AWS OrganizationsGuía del usuario

AWS Organizations Guía del usuario

AWS Organizations: Guía del usuarioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.

AWS Organizations Guía del usuario

Table of Contents¿Qué es AWS Organizations? .............................................................................................................. 1

Características de AWS Organizations ........................................................................................... 1Precios de AWS Organizations ..................................................................................................... 2Acceso a AWS Organizations ....................................................................................................... 3Soporte y comentarios para AWS Organizations ............................................................................. 3

Otros recursos de AWS ....................................................................................................... 3Servicios de AWS que se pueden utilizar con AWS Organizations ...................................................... 4

Introducción a AWS Organizations ........................................................................................................ 9Más información sobre... .............................................................................................................. 9Conceptos y terminología de AWS Organizations ............................................................................ 9

Tutoriales ......................................................................................................................................... 13Tutorial: Creación y configuración de una organización ................................................................... 13

Requisitos previos ............................................................................................................. 14Paso 1: crear la organización ............................................................................................. 14Paso 2: crear las unidades organizativas .............................................................................. 16Paso 3: crear las políticas de control de servicios .................................................................. 17Paso 4: probar las políticas de la organización ...................................................................... 20

Tutorial: monitoreo mediante Eventos de CloudWatch .................................................................... 20Requisitos previos ............................................................................................................. 21Paso 1: Configuración de un registro de seguimiento y un selector de eventos ............................ 22Paso 2: configuración de la función Lambda ......................................................................... 23Paso 3: creación de un tema de Amazon SNS que envía correos electrónicos a los suscriptores .... 23Paso 4: creación de una regla de Eventos de CloudWatch ...................................................... 24Paso 5: comprobación de la regla de Eventos de CloudWatch ................................................. 25Eliminación: eliminar los recursos que ya no se necesitan ....................................................... 26

Creación y administración de una organización ..................................................................................... 27Crear una organización .............................................................................................................. 27

Verificación de dirección de correo electrónico ...................................................................... 29Habilitar todas las características ................................................................................................ 29

Antes de habilitar todas las características ........................................................................... 30Comienzo del proceso para habilitar todas las características .................................................. 30Aprobación de la solicitud para habilitar todas las características o recrear el rol vinculado alservicio ............................................................................................................................ 32Finalización del proceso para habilitar todas las características ................................................ 33

Consultar detalles de su organización .......................................................................................... 33Consultar detalles de una organización desde la cuenta maestra .............................................. 34Consultar detalles de un nodo raíz ...................................................................................... 34Consultar detalles de una unidad organizativa ....................................................................... 35Consultar detalles de una cuenta ........................................................................................ 35Consultar detalles de una política ........................................................................................ 36

Eliminación de la cuenta maestra y la organización ........................................................................ 37Administrar cuentas ........................................................................................................................... 39

Impacto en una cuenta de AWS a la que se invita a unirse a una organización ................................... 39Impacto en una cuenta de AWS que se crea en una organización .................................................... 40Invitar a una cuenta a su organización ......................................................................................... 40

Enviar invitaciones a cuentas de AWS ................................................................................. 41Administrar las invitaciones pendientes de su organización ..................................................... 42Aceptar o rechazar una invitación de una organización ........................................................... 43

Crear una cuenta ...................................................................................................................... 44Crear una cuenta de AWS que forme parte de la organización ................................................. 45

Acceso a las cuentas miembro ................................................................................................... 46Acceso a una cuenta miembro como usuario raíz .................................................................. 47Creación de OrganizationAccountAccessRole en una cuenta miembro invitada ........................... 48Acceso a una cuenta miembro con un rol de acceso a la cuenta maestra .................................. 49

iii

AWS Organizations Guía del usuario

Eliminar una cuenta miembro ..................................................................................................... 51Antes de eliminar una cuenta de una organización ................................................................ 51Eliminación de una cuenta miembro de la organización .......................................................... 52Abandonar una organización como cuenta miembro ............................................................... 53

Cierre de una cuenta ................................................................................................................ 55Administrar unidades organizativas ...................................................................................................... 57

Navegar por el nodo raíz y la jerarquía de la unidad organizativa ..................................................... 57Crear una unidad organizativa .................................................................................................... 58Cambiar el nombre de una unidad organizativa ............................................................................. 59Mover una cuenta a una unidad organizativa o entre el nodo raíz y las unidades organizativas .............. 59Eliminar una unidad organizativa que ya no necesite ...................................................................... 60

Administración de políticas ................................................................................................................. 62Tipos de políticas ...................................................................................................................... 62Descripción de la información de la política .................................................................................. 62

Enumeración de todas las políticas ..................................................................................... 62Mostrar todas las políticas asociadas a un nodo raíz, unidad organizativa o cuenta ...................... 63Mostrar todos los nodos raíz, unidades organizativas y cuentas que tienen una política asociada .... 64Obtener información sobre una política ................................................................................ 64

Políticas de control de servicios .................................................................................................. 65Comprobación de los efectos de las SCP ............................................................................. 66Tamaño máximo de SCP ................................................................................................... 66Efectos en los permisos ..................................................................................................... 66Uso de datos de acceso para mejorar las políticas SCP ......................................................... 67Tareas y entidades no restringidas por SCP ......................................................................... 67Habilitación y deshabilitación de SCP .................................................................................. 68Creación y actualización de SCP ........................................................................................ 69Asociación de SCP ........................................................................................................... 73Funcionamiento de las SCP ............................................................................................... 74Estrategias para usar políticas SCP ..................................................................................... 75Sintaxis de las SCP .......................................................................................................... 77SCP de ejemplo ............................................................................................................... 84

Políticas de etiquetas ................................................................................................................ 92¿Qué son las etiquetas? .................................................................................................... 92¿Qué son las políticas de etiquetas? ................................................................................... 92Requisitos previos y permisos ............................................................................................ 93Prácticas recomendadas .................................................................................................... 94Introducción ..................................................................................................................... 95Visualización de políticas de etiquetas en vigor .................................................................... 104Uso de Eventos de CloudWatch para monitorizar las etiquetas no conformes ............................ 105Descripción de la ejecución .............................................................................................. 106Ejemplos y sintaxis de políticas de etiquetas ....................................................................... 112Cómo funciona la herencia de políticas .............................................................................. 115Uso de políticas de etiquetas en la AWS CLI ...................................................................... 125Regiones admitidas ......................................................................................................... 129

Etiquetado de recursos .................................................................................................................... 131Recursos admitidos en AWS Organizations ................................................................................. 131Adición de etiquetas ................................................................................................................ 131Consulta de etiquetas de una cuenta ......................................................................................... 132Edición de valores de etiqueta .................................................................................................. 132Eliminación de etiquetas ........................................................................................................... 133

