Uso AWS Organizations con otros Servicios de AWS

Puede usar el acceso de confianza para habilitar un AWS servicio compatible que especifique, denominado servicio de confianza, para realizar tareas en su organización y sus cuentas en su nombre. Esto implica conceder permisos al servicio de confianza, pero no afecta de ninguna otra manera a los permisos de los usuarios o roles. Cuando habilitas el acceso, el servicio de confianza puede crear un IAM rol denominado rol vinculado al servicio en cada cuenta de tu organización siempre que ese rol sea necesario. Este rol tiene una política de permisos que permite al servicio de confianza realizar las tareas que se describen en la documentación del servicio. Esto le permite especificar las opciones y los detalles de configuración que desea que el servicio de confianza mantenga en las cuentas de la organización en su nombre. El servicio de confianza solo crea roles vinculados al servicio cuando necesita realizar acciones de administración en cuentas, y no necesariamente en todas las cuentas de la organización.

importante

Recomendamos encarecidamente que, cuando la opción esté disponible, habilite y deshabilite el acceso de confianza utilizando únicamente la consola del servicio de confianza AWS CLI o sus equivalentes API operativos. Esto permite al servicio de confianza realizar cualquier inicialización necesaria al habilitar el acceso de confianza, como la creación de los recursos necesarios y la limpieza necesaria de los recursos al deshabilitar el acceso de confianza.

Para obtener información acerca de cómo habilitar o deshabilitar el acceso a servicios de confianza a su organización mediante el servicio de confianza, consulte el vínculo Más información en la columna Admite el acceso de confianza en Servicios de AWS que puedes usar con AWS Organizations.

Si deshabilita el acceso mediante la consola, CLI los comandos o API las operaciones de Organizations, se producen las siguientes acciones:

• El servicio ya no puede crear un rol vinculado a un servicio en las cuentas de su organización. Esto significa que el servicio no puede realizar operaciones en su nombre en ninguna cuenta nueva de su organización. El servicio aún puede realizar operaciones en cuentas antiguas hasta que el servicio complete su limpieza desde AWS Organizations.

• El servicio ya no puede realizar tareas en las cuentas de los miembros de la organización, a menos que esas operaciones estén explícitamente permitidas por las IAM políticas asociadas a tus funciones. Esto incluye cualquier agregación de datos de las cuentas de miembro a la cuenta de administración o a una cuenta de administrador delegada, cuando proceda.

• Algunos servicios detectan esto y limpian los datos o recursos restantes relacionados con la integración, mientras que otros servicios dejan de acceder a la organización pero dejan los datos históricos y la configuración para permitir una posible reactivación de la integración.

En su lugar, el uso de la consola o los comandos del otro servicio para deshabilitar la integración garantiza que el otro servicio pueda limpiar los recursos necesarios solo para la integración. La forma en que el servicio limpia sus recursos en las cuentas de la organización depende de ese servicio. Para obtener más información, consulte la documentación del otro servicio de AWS .

Permisos necesarios para habilitar el acceso de confianza

El acceso confiable requiere permisos para dos servicios: AWS Organizations y el servicio confiable. Para habilitar el acceso de confianza, elija uno de los escenarios siguientes:

• Si tiene credenciales con permisos tanto AWS Organizations en el servicio de confianza como en el servicio de confianza, habilite el acceso mediante las herramientas (consola o AWS CLI) que proporciona el servicio de confianza. Esto permite que el servicio habilite el acceso confiable AWS Organizations en su nombre y cree los recursos necesarios para que el servicio funcione en su organización.

  Los permisos mínimos para estas credenciales son los siguientes:

  • organizations:EnableAWSServiceAccess. También puede utilizar la clave de condición organizations:ServicePrincipal con esta operación para limitar las solicitudes que esas operaciones realizan a una lista de nombres de principal de servicio aprobados. Para obtener más información, consulte Claves de condición.

  • organizations:ListAWSServiceAccessForOrganization— Necesario si utiliza la AWS Organizations consola.

  • Los permisos mínimos necesarios que requiere el servicio de confianza dependen del servicio. Para obtener más información, consulte la documentación del servicio de confianza.

• Si una persona tiene credenciales con permisos AWS Organizations pero otra tiene credenciales con permisos en el servicio de confianza, lleve a cabo estos pasos en el siguiente orden:

  1. La persona que tenga credenciales con permisos de AWS Organizations entrada debe usar la AWS Organizations consola AWS CLI, la o una AWS SDK para habilitar el acceso confiable al servicio de confianza. Esto concederá permiso al otro servicio para llevar a cabo la configuración necesaria en la organización cuando se realice el siguiente paso (paso 2).

     Los AWS Organizations permisos mínimos son los siguientes:

     • organizations:EnableAWSServiceAccess

     • organizations:ListAWSServiceAccessForOrganization— Necesario únicamente si se utiliza la AWS Organizations consola

     Para ver los pasos para habilitar el acceso confiable en AWS Organizations, consulteCómo habilitar o deshabilitar el acceso de confianza.

