Uso de AWS Organizations con otros servicios de AWS.

Puede utilizar el acceso de confianza para permitir un servicio de AWS que especifique, que se denomina servicio de confianza, que realice tareas en su organización y en las cuentas de esta en su nombre. Esto implica conceder permisos al servicio de confianza, pero no afecta de ninguna otra manera a los permisos de los usuarios o roles. Cuando se habilita el acceso, el servicio de confianza puede crear un rol de IAM denominado rol vinculado al servicio en cada cuenta de la organización. Este rol tiene una política de permisos que permite al servicio de confianza realizar las tareas que se describen en la documentación del servicio. Esto le permite especificar las opciones y los detalles de configuración que desea que el servicio de confianza mantenga en las cuentas de la organización en su nombre. El servicio de confianza solo crea roles vinculados al servicio cuando necesita realizar acciones de administración en cuentas, y no necesariamente en todas las cuentas de la organización.

importante

Le recomendamos encarecidamente que, cuando la opción esté disponible, habilite y deshabilite el acceso de confianza mediante solamente la consola del servicio de confianza o sus equivalentes de operación de la API o la AWS CLI. Esto permite al servicio de confianza realizar cualquier inicialización necesaria al habilitar el acceso de confianza, como la creación de los recursos necesarios y la limpieza necesaria de los recursos al deshabilitar el acceso de confianza.

Para obtener información acerca de cómo habilitar o deshabilitar el acceso a servicios de confianza a su organización mediante el servicio de confianza, consulte el vínculo Más información en la columna Admite el acceso de confianza en AWS servicios que puede utilizar con AWS Organizations.

Si deshabilita el acceso mediante la consola de Organizations, los comandos de CLI o las operaciones de API, se producen las siguientes acciones:

• El servicio ya no puede crear un rol vinculado a un servicio en las cuentas de su organización. Esto significa que el servicio no puede realizar operaciones en su nombre en ninguna cuenta nueva de su organización. El servicio aún puede realizar operaciones en cuentas antiguas hasta que el servicio complete su limpieza desde AWS Organizations.

• El servicio ya no puede realizar tareas en las cuentas de miembro de la organización, a menos que esas operaciones estén explícitamente permitidas por las políticas de IAM asociadas a sus roles. Esto incluye cualquier agregación de datos de las cuentas de miembro a la cuenta de administración o a una cuenta de administrador delegada, cuando proceda.

• Algunos servicios detectan esto y limpian los datos o recursos restantes relacionados con la integración, mientras que otros servicios dejan de acceder a la organización pero dejan los datos históricos y la configuración para permitir una posible reactivación de la integración.

En su lugar, el uso de la consola o los comandos del otro servicio para deshabilitar la integración garantiza que el otro servicio pueda limpiar los recursos necesarios solo para la integración. La forma en que el servicio limpia sus recursos en las cuentas de la organización depende de ese servicio. Para obtener más información, consulte la documentación del otro servicio de AWS.

Permisos necesarios para habilitar el acceso de confianza

El acceso de confianza requiere permisos para dos servicios: AWS Organizations y el servicio de confianza. Para habilitar el acceso de confianza, elija uno de los escenarios siguientes:

• Si tiene credenciales con permisos tanto en AWS Organizations como en el servicio de confianza, habilite el acceso utilizando las herramientas (la consola o la AWS CLI) disponibles en el servicio de confianza. Esto permite al servicio de confianza habilitar el acceso de confianza en AWS Organizations en su nombre, así como crear todos los recursos que necesita para funcionar en la organización.

  Los permisos mínimos para estas credenciales son los siguientes:

  • organizations:EnableAWSServiceAccess. También puede utilizar la clave de condición organizations:ServicePrincipal con esta operación para limitar las solicitudes que esas operaciones realizan a una lista de nombres de principal de servicio aprobados. Para obtener más información, consulte Claves de condición.

