Administrar los permisos de acceso de una organización con AWS Organizations - AWS Organizations
AWS Organizations recursos y operacionesTitularidad de los recursosAdministración del acceso a los recursosEspecificación de elementos de política: acciones, condiciones, efectos y recursos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administrar los permisos de acceso de una organización con AWS Organizations

Todos los AWS recursos, incluidas las raíces OUs, las cuentas y las políticas de una organización, son propiedad de un Cuenta de AWS, y los permisos para crear un recurso o acceder a ellos se rigen por las políticas de permisos. Para una organización, su cuenta de administración posee todos los recursos. El administrador de una cuenta puede controlar el acceso a AWS los recursos adjuntando políticas de permisos a las identidades de IAM (usuarios, grupos y roles).

nota

Un administrador de la cuenta (o usuario administrador) es un usuario con permisos de administrador. Para obtener más información, consulte las prácticas recomendadas de seguridad en IAM en la AWS Account Management Guía de referencia.

Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen permisos y qué acciones específicas desea permitir en esos recursos.

De forma predeterminada, los usuarios, grupos y roles de IAM no tienen permisos. Como administrador de la cuenta de administración de una organización, puede realizar tareas administrativas o delegar permisos de administrador a otros usuarios o funciones de IAM en la cuenta de administración. Para ello, asocia una política de permisos de IAM a un usuario, grupo o rol de IAM. De forma predeterminada, un usuario no tiene ningún permiso; esto recibe el nombre de denegación implícita. La política invalida la denegación implícita con un permiso explícito que especifica las acciones que puede realizar el usuario y los recursos que puede utilizar en las acciones. Si los permisos se conceden a un rol, los usuarios de otras cuentas de la organización pueden asumir ese rol.

AWS Organizations recursos y operaciones

En esta sección se analiza cómo AWS Organizations los conceptos se corresponden con sus conceptos equivalentes a la IAM.

Recursos

En AWS Organizations, puede controlar el acceso a los siguientes recursos:

  • La raíz y la OUs que componen la estructura jerárquica de una organización

  • Las cuentas que son miembros de la organización

  • Las políticas que adjunta a las entidades de la organización

  • Los protocolos que usa para cambiar el estado de la organización

Cada uno de esos recursos tiene un único nombre de recurso de Amazon (ARN) asociado. El acceso a un recurso se controla especificando su ARN en el elemento Resource de una política de permisos de IAM. Para obtener una lista completa de los formatos de ARN de los recursos que se utilizan AWS Organizations, consulte Tipos de recursos definidos AWS Organizations en la Referencia de autorización de servicio.

Operaciones

AWS proporciona un conjunto de operaciones para trabajar con los recursos de una organización. Estas operaciones le permiten realizar tareas como crear, mostrar, modificar y eliminar recursos y obtener acceso a su contenido. A la mayoría de las operaciones se puede hacer referencia en el elemento Action de una política de IAM para controlar quién puede utilizar dicha operación. Para obtener una lista de las operaciones de AWS Organizations que pueden utilizarse como permisos en una política de IAM, consulte Actions defined by organizations en la Referencia de autorización de servicios.

Al combinar un elemento Action y un elemento Resource en el elemento Statement de una política de permisos, puede controlar exactamente qué recursos de ese conjunto concreto de acciones se pueden usar.

Claves de condición

AWS proporciona claves de condición que puede consultar para proporcionar un control más detallado sobre determinadas acciones. Puede hacer referencia a estas claves de condición en el elemento Condition de una política de IAM para especificar las circunstancias adicionales que se deben cumplir para que se aplique la instrucción.

Las siguientes claves de condición son especialmente útiles en AWS Organizations:

  • aws:PrincipalOrgID - simplifica la especificación del elemento Principal en una política basada en recursos. Esta clave global ofrece una alternativa a enumerar todas IDs las cuentas Cuentas de AWS de una organización. En lugar de mostrar todas las cuentas de la organización, puede especificar el ID de organización en el elemento Condition.

    nota

    Esta condición global también se aplica a la cuenta de administración de una organización.

    Para obtener más información, consulte la descripción de PrincipalOrgID en Claves de contexto de condición globales de AWS en la Guía del usuario de IAM.

  • aws:PrincipalOrgPaths - Utiliza esta clave de condición para hacer coincidir los miembros de una raíz de organización específica, una unidad organizativa o sus secundarias. La clave de condición aws:PrincipalOrgPaths vuelve como verdadera cuando el elemento principal (usuario raíz, usuario o rol de IAM) que realiza la solicitud se encuentra en la ruta de la organización especificada. Una ruta es una representación textual de la estructura de una AWS Organizations entidad. Para obtener más información sobre las rutas, consulte Comprender la ruta de la AWS Organizations entidad en la Guía del usuario de IAM. Para obtener más información sobre el uso de esta clave de condición, consulte aws: PrincipalOrgPaths en la Guía del usuario de IAM.