  2. La persona que tiene credenciales con permisos en el servicio de confianza habilita ese servicio para trabajar con AWS Organizations. Esto indica al servicio que debe realizar todas las inicializaciones necesarias, como la creación de los recursos necesarios para que el servicio de confianza funcione en la organización. Para obtener más información, consulte las instrucciones específicas de los servicios en Servicios de AWS que puedes usar con AWS Organizations.

Permisos necesarios para deshabilitar el acceso de confianza

Si ya no desea permitir que el servicio de confianza realice tareas en la organización o en las cuentas de esta, elija uno de los escenarios siguientes.

importante

La deshabilitación del acceso del servicio de confianza no impide que los usuarios y los roles con los permisos apropiados utilicen dicho servicio. Para impedir por completo el acceso de los usuarios y los roles a un AWS servicio, puede eliminar los IAM permisos que otorgan ese acceso o puede usar las políticas de control del servicio (SCPs) en AWS Organizations.

Puede solicitarlos solo SCPs a las cuentas de los miembros. SCPsno se aplican a la cuenta de administración. Le recomendamos que no ejecute servicios en la cuenta de administración. En su lugar, ejecútelos en las cuentas de los miembros, donde podrá controlar la seguridad mediante el uso deSCPs.

• Si tiene credenciales con permisos tanto AWS Organizations en el servicio de confianza como en el servicio de confianza, deshabilite el acceso mediante las herramientas (consola o AWS CLI) que están disponibles para el servicio de confianza. A continuación, el servicio realiza una limpieza eliminando los recursos que ya no son necesarios y deshabilitando el acceso de confianza del servicio en AWS Organizations en su nombre.

  Los permisos mínimos para estas credenciales son los siguientes:

  • organizations:DisableAWSServiceAccess. También puede utilizar la clave de condición organizations:ServicePrincipal con esta operación para limitar las solicitudes que esas operaciones realizan a una lista de nombres de principal de servicio aprobados. Para obtener más información, consulte Claves de condición.

  • organizations:ListAWSServiceAccessForOrganization— Necesario si utilizas la AWS Organizations consola.

  • Los permisos mínimos necesarios que requiere el servicio de confianza dependen del servicio. Para obtener más información, consulte la documentación del servicio de confianza.

• Si las credenciales con permisos introducidos AWS Organizations no son las credenciales con permisos del servicio de confianza, lleve a cabo estos pasos en el siguiente orden:

  1. La persona con permisos en el servicio de confianza primero deshabilita el acceso utilizando dicho servicio. Esto indica al servicio de confianza que debe eliminar los recursos necesarios para el acceso de confianza. Para obtener más información, consulte las instrucciones específicas de los servicios en Servicios de AWS que puedes usar con AWS Organizations.

  2. La persona con los permisos AWS Organizations ingresados podrá entonces usar la AWS Organizations consola o deshabilitar el acceso AWS SDK al servicio de confianza. AWS CLI Esto eliminará los permisos para el servicio de confianza de la organización y las cuentas de esta.

     Los AWS Organizations permisos mínimos son los siguientes:

     • organizations:DisableAWSServiceAccess

     • organizations:ListAWSServiceAccessForOrganization— Necesario únicamente si se utiliza la AWS Organizations consola

     Para conocer los pasos para deshabilitar el acceso de confianza en AWS Organizations, consulteCómo habilitar o deshabilitar el acceso de confianza.

Cómo habilitar o deshabilitar el acceso de confianza

Si solo tiene permisos AWS Organizations y desea habilitar o deshabilitar el acceso de confianza a su organización en nombre del administrador del otro AWS servicio, utilice el siguiente procedimiento.

importante

Se recomienda encarecidamente que, cuando la opción esté disponible, active y desactive el acceso de confianza utilizando únicamente la consola del servicio de confianza AWS CLI o sus equivalentes API operativos. Esto permite al servicio de confianza realizar cualquier inicialización necesaria al habilitar el acceso de confianza, como la creación de los recursos necesarios y la limpieza necesaria de los recursos al deshabilitar el acceso de confianza.

Para obtener información acerca de cómo habilitar o deshabilitar el acceso a servicios de confianza a su organización mediante el servicio de confianza, consulte el vínculo Más información en la columna Admite el acceso de confianza en Servicios de AWS que puedes usar con AWS Organizations.

Si deshabilita el acceso mediante la consola, CLI los comandos o API las operaciones de Organizations, se producen las siguientes acciones:

• El servicio ya no puede crear un rol vinculado a un servicio en las cuentas de su organización. Esto significa que el servicio no puede realizar operaciones en su nombre en ninguna cuenta nueva de su organización. El servicio aún puede realizar operaciones en cuentas antiguas hasta que el servicio complete su limpieza desde AWS Organizations.

• El servicio ya no puede realizar tareas en las cuentas de los miembros de la organización, a menos que esas operaciones estén explícitamente permitidas por las IAM políticas asociadas a tus funciones. Esto incluye cualquier agregación de datos de las cuentas de miembro a la cuenta de administración o a una cuenta de administrador delegada, cuando proceda.

• Algunos servicios detectan esto y limpian los datos o recursos restantes relacionados con la integración, mientras que otros servicios dejan de acceder a la organización pero dejan los datos históricos y la configuración para permitir una posible reactivación de la integración.