  • organizations:ListAWSServiceAccessForOrganization – obligatorio si se utiliza la consola de AWS Organizations.

  • Los permisos mínimos necesarios que requiere el servicio de confianza dependen del servicio. Para obtener más información, consulte la documentación del servicio de confianza.

• Si una persona tiene credenciales con permisos en AWS Organizations, pero otra persona tiene credenciales con permisos en el servicio de confianza, siga estos pasos en el orden que se indica a continuación:

  1. La persona que tiene credenciales con permisos en AWS Organizations debe utilizar la consola de AWS Organizations, la AWS CLI de o un SDK de AWS para habilitar el acceso de confianza del servicio de confianza. Esto concederá permiso al otro servicio para llevar a cabo la configuración necesaria en la organización cuando se realice el siguiente paso (paso 2).

     Los permisos mínimos de AWS Organizations son los siguientes:

     • organizations:EnableAWSServiceAccess

     • organizations:ListAWSServiceAccessForOrganization – obligatorio solo si se utiliza la consola de AWS Organizations.

     Para conocer los pasos para habilitar el acceso de confianza en AWS Organizations, consulte Cómo habilitar o deshabilitar el acceso de confianza.

  2. La persona que tiene credenciales con permisos en el servicio de confianza habilita ese servicio para trabajar con AWS Organizations. Esto indica al servicio que debe realizar todas las inicializaciones necesarias, como la creación de los recursos necesarios para que el servicio de confianza funcione en la organización. Para obtener más información, consulte las instrucciones específicas de los servicios en AWS servicios que puede utilizar con AWS Organizations.

Permisos necesarios para deshabilitar el acceso de confianza

Si ya no desea permitir que el servicio de confianza realice tareas en la organización o en las cuentas de esta, elija uno de los escenarios siguientes.

importante

La deshabilitación del acceso del servicio de confianza no impide que los usuarios y los roles con los permisos apropiados utilicen dicho servicio. Para bloquear completamente el acceso de los usuarios y roles a un servicio de AWS, puede eliminar los permisos de IAM que conceden dicho acceso o puede utilizar políticas de control de servicio (SCP) en AWS Organizations.

Puede aplicar SCP a las cuentas miembro únicamente. Los SCP no se aplican a la cuenta de administración. Le recomendamos que no ejecute servicios en la cuenta de administración. En su lugar, ejecútelos en cuentas de miembros donde puede controlar la seguridad mediante SCP.

• Si tiene credenciales con permisos tanto en AWS Organizations como en el servicio de confianza, deshabilite el acceso utilizando las herramientas (la consola o la AWS CLI) disponibles para el servicio de confianza. A continuación, el servicio realiza una limpieza eliminando los recursos que ya no son necesarios y deshabilitando el acceso de confianza del servicio en AWS Organizations en su nombre.

  Los permisos mínimos para estas credenciales son los siguientes:

  • organizations:DisableAWSServiceAccess. También puede utilizar la clave de condición organizations:ServicePrincipal con esta operación para limitar las solicitudes que esas operaciones realizan a una lista de nombres de principal de servicio aprobados. Para obtener más información, consulte Claves de condición.

  • organizations:ListAWSServiceAccessForOrganization – obligatorio si se utiliza la consola de AWS Organizations.

  • Los permisos mínimos necesarios que requiere el servicio de confianza dependen del servicio. Para obtener más información, consulte la documentación del servicio de confianza.

• Si las credenciales que tienen permisos en AWS Organizations no coinciden con las credenciales que tienen permisos en el servicio de confianza, siga estos pasos en el orden que se indica a continuación:

  1. La persona con permisos en el servicio de confianza primero deshabilita el acceso utilizando dicho servicio. Esto indica al servicio de confianza que debe eliminar los recursos necesarios para el acceso de confianza. Para obtener más información, consulte las instrucciones específicas de los servicios en AWS servicios que puede utilizar con AWS Organizations.

