Habilitar todas las características en la organización - AWS Organizations

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitar todas las características en la organización

AWS Organizations tiene dos conjuntos de características disponibles:

  • All features (Todas las características) – Esta característica es la mejor forma de trabajar con AWS Organizations e incluye las características de facturación unificada. Al crear una organización, habilitar todas las características es la opción predeterminada. Si están habilitadas todas las características, puede utilizar las de administración avanzada de cuentas disponibles en AWS Organizations, tales como las políticas de control de servicios (SCP) y las políticas de etiquetas.

  • Consolidated billing features (Características de facturación unificada) – Todas las organizaciones admiten este subconjunto de características, que proporciona herramientas de administración básicas que puede utilizar para administrar de forma centralizada las cuentas de su organización.

Si crea una organización que solo tenga las características de facturación unificada, podrá habilitar posteriormente todas las características. En esta página se describe el proceso para habilitar todas las características.

Antes de habilitar todas las características

Antes de cambiar de una organización que admite solamente las características de facturación unificada a una organización que admita todas las características, tenga en cuenta lo siguiente:

  • Cuando comienza el proceso para habilitar todas las características, AWS Organizations envía una solicitud a cada cuenta a la que ha invitado a unirse a su organización. Cada cuenta invitada debe aprobar la habilitación de todas las características aceptando la solicitud. Solo entonces podrá completar el proceso para habilitar todas las características en su organización. Si una cuenta rechaza la solicitud, debe eliminar la cuenta de su organización o volver a enviar la solicitud. Se debe aceptar la solicitud antes de que pueda completar el proceso para habilitar todas las características. Las cuentas que ha creado utilizando AWS Organizations no reciben una solicitud porque no necesitan aprobar el control adicional.

  • Las organizaciones también verifican que todas las cuentas tengan un rol vinculado al servicio denominado AWSServiceRoleForOrganizations. Este rol es obligatorio en todas las cuentas para habilitar todas las características. Si elimina el rol en una cuenta invitada, al aceptar la invitación para habilitar todas las características, se vuelve a crear el rol. Si elimina la función en una cuenta creada en AWS Organizations, esa cuenta recibe una invitación específicamente para volver a crear la función. Todas estas invitaciones deben aceptarse para que la organización complete el procedimiento de habilitación de todas las características.

  • Mientras la habilitación de todas las características esté en curso, podrá seguir creando cuentas en la organización, pero no puede invitar a cuentas existentes para que se unan a la organización. Para invitar cuentas es preciso esperar a que el proceso de habilitación de todas las características haya finalizado. Si lo prefiere, puede cancelar el proceso de habilitación de todas las funciones, invitar a las cuentas y, a continuación, reiniciar el proceso para habilitar todas las funciones.

  • Dado que habilitar todas las características permite utilizar SCPs, asegúrese de que los administradores de cuentas comprendan los efectos de asociar SCPs a la organización, las unidades organizativas o las cuentas. SCPs puede restringir lo que los usuarios e incluso los administradores pueden hacer en las cuentas afectadas. Por ejemplo, la cuenta de administración (antes denominada "cuenta maestra") puede aplicar SCPs, lo que puede impedir que las cuentas miembro abandonen la organización.

  • A la cuenta de administración no le afecta ninguna SCP. No puede limitar lo que los usuarios y roles de la cuenta de administración pueden hacer mediante la aplicación de SCPs. SCPs solo afecta a las cuentas miembro.

  • La migración desde las características de facturación unificada a todas las características es unidireccional. No puede revertir una organización con todas las características habilitadas a solo características de facturación unificada.

  • Si en su organización solo están habilitadas las características de facturación unificada, los administradores de la cuenta miembro pueden elegir eliminar el rol vinculado al servicio denominado AWSServiceRoleForOrganizations. Sin embargo, cuando habilita todas las características en una organización, este rol es necesario y se vuelve a crear en todas las cuentas como parte de la aceptación de la invitación para habilitar todas las características. Para obtener más información acerca de cómo AWS Organizations utiliza esta función, consulte AWS Organizations y roles vinculados al servicio.

Comienzo del proceso para habilitar todas las características

A la hora de iniciar sesión con los permisos de la cuenta de administración de su organización, puede comenzar el proceso para habilitar todas las características. Para ello, siga los pasos que se describen a continuación.

Permisos mínimos

Para habilitar todas las características en su organización, debe contar con el permiso siguiente:

  • organizations:EnableAllFeatures

Consola de administración de AWS

Para pedir a las cuentas miembro invitadas que acepten la habilitación de todas las características en la organización

  1. Inicie sesión en la consola de AWS Organizations en https://console.aws.amazon.com/organizations/. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (no se recomienda) en cuenta de administración de la organización.

  2. En la pestaña Settings, elija Begin process to enable all features.

  3. Confirme que entiende que no puede volver a solo las características de facturación consolidada una vez que realice el cambio eligiendo Comenzar el proceso para habilitar todas las características. AWS Organizations envía una solicitud a cada cuenta invitada (no creada) de la organización para pedir que apruebe la habilitación de todas las características en la organización. Si tiene alguna de las cuentas que se han creado utilizando AWS Organizations y el administrador de la cuenta miembro eliminó la función vinculada al servicio denominada AWSServiceRoleForOrganizations, AWS Organizations envía a esa cuenta una solicitud para volver a crear la función.