Habilitación del acceso de confianza con otros servicios de AWS ........................................................... 135Permisos necesarios para habilitar el acceso de confianza ............................................................ 135Permisos necesarios para deshabilitar el acceso de confianza ....................................................... 136Cómo habilitar o deshabilitar el acceso de confianza .................................................................... 137AWS Organizations y funciones vinculadas a servicios ................................................................. 137Servicios compatibles con el acceso de confianza en la organización .............................................. 138

AWS Artifact y AWS Organizations .................................................................................... 139

iv

AWS Organizations Guía del usuario

AWS CloudTrail y AWS Organizations ................................................................................ 139AWS Config y AWS Organizations ..................................................................................... 140AWS Directory Service y AWS Organizations ...................................................................... 140AWS Firewall Manager y AWS Organizations ...................................................................... 141Administrador de licencias de AWS y AWS Organizations ..................................................... 141AWS RAM y AWS Organizations ....................................................................................... 142AWS Service Catalog y AWS Organizations ........................................................................ 142Service Quotas y AWS Organizations ................................................................................ 143Inicio de sesión único de AWS y AWS Organizations ........................................................... 143AWS Administrador de sistemas y AWS Organizations ......................................................... 144Políticas de etiquetas y AWS Organizations ........................................................................ 144

Seguridad ...................................................................................................................................... 146AWS Identity and Access Management en AWS Organizations ...................................................... 146

Autenticación .................................................................................................................. 147Control de acceso ........................................................................................................... 148Administración de permisos en su organización de AWS ....................................................... 148

Registro y monitorización ......................................................................................................... 153Registro de llamadas a la API de AWS Organizations con AWS CloudTrail ............................... 153Amazon CloudWatch Events ............................................................................................. 159

Validación de la conformidad .................................................................................................... 159Resiliencia .............................................................................................................................. 160Seguridad de la infraestructura .................................................................................................. 160

Referencia de AWS Organizations ..................................................................................................... 161Cuotas para AWS Organizations ............................................................................................... 161

Directrices de nomenclatura .............................................................................................. 161Valores mínimos y máximos ............................................................................................. 161

Políticas administradas ............................................................................................................. 163Políticas de control de servicios administradas por AWS Organizations .................................... 163

Solución de problemas de AWS Organizations .................................................................................... 164Solución de problemas generales .............................................................................................. 164

Aparece un mensaje de "acceso denegado" al realizar una solicitud a AWS Organizations .......... 164Aparece un mensaje de "acceso denegado" al realizar una solicitud con credenciales deseguridad temporales ....................................................................................................... 165Obtengo un mensaje de "acceso denegado" cuando intento dejar una organización como cuentamiembro o eliminar una cuenta miembro como cuenta maestra .............................................. 165Obtengo un mensaje de "cuota superada" cuando intento agregar una cuenta a mi organización .. 165Aparece un mensaje que indica que "esta operación requiere un periodo de espera" al añadir oeliminar cuentas .............................................................................................................. 166Obtengo un mensaje de "organización todavía inicializando" cuando intento añadir una cuenta ami organización ............................................................................................................... 166Usé una dirección de correo electrónico incorrecta al crear una cuenta de miembro ................... 166Los cambios que realizo no están siempre visibles inmediatamente ........................................ 166

Solución de problemas de políticas ............................................................................................ 167Políticas de control de servicios ........................................................................................ 167

Realizar solicitudes de consulta HTTP ............................................................................................... 170Puntos de enlace .................................................................................................................... 170HTTPS obligatorio ................................................................................................................... 170Firma de solicitudes de la API AWS Organizations ....................................................................... 171

Historial de revisión ......................................................................................................................... 172AWS Glossary ................................................................................................................................ 175

v

AWS Organizations Guía del usuarioCaracterísticas de AWS Organizations

¿Qué es AWS Organizations?AWS Organizations es un servicio de gestión de cuentas que permite consolidar varias cuentas deAWS en una organización que cree y administre de forma centralizada. AWS Organizations incluyetodas las prestaciones de facturación unificada y posibilidades de administración de cuentas para quepueda satisfacer mejor las necesidades presupuestarias, de seguridad y de conformidad de su negocio.Como administrador de su organización, puede crear cuentas e invitar a cuentas existentes a unirse a laorganización.

Esta guía de usuario define conceptos clave para AWS Organizations, proporciona tutoriales y explicacómo crear y administrar una organización.

Temas• Características de AWS Organizations (p. 1)• Precios de AWS Organizations (p. 2)• Acceso a AWS Organizations (p. 3)• Soporte y comentarios para AWS Organizations (p. 3)• Servicios de AWS que se pueden utilizar con AWS Organizations (p. 4)

Características de AWS OrganizationsAWS Organizations ofrece las siguientes características:

Administración centralizada de todas las cuentas de AWS

Puede combinar sus cuentas existentes en una organización para poder administrar las cuentasde forma centralizada. Puede crear cuentas que se conviertan automáticamente en parte de suorganización y puede invitar a otras cuentas a que se unan a su organización. También puede asociarpolíticas que afecten a algunas o a todas sus cuentas.

Facturación unificada para todas las cuentas miembro

La facturación unificada es una característica de AWS Organizations. Puede utilizar la cuenta maestrade su organización para consolidar y pagar los gastos de todas las cuentas miembro.

Agrupar jerárquicamente todas sus cuentas para satisfacer sus necesidades presupuestarias, deseguridad y de conformidad

Puede agrupar sus cuentas en unidades organizativas y asociar diferentes políticas de acceso acada una de ellas. Por ejemplo, si tiene cuentas que deben tener acceso solo a los servicios deAWS que cumplan determinados requisitos normativos, puede incluirlas en una unidad organizativa.A continuación, puede asociar una política a esa unidad organizativa que bloquee el acceso a losservicios que no cumplan los requisitos normativos. Puede anidar unidades organizativas en otrasunidades organizativas, hasta un máximo de cinco niveles de profundidad, lo que proporcionaflexibilidad en el modo de estructurar sus grupos de cuentas.

Control de los servicios y las acciones de la API de AWS a las que puede tener acceso cada cuenta

Como administrador de la cuenta maestra de una organización, puede utilizar políticas de control deservicios (SCP) para especificar el número máximo de permisos de las cuentas de los miembros de laorganización. En las SCP, puede restringir a qué servicios, recursos y acciones de API individuales de

1

AWS Organizations Guía del usuarioPrecios de AWS Organizations

AWS pueden obtener acceso los usuarios y roles de cada cuenta de miembro. También puede definircondiciones respecto a cuándo restringir el acceso a los servicios, los recursos y las acciones de laAPI de AWS. Estas restricciones se aplican incluso a los administradores de las cuentas miembro dela organización. Cuando AWS Organizations bloquea el acceso a una acción de la API, un recurso oun servicio en una cuenta de miembro, un usuario o rol de dicha cuenta no puede acceder a ella. Estebloqueo permanece en vigor aunque un administrador de una cuenta de miembro conceda dichospermisos de forma explícita en una política de IAM.