  2. La persona con permisos en AWS Organizations podrá entonces utilizar la consola de AWS Organizations, la AWS CLI de o un SDK de AWS para deshabilitar el acceso del servicio de confianza. Esto eliminará los permisos para el servicio de confianza de la organización y las cuentas de esta.

     Los permisos mínimos de AWS Organizations son los siguientes:

     • organizations:DisableAWSServiceAccess

     • organizations:ListAWSServiceAccessForOrganization – obligatorio solo si se utiliza la consola de AWS Organizations.

     Para conocer los pasos para deshabilitar el acceso de confianza en AWS Organizations, consulte Cómo habilitar o deshabilitar el acceso de confianza.

Cómo habilitar o deshabilitar el acceso de confianza

Si solo tiene permisos para AWS Organizations y desea habilitar o deshabilitar el acceso de confianza a la organización en nombre del administrador del otro servicio de AWS, utilice el siguiente procedimiento.

importante

Le recomendamos encarecidamente que, cuando la opción esté disponible, habilite y deshabilite el acceso de confianza mediante solamente la consola del servicio de confianza o sus equivalentes de operación de la API o la AWS CLI. Esto permite al servicio de confianza realizar cualquier inicialización necesaria al habilitar el acceso de confianza, como la creación de los recursos necesarios y la limpieza necesaria de los recursos al deshabilitar el acceso de confianza.

Para obtener información acerca de cómo habilitar o deshabilitar el acceso a servicios de confianza a su organización mediante el servicio de confianza, consulte el vínculo Más información en la columna Admite el acceso de confianza en AWS servicios que puede utilizar con AWS Organizations.

Si deshabilita el acceso mediante la consola de Organizations, los comandos de CLI o las operaciones de API, se producen las siguientes acciones:

• El servicio ya no puede crear un rol vinculado a un servicio en las cuentas de su organización. Esto significa que el servicio no puede realizar operaciones en su nombre en ninguna cuenta nueva de su organización. El servicio aún puede realizar operaciones en cuentas antiguas hasta que el servicio complete su limpieza desde AWS Organizations.

• El servicio ya no puede realizar tareas en las cuentas de miembro de la organización, a menos que esas operaciones estén explícitamente permitidas por las políticas de IAM asociadas a sus roles. Esto incluye cualquier agregación de datos de las cuentas de miembro a la cuenta de administración o a una cuenta de administrador delegada, cuando proceda.

• Algunos servicios detectan esto y limpian los datos o recursos restantes relacionados con la integración, mientras que otros servicios dejan de acceder a la organización pero dejan los datos históricos y la configuración para permitir una posible reactivación de la integración.

En su lugar, el uso de la consola o los comandos del otro servicio para deshabilitar la integración garantiza que el otro servicio pueda limpiar los recursos necesarios solo para la integración. La forma en que el servicio limpia sus recursos en las cuentas de la organización depende de ese servicio. Para obtener más información, consulte la documentación del otro servicio de AWS.

AWS Management Console

Habilitar el acceso al servicio de confianza

1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

2. En la página Servicios, busque la fila del servicio que desea habilitar y elija su nombre.

3. Elija Habilitar acceso de confianza.

4. En el cuadro de diálogo de confirmación, marque la casilla Mostrar la opción para habilitar el acceso de confianza, introduzca enable en el cuadro y, a continuación, elija Permitir el acceso de confianza.

5. Si va a habilitar el acceso, dígale al administrador del otro servicio de AWS que ahora puede habilitar el otro servicio para que funcione con AWS Organizations.

Para deshabilitar el acceso de confianza

1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

2. En la página Servicios, busque la fila del servicio que desea deshabilitar y elija su nombre.

3. Espere a que el administrador del otro servicio le diga que el servicio está desactivado y que sus recursos han sido limpiados.

