Habilitar todas las características en la organización - AWS Organizations

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitar todas las características en la organización

AWS Organizations tiene dos conjuntos de funciones disponibles:

Si crea una organización que solo tenga las características de facturación unificada, podrá habilitar posteriormente todas las características. En esta página se describe el proceso para habilitar todas las características.

Antes de habilitar todas las características

Antes de cambiar de una organización que admite solamente las características de facturación unificada a una organización que admita todas las características, tenga en cuenta lo siguiente:

  • Al iniciar el proceso para habilitar todas las funciones, AWS Organizations envía una solicitud a cada cuenta de miembro que haya invitado a unirse a su organización. Cada cuenta invitada debe aprobar la habilitación de todas las características aceptando la solicitud. Solo entonces podrá completar el proceso para habilitar todas las características en su organización. Si una cuenta rechaza la solicitud, debe eliminar la cuenta de su organización o volver a enviar la solicitud. Se debe aceptar la solicitud antes de que pueda completar el proceso para habilitar todas las características. Las cuentas que ha creado utilizando AWS Organizations no reciben una solicitud porque no necesitan aprobar el control adicional.

  • Puede seguir invitando cuentas a su organización mientras habilita todas las funciones. La invitación informa al propietario de una cuenta invitada si se está uniendo a una organización con solo facturación unificada o con todas las funciones habilitadas.

    • Si invita a una cuenta durante el proceso para habilitar todas las características, la invitación indica que la organización a la que se unen tiene todas las características habilitadas. Si cancela el proceso para habilitar todas las funciones antes de que la cuenta acepte la invitación, dicha invitación se cancelará. Solo debe invitar a la cuenta para que sea miembro de una organización con características de facturación unificada.

    • Si invita a una cuenta y la invitación aún no está aceptada antes de que inicie el proceso para habilitar todas las características, esa invitación se cancela porque la invitación indica que la organización solo tiene funciones de facturación unificada. Debe invitar de nuevo a la cuenta para que sea miembro de una organización con todas las características habilitadas.

  • También puede seguir creando cuentas en la organización. Ese proceso no se ve afectado por este cambio.

  • AWS Organizations verifica que cada cuenta de miembro tenga un rol vinculado al servicio denominado. AWSServiceRoleForOrganizations Este rol es obligatorio en todas las cuentas para habilitar todas las características. Si elimina el rol en una cuenta invitada, al aceptar la invitación para habilitar todas las características, se vuelve a crear el rol. Si eliminaste el rol de una cuenta que se creó usando AWS Organizations, esa cuenta recibirá una invitación específica para volver a crear ese rol. Todas estas invitaciones deben aceptarse para que la organización complete el procedimiento de habilitación de todas las características.

  • Dado que habilitar todas las características permite utilizar SCP, asegúrese de que los administradores de su cuenta comprendan los efectos de asociar SCP a la organización, las unidades organizativas o las cuentas. Las SCP pueden restringir lo que los usuarios e incluso los administradores pueden hacer en las cuentas afectadas. Por ejemplo, la cuenta de administración puede aplicar SCP que impidan a las cuentas miembro abandonar la organización.

  • La cuenta de administración no se ve afectada por ninguna SCP. No puede limitar lo que los usuarios y roles de la cuenta de administración pueden hacer mediante la aplicación de políticas SCP. Las políticas SCP afectan únicamente a las cuentas miembro.

  • La migración desde las características de facturación unificada a todas las características es unidireccional. No puede revertir una organización con todas las características habilitadas a solo características de facturación unificada.

  • (No recomendado) Si en su organización solo están habilitadas las características de facturación unificada, los administradores de las cuentas miembro pueden eliminar, si lo desean, el rol vinculado al servicio denominado AWSServiceRoleForOrganizations. Si luego elige habilitar todas las características de una organización, este rol es necesario y se vuelve a crear en todas las cuentas como parte de la aceptación de la invitación para habilitar todas las características. Para obtener más información sobre cómo se AWS Organizations usa este rol, consulteAWS Organizations y roles vinculados al servicio.

Comienzo del proceso para habilitar todas las características

Puede iniciar el proceso para habilitar todas las características iniciando sesión en la cuenta de administración de la organización. Para ello, siga los pasos que se describen a continuación.

