Acceso mediante inicio de sesión único a Cuentas de AWS

Puede asignar permisos a los usuarios de su directorio conectado a la cuenta de administración o a las cuentas de los miembros de su organización en AWS Organizations función de las funciones laborales más comunes. También puede utilizar permisos personalizados para satisfacer sus requisitos de seguridad específicos. Por ejemplo, puede conceder a los administradores de bases de datos permisos amplios a Amazon RDS en las cuentas de desarrollo pero limitar sus permisos en las cuentas de producción. IAM Identity Center configura todos los permisos de usuario necesarios en sus cuentas de Cuentas de AWS de forma automática.

nota

Puede que tengas que conceder permisos a los usuarios o grupos para operar en la cuenta AWS Organizations de administración. Como se trata de una cuenta con muchos privilegios, las restricciones de seguridad adicionales requieren que tengas la FullAccess política de IAM o permisos equivalentes antes de poder configurarla. Estas restricciones de seguridad adicionales no son obligatorias para ninguna de las cuentas de los miembros de su AWS organización.

Asigne el acceso de los usuarios a Cuentas de AWS

Utilice el siguiente procedimiento para asignar el acceso de inicio de sesión único a usuarios y grupos del directorio conectado y para utilizar conjuntos de permisos para determinar su nivel de acceso.

Para comprobar el acceso existente de usuarios y grupos, consulteVea las asignaciones de usuarios y grupos.

nota

Para simplificar la administración de los permisos de acceso, se recomienda asignar el acceso directamente a grupos en lugar de a usuarios individuales. Con los grupos puede conceder o denegar permisos para grupos de usuarios en lugar de asignar esos permisos a cada individuo. Si un usuario se va a otra organización, basta con cambiarlo a un grupo diferente y automáticamente recibirá los permisos necesarios para la nueva organización.

Para asignar el acceso de usuario o grupo a Cuentas de AWS

1. Abra la consola de IAM Identity Center

   nota

   Antes de continuar con el paso siguiente, compruebe que la consola de IAM Identity Center utiliza alguna de las regiones donde se encuentra su directorio AWS Managed Microsoft AD .

2. En el panel de navegación, en Permisos para varias cuentas, elijaCuentas de AWS.

3. En la página Cuentas de AWS, aparece una lista de su organización en forma de árbol. Seleccione la casilla de verificación situada junto a una o varias Cuentas de AWS a las que desea asignar el acceso de inicio de sesión único.

   nota

   Puede seleccionar hasta 10 Cuentas de AWS a la vez por conjunto de permisos al asignar el acceso de inicio de sesión único a los usuarios y grupos. Para asignar más de 10 Cuentas de AWS al mismo conjunto de usuarios y grupos, repita este procedimiento según sea necesario para las cuentas adicionales. Cuando se le solicite, seleccione los mismos usuarios, grupos y conjunto de permisos.

4. Seleccione Asignar usuarios o grupos.

5. Para el Paso 1: seleccionar usuarios y grupos, en la página Asignar usuarios y grupos a "AWS nombre-de-cuenta", haga lo siguiente:

   1. En la pestaña Usuarios, seleccione uno o más usuarios a los que desee conceder el acceso de inicio de sesión único.

      Para filtrar los resultados, escriba el nombre del usuario que desea en el cuadro de búsqueda.

   2. En la pestaña Grupos, seleccione uno o más grupos a los que desee conceder el acceso de inicio de sesión único.

      Para filtrar los resultados, escriba el nombre del grupo que desea en el cuadro de búsqueda.

   3. Para mostrar los usuarios y grupos que ha seleccionado, elija el triángulo lateral situado junto a Usuarios y grupos seleccionados.

   4. Tras confirmar que se haya seleccionado los usuarios y grupos correctos, seleccione Siguiente.

6. Para el paso 2: seleccionar conjuntos de permisos, en la página Asignar conjuntos de permisos a “AWS-account-name”, haga lo siguiente:

   1. Seleccione uno o varios conjuntos de permisos. Si es necesario, puede crear y seleccionar nuevos conjuntos de permisos.

      • Para seleccionar uno o más conjuntos de permisos existentes, en Conjuntos de permisos, seleccione los conjuntos de permisos que desee aplicar a los usuarios y grupos que seleccionó en el paso anterior.

      • Para crear uno o más conjuntos de permisos nuevos, elija Crear conjunto de permisos y siga los pasos que se indican en Crea un conjunto de permisos.. Tras crear los conjuntos de permisos que desea aplicar, en la consola de IAM Identity Center, vuelva a las Cuentas de AWS y siga las instrucciones hasta llegar al paso 2: seleccionar conjuntos de permisos. Cuando llegue a este paso, seleccione los nuevos conjuntos de permisos que ha creado y continúe con el siguiente paso de este procedimiento.

