Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso AWS Organizations con otros Servicios de AWS
Puede usar el acceso de confianza para habilitar un AWS servicio compatible que especifique, denominado servicio de confianza, para realizar tareas en su organización y sus cuentas en su nombre. Esto implica conceder permisos al servicio de confianza, pero no afecta de ninguna otra manera a los permisos de los usuarios o roles. Cuando se habilita el acceso, el servicio de confianza puede crear un rol de IAM denominado rol vinculado al servicio en cada cuenta de la organización. Este rol tiene una política de permisos que permite al servicio de confianza realizar las tareas que se describen en la documentación del servicio. Esto le permite especificar las opciones y los detalles de configuración que desea que el servicio de confianza mantenga en las cuentas de la organización en su nombre. El servicio de confianza solo crea roles vinculados al servicio cuando necesita realizar acciones de administración en cuentas, y no necesariamente en todas las cuentas de la organización.
importante
Recomendamos encarecidamente que, cuando la opción esté disponible, habilite y deshabilite el acceso de confianza utilizando únicamente la consola del servicio de confianza AWS CLI o sus equivalentes API operativos. Esto permite al servicio de confianza realizar cualquier inicialización necesaria al habilitar el acceso de confianza, como la creación de los recursos necesarios y la limpieza necesaria de los recursos al deshabilitar el acceso de confianza.
Para obtener información acerca de cómo habilitar o deshabilitar el acceso a servicios de confianza a su organización mediante el servicio de confianza, consulte el vínculo Más información en la columna Admite el acceso de confianza en Servicios de AWS que puedes usar con AWS Organizations.
Si deshabilita el acceso mediante la consola, CLI los comandos o API las operaciones de Organizations, se producen las siguientes acciones:
-
El servicio ya no puede crear un rol vinculado a un servicio en las cuentas de su organización. Esto significa que el servicio no puede realizar operaciones en su nombre en ninguna cuenta nueva de su organización. El servicio aún puede realizar operaciones en cuentas antiguas hasta que el servicio complete su limpieza desde AWS Organizations.
-
El servicio ya no puede realizar tareas en las cuentas de los miembros de la organización, a menos que esas operaciones estén explícitamente permitidas por las IAM políticas asociadas a tus funciones. Esto incluye cualquier agregación de datos de las cuentas de miembro a la cuenta de administración o a una cuenta de administrador delegada, cuando proceda.
-
Algunos servicios detectan esto y limpian los datos o recursos restantes relacionados con la integración, mientras que otros servicios dejan de acceder a la organización pero dejan los datos históricos y la configuración para permitir una posible reactivación de la integración.
En su lugar, el uso de la consola o los comandos del otro servicio para deshabilitar la integración garantiza que el otro servicio pueda limpiar los recursos necesarios solo para la integración. La forma en que el servicio limpia sus recursos en las cuentas de la organización depende de ese servicio. Para obtener más información, consulte la documentación del otro servicio de AWS .
Permisos necesarios para habilitar el acceso de confianza
El acceso confiable requiere permisos para dos servicios: AWS Organizations y el servicio confiable. Para habilitar el acceso de confianza, elija uno de los escenarios siguientes:
-
Si tiene credenciales con permisos tanto AWS Organizations en el servicio de confianza como en el servicio de confianza, habilite el acceso mediante las herramientas (consola o AWS CLI) que proporciona el servicio de confianza. Esto permite que el servicio habilite el acceso confiable AWS Organizations en su nombre y cree los recursos necesarios para que el servicio funcione en su organización.
Los permisos mínimos para estas credenciales son los siguientes:
-
organizations:EnableAWSServiceAccess
. También puede utilizar la clave de condiciónorganizations:ServicePrincipal
con esta operación para limitar las solicitudes que esas operaciones realizan a una lista de nombres de principal de servicio aprobados. Para obtener más información, consulte Claves de condición. -
organizations:ListAWSServiceAccessForOrganization
— Necesario si utiliza la AWS Organizations consola. -
Los permisos mínimos necesarios que requiere el servicio de confianza dependen del servicio. Para obtener más información, consulte la documentación del servicio de confianza.
-
-
Si una persona tiene credenciales con permisos AWS Organizations pero otra tiene credenciales con permisos en el servicio de confianza, lleve a cabo estos pasos en el siguiente orden:
-
La persona que tenga credenciales con permisos de AWS Organizations entrada debe usar la AWS Organizations consola AWS CLI, la o una AWS SDK para habilitar el acceso confiable al servicio de confianza. Esto concederá permiso al otro servicio para llevar a cabo la configuración necesaria en la organización cuando se realice el siguiente paso (paso 2).