Permisos mínimos

Para habilitar todas las características en su organización, debe contar con el permiso siguiente:

  • organizations:EnableAllFeatures

  • organizations:DescribeOrganization: solo se requiere cuando se utiliza la consola de Organizations

AWS Management Console
Para pedir a las cuentas miembro invitadas que acepten la habilitación de todas las características en la organización
  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Configuración, elija Iniciar proceso para habilitar todas las características.

  3. En la página Habilitar todas las características, confirme que entiende que no puede volver a las características de facturación unificada después de cambiar seleccionando Iniciar proceso para habilitar todas las características.

    AWS Organizations envía una solicitud a todas las cuentas invitadas (no creadas) de la organización solicitando su aprobación para habilitar todas las funciones de la organización. Si tiene alguna cuenta que se haya creado utilizando la función vinculada al servicio nombrada AWS Organizations y el administrador de la cuenta miembro la ha eliminadoAWSServiceRoleForOrganizations, AWS Organizations envía a esa cuenta una solicitud para volver a crear la función.

    La consola muestra la lista de Estado de las solicitudes de aprobación para las cuentas invitadas.

    sugerencia

    Para volver a esta página más adelante, abra la página Configuración y en la sección de Solicitud enviada fecha, elija Ver estado.

  4. La página Habilitar todas las características muestra el estado de la solicitud actual para cada cuenta de la organización. Las cuentas que han aceptado la solicitud muestran un estado de ACEPTADA. Las cuentas que aún no han acordado muestran un estado de ABIERTA.

AWS CLI & AWS SDKs
Para pedir a las cuentas miembro invitadas que acepten la habilitación de todas las características en la organización

Puede utilizar uno de los siguientes comandos para habilitar todas las características de una organización:

  • AWS CLI: enable-all-features

    El siguiente comando inicia el proceso para habilitar todas las características en la organización.

    $ aws organizations enable-all-features { "Handshake": { "Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "REQUESTED", "RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00", "ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-a1b2c3d4e5", "Type": "ORGANIZATION" } ] } }

    El resultado muestra los detalles del apretón de manos que las cuentas de miembro invitadas deben aceptar.

  • AWS SDK: EnableAllFeatures

Notas
  • Cuando se envía la solicitud a las cuentas miembro comienza una cuenta atrás de 90 días. Todas las cuentas deben aprobar la solicitud en ese período de tiempo; en caso contrario, la solicitud caducará. Si la solicitud expira, todas las solicitudes relacionadas con este intento se cancelan y tendrá que empezar con el paso 2.

  • Cuando realice la solicitud para habilitar todas las funciones, se cancelarán todas las invitaciones a cuentas existentes que no se hayan aceptado.

  • Durante el proceso de migración de todas las funciones, aún puede iniciar invitaciones nuevas a cuentas y crear cuentas nuevas.

Después de que todas las cuentas invitadas de la organización aprueben sus solicitudes, puede finalizar el proceso y habilitar todas las características. También puede finalizar inmediatamente el proceso si su organización no tiene ninguna cuenta miembro invitada. Para finalizar el proceso, continúe con Finalización del proceso para habilitar todas las características.

Aprobación de la solicitud para habilitar todas las características o volver a crear el rol vinculado al servicio

Cuando inicia sesión en una de las cuentas miembro invitadas de la organización, puede aprobar una solicitud desde una cuenta de administración. Si su cuenta recibió originalmente una invitación a unirse a la organización, la invitación es para habilitar todas las características y e incluye implícitamente la aprobación para recrear el rol AWSServiceRoleForOrganizations, si es necesario. Si, en cambio, tu cuenta se creó utilizando el rol AWSServiceRoleForOrganizations vinculado al servicio AWS Organizations y lo eliminaste, solo recibirás una invitación para volver a crear el rol. Para ello, siga los pasos que se describen a continuación.

importante

Si habilita todas las funciones, la cuenta de administración de la organización puede aplicar controles basados en políticas a la cuenta miembro. Estos controles pueden restringir lo que los usuarios e incluso usted como administrador pueden hacer en la cuenta. Estas restricciones podrían impedir que su cuenta abandonara la organización.

Permisos mínimos

Para aprobar una solicitud para habilitar todas las características para la cuenta miembro, debe contar con los permisos siguientes:

  • organizations:AcceptHandshake

  • organizations:DescribeOrganization: solo se requiere cuando se utiliza la consola de Organizations

  • organizations:ListHandshakesForAccount: solo se requiere cuando se utiliza la consola de Organizations

  • iam:CreateServiceLinkedRole: solo es necesario si el rol AWSServiceRoleForOrganizations debe crearse de nuevo en la cuenta miembro.