  4. Para ver el estado de las solicitudes, elija View all feature request approval status.

    La página All feature request approval status muestra el estado de la solicitud actual para cada cuenta de la organización. Las cuentas que han aceptado la solicitud tienen una marca de verificación verde y muestran la fecha Acceptance. Las cuentas que todavía no la han aceptado tienen un icono de signo de exclamación amarillo y muestran la fecha en la que se envió la solicitud con el estado Open.

    nota
    • Cuando se envía la solicitud a las cuentas miembro comienza una cuenta atrás de 90 días. Todas las cuentas deben aprobar la solicitud en ese período de tiempo; en caso contrario, la solicitud caducará. Todas las solicitudes relacionadas con este intento se cancelan y tendrá que empezar con el paso 2.

    • Durante el momento entre el que se realiza la solicitud para habilitar todas las características y cuando todas las cuentas aceptan la solicitud o se agota el tiempo de espera, todas las invitaciones pendientes para que otras cuentas se unan a la organización se cancelan automáticamente. No puede enviar nuevas invitaciones hasta que termine el proceso de activación de todas las características.

    • Después de completar el proceso de activación de todas las características, puede invitar de nuevo a las cuentas a que se unan a la organización. El proceso no cambia, pero todas invitaciones incluyen información que permite a los destinatarios saber que si aceptan la invitación se regirán por las políticas aplicables.

  5. Si una cuenta no aprueba la solicitud, puede seleccionar la cuenta en esta página y, a continuación, elegir Remove (Eliminar). De esta forma, cancelará la solicitud para la cuenta seleccionada y eliminará esa cuenta de la organización, con lo que se eliminará también el bloqueo para activar todas las características.

  6. Una vez que todas las cuentas aprueben las solicitudes, puede finalizar el proceso y habilitar todas las características. También puede finalizar inmediatamente el proceso si su organización no tiene ninguna cuenta miembro invitada. Para finalizar el proceso solo se requiere un par de clics en la consola. Consulte Finalización del proceso para habilitar todas las características.

AWS CLI, AWS API

Para pedir a las cuentas miembro invitadas que acepten la habilitación de todas las características en la organización

Puede utilizar uno de los siguientes comandos para habilitar todas las características de una organización:

Aprobación de la solicitud para habilitar todas las características o volver a crear el rol vinculado al servicio

Puede aprobar una solicitud desde la cuenta de administración iniciando sesión con permisos en una de las cuentas miembro invitadas de la organización. Si su cuenta recibió originalmente una invitación a unirse a la organización, la invitación es para habilitar todas las características y e incluye implícitamente la aprobación para recrear el rol AWSServiceRoleForOrganizations, si es necesario. Si su cuenta se ha creado en AWS Organizations y ha eliminado la función vinculada al servicio AWSServiceRoleForOrganizations, recibirá una invitación únicamente para volver a crear la función. Para ello, siga los pasos que se describen a continuación.

importante

Si realiza los pasos que se indican en el siguiente procedimiento, la cuenta de administración de la organización puede aplicar controles basados en políticas en la cuenta miembro. Estos controles pueden restringir lo que los usuarios e incluso usted como administrador pueden hacer en la cuenta. Esas restricciones pueden impedir que su cuenta abandone la organización.

Permisos mínimos

Para aprobar una solicitud para habilitar todas las características para la cuenta miembro, debe contar con los permisos siguientes:

  • organizations:AcceptHandshake

  • iam:CreateServiceLinkedRole – solo es necesario si la función AWSServiceRoleForOrganizations debe crearse de nuevo en la cuenta miembro.

Consola de administración de AWS

Para aceptar la solicitud para habilitar todas las características de la organización

  1. Inicie sesión en la consola de AWS Organizations en https://console.aws.amazon.com/organizations/. Debe iniciar sesión como usuario de IAM, asumir el rol de IAM o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de miembro.

  2. Lea las implicaciones de aceptar la solicitud de todas las características para su cuenta y después elija Aceptar. La página sigue mostrando el proceso como incompleto hasta que todas las cuentas de la organización acepten las solicitudes y el administrador de la cuenta de administración finalice el proceso.

AWS CLI, AWS API

Para aceptar la solicitud para habilitar todas las características de la organización

Para aceptar la solicitud, debe aceptar el protocolo de enlace con "Action": "APPROVE_ALL_FEATURES".

Finalización del proceso para habilitar todas las características

Todas las cuentas miembro invitadas deben aprobar la solicitud para habilitar todas las características. Si no hay ninguna cuenta miembro invitada en la organización, la página Enable all features progress (Progreso de habilitación de todas las características) indica con un banner verde que puede finalizar el proceso.

Permisos mínimos

Para finalizar el proceso para habilitar todas las características de la organización, debe contar con el permiso siguiente:

  • organizations:AcceptHandshake

Consola de administración de AWS

Para finalizar el proceso para habilitar todas las características

  1. Inicie sesión en la consola de AWS Organizations en https://console.aws.amazon.com/organizations/. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (no se recomienda) en cuenta de administración de la organización.

  2. En la pestaña Settings, en el cuadro ENABLE ALL FEATURES, elija View all feature request approval status.

  3. Después de que todas las cuentas acepten la solicitud para habilitar todas las características, en el cuadro verde situado en la parte superior de la página, elija Finalize process to enable all features (Finalizar el proceso para habilitar todas las características). Cuando se le pida confirmación, elija de nuevo Finalize process to enable all features (Finalizar el proceso para habilitar todas las características).

  4. Ahora, la organización tiene habilitadas todas las características. El siguiente paso consiste en habilitar los tipos de políticas que desea utilizar. A partir de ese punto, puede adjuntar políticas para administrar las cuentas de su organización. Para obtener más información, consulte Administración de políticas de AWS Organizations.

AWS CLI, AWS API

Para finalizar el proceso para habilitar todas las características

Para completar el proceso, debe aceptar el protocolo de enlace con "Action": "ENABLE_ALL_FEATURES".