Para obtener más información, consulte Políticas de control de servicios (p. 65).Ayuda para estandarizar las etiquetas en los recursos de las cuentas de su organización

Puede utilizar políticas de etiquetas para mantener la coherencia de las etiquetas, incluido eltratamiento de casos preferentes de valores y claves de etiquetas.

Para obtener más información, consulte Políticas de etiquetas (p. 92)Integración y compatibilidad con AWS Identity and Access Management (IAM)

IAM permite un control detallado de los usuarios y las funciones en las cuentas individuales. AWSOrganizations amplía ese control al nivel de cuenta para permitirle controlar lo que los usuarios ylas funciones de una cuenta o grupo de cuentas pueden hacer. Los permisos resultantes son laintersección lógica de lo que permite AWS Organizations en el nivel de cuenta y los permisos que IAMconcede explícitamente en el nivel de usuario o de función dentro de esa cuenta. En otras palabras, elusuario solo puede tener acceso a lo que permiten tanto las políticas de AWS Organizations como lasde IAM. Si alguna bloquea una operación, el usuario no puede tener acceso a esa operación.

Integración con otros servicios de AWS

Puede aprovechar los servicios de administración de varias cuentas en AWS Organizations conservicios seleccionados de AWS para realizar tareas en todas las cuentas que son miembros de suorganización. Para obtener una lista de los servicios y los beneficios de utilizar cada servicio en laorganización, consulte Servicios de AWS que se pueden utilizar con AWS Organizations (p. 4).

Cuando habilita un servicio de AWS para realizar tareas en su nombre en las cuentas de los miembrosde su organización, AWS Organizations crea un rol vinculado al servicio de IAM para ese servicioen cada cuenta miembro. La función vinculada al servicio tiene permisos de IAM predefinidos quepermiten al otro servicio de AWS realizar tareas específicas en la organización y en las cuentas deesta. Para que esto funcione, todas las cuentas de una organización disponen automáticamentede un rol vinculado a servicios. Este rol debe permitir que el servicio de AWS Organizations creelos roles vinculados a servicios que requieren los servicios de AWS en los que ha habilitado elacceso de confianza. Estos roles vinculados a servicios adicionales incluyen políticas que permitenque el servicio especificado lleve a cabo solamente las tareas necesarias según sus opciones deconfiguración. Para obtener más información, consulte Habilitación del acceso de confianza con otrosservicios de AWS (p. 135).

Replicación de datos que tienen consistencia final

Al igual que muchos otros servicios de AWS, AWS Organizations proporciona una consistenciafinal. AWS Organizations ofrece una alta disponibilidad, ya que replica datos entre varios servidoresubicados en centros de datos de AWS de su región. Si una solicitud para cambiar algunos datos serealiza correctamente, el cambio se confirma y se almacena de forma segura. Sin embargo, el cambiose debe replicar en varios servidores. Para obtener más información, consulte Los cambios que realizono están siempre visibles inmediatamente (p. 166).

Precios de AWS OrganizationsAWS Organizations se ofrece sin cargo adicional. Solo se le cobrarán los recursos de AWS que usenlos usuarios y las funciones de las cuentas miembro. Por ejemplo, se le cobrará la tarifa estándar de las

2

AWS Organizations Guía del usuarioAcceso a AWS Organizations

instancias de Amazon EC2 que utilicen los usuarios o las funciones de las cuentas miembro. Para obtenerinformación acerca de los precios de otros servicios de AWS, consulte los precios de AWS.

Acceso a AWS OrganizationsPuede trabajar con AWS Organizations de cualquiera de las siguientes formas:

Consola de administración de AWS

La consola de AWS Organizations es una interfaz basada en navegador que puede utilizar paraadministrar su organización y sus recursos de AWS. Puede llevar a cabo cualquier tarea en suorganización utilizando la consola.

Herramientas de línea de comandos de AWS

Mediante las herramientas de la línea de comandos de AWS, puede emitir comandos en la líneade comandos de su sistema para realizar tareas de AWS Organizations y AWS. El uso de la líneade comandos puede ser más rápido y cómo que utilizar la consola. Las herramientas de línea decomandos también son útiles para crear scripts que realicen tareas de AWS.

AWS ofrece dos conjuntos de herramientas de línea de comandos: la interfaz de línea de comandosde AWS (AWS CLI) y AWS Herramientas para Windows PowerShell. Para obtener información acercade cómo instalar y usar la AWS CLI, consulte la AWS Command Line Interface Guía del usuario. Paraobtener información acerca de cómo instalar y usar las Herramientas para Windows PowerShell,consulte la Guía del usuario de Herramientas de AWS para Windows PowerShell.

SDK de AWS

Los SDK de AWS se componen de bibliotecas y código de muestra para diversos lenguajes deprogramación y plataformas (por ejemplo, Java, Python, Ruby, .NET, iOS y Android). Los SDK seencargan de tareas como firmar solicitudes criptográficamente, gestionar los errores y reintentar lassolicitudes de forma automática. Para obtener más información acerca de los SDK de AWS, incluidocómo descargarlos e instalarlos, consulte Herramientas para Amazon Web Services.

API de consulta HTTPS de AWS Organizations

La API de consulta HTTPS de AWS Organizations le ofrece acceso mediante programación a AWSOrganizations y AWS. La API de consulta HTTPS le permite emitir solicitudes HTTPS directamenteal servicio. Cuando use la API HTTPS, debe incluir código para firmar digitalmente las solicitudesutilizando sus credenciales. Para obtener más información, consulte Llamar a la API mediantesolicitudes de consulta HTTP y la Referencia de la API de AWS Organizations.

Soporte y comentarios para AWS OrganizationsAgradecemos sus comentarios. Puede enviar comentarios a feedback-awsorganizations@amazon.com.También puede publicar sus comentarios y preguntas en nuestro foro de soporte deAWS Organizations.Para obtener más información acerca de los foros de soporte de AWS, consulte la Ayuda de los foros.

Otros recursos de AWS• Capacitación y cursos de AWS – enlaces a cursos especializados y basados en funciones, así como a

laboratorios autoguiados para ayudarle a desarrollar sus conocimientos de AWS y obtener experienciapráctica.

• Herramientas para desarrolladores de AWS – enlaces a herramientas y recursos para desarrolladoresque incluyen documentación, ejemplos de código, notas de versiones y otra información para ayudarle acrear aplicaciones innovadoras con AWS.

3

AWS Organizations Guía del usuarioServicios de AWS que se pueden

utilizar con AWS Organizations

• AWS Support Center – centro para crear y administrar sus casos de AWS Support. También incluyeenlaces a otros recursos útiles como foros, preguntas técnicas frecuentes, estado de los servicios y AWSTrusted Advisor.

• AWS Support – página web principal para obtener información acerca de AWS Support, un canal desoporte individualizado y de respuesta rápida que le ayudará a crear y ejecutar aplicaciones en la nube.