   2. Tras confirmar que se haya seleccionado los conjuntos de permisos correctos, seleccione Siguiente.

7. Para el Paso 3: Revisar y enviar, en la página Revisar y enviar las tareas a "AWS-nombre-de-cuenta", haga lo siguiente:

   1. Revise los usuarios, grupos y los conjuntos de permisos seleccionados.

   2. Tras confirmar que se haya seleccionado los usuarios, grupos y los conjuntos de permisos correctos, seleccione Enviar.

      importante

      El proceso de asignación de usuarios y grupos puede tardar unos minutos en completarse. Es importante que deje esta página abierta hasta que se complete el proceso correctamente.

      nota

      Puede que tenga que conceder permisos a los usuarios o grupos para operar en la cuenta AWS Organizations de administración. Como se trata de una cuenta con muchos privilegios, las restricciones de seguridad adicionales requieren que tengas la FullAccess política de IAM o permisos equivalentes antes de poder configurarla. Estas restricciones de seguridad adicionales no son obligatorias para ninguna de las cuentas de los miembros de su AWS organización.

Elimine el acceso de usuarios y grupos

Utilice este procedimiento para eliminar el acceso de inicio de sesión único a uno o varios usuarios y grupos del directorio conectado. Cuenta de AWS

Para eliminar el acceso de usuarios y grupos a un Cuenta de AWS

1. Abra la consola de IAM Identity Center.

2. En el panel de navegación, en Permisos para varias cuentas, elijaCuentas de AWS.

3. En la página Cuentas de AWS, aparece una lista de su organización en forma de árbol. Seleccione el nombre del grupo Cuenta de AWS que contiene los usuarios y grupos a los que desea eliminar el acceso de inicio de sesión único.

4. En la página de información general de Cuenta de AWS, en Usuarios y grupos asignados, seleccione el nombre de uno o más usuarios o grupos y elija Eliminar el acceso.

5. En el cuadro de diálogo Eliminar el acceso, confirme que los nombres de los usuarios o grupos son correctos y elija Eliminar el acceso.

Delegue quién puede asignar el acceso de inicio de sesión único a los usuarios y grupos de la cuenta de administración

La concesión de acceso de inicio de sesión único a la cuenta de administración utilizando la consola de IAM Identity Center es una acción que requiere privilegios. De forma predeterminada, solo uno Usuario raíz de la cuenta de AWS o varios usuarios que tengan asociadas las políticas IAMFullAccess AWS administradas AWSSSOMasterAccountAdministratory las políticas administradas pueden asignar el acceso de inicio de sesión único a la cuenta de administración. Las IAMFullAccesspolíticas AWSSSOMasterAccountAdministratory gestionan el acceso mediante inicio de sesión único a la cuenta de administración de una organización. AWS Organizations

Siga los pasos que se describen a continuación para delegar permisos para administrar el acceso de inicio de sesión único a los usuarios y grupos en su directorio.

Para otorgar permisos para administrar el acceso de inicio de sesión único a los usuarios y grupos del directorio

1. Inicie sesión en la consola de IAM Identity Center como usuario raíz de la cuenta de administración o con otro usuario que tenga permisos de administrador en la cuenta de administración.

2. Siga los pasos que se indican en Crea un conjunto de permisos. para crear un conjunto de permisos y, a continuación, haga lo siguiente:

   1. En la página Crear un conjunto de permisos nuevo, active la casilla Crear un conjunto de permisos personalizado y, a continuación, elija Siguiente: Detalles.

   2. En la página Crear un nuevo conjunto de permisos, especifique un nombre para el conjunto de permisos personalizado y, si lo desea, una descripción. Si es necesario, modifique la duración de la sesión y especifique una URL de estado de retransmisión.

      nota

      Para la URL del estado de retransmisión, debe especificar una URL que esté en la AWS Management Console. Por ejemplo:

      https://console.aws.amazon.com/ec2/

      Para obtener más información, consulte Configura el estado de retransmisión.

   3. En ¿Qué políticas desea incluir en su conjunto de permisos?, active la casilla Adjuntar políticas administradas de AWS .

   4. En la lista de políticas de IAM, selecciona las políticas gestionadas AWSSSOMasterAccountAdministratory IAMFullAccess AWS las políticas gestionadas. Estas políticas conceden permisos a todos los usuarios a los que se les asigne acceso a este conjunto de permisos en el futuro.

   5. Elija Siguiente: etiquetas.

   6. En Añadir etiquetas (opcional), especifique los valores de clave y valor (opcional) y, a continuación, seleccione Siguiente: revisar. Para obtener más información acerca de las etiquetas, consulte Etiquetado de recursos de AWS IAM Identity Center.

   7. Revise las selecciones y, a continuación, elija Crear.

3. Siga los pasos que se indican en Asigne el acceso de los usuarios a Cuentas de AWS para asignar los usuarios y grupos adecuados al conjunto de permisos que acaba de crear.

4. Comunique lo siguiente a los usuarios asignados: cuando inicien sesión en el portal de AWS acceso y seleccionen la pestaña Cuentas, deberán elegir el nombre de función adecuado para autenticarse con los permisos que usted acaba de delegar.