En su lugar, el uso de la consola o los comandos del otro servicio para deshabilitar la integración garantiza que el otro servicio pueda limpiar los recursos necesarios solo para la integración. La forma en que el servicio limpia sus recursos en las cuentas de la organización depende de ese servicio. Para obtener más información, consulte la documentación del otro AWS servicio.

AWS Management Console

Habilitar el acceso al servicio de confianza

1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

2. En la página Servicios, busque la fila del servicio que desea habilitar y elija su nombre.

3. Elija Habilitar acceso de confianza.

4. En el cuadro de diálogo de confirmación, marque la casilla Mostrar la opción para habilitar el acceso de confianza, introduzca enable en el cuadro y, a continuación, elija Permitir el acceso de confianza.

5. Si está habilitando el acceso, dígale al administrador del otro AWS servicio que ya puede habilitar el otro servicio para que funcione AWS Organizations.

Para deshabilitar el acceso de confianza

1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

2. En la página Servicios, busque la fila del servicio que desea deshabilitar y elija su nombre.

3. Espere a que el administrador del otro servicio le diga que el servicio está desactivado y que sus recursos han sido limpiados.

4. En el cuadro de diálogo de confirmación, ingrese disable en el cuadro y, a continuación, elija Deshabilitar el acceso de confianza.

AWS CLI, AWS API

Para habilitar o deshabilitar el acceso del servicio de confianza

Puede usar los siguientes AWS CLI comandos u API operaciones para habilitar o deshabilitar el acceso a servicios de confianza:

• AWS CLI: AWS organizaciones enable-aws-service-access

• AWS CLI: AWS organizaciones disable-aws-service-access

• AWS API: E nableAWSService Access

• AWS API: isableAWSServiceAcceso D

AWS Organizations y funciones vinculadas al servicio

AWS Organizations utiliza funciones IAM vinculadas al servicio para permitir que los servicios de confianza realicen tareas en tu nombre en las cuentas de los miembros de tu organización. Al configurar un servicio de confianza y autorizar su integración con la organización, dicho servicio puede solicitar que AWS Organizations cree una función vinculada a sí mismo en su cuenta miembro. El servicio de confianza realiza acción de forma asíncrona según lo necesite, pero no necesariamente en todas las cuentas de la organización al mismo tiempo. El rol vinculado al servicio tiene IAM permisos predefinidos que permiten al servicio de confianza realizar solo tareas específicas dentro de esa cuenta. En general, AWS administra todas las funciones vinculadas a servicios, lo que significa que normalmente no puede modificar las funciones ni las políticas adjuntas.

Para que todo esto sea posible, al crear una cuenta en una organización o aceptar una invitación para unir su cuenta existente a una organización, AWS Organizations aprovisiona la cuenta miembro con un rol vinculado a un servicio denominado AWSServiceRoleForOrganizations. Solo el propio AWS Organizations servicio puede asumir esta función. El rol tiene permisos que permiten AWS Organizations crear roles vinculados al servicio para otros. Servicios de AWS Este rol vinculado a un servicio está presente en todas las organizaciones.

Aunque no lo recomendamos, si su organización tiene solo las características de facturación unificada habilitadas, el rol vinculado a un servicio denominado AWSServiceRoleForOrganizations no se utiliza nunca y puede eliminarlo. Si más adelante desea habilitar todas las características de la organización, el rol es necesario y debe restaurarlo. Las siguientes comprobaciones se producen cuando inicia el proceso para habilitar todas las características:

• Por cada cuenta miembro que se haya invitado a unirse a la organización – El administrador de dicha cuenta recibe una solicitud para que acepte habilitar todas las características. Para aceptar correctamente la solicitud, el administrador debe tener los permisos organizations:AcceptHandshake e iam:CreateServiceLinkedRole si el rol vinculado a un servicio (AWSServiceRoleForOrganizations) no existe todavía. Si el rol AWSServiceRoleForOrganizations ya existe, el administrador necesita únicamente el permiso organizations:AcceptHandshake para aceptar la solicitud. Cuando el administrador acepta la solicitud, AWS Organizations crea el rol vinculado al servicio si aún no existe.

• Por cada cuenta miembro que se haya creado en la organización – El administrador de la cuenta recibe una solicitud para volver a crear el rol vinculado al servicio. (El administrador de la cuenta de miembro no recibe una solicitud para habilitar todas las funciones porque el administrador de la cuenta de administración (antes conocida como "cuenta maestra") se considera el propietario de las cuentas de miembro creadas). AWS Organizations crea el rol vinculado al servicio cuando el administrador de la cuenta de miembro acepta la solicitud. El administrador debe tener los permisos organizations:AcceptHandshake e iam:CreateServiceLinkedRole para aceptar correctamente el protocolo de enlace.

Después de habilitar todas las características de su organización, ya no puede eliminar el rol vinculado al servicio AWSServiceRoleForOrganizations de cualquier cuenta.

importante

AWS Organizations SCPsnunca afectan a las funciones vinculadas al servicio. Estas funciones están exentas de cualquier SCP restricción.