• Contacte con nosotros – un punto central de contacto para las consultas relacionadas con la facturación,cuentas, eventos, abuso y otros problemas relacionados con AWS.

• Términos del Sitio AWS – información detallada acerca de nuestros derechos de autor y marcacomercial, su cuenta, licencia y acceso al sitio, entre otros temas.

Servicios de AWS que se pueden utilizar con AWSOrganizations

Con AWS Organizations, puede realizar actividades de administración de cuentas a escala mediante laconsolidación de varias cuentas de AWS en una sola organización. La consolidación de cuentas simplificala forma de utilizar otros servicios de AWS. Puede aprovechar los servicios de administración de variascuentas en AWS Organizations con servicios seleccionados de AWS para realizar tareas en todas lascuentas que son miembros de su organización.

En la siguiente tabla se muestran los servicios de AWS que puede utilizar con AWS Organizations y elbeneficio de utilizar cada servicio en toda una organización.

Servicio de AWS Beneficios de uso con AWSOrganizations

AWS Identity and AccessManagement: controle de formasegura el acceso a los recursosde AWS.

Puede utilizar los datos del últimoacceso al servicio de IAM paraconocer mejor la actividad deAWS en su organización. Puedeutilizar estos datos para crear yactualizar las políticas de controldel servicio (SCP) (p. 65) querestringen el acceso únicamentea los servicios de AWS queutilizan las cuentas de suorganización.

Para ver un ejemplo, consulteUso de datos para ajustarlos permisos de una unidadorganizativa en la Guía delusuario de IAM.

AWS Artifact: descargueinformes de seguridad yconformidad de AWS, como losinformes ISO y PCI.

Puede aceptar acuerdos ennombre de todas las cuentas desu organización.

Para utilizarlo con AWSOrganizations, consulteAWS Artifact y AWSOrganizations (p. 139).

AWS CloudTrail: habilitela auditoría de riesgos y

Un usuario en una cuentamaestra puede crear un

4

AWS Organizations Guía del usuarioServicios de AWS que se pueden

utilizar con AWS Organizations

Servicio de AWS Beneficios de uso con AWSOrganizations

operaciones, el control y laconformidad de su cuenta.

registro de seguimiento de laorganización que registre todoslos eventos de todas las cuentasen dicha organización.

Para obtener más informaciónacerca del uso con AWSOrganizations, consulteAWS CloudTrail y AWSOrganizations (p. 139).

Amazon CloudWatch Events:monitorice sus recursos de AWSy las aplicaciones que ejecuta enAWS en tiempo real.

Puede habilitar el uso compartidode todos los Eventos deCloudWatch en todas las cuentasde su organización.

Para obtener más información,consulte la sección Envío yrecepción de eventos entrecuentas de AWS en la Guía delusuario de Amazon CloudWatchEvents.

AWS Config: evalúe, audite yanalice las configuraciones desus recursos de AWS.

Puede obtener una vista de todala organización del estado deconformidad. También puedeutilizar las operaciones de la APIde AWS Config para administrarlas reglas de AWS Config entodas las cuentas de AWS de suorganización.

Para obtener más informaciónacerca del uso con AWSOrganizations, consulteAWS Config y AWSOrganizations (p. 140).

AWS Control Tower: configurey controle un entorno de AWScon varias cuentas, que seaseguro y cumpla con las normascorrespondientes.

Puede establecer una zona deinicio, un entorno con variascuentas para todos los recursosde AWS. Este entorno incluyeuna organización y entidades deorganización. Puede utilizar esteentorno para aplicar regulacionesde conformidad en todas suscuentas de AWS.

Para obtener más información,consulte Cómo funciona AWSControl Tower y Administrarcuentas a través de AWSOrganizations en la Guía delusuario de AWS Control Tower.

5

AWS Organizations Guía del usuarioServicios de AWS que se pueden

utilizar con AWS Organizations

Servicio de AWS Beneficios de uso con AWSOrganizations

AWS Directory Service: configurey ejecute directorios en lanube de AWS o conecte losrecursos de AWS a un MicrosoftActive Directory existente en lasinstalaciones.

Puede integrar AWS DirectoryService con AWS Organizationspara compartir los directoriossin interrupciones entre variascuentas y en cualquier VPC deuna región.

Para obtener más informaciónacerca del uso con AWSOrganizations, consulte AWSDirectory Service y AWSOrganizations (p. 140).

AWS Firewall Manager:configure y administre de formacentralizada las reglas de firewallpara las aplicaciones web en suscuentas y aplicaciones.

Puede configurar y administrarde manera centralizada lasreglas de AWS WAF entre lascuentas de su organización.

Para obtener más informaciónacerca del uso con AWSOrganizations, consulte AWSFirewall Manager y AWSOrganizations (p. 141).

AWS License Manager:simplifique el proceso detransferencia de las licencias desoftware a la nube.

Puede habilitar el descubrimientoentre cuentas de recursosinformáticos en toda suorganización.

Para obtener másinformación acerca del usocon AWS Organizations,consulte Administrador delicencias de AWS y AWSOrganizations (p. 141).

6

AWS Organizations Guía del usuarioServicios de AWS que se pueden

utilizar con AWS Organizations

Servicio de AWS Beneficios de uso con AWSOrganizations

AWS RAM: comparta recursosde AWS específicos de supropiedad con otras cuentas.

Puede compartir recursosdentro de su organizaciónsin intercambiar invitacionesadicionales.

Entre los recursos que puedecompartir se incluyen reglasde solucionador de Route 53,reservas de capacidad bajodemanda y mucho más. Paraobtener información acerca decómo compartir reservas decapacidad, consulte Guía delusuario de Amazon EC2 parainstancias de Linux o la Guía delusuario de Amazon EC2 parainstancias de Windows. Paraobtener una lista de recursoscompartibles, consulte Recursoscompatibles en la Guía delusuario de AWS RAM.

Para obtener más informaciónacerca del uso con AWSOrganizations, consulteAWS RAM y AWSOrganizations (p. 142).

AWS Service Catalog: cree yadministre catálogos de serviciosde TI aprobados para su uso enAWS.

Puede compartir carteras deproductos y copiar productosentre cuentas con más facilidad,sin necesidad de compartir los IDde cartera de productos.

Para obtener más informaciónacerca del uso con AWSOrganizations, consulteAWS Service Catalog y AWSOrganizations (p. 142).

Service Quotas: consultey administre sus cuotas deservicio, también conocidascomo límites, desde unaubicación central.

Puede crear una plantilla desolicitud de cuota para solicitarautomáticamente un aumentode cuotas cuando se creen lascuentas de su organización.

Para obtener más informaciónacerca del uso de AWSOrganizations, consulteService Quotas y AWSOrganizations (p. 143).

