Administrador delegado para Servicios de AWS ese trabajo con Organizations - AWS Organizations
Permisos concedidos a cuentas de administrador delegado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administrador delegado para Servicios de AWS ese trabajo con Organizations

Le recomendamos que utilice la cuenta AWS Organizations de administración y sus usuarios y funciones solo para las tareas que debe realizar esa cuenta. También le recomendamos que almacene sus AWS recursos en las cuentas de otros miembros de la organización y que los mantenga fuera de la cuenta de administración. Esto se debe a que las funciones de seguridad, como las políticas de control de servicios de SCPs Organizations (), no restringen los usuarios ni las funciones de la cuenta de administración. Separar los recursos de su cuenta de administración también lo ayudará a comprender los cargos de sus facturas.

Muchas de las Servicios de AWS que se integran con Organizations le permiten reducir el uso de la cuenta de administración. Estos servicios le permiten registrar una o más cuentas de miembros como administradores que pueden administrar todas las cuentas de la organización utilizadas en el servicio. Estas cuentas se denominan administradores delegados para ese servicio específico. Al registrar una cuenta de miembro como administrador delegado de un servicio de AWS , permite que esa cuenta tenga algunos permisos administrativos para ese servicio, así como permisos para las acciones de solo lectura de la organización.

Antes de registrar una cuenta como administrador delegado de un servicio:

  • Confirme que el servicio es compatible con los administradores delegados. Consulte la tabla de Servicios de AWS que puedes usar con AWS Organizations para obtener información sobre los servicios que admiten a los administradores delegados.

  • Habilite el acceso de confianza para ese servicio.

nota

Para obtener información sobre cómo habilitar un servicio para un administrador delegado, consulte la tabla de Servicios de AWS que puedes usar con AWS Organizations y seleccione el enlace Más información de la columna Admite administradores delegados de ese servicio.

Permisos concedidos a cuentas de administrador delegado

Cada cuenta de administrador delegado específica de un servicio tiene permisos concedidos por ese servicio. Para obtener más información, consulte la tabla Servicios de AWS que puedes usar con AWS Organizations y seleccione el enlace Más información en la columna Admite administradores delegados de ese servicio.

Una cuenta de administrador delegado también tiene estos permisos de solo lectura:

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

Estos permisos le permiten ver, pero no cambiar, los siguientes elementos de la consola:

  • Estructura de la organización, todas las cuentas y OUs políticas de la organización

  • Pertenencias

  • Todas las cuentas yOUs.

  • Políticas organizativas