Acceso a las cuentas miembro de la organización

Al crear una cuenta en la organización, además del usuario raíz, AWS Organizations crea automáticamente un rol de IAM con el nombre predeterminado OrganizationAccountAccessRole. Puede especificar un nombre diferente al crearlo; sin embargo, le recomendamos que le asigne un nombre coherente en todas sus cuentas. En esta guía, haremos referencia al rol por el nombre predeterminado. AWS Organizations no crea ningún otro usuario o rol. Para tener acceso a las cuentas de su organización, debe utilizar uno de los siguientes métodos:

• Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión que tiene acceso completo a todos los recursos y Servicios de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz para sus tareas diarias. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que solo el usuario raíz pueda realizar. Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM. Para obtener recomendaciones de seguridad adicionales para los usuarios raíz, consulte Mejores prácticas para los usuarios raízCuenta de AWS.

• Si crea una cuenta usando las herramientas proporcionadas como parte de AWS Organizations, puede tener acceso a la cuenta usando un rol preconfigurado denominado OrganizationAccountAccessRole que existe en todas las cuentas nuevas que usted crea de esta forma. Para obtener más información, consulte Acceso a una cuenta miembro con un rol de acceso a la cuenta de administración.

• Si invita a una cuenta existente a que se una a su organización y la cuenta acepta la invitación, puede elegir crear un rol de IAM que permita a la cuenta de administración tener acceso a la cuenta de miembro invitada. Se pretende que este rol sea idéntico al rol que se añade automáticamente a una cuenta que se crea con AWS Organizations. Para crear esta función, consulte Crear la OrganizationAccountAccessRole cuenta en un miembro invitado. Después de crear la función, puede tener acceso a él siguiendo los pasos de Acceso a una cuenta miembro con un rol de acceso a la cuenta de administración.

• Utilice AWS IAM Identity Center y habilite el acceso de confianza para IAM Identity Center con AWS Organizations. Los usuarios pueden iniciar sesión en el portal de acceso de AWS con sus credenciales corporativas y acceder a recursos en sus cuentas de administración o de miembro asignadas.

  Para obtener más información, consulte Multi-account permissions (Permisos de varias cuentas) en la Guía del usuario de AWS IAM Identity Center. Para obtener más información acerca de cómo configurar el acceso de confianza para IAM Identity Center, consulte AWS IAM Identity Center y AWS Organizations.

Permisos mínimos

Para tener acceso a una Cuenta de AWS desde cualquier otra cuenta de su organización, debe contar con el permiso siguiente:

• sts:AssumeRole - El elemento Resource debe estar establecido en un asterisco (*) o en el ID de la cuenta con el número de la cuenta con la que el usuario necesita obtener acceso a la nueva cuenta miembro.

Acceso a una cuenta miembro como usuario raíz

Al crear una nueva cuenta, AWS Organizations asigna inicialmente al usuario raíz una contraseña con un mínimo de 64 caracteres. Todos los caracteres se generan de forma aleatoria sin garantías en cuanto al aspecto de determinados conjuntos de caracteres. No puede recuperar esta contraseña inicial. Para obtener acceso a la cuenta como usuario raíz por primera vez, debe seguir el proceso de recuperación de contraseña. Para obtener más información, consulte He olvidado la contraseña de mi usuario root Cuenta de AWS en la Guía del usuario de AWS inicio de sesión.

Notas

• Como práctica recomendada, recomendamos que no utilice el usuario raíz para obtener acceso a su cuenta excepto para crear otros usuarios y funciones con permisos más limitados. A continuación, inicie sesión como uno de los usuarios o roles.

• También le recomendamos que habilite la autenticación multifactor (MFA) en el usuario raíz. Restablezca la contraseña y asigne un dispositivo MFA al usuario raíz.

• Si ha creado una cuenta de miembro en una organización con una dirección de correo electrónico incorrecta, no podrá iniciar sesión en la cuenta como usuario raíz. Póngase en contacto con AWS Billing and Support para obtener ayuda.

Crear la OrganizationAccountAccessRole cuenta en un miembro invitado

De forma predeterminada, si crea una cuenta miembro como parte de su organización, AWS crea automáticamente un rol en la cuenta que concede permisos de administrador a los usuarios de IAM en la cuenta maestra. De forma predeterminada, este rol se denomina OrganizationAccountAccessRole. Para obtener más información, consulte Acceso a una cuenta miembro con un rol de acceso a la cuenta de administración.

Sin embargo, a las cuentas miembro a las que invite a unirse a su organización no se les crea automáticamente un rol de administrador. Tiene que hacerlo manualmente, tal y como se muestra en el siguiente procedimiento. Lo que este procedimiento hace básicamente es duplicar el rol configurado de forma automática para las cuentas creadas. Le recomendamos que utilice el mismo nombre, OrganizationAccountAccessRole, para los roles creados manualmente en aras de la coherencia y para que sea fácil de recordar.

