Uso compartido de carteras - AWS Service Catalog
Un ccount-to-account intercambioCompartiendo con AWS OrganizationsCompartir TagOptions al compartir carterasCompartir los nombres de entidad principal al compartir carteras

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso compartido de carteras

Para permitir que un AWS Service Catalog administrador de otra AWS cuenta distribuya sus productos a los usuarios finales, comparta su AWS Service Catalog cartera con ellos mediante el uso account-to-account compartido oAWS Organizations.

Cuando compartes una cartera mediante account-to-account sharing u Organizations, compartes una referencia de esa cartera. Los productos y las restricciones de la cartera importada se mantienen sincronizados con los cambios realizados en la cartera compartida, es decir, la cartera original que se ha compartido.

El destinatario no puede cambiar los productos o las restricciones, pero puede agregar acceso de AWS Identity and Access Management a los usuarios finales.

nota

No puede compartir un recurso compartido. Esto incluye carteras que contienen un producto compartido.

Un ccount-to-account intercambio

Para llevar a cabo estos pasos, debe obtener el ID de la cuenta de AWS de destino. Puede encontrar el ID en la página My Account (Mi página) de la AWS Management Console de la cuenta de destino.

Para compartir una cartera con una cuenta de AWS

  1. Abra la consola de Service Catalog en https://console.aws.amazon.com/servicecatalog/.

  2. En el menú de navegación de la izquierda, seleccione Carteras y, a continuación, seleccione la cartera que desea compartir. En el menú Acciones, seleccione Compartir.

  3. En Introducir ID de cuenta, introduzca el ID de cuenta de la cuenta de AWS con la que está compartiendo. (Opcional) Selecciona TagOption Compartir. A continuación, elija Compartir.

  4. Envíe la URL al administrador de AWS Service Catalog de la cuenta de destino. La dirección URL abre la página Importar cartera y proporciona automáticamente el ARN de la cartera compartida.

Importación de una cartera

Si un administrador de AWS Service Catalog de otra cuenta de AWS comparte una cartera con usted, debe importarla a su propia cuenta para poder distribuir los productos que contiene a sus usuarios finales.

No es necesario importar una cartera si la cartera se compartió mediante AWS Organizations.

Para importar la cartera, el administrador debe facilitarle una ID de cartera.

Para ver todas las carteras importadas, abra la consola AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/. En la página Cartera, seleccione la pestaña Importadas. Revise la tabla de Carteras importadas.

Compartiendo con AWS Organizations

Puede compartir carteras de AWS Service Catalog usando AWS Organizations.

En primer lugar, debe decidir si está compartiendo desde la cuenta de o desde una cuenta de administrador delegado. Si no desea compartir desde su cuenta de gestión, registre una cuenta de administrador delegada y úsela para compartirla. Para obtener más información, consulte Registrar un administrador delegado en la Guía del usuario de AWS CloudFormation.

A continuación, debe decidir con quién compartir. Puede compartir con las siguientes entidades:

  • Una cuenta de organización.

  • Una unidad organizativa (OU).

  • La propia organización. (Esto comparte con todas las cuentas de la organización.)

Compartir desde una cuenta de administración

Puede compartir una cartera con una organización cuando use su estructura organizativa o ingrese el ID de un nodo organizacional.

Para compartir una cartera con una organización mediante la estructura organizativa

  1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.

  2. En la página Carteras , seleccione la cartera que desea compartir. En el menú Acciones, seleccione Compartir.

  3. Seleccione AWS Organizations y filtre según su estructura organizativa.

    Puede seleccionar el nodo raíz para compartir la cartera con toda su organización, una unidad organizativa (OU) principal, una OU secundaria o una cuenta de AWS de su organización.

    Al compartir con una unidad organizativa principal, se comparte la cartera con todas las cuentas y unidades organizativas secundarias de esa unidad organizativa principal.

    Puede seleccionar Ver solo cuentas de AWS para ver una lista de todas las cuentas de AWS de su organización.

Para compartir una cartera con una organización, introduzca el ID del nodo organizativo

  1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.

  2. En la página Carteras , seleccione la cartera que desea compartir. En el menú Acciones, seleccione Compartir.

  3. Seleccione el Nodo de la organización.

    Seleccione si desea compartir con toda la organización, una cuenta de AWS de su organización o una unidad organizativa.

    Introduzca el ID del nodo organizativo que ha seleccionado, que encontrará en la consola AWS Organizations en https://console.aws.amazon.com/organizations/.

Compartir desde una cuenta de administrador delegado

La cuenta de gestión de una organización puede registrar y anular el registro de otras cuentas como administradores delegados para la organización.

Un administrador delegado puede compartir recursos de AWS Service Catalog en su organización de la misma manera que una cuenta de gestión. Están autorizados a crear, eliminar y compartir carteras.

Para registrar o anular el registro de un administrador delegado, debe usar la API o la CLI desde la cuenta de gestión. Para obtener más información consulte RegisterDelegatedAdministrator y DeregisterDelegatedAdministrator en la Referencia de la API de AWS Organizations.

nota

Antes de poder designar a un delegado, el administrador debe llamar a EnableAWSOrganizationsAccess.

El procedimiento para compartir una cartera desde una cuenta de administrador delegada es el mismo que compartir desde una cuenta maestra, como se ve anteriormente en Compartir desde una cuenta de administración.

Si se anula el registro de un miembro como administrador delegado, ocurre lo siguiente:

  • Se eliminan las acciones de cartera creadas a partir de esa cuenta.

  • Ya no pueden crear nuevas acciones de cartera.

nota

Si la cartera y las acciones creadas por un administrador delegado no se eliminan después de anular el registro del administrador delegado, registre y anule el registro del administrador delegado de nuevo. Esto eliminará la cartera y las acciones creadas por esa cuenta.

Mover cuentas dentro de su organización

Si mueve una cuenta dentro de su organización, las carteras AWS Service Catalog compartidas con la cuenta podrían cambiar.

Las cuentas solo tienen acceso a las carteras compartidas con la organización o unidad organizativa de destino.

Compartir TagOptions al compartir carteras

Como administrador, puede crear un recurso compartido para TagOptions incluirlo. TagOptions son pares clave-valor que permiten a los administradores:

  • Defina y aplique la taxonomía de las etiquetas.

  • Defina las opciones de etiquetas y asócielas a productos y carteras.

  • Comparta las opciones de etiquetas asociadas a carteras y productos con otras cuentas.

Al añadir o eliminar opciones de etiquetas en la cuenta principal, el cambio aparece automáticamente en las cuentas de los destinatarios. En las cuentas de los destinatarios, cuando un usuario final aprovisiona un producto TagOptions, debe elegir valores para las etiquetas que se convierten en etiquetas del producto aprovisionado.

En las cuentas de destinatarios, los administradores pueden asociar productos locales adicionales TagOptions a su cartera importada para hacer cumplir las reglas de etiquetado específicas de cada cuenta.

nota

Para compartir una cartera, necesita el ID de la cuenta de AWS del consumidor. Busque el ID de la cuenta de AWS en Mi cuenta en la consola.

nota

Si a TagOption tiene un valor único, lo aplica AWS automáticamente durante el proceso de aprovisionamiento.

Para compartir TagOptions al compartir carteras

  1. En el menú de navegación izquierdo, seleccione Carteras.

  2. En Carteras locales, seleccione y abra una cartera.

  3. Seleccione Compartir de la lista anterior y, a continuación, pulse el botón Compartir.

  4. Seleccione compartir con otra cuenta u organización de AWS.

  5. Introduzca el número de identificación de la cuenta de 12 dígitos, seleccione Habilitar y, a continuación, seleccione Compartir.

    La cuenta que ha compartido aparece en la sección Cuentas compartidas con. Indica si están TagOptions habilitados.

También puede actualizar una acción de cartera para incluirla TagOptions. Todo lo TagOptions que pertenece a la cartera y al producto ahora se comparte en esta cuenta.

Para actualizar una cartera, comparta para incluir TagOptions

  1. En el menú de navegación izquierdo, seleccione Carteras.

  2. En Cartera local, seleccione y abra una cartera.

  3. Seleccione Compartir de la lista anterior.

  4. En Cuentas compartidas con, seleccione un ID de cuenta y, a continuación, seleccione Acciones.

  5. Seleccione Actualizar dejar de compartir o Dejar de compartir.

    Al seleccionar Actualizar dejar de compartir, selecciona Activar para iniciar el uso compartido TagOptions. La cuenta que ha compartido aparece en la sección Cuentas compartidas con.

    Al seleccionar Dejar de compartir, confirma que ya no desea compartir la cuenta.

Compartir los nombres de entidad principal al compartir carteras

Como administrador, puede crear una cartera compartida que incluya los nombres de entidad principales. Los nombres de entidad principales son nombres para grupos, funciones y usuarios que los administradores pueden especificar en una cartera y luego compartir con la cartera. Al compartir la cartera, AWS Service Catalog verifica si esos nombres de entidad principal ya existen. Si existen, AWS Service Catalog asocia automáticamente las entidades principales de IAM coincidentes a la cartera compartida para conceder el acceso a los usuarios finales.

nota

Al asociar una entidad principal a una cartera, puede producirse una posible escalada de privilegios cuando esa cartera se comparte con otras cuentas. Para un usuario de una cuenta de destinatario que no sea administrador de AWS Service Catalog, pero que aún pueda crear entidades principales (usuarios/roles), ese usuario podría crear un rol IAM que coincida con la asociación de nombres de entidades principales de la cartera. Si bien es posible que este usuario no sepa qué nombres de entidades principales están asociados a través de AWS Service Catalog, es posible que pueda adivinar el usuario. Si esta posible ruta de escalamiento es motivo de preocupación, AWS Service Catalog recomienda utilizar PrincipalType como IAM. Con esta configuración, el PrincipalARN ya debe existir en la cuenta del destinatario antes de poder asociarla.

Al añadir o eliminar los nombres de entidad principal de la cuenta principal, AWS Service Catalog aplica automáticamente esos cambios a la cuenta del destinatario. Los usuarios de la cuenta destinataria pueden entonces realizar tareas en función de su rol:

  • Los Usuarios finales pueden aprovisionar, actualizar y cancelar el producto de la cartera.

  • Los administradores pueden asociar más entidades principales de IAM a su cartera importada para permitir el acceso a los usuarios finales específicos de esa cuenta.

nota

El uso compartido de nombres de entidad principal solo está disponible para AWS Organizations.

Para compartir los nombres de entidad principal al compartir carteras

  1. En el menú de navegación izquierdo, seleccione Carteras.

  2. En Carteras locales, seleccione la cartera que desea compartir.

  3. En el menú Acciones, elija Compartir.

  4. Seleccione una organización en AWS Organizations.

  5. Seleccione toda la Raíz de la organización, una unidad organizativa (OU) o un miembro de la organización.

  6. En la configuración de compartir, habilite la opción de compartir entidad principal.

También puede actualizar una cartera compartida para incluir el nombre de entidad principal. Esto comparte todos los nombres de entidad principal que pertenecen a esa cartera con la cuenta del destinatario.

Para actualizar una cartera compartida para habilitar o deshabilitar los nombres de entidad principal

  1. En el menú de navegación izquierdo, seleccione Carteras.

  2. En Cartera local, seleccione la cartera que desea actualizar.

  3. Elija la pestaña Compartir.

  4. Seleccione el recurso compartido que desea actualizar y, a continuación, seleccione Compartir.

  5. Seleccione Actualizar el recurso compartido y, a continuación, seleccione Habilitar para iniciar el uso compartido de entidad principal. A continuación, AWS Service Catalog comparte los nombres de entidad principal en las cuentas de los destinatarios.

Deshabilitar el uso compartido de la entidad principal si desea dejar de compartir los nombres de entidad principal con las cuentas de los destinatarios.

Uso de caracteres comodín al compartir nombres de entidad principal

AWS Service Catalog permite conceder acceso a la cartera a los nombres de entidad principal (usuario, grupo o rol) de IAM con caracteres comodín, como ‘*’ o ‘?’. El uso de patrones comodín permite cubrir varios nombres de entidad principal de IAM a la vez. La ruta del ARN y el nombre de la entidad principal permiten caracteres comodín ilimitados.

Ejemplos de un comodín de ARN aceptable:

  • arn:aws:iam:::role/ResourceName_*

  • arn:aws:iam:::role/*/ResourceName_?

Ejemplos de un comodín de ARN inaceptable:

  • arn:aws:iam:::*/ResourceName

En el formato ARN de entidad principal de IAM (arn:partition:iam:::resource-type/resource-path/resource-name), los valores válidos incluyen usuario/, grupo/, o rol/. Los caracteres “?” y “*” solo se permiten después del tipo de recurso en el segmento de identificador del recurso. Puede usar caracteres especiales en cualquier parte del identificador del recurso.

El carácter “*” también coincide con el carácter “/”, lo que permite que se formen rutas dentro del identificador del recurso. Por ejemplo:

arn:aws:iam:::role/*/ResourceName_? coincide tanto con arn:aws:iam:::role/pathA/pathB/ResourceName_1 como con arn:aws:iam:::role/pathA/ResourceName_1.