7

AWS Organizations Guía del usuarioServicios de AWS que se pueden

utilizar con AWS Organizations

Servicio de AWS Beneficios de uso con AWSOrganizations

Inicio de sesión único de AWS:proporcione servicios de iniciode sesión único para todas suscuentas y aplicaciones en lanube.

Los usuarios pueden iniciarsesión en el portal de usuariosAWS SSO con sus credencialescorporativas y acceder arecursos en sus cuentasasignadas, independientementede si la cuenta es una cuentaprincipal o de miembro.

Para obtener más informaciónacerca de cómo configurar elacceso de confianza a AWSOrganizations, consulte Iniciode sesión único de AWS y AWSOrganizations (p. 143).

AWS Administrador de sistemas:obtenga control y visibilidad desus recursos de AWS.

Puede sincronizar los datosde las operaciones entretodas las cuentas de AWSde su organización medianteAdministrador de sistemasExplorer.

Para obtener más informaciónacerca del uso de AWSOrganizations, consulte AWSAdministrador de sistemas yAWS Organizations (p. 144).

Políticas de etiquetas (p. 92):estandarice las etiquetas en losrecursos de las cuentas de suorganización.

Puede crear políticas deetiquetas para definir lasreglas de etiquetado pararecursos específicos yasociar dichas políticas a lasentidades de la organización.Para obtener informaciónacerca de la habilitación delacceso de confianza para laspolíticas de etiquetas, consultePolíticas de etiquetas y AWSOrganizations (p. 144).

Para obtener más información sobre cómo habilitar el acceso de confianza a AWS Organizations, consulteHabilitación del acceso de confianza con otros servicios de AWS (p. 135).

8

AWS Organizations Guía del usuarioMás información sobre...

Introducción a AWS OrganizationsLos siguientes temas le ayudarán a aprender acerca de AWS Organizations y cómo utilizarlo.

Más información sobre...Conceptos y terminología de AWS Organizations (p. 9)

Conozca la terminología y los conceptos básicos necesarios para entender AWS Organizations. Estasección describe cada uno de los componentes de una organización y los aspectos básicos sobrecómo trabajan conjuntamente para ofrecer un nuevo nivel de control sobre lo que pueden hacer losusuarios en dichas cuentas.

Facturación unificada para organizaciones

Una de las características principales de AWS Organizations es la consolidación de la facturaciónde todas las cuentas de la organización. Obtenga más información acerca de cómo se gestiona lafacturación en una organización y cómo funcionan los distintos descuentos funcionando cuando secomparten entre varias cuentas. Este contenido está en la Guía del usuario de AWS Billing and CostManagement.

Conceptos y terminología de AWS OrganizationsEn este tema se explican algunos de los conceptos clave que debe conocer para comenzar a utilizar AWSOrganizations.

En el siguiente diagrama se muestra una organización básica que se compone de siete cuentasorganizadas en cuatro unidades organizativas bajo el nodo raíz. La organización también dispone devarias políticas asociadas a algunas de las unidades organizativas o directamente a las cuentas. Paraobtener una descripción de cada uno de estos elementos, consulte las definiciones incluidas en este tema.

9

AWS Organizations Guía del usuarioConceptos y terminología de AWS Organizations

Organización

Una entidad que crea para consolidar sus cuentas de AWS (p. 10). Puede utilizar la consola deAWS Organizations para ver y administrar de forma centralizada todas las cuentas de su organización.Una organización tiene una cuenta maestra junto con cero o más cuentas miembro. Puede organizarlas cuentas jerárquicamente en una estructura de árbol con un nodo raíz (p. 10) en la parte superiory unidades organizativas (p. 10) anidadas bajo el nodo raíz. Cada cuenta puede estar directamenteen el nodo raíz o colocarse en una de las unidades organizativas de la jerarquía. Una organizacióntiene la funcionalidad determinada por el conjunto de características (p. 11) habilitadas.

Nodo raíz

El contenedor principal de todas las cuentas de su organización. Si aplica una política al nodo raíz,esta se aplica a todas las unidades organizativas (p. 10) y cuentas (p. 10) de la organización.

Note

En la actualidad, puede disponer de un solo nodo raíz, que AWS Organizations creaautomáticamente cuando usted crea su organización.

Unidad organizativa

Un contenedor para las cuentas (p. 10) de un nodo raíz (p. 10). Una unidad organizativatambién puede contener otras unidades organizativas, lo que le permite crear una jerarquía que seasemeja a un árbol invertido, con un nodo raíz en la parte superior y ramas de unidades organizativasdescendentes que terminan en las cuentas (las hojas del árbol). Cuando asocia una política a uno delos nodos de la jerarquía, esta se transmite y aplica a todas las ramas (unidades organizativas) y hojas(cuentas) que se encuentran debajo. Una unidad organizativa puede tener uno y solo un nodo raíz ycada cuenta puede ser miembro de exactamente una unidad organizativa.

Cuenta

Una cuenta de AWS estándar que contiene sus recursos de AWS. Puede asociar una política a unacuenta para aplicar controles a esa sola cuenta.

Hay dos tipos de cuentas en una organización: una cuenta única que se denomina la cuenta maestra ycuentas miembro.• La cuenta maestra es la cuenta que crea la organización. Desde la cuenta maestra de la

organización, puede hacer lo siguiente:• Crear cuentas en la organización• Invitar a otras cuentas existentes a la organización• Eliminar cuentas de la organización• Administrar invitaciones• Aplicar políticas a entidades (nodos raíz, unidades organizativas o cuentas) dentro de la

organización

La cuenta maestra tiene las responsabilidades de una cuenta de pago y es responsable de todoslos cargos devengados por las cuentas miembro. No puede cambiar la cuenta maestra de unaorganización.

• El resto de las cuentas que pertenecen a una organización se denominan cuentas miembro. Unacuenta no puede pertenecer a más de una organización a la vez.

Invitación

El proceso de pedir a otra cuenta (p. 10) que se una a su organización (p. 10). Únicamente lacuenta principal de la organización puede emitir una invitación. La invitación se amplía al ID de lacuenta o a la dirección de correo electrónico asociada a la cuenta invitada. Una vez que la cuentainvitada acepta una invitación, pasa a ser una cuenta miembro de la organización. También sepueden enviar invitaciones a todas las cuentas miembro actuales cuando la organización necesita quetodos los miembros aprueben el cambio de admitir únicamente las características de la facturación

10

AWS Organizations Guía del usuarioConceptos y terminología de AWS Organizations

unificada (p. 11) a admitir todas las características (p. 11) de la organización. Las invitacionesfuncionan mediante el intercambio de protocolos de enlace (handshakes) (p. 11) entre cuentas.Es posible que no vea protocolos de enlace cuando trabaja en la consola de AWS Organizations. Noobstante, si utiliza la AWS CLI o la API de AWS Organizations, tiene que trabajar directamente con losprotocolos de enlace.