4. En el cuadro de diálogo de confirmación, ingrese disable en el cuadro y, a continuación, elija Deshabilitar el acceso de confianza.

AWS CLI, AWS API

Para habilitar o deshabilitar el acceso del servicio de confianza

Puede utilizar los siguientes comandos de la AWS CLI o las operaciones de API para habilitar o deshabilitar el acceso del servicio de confianza:

• AWS CLI: AWS organizations enable-aws-service-access

• AWS CLI: AWS organizations disable-aws-service-access

• API de AWS: EnableAWSServiceAccess

• API de AWS: DisableAWSServiceAccess

AWS Organizations y roles vinculados al servicio

AWS Organizations usa funciones vinculadas a servicios de IAM para permitir que los servicios de confianza realicen tareas en su nombre en las cuentas miembro de su organización. Al configurar un servicio de confianza y autorizar su integración con la organización, dicho servicio puede solicitar que AWS Organizations cree una función vinculada a sí mismo en su cuenta miembro. El servicio de confianza realiza acción de forma asíncrona según lo necesite, pero no necesariamente en todas las cuentas de la organización al mismo tiempo. El rol vinculado a servicio tiene permisos de IAM predefinidos que permiten al servicio de confianza realizar solamente tareas específicas en esa cuenta. En general, AWS administra todas las funciones vinculadas a servicios, lo que significa que normalmente no puede modificar las funciones ni las políticas adjuntas.

Para que todo esto sea posible, al crear una cuenta en una organización o aceptar una invitación para unir su cuenta existente a una organización, AWS Organizations aprovisiona la cuenta miembro con un rol vinculado a un servicio denominado AWSServiceRoleForOrganizations. Solo el propio servicio AWS Organizations puede asumir esta función. Este rol tiene permisos que permiten a AWS Organizations crear roles vinculados a servicios para otros servicios de AWS. Este rol vinculado a un servicio está presente en todas las organizaciones.

Aunque no lo recomendamos, si su organización tiene solo las características de facturación unificada habilitadas, el rol vinculado a un servicio denominado AWSServiceRoleForOrganizations no se utiliza nunca y puede eliminarlo. Si más adelante desea habilitar todas las características de la organización, el rol es necesario y debe restaurarlo. Las siguientes comprobaciones se producen cuando inicia el proceso para habilitar todas las características:

• Por cada cuenta miembro que se haya invitado a unirse a la organización – El administrador de dicha cuenta recibe una solicitud para que acepte habilitar todas las características. Para aceptar correctamente la solicitud, el administrador debe tener los permisos organizations:AcceptHandshake e iam:CreateServiceLinkedRole si el rol vinculado a un servicio (AWSServiceRoleForOrganizations) no existe todavía. Si el rol AWSServiceRoleForOrganizations ya existe, el administrador necesita únicamente el permiso organizations:AcceptHandshake para aceptar la solicitud. Si no existe una función vinculada al servicio, AWS Organizations la crea cuando el administrador acepta la solicitud.

• Por cada cuenta miembro que se haya creado en la organización – El administrador de la cuenta recibe una solicitud para volver a crear el rol vinculado al servicio. (El administrador de la cuenta de miembro no recibe una solicitud para habilitar todas las funciones porque el administrador de la cuenta de administración (antes conocida como "cuenta maestra") se considera el propietario de las cuentas de miembro creadas). AWS Organizations crea el rol vinculado al servicio cuando el administrador de la cuenta de miembro acepta la solicitud. El administrador debe tener los permisos organizations:AcceptHandshake e iam:CreateServiceLinkedRole para aceptar correctamente el protocolo de enlace.

Después de habilitar todas las características de su organización, ya no puede eliminar el rol vinculado al servicio AWSServiceRoleForOrganizations de cualquier cuenta.

importante

Las SCP de AWS Organizations nunca afectan a las funciones vinculadas a servicios. Estos roles están exentos de cualquier restricción de las SCP.