    Por ejemplo, el siguiente elemento de condición coincide con los miembros de cualquiera de las dos organizaciones OUs de la misma organización.

                "Condition": {
                "ForAnyValue:StringLike": {
                    "aws:PrincipalOrgPaths": [
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
                    ]
                }
            }

  • organizations:PolicyType - Puede utilizar esta clave de condición para restringir las operaciones de API relacionadas con la política de Organizations para que funcionen únicamente en políticas de Organizations del tipo especificado. Puede aplicar esta clave de condición a cualquier instrucción de política que incluya una acción que interactúe con las políticas de Organizations.

    Puede utilizar los siguientes valores con esta clave de condición:

    • SERVICE_CONTROL_POLICY

    • RESOURCE_CONTROL_POLICY

    • DECLARATIVE_POLICY_EC2

    • BACKUP_POLICY

    • TAG_POLICY

    • CHATBOT_POLICY

    • AISERVICES_OPT_OUT_POLICY

    Por ejemplo, la siguiente política de ejemplo permite al usuario realizar cualquier operación de Organizations. Sin embargo, si el usuario realiza una operación que toma un argumento de política, la operación solo se permite si la política especificada es una política de etiquetado. La operación produce un error si el usuario especifica cualquier otro tipo de política.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
            "Effect": "Allow",
            "Action": "organizations:*",
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:PolicyType": [ "TAG_POLICY" ]
                }
            }
        }
    ]
}

  • organizations:ServicePrincipal— Disponible como condición si utiliza las operaciones Habilitar el AWSService acceso o Deshabilitar el AWSService acceso para habilitar o deshabilitar el acceso de confianza con otros AWS servicios. Puede utilizar organizations:ServicePrincipal para limitar las solicitudes que esas operaciones realizan a una lista de nombres de principal de servicio aprobados.

    Por ejemplo, la siguiente política permite al usuario especificar únicamente AWS Firewall Manager cuándo habilitar o deshabilitar el acceso de confianza con AWS Organizations.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowOnlyAWSFirewallIntegration",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
                }
            }
        }
    ]
}

Para ver una lista de todas las claves de AWS Organizations condición específicas que se pueden usar como permisos en una política de IAM, consulte las claves de condición de la Referencia de AWS Organizations autorización de servicios.

Titularidad de los recursos

Cuenta de AWS Es propietario de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es el Cuenta de AWS de la entidad principal (es decir, el usuario raíz, un usuario de IAM o un rol de IAM) que autentica la solicitud de creación de recursos. En el caso de una organización, siempre es la cuenta de administración. No puede llamar a la mayoría de las operaciones que crean o tiene acceso a los recursos de la organización desde las cuentas de miembro. Los siguientes ejemplos ilustran cómo funciona:

  • Si utiliza las credenciales de cuenta raíz de su cuenta de administración para crear una unidad organizativa, su cuenta de administración será la propietaria del recurso. (En AWS Organizations, el recurso es la OU).

  • Si crea un usuario de IAM en su cuenta de administración y le concede permisos para crear unidades organizativas, este puede crearlas. Sin embargo, la cuenta de administración, a la que pertenece el usuario, es la propietaria del recurso de unidad organizativa.

  • Si crea un rol de IAM en su cuenta de administración con permisos para crear unidades organizativas, cualquier persona puede asumir el rol y crearlos. La cuenta de administración, a la que pertenece el rol (y no el usuario que lo asume), es la propietaria del recurso de unidad organizativa.

Administración del acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se analiza el uso de la IAM en el contexto de AWS Organizations. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte la Guía del usuario de IAM. Para obtener información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte Referencia de políticas JSON de IAM en la Guía del usuario de IAM.

Las políticas que se asocian a una identidad de IAM se denominan políticas basadas en la identidad (políticas de IAM). Las políticas que se asocian a un recurso se denominan políticas basadas en recursos. AWS Organizations solamente admite las políticas basadas en identidades (políticas de IAM).

Políticas basadas en permiso de identidades (políticas de IAM)

Puede adjuntar políticas a las identidades de IAM para permitir que esas identidades realicen operaciones en AWS los recursos. Por ejemplo, puede hacer lo siguiente:

  • Adjunte una política de permisos a un usuario o grupo de su cuenta: para conceder a un usuario permisos para crear un AWS Organizations recurso, como una política de control de servicios (SCP) o una OU, puede adjuntar una política de permisos a un usuario o grupo al que pertenezca el usuario. El usuario o grupo debe estar en la organización de la cuenta de administración.