Protocolo de enlace

Un proceso de varios pasos para intercambiar información entre dos partes. Uno de sususos principales en AWS Organizations es servir de implementación subyacente de lasinvitaciones (p. 10). Los mensajes de protocolos de enlace se transfieren entre el iniciador delprotocolo de enlace y el destinatario y los responden ellos mismos. Los mensajes se transfieren deuna forma que garantiza que ambas partes siempre sepan cuál es el estado actual. Los protocolosde enlace se usan también cuando la organización cambia de admitir solo las característicasde facturación unificada (p. 11) a admitir todas las características (p. 11) que ofrece AWSOrganizations. Por lo general, solo necesita interactuar con los protocolos de enlace si trabaja en laAPI o en las herramientas de línea de comandos de AWS Organizations, como la AWS CLI.

Conjuntos de características disponibles•

Todas las características –: el conjunto de características predeterminadas disponibles para AWSOrganizations. Incluye toda la funcionalidad de facturación unificada, además de característicasavanzadas que le ofrecen mayor control sobre las cuentas de su organización. Por ejemplo,cuando todas las características están habilitadas, la cuenta maestra de la organización tienecontrol completo sobre lo que pueden hacer las cuentas miembro. La cuenta principal puedeaplicar SCP (p. 65) para restringir los servicios y las acciones a los que los usuarios (incluido elusuario raíz) y los roles de una cuenta pueden acceder. La cuenta principal también puede evitarque las cuentas de miembros dejen la organización. Puede crear una organización con todaslas características ya habilitadas, o puede habilitar todas las características en una organizaciónque originalmente solo admitía las características de facturación unificada. Para habilitar todaslas características, todas las cuentas miembro invitadas deben aprobar el cambio aceptando lainvitación que se envía cuando la cuenta maestra inicia el proceso.

•Facturación unificada: este conjunto de funciones ofrece una funcionalidad de facturacióncompartida, pero no incluye las funciones más avanzadas de AWS Organizations. Por ejemplo, nopuede utilizar políticas para restringir lo que los usuarios y los roles de diferentes cuentas puedenhacer. Para utilizar las características avanzadas de AWS Organizations, debe habilitar todas lascaracterísticas (p. 11) de la organización.

Política de control de servicios (SCP)

Una política que especifica los servicios y las acciones que los usuarios y roles pueden utilizar en lascuentas afectadas por la SCP (p. 65). Las SCP son similares a las políticas de permisos de IAM,con la salvedad de que no conceden permisos. En lugar de ello, las SCP especifican el máximo depermisos para una organización, unidad organizativa (OU) o cuenta. Al asociar una SCP al nodo raízde la organización o a una unidad organizativa, la SCP limita los permisos para las entidades de lascuentas de miembros.

Política de etiquetas

Un tipo de política que le puede ayudar a estandarizar las etiquetas en todos los recursos de lascuentas de su organización. En una política de etiquetas (p. 92), puede especificar las reglas deetiquetado de recursos específicos.

Listas de permitidos frente a listas de denegación

Las listas de permitidos y las listas de denegación son técnicas complementarias para cuando seaplican políticas SCP (p. 65) para filtrar los permisos que están disponibles para las cuentas.•

Lista de permitidos (también conocida como "lista blanca"): especifica explícitamente el acceso quese permite. Cualquier otro acceso estará bloqueado implícitamente. De forma predeterminada, AWS

11

AWS Organizations Guía del usuarioConceptos y terminología de AWS Organizations

Organizations asocia una política administrada de AWS llamada FullAWSAccess a todos los nodosraíz, las unidades organizativas y las cuentas. Esto garantiza que, cuando cree su organización,nada estará bloqueado hasta que usted quiera bloquearlo. Es decir, de forma predeterminada,todos los permisos están habilitados. Cuando esté listo para restringir los permisos, sustituya lapolítica FullAWSAccess por una que permita únicamente el conjunto de permisos más limitadosque desee. Los usuarios y las funciones de las cuentas afectadas solo tendrán ese nivel deacceso, aunque las políticas de IAM les permitan todas las acciones. Si reemplaza la políticapredeterminada en el nodo raíz, las restricciones afectarán a todas las cuentas de la organización.No puede añadirlas posteriormente en un nivel inferior de la jerarquía porque una política SCPnunca concede permisos; solo los filtra.

•Lista de denegación (también conocida como "lista negra"): especifica explícitamente el accesoque no está permitido. El resto del acceso estará permitido. En este caso, todos los permisos estánpermitidos a menos que se bloqueen de forma explícita. Este es el comportamiento predeterminadode AWS Organizations. De forma predeterminada, AWS Organizations asocia una políticaadministrada de AWS llamada FullAWSAccess a todos los nodos raíz, las unidades organizativasy las cuentas. Esto permite a cualquier cuenta tener acceso a cualquier servicio u operación sinrestricciones impuestas por AWS Organizations–. A diferencia de la técnica de lista de permitidosque se describe anteriormente, cuando utiliza las listas de denegación, se suele dejar la políticapredeterminada FullAWSAccess en vigor (que permite "todos"). No obstante, luego debe asociarpolíticas adicionales que denieguen explícitamente el acceso a las acciones y los servicios nodeseados. De la misma forma que con las políticas de permisos de IAM, una denegación explícitade una acción del servicio invalida cualquier permiso de esa acción.

12

AWS Organizations Guía del usuarioTutorial: Creación y configuración de una organización

Tutoriales de organizaciones de AWSUtilice los tutoriales de esta sección para aprender a realizar tareas con AWS Organizations.

Tutorial: Creación y configuración de una organización (p. 13)

Comience con instrucciones paso a paso para crear su organización, invitar a sus primeras cuentasmiembro, crear una jerarquía de unidades organizativas que contenga las cuentas y aplicar algunaspolíticas de control de servicios (SCP).

Tutorial: monitoreo de cambios importantes en la organización mediante Eventos de CloudWatch (p. 20)

Para monitorear los cambios clave de su organización, puede configurar Amazon CloudWatch Eventsde modo que active una "alarma" (un correo electrónico, un mensaje de texto SMS o una entrada deregistro) cuando en su organización se produzcan las acciones que haya designado. Por ejemplo,muchas organizaciones desean saber cuándo se crea una cuenta nueva o cuándo una cuenta intentasalir de la organización.

Tutorial: Creación y configuración de unaorganización

En este tutorial, creará su organización y la configurará con dos cuentas miembro de AWS. Creará unade las cuentas miembro en su organización e invitará a la otra cuenta a que se una a su organización.A continuación, usará la técnica de lista de permitidos (p. 11) para especificar que los administradoresde cuentas pueden delegar únicamente los servicios y las acciones que se indican explícitamente. Estopermite a los administradores validar cualquier nuevo servicio que AWS introduce antes de permitirque lo use cualquier otra persona de la empresa. De esta forma, si AWS introduce un nuevo servicio,este sigue estando prohibido hasta que un administrador lo añada a la lista de permitidos de la políticacorrespondiente. El tutorial también muestra cómo utilizar listas de denegación (p. 12) para asegurarse deque ningún usuario de una cuenta miembro pueda cambiar la configuración de los registros de auditoríacreados por AWS CloudTrail.