AWS Management Console

Para crear un rol de administrador de AWS Organizations en una cuenta miembro

1. Inicie sesión en la consola de IAM en https://console.aws.amazon.com/iam/. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de miembro. El usuario o el rol deben tener permiso para crear roles y políticas de IAM.

2. En la consola de IAM, vaya a Funciones y, a continuación, seleccione Crear función.

3. Elija y Cuenta de AWS, a continuación, seleccione Otro Cuenta de AWS.

4. Introduzca el número de ID de cuenta de 12 dígitos de la cuenta de administración a la que desea conceder acceso de administrador. En Opciones, ten en cuenta lo siguiente:

   • Para este rol, dado que las cuentas son internas a su empresa, no debe seleccionar Require external ID. Para obtener más información sobre la opción de ID externa, consulta ¿Cuándo debo usar una ID externa? en la Guía del usuario de IAM.

   • Si ha habilitado y configurado MFA, puede elegir que se requiera autenticación mediante un dispositivo MFA. Para obtener más información sobre la MFA, consulte Uso de la autenticación multifactor (MFA) AWS en la Guía del usuario de IAM.

5. Elija Siguiente.

6. En la página Añadir permisos, elija el nombre de la política AWS gestionada AdministratorAccess y, a continuación, seleccione Siguiente.

7. En la página Nombre, revisión y creación, especifique un nombre de rol y una descripción opcional. Le recomendamos que utilice OrganizationAccountAccessRole para mantener la coherencia con el nombre predeterminado asignado al rol en las cuentas nuevas. Para confirmar los cambios, elija Crear rol.

8. Su nuevo rol aparecerá en la lista de roles disponibles. Seleccione el nombre del nuevo rol para ver los detalles y preste especial atención a la URL de enlace facilitada. Entregue esta URL a los usuarios de la cuenta miembro que necesitan tener acceso al rol. Además, anote el Role ARN (ARN de rol), ya que lo necesitará en el paso 15.

9. Inicie sesión en la consola de IAM en https://console.aws.amazon.com/iam/. Esta vez, inicie sesión como usuario de la cuenta de administración con permisos para crear políticas y asignarlas a los usuarios o grupos.

10. Vaya a Políticas y, a continuación, seleccione Crear política.

11. En Service, seleccione STS.

12. En Actions (Acciones), comience a escribir AssumeRole en el cuadro Filter (Filtro) y marque la casilla cuando aparezca.

13. En Recursos, asegúrese de que esté seleccionada la opción Específico y, a continuación, elija Agregar ARN.

14. Escriba su número de ID de cuenta miembro de AWS y, a continuación, el nombre del rol que haya creado anteriormente en los pasos 1-8. Seleccione Agregar ARN.

15. Si está concediendo un permiso para asumir la función en varias cuentas miembro, repita los pasos 14 y 15 para cada cuenta.

16. Elija Siguiente.

17. En la página Revisar y crear, introduzca un nombre para la nueva política y, a continuación, elija Crear política para guardar los cambios.

18. Elija Grupos de usuarios en el panel de navegación y, a continuación, elija el nombre del grupo (no la casilla de verificación) que desee usar para delegar la administración de la cuenta del miembro.

19. Elija la pestaña Permisos.

20. Elija Agregar permisos, elija Adjuntar políticas y, a continuación, seleccione la política que creó en los pasos 11 a 18.

Los usuarios que sean miembros del grupo seleccionado ahora pueden utilizar las direcciones URL que anotó en el paso 9 para obtener acceso al rol de cada cuenta miembro. Pueden obtener acceso a estas cuentas miembro de la misma forma que lo harían si tuvieran acceso a una cuenta que usted haya creado en la organización. Para obtener más información sobre el uso del rol para administrar una cuenta miembro, consulte Acceso a una cuenta miembro con un rol de acceso a la cuenta de administración.

Acceso a una cuenta miembro con un rol de acceso a la cuenta de administración

Cuando crea una cuenta miembro con la consola de AWS Organizations, AWS Organizations crea automáticamente un rol de IAM denominado OrganizationAccountAccessRole en la cuenta. Este rol tiene permisos administrativos completos en la cuenta miembro. El ámbito de acceso de este rol incluye todas las entidades principales de la cuenta de administración, de modo que el rol esté configurado para conceder ese acceso a la cuenta de administración de la organización. Puede crear un rol idéntico para una cuenta miembro invitada siguiendo los pasos que se indican en Crear la OrganizationAccountAccessRole cuenta en un miembro invitado. Para utilizar este rol para tener acceso a la cuenta miembro, debe iniciar sesión como usuario de la cuenta de administración con permisos para asumir el rol. Para configurar estos permisos, siga este procedimiento. Le recomendamos que conceda permisos a los grupos en lugar de a los usuarios para simplificar el mantenimiento.