  • Asociar una política de permisos a un rol (conceder permisos entre cuentas): puede asociar una política de permisos basada en la identidad a un rol de IAM para conceder acceso entre cuentas a una organización. Por ejemplo, el administrador de la cuenta de administración puede crear un rol para conceder permisos entre cuentas a un usuario de una cuenta de miembro de la siguiente manera:

    1. El administrador de la cuenta de administración crea un rol de IAM y asocia una política de permisos al rol, que concede permisos a los recursos de la organización.

    2. El administrador de la cuenta de administración asocia una política de confianza al rol, que identifica el ID de la cuenta de miembro como la entidad Principal, la cual puede asumir el rol.

    3. El administrador de la cuenta de miembro puede delegar entonces permisos para asumir el rol a cualquier usuario de la cuenta de miembro. Esto permite a los usuarios de la cuenta de miembro crear o tener acceso a los recursos de la cuenta de administración y la organización. El principal de la política de confianza también puede ser el principal de un AWS servicio si quieres conceder permisos a un AWS servicio para que asuma esa función.

    Para obtener más información sobre el uso de IAM para delegar permisos, consulte Administración de accesos en la Guía del usuario de IAM.

A continuación se ofrecen ejemplos de políticas que permite a un usuario realizar la acción CreateAccount en su organización.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"Stmt1OrgPermissions",
         "Effect":"Allow",
         "Action":[
            "organizations:CreateAccount"
         ],
         "Resource":"*"
      }
   ]
}

También puede facilitar un ARN parcial en el elemento Resource de la política para indicar el tipo de recurso.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowCreatingAccountsOnResource",
         "Effect":"Allow",
         "Action":"organizations:CreateAccount",
         "Resource":"arn:aws:organizations::*:account/*"
      }
   ]
}

También puede denegar la creación de cuentas que no incluyan etiquetas específicas en la cuenta que se está creando.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
         "Effect":"Deny",
         "Action":"organizations:CreateAccount",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/key":"value"
            }
         }
      }
   ]
}

Para obtener más información acerca de los usuarios, los grupos, los roles y los permisos, consulte Identidades de IAM (usuarios, grupos y roles) en la Guía del usuario de IAM.

Políticas basadas en recursos

Algunos servicios, como Amazon S3, admiten políticas de permisos basadas en recursos. Por ejemplo, puede adjuntar una política a un bucket de Amazon S3 para gestionar los permisos de acceso a ese bucket. AWS Organizations actualmente no admite políticas basadas en recursos.

Especificación de elementos de política: acciones, condiciones, efectos y recursos

Para cada AWS Organizations recurso, el servicio define un conjunto de operaciones o acciones de la API que pueden interactuar con ese recurso o manipularlo de alguna manera. Para conceder permisos para estas operaciones, AWS Organizations define un conjunto de acciones que puede especificar en una política. Por ejemplo, para el recurso OU, AWS Organizations define acciones como las siguientes:

  • AttachPolicy y DetachPolicy

  • CreateOrganizationalUnit y DeleteOrganizationalUnit

  • ListOrganizationalUnits y DescribeOrganizationalUnit

En algunos casos, la ejecución de una operación de la API podría requerir permisos para más de una acción y podría necesitar permisos para más de un recurso.

A continuación se indican los aspectos más básicos que puede utilizar en una política de permisos de IAM:

  • Action - Puede utilizar esta palabra clave para identificar las operaciones (acciones) que desea permitir o denegar. Por ejemplo, según lo especificadoEffect, organizations:CreateAccount permite o deniega al usuario los permisos para realizar la AWS Organizations CreateAccount operación. Para obtener más información, consulte Elementos de política JSON de IAM: Action en la Guía del usuario de IAM.

  • Resource - Utilice esta palabra clave para especificar el ARN del recurso al que se aplica la instrucción de la política. Para obtener más información, consulte Elementos de política JSON de IAM: Resource en la Guía del usuario de IAM.

  • Condition - Utilice esta palabra clave para especificar condiciones adicionales que se deben cumplir para que la instrucción de política sea aplicable. Condition suele especificar circunstancias adicionales que deben estar definidas como "true" para que la política coincida. Para obtener más información, consulta Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.

  • Effect - Puede utilizar esta palabra clave para especificar si la instrucción de la política permite o deniega la acción en el recurso. Si no concede acceso de forma explícita (o permite) un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso; de esta forma, se asegurará de que un usuario no pueda realizar la acción especificada en el recurso especificado, incluso si otra política otorga acceso. Para obtener más información, consulte Elementos de política JSON de IAM: Effect en la Guía del usuario de IAM.

  • Principal: en las políticas basadas en la identidad (políticas de IAM), el usuario al que se asocia esta política es de forma automática e implícita la entidad principal. En el caso de las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad para la que desea recibir los permisos (solo se aplica a las políticas basadas en recursos). AWS Organizations actualmente solo admite políticas basadas en la identidad, no en políticas basadas en recursos.

Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte Referencia de políticas JSON de IAM en la Guía del usuario de IAM.