En la siguiente ilustración se muestran los principales pasos del tutorial.

Paso 1: crear la organización (p. 14)

En este paso, crea una organización con la cuenta de AWS actual como cuenta maestra. Tambiéninvita a una cuenta de AWS a que se una a su organización y crea una segunda cuenta como cuentamiembro.

Paso 2: crear las unidades organizativas (p. 16)

A continuación, crea dos unidades organizativas en la nueva organización e incluye las cuentasmiembro en esas unidades organizativas.

Paso 3: crear las políticas de control de servicios (p. 17)

Las políticas de control de servicios (SCP) (p. 65) sirven para aplicar restricciones a las accionesque se pueden delegar en los usuarios y roles de las cuentas miembro. En este paso, crea dospolíticas SCP y las asocia a las unidades organizativas de su organización.

13

AWS Organizations Guía del usuarioRequisitos previos

Paso 4: probar las políticas de la organización (p. 20)

Puede iniciar sesión como un usuario de cada una de las cuentas de prueba y ver los efectos que lasSCP tienen en las cuentas.

Ninguno de los pasos de este tutorial supondrá un costo en su factura de AWS. AWS Organizations es unservicio gratuito.

Requisitos previosEn este tutorial se supone que tiene acceso a dos cuentas de AWS (creará una tercera como parte de estetutorial) y que puede iniciar sesión en cada una de ellas como administrador.

El tutorial hace referencia a las cuentas de la manera siguiente:

• 111111111111 – la cuenta que usa para crear la organización. Esta cuenta pasa a ser lacuenta maestra. El propietario de esta cuenta tiene una dirección de correo electrónico demasteraccount@example.com.

• 222222222222 – una cuenta que invita a unirse a la organización como cuenta miembro. El propietariode esta cuenta tiene una dirección de correo electrónico de member222@example.com.

• 333333333333 – una cuenta que crea como miembro de la organización. El propietario de esta cuentatiene una dirección de correo electrónico de member333@example.com.

Sustituya los valores anteriores por los valores asociados con las cuentas de prueba. Le recomendamosque no utilice cuentas de producción para este tutorial.

Paso 1: crear la organizaciónEn este paso, inicia sesión en la cuenta 111111111111 como administrador, crea una organización conesa cuenta como cuenta maestra y, a continuación, invita a otra cuenta, 222222222222, a unirse comocuenta miembro.

1. Inicie sesión en AWS como administrador de la cuenta 111111111111 y obtenga acceso a la consolade AWS Organizations en https://console.aws.amazon.com/organizations/.

2. En la página de introducción, elija Create organization (Crear organización).3. En el cuadro de diálogo de confirmación Create organization (Crear organización), elija Create

organization (Crear organización).

Note

De forma predeterminada, la organización se crea con todas las características habilitadas.También puede crear la organización únicamente con las características de facturaciónunificada (p. 11) habilitadas.

Se crea la organización. Ahora estará en la pestaña Accounts (Cuentas). La estrella situada junto alcorreo electrónico de la cuenta indica que se trata de la cuenta maestra.

Se envía automáticamente un correo electrónico de verificación a la dirección asociada a la cuentamaestra. Puede pasar algún tiempo hasta que reciba el correo electrónico de verificación.

4. Verifique la dirección de correo electrónico en un plazo de 24 horas. Para obtener más información,consulte Verificación de dirección de correo electrónico (p. 29).

Ahora tiene una organización con su cuenta como único miembro. Esta es la cuenta maestra de laorganización.

14

AWS Organizations Guía del usuarioPaso 1: crear la organización

Invitar a una cuenta existente a que se una a su organizaciónAhora que tiene una organización, puede comenzar a rellenarla con cuentas. En los pasos de estasección, invita a una cuenta existente a unirse como miembro de su organización.

Para invitar a una cuenta existente a unirse

1. Open the Organizaciones console at https://console.aws.amazon.com/organizations/.2. Elija la pestaña Accounts. La estrella situada junto al nombre de cuenta indica que se trata de la

cuenta maestra.

Ahora puede invitar a otras cuentas a que se unan como cuentas miembro.3. En la pestaña Accounts (Cuentas), elija Add account (Añadir cuenta) y, a continuación, elija Invite

account (Invitar a cuenta).4. En el cuadro Account ID or email (ID de cuenta o correo electrónico), escriba la dirección de

correo electrónico del propietario de la cuenta a la que desea invitar, que debe ser parecida amember222@example.com.

5. Escriba el texto que desee en el cuadro Notes. Este texto se incluirá en el correo electrónico que seenvía al propietario de la cuenta.

6. Seleccione Invitar y AWS Organizations enviará la invitación al propietario de la cuenta.

Important

Si obtiene un error que indica que ha excedido los límites de la cuenta para la organizacióno que no puede añadir una cuenta porque la organización sigue inicializándose, espere aque pase una hora desde que creó la organización e inténtelo de nuevo. Si el error persiste,póngase en contacto con AWSSupport.

7. A efectos de este tutorial, ahora tiene que aceptar su propia invitación. Realice alguna de lassiguientes acciones para ir a la página Invitations en la consola:

• Abra el mensaje de correo electrónico enviado desde la cuenta maestra de AWS y elija el enlacepara aceptar la invitación. Cuando se le pida que inicie sesión, hágalo como administrador de lacuenta miembro invitada.

• Abra la consola de AWS Organizations (https://console.aws.amazon.com/organizations/) e iniciesesión como administrador de la cuenta miembro. Elija Invitations. El número detrás del vínculoindica cuántas invitaciones tiene esta cuenta.

8. En la página Invitations (Invitaciones), elija Accept (Aceptar) y, a continuación, elija Confirm(Confirmar).

9. Cierre la sesión de la cuenta miembro e inicie sesión de nuevo como administrador en la cuentamaestra.

Crear una cuenta miembroEn los pasos de esta sección, crea una cuenta de AWS que se convierte automáticamente en miembro dela organización. En este tutorial, a esta cuenta la llamaremos 333333333333.

Para crear una cuenta miembro

1. En la consola de AWS Organizations, en la pestaña Cuentas, elija Añadir cuenta.2. En Full name (Nombre completo), escriba un nombre para la cuenta, como MainApp Account.3. En Email (Correo electrónico), escriba la dirección de correo electrónico de la persona que va a recibir

las comunicaciones en nombre de la cuenta. Este valor debe ser único de forma global. Dos cuentasno pueden tener la misma dirección de correo electrónico. Por ejemplo, puede escribir un correo comomainapp@example.com.

