de admitir únicamente las características de la facturación unificada a admitir todas las características de la organización. Las invitaciones funcionan mediante el intercambio de protocolos de enlace (handshakes) entre cuentas. Es posible que no vea protocolos de enlace cuando trabaja en la consola de AWS Organizations. No obstante, si utiliza la AWS CLI o la API de AWS Organizations, tiene que trabajar directamente con los protocolos de enlace.

Protocolo de enlace

Un proceso de varios pasos para intercambiar información entre dos partes. Uno de sus usos principales en AWS Organizations es servir de implementación subyacente de las invitaciones. Los mensajes de protocolos de enlace se transfieren entre el iniciador del protocolo de enlace y el destinatario y los responden ellos mismos. Los mensajes se transfieren de una forma que ayuda a garantizar que ambas partes sepan cuál es el estado actual. Los protocolos de enlace se usan también cuando la organización cambia de admitir solo las características de facturación unificada a admitir todas las características que ofrece AWS Organizations. Por lo general, solo necesita interactuar con los protocolos de enlace si trabaja en la API o en las herramientas de línea de comandos de AWS Organizations, como la AWS CLI.

Conjuntos de características disponibles

  • Todas las características: el conjunto de características predeterminadas disponibles para AWS Organizations. Incluye toda la funcionalidad de facturación unificada, además de características avanzadas que le ofrecen mayor control sobre las cuentas de su organización. Por ejemplo, cuando todas las características están habilitadas, la cuenta de administración de la organización tiene control completo sobre lo que pueden hacer las cuentas miembro. La cuenta de administración puede aplicar SCP para restringir los servicios y las acciones a los que los usuarios (incluido el usuario raíz) y los roles de una cuenta pueden acceder. Con la cuenta de administración también se puede evitar que las cuentas de miembros dejen la organización. También puede habilitar la integración con los servicios de AWS admitidos para que proporcionen funcionalidad de servicio en todas las cuentas de su organización.

    Puede crear una organización con todas las características ya habilitadas, o puede habilitar todas las características en una organización que originalmente solo admitía las características de facturación unificada. Para habilitar todas las características, todas las cuentas miembro invitadas deben aprobar el cambio aceptando la invitación que se envía cuando la cuenta de administración inicia el proceso.

  • Facturación unificada: este conjunto de funciones proporciona funcionalidad de facturación compartida, pero no incluye las características más avanzadas de AWS Organizations. Por ejemplo, no puede habilitar otros servicios de AWS para que se integren con su organización a fin de trabajar en todas sus cuentas, ni usar políticas para restringir lo que los usuarios y roles de diferentes cuentas pueden hacer. Para utilizar las características avanzadas de AWS Organizations, debe habilitar todas las características de la organización.

Política de control de servicios (SCP)

Una política que especifica los servicios y las acciones que los usuarios y roles pueden utilizar en las cuentas afectadas por la SCP. Las SCP son similares a las políticas de permisos de IAM, con la salvedad de que no conceden permisos. En lugar de ello, las SCP especifican el máximo de permisos para una organización, unidad organizativa (OU) o cuenta. Al asociar una SCP al nodo raíz de la organización o a una unidad organizativa, la SCP limita los permisos para las entidades de las cuentas de miembros.

Listas de permitidos frente a listas de denegación

Las listas de permitidos y las listas de denegación son estrategias complementarias para cuando se aplican políticas SCP para filtrar los permisos que están disponibles para las cuentas.

  • Estrategia de lista de permisos: especifique de forma explícita el acceso que está permitido. Cualquier otro acceso estará bloqueado implícitamente. De forma predeterminada, AWS Organizations asocia una política administrada de AWS llamada FullAWSAccess a todos los nodos raíz, las unidades organizativas y las cuentas. Esto ayuda a garantizar que, cuando cree su organización, nada estará bloqueado hasta que usted quiera bloquearlo. Es decir, de forma predeterminada, todos los permisos están habilitados. Cuando esté listo para restringir los permisos, sustituya la política FullAWSAccess por una que permita únicamente el conjunto de permisos más limitados que desee. Los usuarios y roles de las cuentas afectadas solo tendrán ese nivel de acceso, aunque las políticas de IAM les permitan todas las acciones. Si reemplaza la política predeterminada en el nodo raíz, las restricciones afectarán a todas las cuentas de la organización. No puede volver a agregar permisos posteriormente en un nivel inferior de la jerarquía porque una SCP nunca concede permisos; solo los filtra.

  • Estrategia de lista de denegaciones: especifique de forma explícita el acceso que no está permitido. El resto del acceso estará permitido. En este caso, todos los permisos están permitidos a menos que se bloqueen de forma explícita. Este es el comportamiento predeterminado de AWS Organizations. De forma predeterminada, AWS Organizations asocia una política administrada de AWS llamada FullAWSAccess a todos los nodos raíz, las unidades organizativas y las cuentas. Esto permite a cualquier cuenta tener acceso a cualquier servicio u operación sin restricciones impuestas por AWS Organizations. A diferencia de la técnica de lista de permitidos que se ha descrito anteriormente, cuando utiliza las listas de denegación, se suele dejar la política de FullAWSAccess predeterminada en vigor (que permite "todos"). No obstante, luego debe asociar políticas adicionales que denieguen explícitamente el acceso a las acciones y los servicios no deseados. De la misma forma que con las políticas de permisos IAM, una denegación explícita de una acción del servicio invalida cualquier permiso para esa acción.

Política de exclusión de servicios de inteligencia artificial (IA)

Tipo de política que le ayuda a estandarizar la configuración de inhabilitación para Servicios de IA AWS de todas las cuentas de su organización. Ciertos servicios de IA AWS pueden almacenar y utilizar el contenido del cliente procesado por dichos servicios para el desarrollo y la mejora continua de los servicios y tecnologías de IA de Amazon. Como cliente AWS, puede usar las políticas de exclusión de servicio de IA para optar por no tener su contenido almacenado o utilizado para mejorar el servicio.

Política de copia de seguridad

Un tipo de política que le ayuda a estandarizar e implementar una estrategia de copia de seguridad de los recursos de todas las cuentas de su organización. En una Política de copia de seguridad, puede configurar e implementar planes de copia de seguridad para sus recursos.

Política de etiquetas

Un tipo de política que le ayuda a estandarizar las etiquetas en todos los recursos de las cuentas de su organización. En una política de etiquetas, puede especificar las reglas de etiquetado de recursos específicos.