AWS Management Console

Para conceder permisos a los miembros de un grupo de IAM en la cuenta de administración para tener acceso al rol

1. Inicie sesión en la consola de IAM en https://console.aws.amazon.com/iam/ con un usuario que tenga permisos de administrador en la cuenta de administración. Esto es necesario para delegar permisos al grupo de IAM cuyos usuarios vayan a tener acceso al rol en la cuenta miembro.

2. Comience creando la política administrada que necesitará más tarde en Paso 11.

   En el panel de navegación, elija Policies (Políticas) y, a continuación, seleccione Create policy (Crear política).

3. En la pestaña Editor visual, elija Elegir un servicio, escriba STS en el cuadro de búsqueda para filtrar la lista y, a continuación, elija la opción STS.

4. En la sección Acciones, escribe assume en el cuadro de búsqueda para filtrar la lista y, a continuación, selecciona la AssumeRoleopción.

5. En la sección Recursos, elija Específico, elija Agregar ARN y, a continuación, escriba el número de cuenta del miembro y el nombre del rol que creó en la sección anterior (se recomienda asignarle un nombreOrganizationAccountAccessRole).

6. Seleccione Añadir ARN cuando el cuadro de diálogo muestre el ARN correcto.

7. (Opcional) Si desea requerir Multi-Factor Authentication (MFA) o restringir el acceso al rol desde un intervalo de direcciones IP especificado, expanda la sección Condiciones de solicitud y seleccione las opciones que desee aplicar.

8. Elija Siguiente.

9. En la página Revisar y crear, introduzca un nombre para la nueva política. Por ejemplo: GrantAccessToOrganizationAccountAccessRole. También puede agregar una descripción opcional.

10. Elija Crear política para guardar la nueva política administrada.

11. Ahora que tiene la política disponible, puede asociarla a un grupo.

    En el panel de navegación, elija Grupos de usuarios y, a continuación, elija el nombre del grupo (no de la casilla de verificación) cuyos miembros desee que puedan asumir el rol en la cuenta del miembro. Si es necesario, puede crear un grupo nuevo.

12. Elija la pestaña Permisos, elija Agregar permisos y luego, Asociar políticas.

13. (Opcional) En el cuadro Buscar puede comenzar a escribir el nombre de la política para filtrar la lista hasta que pueda ver el nombre de la política que acaba de crear en Paso 2 mediante Paso 10. También puede filtrar todas las políticas AWS gestionadas seleccionando Todos los tipos y, a continuación, gestionadas por el cliente.

14. Marca la casilla situada junto a tu póliza y, a continuación, selecciona Adjuntar políticas.

Los usuarios de IAM que sean miembros del grupo ahora tendrán permisos para cambiar el nuevo rol en la consola de AWS Organizations siguiendo el procedimiento que se detalla a continuación.

AWS Management Console

Para cambiar al rol de la cuenta miembro

Cuando se utilice el rol, el usuario tendrá permisos de administrador en la nueva cuenta miembro. Indique a los usuarios de IAM que sean miembros del grupo que hagan lo siguiente para cambiar al nuevo rol.

1. En la esquina superior derecha de la consola de AWS Organizations, elija el enlace que contiene el nombre de inicio de sesión y, a continuación, elija Switch Role (Cambiar rol).

2. Escriba el número de ID de la cuenta y el nombre del rol proporcionados por el administrador.

3. En Display Name (Nombre de visualización), escriba el texto que desee mostrar en la barra de navegación en la esquina superior derecha en lugar de su nombre de usuario mientras utiliza la función. Si lo desea, puede elegir un color.

4. Elija Switch Role. Ahora, todas las acciones que realice se harán con los permisos concedidos a la función a la que ha cambiado. Ya no tendrá los permisos asociados a su usuario de IAM original hasta que cambie otra vez a este rol.

5. Cuando haya terminado de realizar acciones que requieran los permisos del rol, puede volver a su usuario de IAM normal. Elige el nombre del rol en la esquina superior derecha (el que hayas especificado como nombre para mostrar) y, a continuación, selecciona Volver a. UserName

Recursos adicionales

• Para obtener más información sobre la concesión de permisos para cambiar de rol, consulte Otorgar permisos a un usuario para cambiar de rol en la Guía del usuario de IAM.

• Para obtener más información sobre el uso de un rol para el que se le han otorgado permisos, consulte Cambiar a un rol (consola) en la Guía del usuario de IAM.

• Para ver un tutorial sobre el uso de roles para el acceso entre cuentas, consulte el Tutorial: Delegar el acceso a través del Cuentas de AWS uso de roles de IAM en la Guía del usuario de IAM.

• Para obtener más información acerca de cómo cerrar Cuentas de AWS, consulte Cierre de una cuenta miembro de la organización.