Los AWS Organizations permisos mínimos son los siguientes:
-
organizations:EnableAWSServiceAccess
-
organizations:ListAWSServiceAccessForOrganization
— Necesario únicamente si se utiliza la AWS Organizations consola
Para ver los pasos para habilitar el acceso confiable en AWS Organizations, consulteCómo habilitar o deshabilitar el acceso de confianza.
-
-
La persona que tiene credenciales con permisos en el servicio de confianza habilita ese servicio para trabajar con AWS Organizations. Esto indica al servicio que debe realizar todas las inicializaciones necesarias, como la creación de los recursos necesarios para que el servicio de confianza funcione en la organización. Para obtener más información, consulte las instrucciones específicas de los servicios en Servicios de AWS que puedes usar con AWS Organizations.
-
Permisos necesarios para deshabilitar el acceso de confianza
Si ya no desea permitir que el servicio de confianza realice tareas en la organización o en las cuentas de esta, elija uno de los escenarios siguientes.
importante
La deshabilitación del acceso del servicio de confianza no impide que los usuarios y los roles con los permisos apropiados utilicen dicho servicio. Para impedir por completo el acceso de los usuarios y los roles a un AWS servicio, puede eliminar los IAM permisos que otorgan ese acceso o puede usar las políticas de control del servicio (SCPs) en AWS Organizations.
Puede solicitarlos solo SCPs a las cuentas de los miembros. SCPsno se aplican a la cuenta de administración. Le recomendamos que no ejecute servicios en la cuenta de administración. En su lugar, ejecútelos en las cuentas de los miembros, donde podrá controlar la seguridad mediante el uso deSCPs.
-
Si tiene credenciales con permisos tanto AWS Organizations en el servicio de confianza como en el servicio de confianza, deshabilite el acceso mediante las herramientas (consola o AWS CLI) que están disponibles para el servicio de confianza. A continuación, el servicio realiza una limpieza eliminando los recursos que ya no son necesarios y deshabilitando el acceso de confianza del servicio en AWS Organizations en su nombre.
Los permisos mínimos para estas credenciales son los siguientes:
-
organizations:DisableAWSServiceAccess
. También puede utilizar la clave de condiciónorganizations:ServicePrincipal
con esta operación para limitar las solicitudes que esas operaciones realizan a una lista de nombres de principal de servicio aprobados. Para obtener más información, consulte Claves de condición. -
organizations:ListAWSServiceAccessForOrganization
— Necesario si utilizas la AWS Organizations consola. -
Los permisos mínimos necesarios que requiere el servicio de confianza dependen del servicio. Para obtener más información, consulte la documentación del servicio de confianza.
-
-
Si las credenciales con permisos introducidos AWS Organizations no son las credenciales con permisos del servicio de confianza, lleve a cabo estos pasos en el siguiente orden:
-
La persona con permisos en el servicio de confianza primero deshabilita el acceso utilizando dicho servicio. Esto indica al servicio de confianza que debe eliminar los recursos necesarios para el acceso de confianza. Para obtener más información, consulte las instrucciones específicas de los servicios en Servicios de AWS que puedes usar con AWS Organizations.
-
La persona con los permisos AWS Organizations ingresados podrá entonces usar la AWS Organizations consola o deshabilitar el acceso AWS SDK al servicio de confianza. AWS CLI Esto eliminará los permisos para el servicio de confianza de la organización y las cuentas de esta.
Los AWS Organizations permisos mínimos son los siguientes:
-
organizations:DisableAWSServiceAccess
-
organizations:ListAWSServiceAccessForOrganization
— Necesario únicamente si se utiliza la AWS Organizations consola
Para conocer los pasos para deshabilitar el acceso de confianza en AWS Organizations, consulteCómo habilitar o deshabilitar el acceso de confianza.
-
-
Cómo habilitar o deshabilitar el acceso de confianza
Si solo tiene permisos AWS Organizations y desea habilitar o deshabilitar el acceso de confianza a su organización en nombre del administrador del otro AWS servicio, utilice el siguiente procedimiento.
importante
Recomendamos encarecidamente que, cuando la opción esté disponible, active y desactive el acceso de confianza utilizando únicamente la consola del servicio de confianza AWS CLI o sus equivalentes API operativos. Esto permite al servicio de confianza realizar cualquier inicialización necesaria al habilitar el acceso de confianza, como la creación de los recursos necesarios y la limpieza necesaria de los recursos al deshabilitar el acceso de confianza.