AWS Management Console
Para aceptar la solicitud para habilitar todas las características de la organización
  1. Inicia sesión en la consola desde la AWS Organizations consola.AWS Organizations Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en una cuenta de miembro.

  2. Lea las implicaciones de aceptar la solicitud de todas las características para su cuenta y después elija Aceptar. La página muestra el proceso como incompleto hasta que todas las cuentas de la organización aceptan las solicitudes y el administrador de la cuenta de administración finaliza el proceso.

AWS CLI & AWS SDKs
Para aceptar la solicitud para habilitar todas las características de la organización

Para aceptar la solicitud, debe aceptar el protocolo de enlace con "Action": "APPROVE_ALL_FEATURES".

  • AWS CLI:

    En el ejemplo siguiente se indica cómo enumerar los protocolo de enlace disponibles para su cuenta. El valor de "Id" en la cuarta línea de la salida es el valor que necesita para el siguiente comando.

    $ aws organizations list-handshakes-for-account { "Handshakes": [ { "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" }, { "Id": "111122223333", "Type": "ACCOUNT" } ], "State": "OPEN", "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00", "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00", "Action": "APPROVE_ALL_FEATURES", "Resources": [ { "Value": "c440da758cab44068cdafc812EXAMPLE", "Type": "PARENT_HANDSHAKE" }, { "Value": "o-aa111bb222", "Type": "ORGANIZATION" }, { "Value": "111122223333", "Type": "ACCOUNT" } ] } ] }

    En el siguiente ejemplo se utiliza el ID del protocolo de enlace del comando anterior para aceptar ese protocolo de enlace.

    $ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE { "Handshake": { "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" }, { "Id": "111122223333", "Type": "ACCOUNT" } ], "State": "ACCEPTED", "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00", "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00", "Action": "APPROVE_ALL_FEATURES", "Resources": [ { "Value": "c440da758cab44068cdafc812EXAMPLE", "Type": "PARENT_HANDSHAKE" }, { "Value": "o-aa111bb222", "Type": "ORGANIZATION" }, { "Value": "111122223333", "Type": "ACCOUNT" } ] } }
  • AWS SDK:

Finalización del proceso para habilitar todas las características

Todas las cuentas miembro invitadas deben aprobar la solicitud para habilitar todas las características. Si no hay ninguna cuenta miembro invitada en la organización, la página Enable all features progress (Progreso de habilitación de todas las características) indica con un banner verde que puede finalizar el proceso.

Permisos mínimos

Para finalizar el proceso para habilitar todas las características de la organización, debe contar con el permiso siguiente:

  • organizations:AcceptHandshake

  • organizations:ListHandshakesForOrganization

  • organizations:DescribeOrganization: solo se requiere cuando se utiliza la consola de Organizations

AWS Management Console
Para finalizar el proceso para habilitar todas las características
  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Configuración, si todas las cuentas invitadas aceptan la solicitud para habilitar todas las características, aparecerá un cuadro verde situado en la parte superior de la página para informarle. En el cuadro verde, elija Ir a finalizar.

  3. En la página Habilitar todas las características, elija Finalizar y, a continuación, en el cuadro de diálogo de confirmación, elija Finalizar de nuevo.

  4. Ahora, la organización tiene habilitadas todas las características.

AWS CLI & AWS SDKs
Para finalizar el proceso para habilitar todas las características

Para completar el proceso, debe aceptar el protocolo de enlace con "Action": "ENABLE_ALL_FEATURES".

  • AWS CLI:

    $ aws organizations list-handshakes-for-organization { "Handshakes": [ { "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "OPEN", "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00", "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-aa111bb222", "Type": "ORGANIZATION" } ] } ] }

    En el ejemplo siguiente se indica cómo enumerar los protocolo de enlace disponibles para la organización. El valor de "Id" en la cuarta línea de la salida es el valor que necesita para el siguiente comando.

    $ aws organizations accept-handshake \ --handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE { "Handshake": { "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "ACCEPTED", "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00", "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-aa111bb222", "Type": "ORGANIZATION" } ] } }
  • AWS SDK:

Los siguientes pasos: