Delegue quién puede asignar el acceso de inicio de sesión único a los usuarios y grupos de la cuenta de administración - AWS IAM Identity Center

Delegue quién puede asignar el acceso de inicio de sesión único a los usuarios y grupos de la cuenta de administración

La concesión de acceso de inicio de sesión único a la cuenta de administración utilizando la consola de Centro de identidades de IAM es una acción que requiere privilegios. De forma predeterminada, solo Usuario raíz de la cuenta de AWS o un usuario que tenga asociadas las políticas administradas de AWS SSOMasterAccountAdministrator y IAMFullAccess de AWS pueden conceder acceso de inicio de sesión único a la cuenta de administración. Las políticas de AWS SSOMasterAccountAdministrator y IAMFullAccess gestionan el acceso mediante inicio de sesión único a la cuenta de administración de una organización de AWS Organizations.

Siga los pasos que se describen a continuación para delegar permisos para administrar el acceso de inicio de sesión único a los usuarios y grupos en su directorio.

Para otorgar permisos para administrar el acceso de inicio de sesión único a los usuarios y grupos del directorio

  1. Inicie sesión en la consola de Centro de identidades de IAM como usuario raíz de la cuenta de administración o con otro usuario que tenga permisos de administrador en la cuenta de administración.

  2. Siga los pasos que se indican en Crea un conjunto de permisos. para crear un conjunto de permisos y, a continuación, haga lo siguiente:

    1. En la página Crear un conjunto de permisos nuevo, active la casilla Crear un conjunto de permisos personalizado y, a continuación, elija Siguiente: Detalles.

    2. En la página Crear un nuevo conjunto de permisos, especifique un nombre para el conjunto de permisos personalizado y, si lo desea, una descripción. Si es necesario, modifique la duración de la sesión y especifique una URL de estado de retransmisión.

      nota

      Para la URL del estado de retransmisión, debe especificar una URL que esté en la AWS Management Console. Por ejemplo:

      https://console.aws.amazon.com/ec2/

      Para obtener más información, consulte Configure el estado de la retransmisión para acceder rápidamente a AWS Management Console.

    3. En ¿Qué políticas desea incluir en su conjunto de permisos?, active la casilla Adjuntar políticas administradas de AWS.

    4. En la lista de políticas de IAM, elija tanto las políticas administradas SOMasterAccountAdministrator como IAMFullAccess de AWS. Estas políticas conceden permisos a todos los usuarios a los que se les asigne acceso a este conjunto de permisos en el futuro.

    5. Elija Siguiente: etiquetas.

    6. En Añadir etiquetas (opcional), especifique los valores de clave y valor (opcional) y, a continuación, seleccione Siguiente: revisar. Para obtener más información acerca de las etiquetas, consulte Etiquetado de recursos de AWS IAM Identity Center.

    7. Revise las selecciones y, a continuación, elija Crear.

  3. Siga los pasos que se indican en Asignación de acceso a usuarios a Cuentas de AWS para asignar los usuarios y grupos adecuados al conjunto de permisos que acaba de crear.

  4. Informe a los usuarios asignados de que, cuando inicien sesión en el portal de acceso AWS y seleccionen la pestaña Cuentas, deberán elegir el nombre de característica adecuado para autenticarse con los permisos que usted acaba de delegar.