Para obtener información acerca de cómo habilitar o deshabilitar el acceso a servicios de confianza a su organización mediante el servicio de confianza, consulte el vínculo Más información en la columna Admite el acceso de confianza en Servicios de AWS que puedes usar con AWS Organizations.
Si deshabilita el acceso mediante la consola, CLI los comandos o API las operaciones de Organizations, se producen las siguientes acciones:
-
El servicio ya no puede crear un rol vinculado a un servicio en las cuentas de su organización. Esto significa que el servicio no puede realizar operaciones en su nombre en ninguna cuenta nueva de su organización. El servicio aún puede realizar operaciones en cuentas antiguas hasta que el servicio complete su limpieza desde AWS Organizations.
-
El servicio ya no puede realizar tareas en las cuentas de los miembros de la organización, a menos que esas operaciones estén explícitamente permitidas por las IAM políticas asociadas a tus funciones. Esto incluye cualquier agregación de datos de las cuentas de miembro a la cuenta de administración o a una cuenta de administrador delegada, cuando proceda.
-
Algunos servicios detectan esto y limpian los datos o recursos restantes relacionados con la integración, mientras que otros servicios dejan de acceder a la organización pero dejan los datos históricos y la configuración para permitir una posible reactivación de la integración.
En su lugar, el uso de la consola o los comandos del otro servicio para deshabilitar la integración garantiza que el otro servicio pueda limpiar los recursos necesarios solo para la integración. La forma en que el servicio limpia sus recursos en las cuentas de la organización depende de ese servicio. Para obtener más información, consulte la documentación del otro AWS servicio.
AWS Organizations y funciones vinculadas al servicio
AWS Organizations utiliza funciones IAM vinculadas al servicio para permitir que los
Para que todo esto sea posible, al crear una cuenta en una organización o aceptar una invitación para unir su cuenta existente a una organización, AWS Organizations
aprovisiona la cuenta de miembro con un rol vinculado a un servicio denominado AWSServiceRoleForOrganizations
. Solo el propio AWS Organizations servicio puede asumir esta función. El rol tiene permisos que permiten AWS Organizations crear roles vinculados al servicio para otros. Servicios de AWS Este rol vinculado a un servicio está presente en todas las organizaciones.
Aunque no lo recomendamos, si su organización tiene solo las características de facturación unificada habilitadas, el rol vinculado a un servicio denominado AWSServiceRoleForOrganizations
no se utiliza nunca y puede eliminarlo. Si más adelante desea habilitar todas las características de la organización, el rol es necesario y debe restaurarlo. Las siguientes comprobaciones se producen cuando inicia el proceso para habilitar todas las características:
-
Por cada cuenta de miembro que se haya invitado a unirse a la organización – El administrador de dicha cuenta recibe una solicitud para que acepte habilitar todas las características. Para aceptar correctamente la solicitud, el administrador debe tener los permisos
organizations:AcceptHandshake
eiam:CreateServiceLinkedRole
si el rol vinculado a un servicio (AWSServiceRoleForOrganizations
) no existe todavía. Si el rolAWSServiceRoleForOrganizations
ya existe, el administrador necesita únicamente el permisoorganizations:AcceptHandshake
para aceptar la solicitud. Cuando el administrador acepta la solicitud, AWS Organizations crea el rol vinculado al servicio si aún no existe. -
Por cada cuenta de miembro que se haya creado en la organización – El administrador de la cuenta recibe una solicitud para volver a crear el rol vinculado al servicio. (El administrador de la cuenta de miembro no recibe una solicitud para habilitar todas las funciones porque el administrador de la cuenta de administración (antes conocida como "cuenta maestra") se considera el propietario de las cuentas de miembro creadas). AWS Organizations crea el rol vinculado al servicio cuando el administrador de la cuenta de miembro acepta la solicitud. El administrador debe tener los permisos
organizations:AcceptHandshake
eiam:CreateServiceLinkedRole
para aceptar correctamente el protocolo de enlace.
Después de habilitar todas las características de su organización, ya no puede eliminar el rol vinculado al servicio AWSServiceRoleForOrganizations
de cualquier cuenta.
importante
AWS Organizations SCPsnunca afectan a los roles vinculados al servicio. Estas funciones están exentas de cualquier SCP restricción.
Uso del rol AWSServiceRoleForDeclarativePoliciesEC2Report vinculado al servicio
Organizations utiliza la función AWSServiceRoleForDeclarativePoliciesEC2Report
vinculada al servicio para describir los estados de los atributos de las cuentas de los miembros a fin de crear informes de políticas declarativas. Los permisos del rol se definen en. AWS política gestionada: DeclarativePoliciesEC2Report