15

AWS Organizations Guía del usuarioPaso 2: crear las unidades organizativas

4. En IAM role name, puede dejar este campo en blanco para que se use automáticamente el nombre derol predeterminado de OrganizationAccountAccessRole o puede proporcionar su propio nombre.Esta función le permite tener acceso a la nueva cuenta miembro cuando inicie sesión como un usuariode IAM en la cuenta maestra. En este tutorial, déjelo en blanco para indicar a AWS Organizations queva a crear la función con el nombre predeterminado.

5. Seleccione Create. Es posible que tenga que esperar un rato y actualizar la página para ver la nuevacuenta en la pestaña Accounts.

Important

Si obtiene un error que indica que ha excedido los límites de la cuenta para la organizacióno que no puede añadir una cuenta porque la organización sigue inicializándose, espere aque pase una hora desde que creó la organización e inténtelo de nuevo. Si el error persiste,póngase en contacto con AWSSupport.

Paso 2: crear las unidades organizativasEn los pasos de esta sección, crea unidades organizativas e incluye en ellas sus cuentas miembro.Cuando haya finalizado, su jerarquía tendrá un aspecto similar al de la siguiente ilustración. La cuentamaestra permanece en el nodo raíz. Una cuenta miembro se mueve a la unidad organizativa Productiony la otra cuenta miembro se mueve a la unidad organizativa MainApp, que es una unidad organizativasecundaria de Production.

16

AWS Organizations Guía del usuarioPaso 3: crear las políticas de control de servicios

Para crear y rellenar las unidades organizativas

1. En la consola de AWS Organizations, elija la pestaña Organizar cuentas y, a continuación, elija +Nueva unidad organizativa.

2. Para el nombre de la unidad organizativa, escriba Production y, a continuación, elija Createorganizational unit (Crear unidad organizativa).

3. Elija la nueva OU Production (Producción) para obtener acceso a ella y, a continuación, elija + Neworganizational unit (+ Nueva unidad organizativa).

4. Para el nombre de la segunda unidad organizativa, escriba MainApp y, a continuación, elija Createorganizational unit (Crear unidad organizativa).

Ahora puede mover sus cuentas miembro a estas unidades organizativas.5. En la vista de árbol de la izquierda, elija Root (Raíz).6. Seleccione la primera cuenta miembro 222222222222 y, a continuación, elija Move (Mover).7. En el cuadro de diálogo Move accounts (Mover cuentas), elija Production y, a continuación, elija Move

(Mover).8. Seleccione la segunda cuenta miembro 333333333333 y, a continuación, elija Move (Mover).9. En el cuadro de diálogo Move accounts, elija Production para exponer MainApp. Elija MainApp y, a

continuación, elija Move (Mover).

Paso 3: crear las políticas de control de serviciosEn los pasos de esta sección, crearemos tres políticas de control de servicios (SCP) (p. 65) y las asociaal nodo raíz y a las unidades organizativas para restringir lo que los usuarios de cuentas de la organizaciónpueden hacer. La primera SCP impide que cualquiera de las cuentas miembro cree o modifique losregistros de AWS CloudTrail que haya configurado. La cuenta maestra no se ve afectada por ningunaSCP; por lo tanto, debe crear los registros desde dicha cuenta después de aplicar la SCP de CloudTrail.

Para crear la primera SCP que bloquea acciones de configuración de CloudTrail

1. Elija la pestaña Policies (Políticas) y, a continuación, elija Create policy (Crear política).2. En Policy name (Nombre de política), escriba Block CloudTrail Configuration Actions.3. En la sección Policy (Política) de la izquierda, seleccione el servicio CloudTrail. A continuación, elija

las acciones siguientes: AddTags, CreateTrail, DeleteTrail, RemoveTags, StartLogging, StopLogging yUpdateTrail.

4. En el panel de la izquierda, elija Add resource (Añadir recurso) y especifique CloudTrail y AllResources (Todos los recursos). A continuación, elija Add resource (Añadir recurso).

La instrucción de la política de la derecha se actualizará y tendrá un aspecto similar al siguiente.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1234567890123", "Effect": "Deny", "Action": [ "cloudtrail:AddTags", "cloudtrail:CreateTrail", "cloudtrail:DeleteTrail", "cloudtrail:RemoveTags", "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail"

17

AWS Organizations Guía del usuarioPaso 3: crear las políticas de control de servicios

], "Resource": [ "*" ] } ]}

5. Elija Create Policy (Crear política).

La segunda política define una lista de permitidos (p. 11) de todos los servicios y acciones que deseapermitir para los usuarios y roles de la unidad organizativa Production. Cuando haya finalizado, losusuarios de la unidad organizativa Production (Producción) podrán obtener acceso solo a los servicios yacciones enumerados.

Para crear la segunda política que permite usar los servicios aprobados para la unidadorganizativa Production

1. En la lista de políticas, elija Create policy (Crear política).2. En Policy name (Nombre de política), introduzca Allow List for All Approved Services.3. Sitúe el cursor en el panel derecho de la sección Policy (Política) y pegue una política como la

siguiente.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1111111111111", "Effect": "Allow", "Action": [ "ec2:*", "elasticloadbalancing:*", "codecommit:*", "cloudtrail:*", "codedeploy:*" ], "Resource": [ "*" ] } ]}

4. Elija Create Policy (Crear política).

La política final proporciona una lista de denegación (p. 12) de servicios que están bloqueados en launidad organizativa MainApp. En este tutorial, bloquea el acceso a Amazon DynamoDB en cualquiercuenta que esté en la unidad organizativa MainApp.

Para crear la tercera política que deniega el acceso los servicios que no se pueden utilizar en launidad organizativa MainApp

1. En la pestaña Policies (Políticas), elija Create policy (Crear política).2. En Policy name (Nombre de la política), introduzca Deny List for MainApp Prohibited

Services.3. En la sección Policy (Política) de la izquierda, seleccione el servicio Amazon DynamoDB. Para la

acción, elija All actions (Todas las acciones).4. En el panel de la izquierda, elija Add resource (Añadir recurso) y especifique DynamoDB y All

Resources (Todos los recursos). A continuación, elija Add resource (Añadir recurso).

18

AWS Organizations Guía del usuarioPaso 3: crear las políticas de control de servicios

La instrucción de la política de la derecha se actualizará y tendrá un aspecto similar al siguiente.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "dynamodb:*" ], "Resource": [ "*" ] } ]}

5. Elija Create policy para guardar la SCP.

Activar el tipo de política de control de servicios en el nodo raízAntes de asociar una política de cualquier tipo a un nodo raíz o unidad organizativa dentro de un nodoraíz, debe habilitar el tipo de política para ese nodo raíz. De forma predeterminada, los tipos de políticasno están habilitados en ningún nodo raíz. Los pasos de esta sección le indican cómo habilitar el tipo depolítica de control de servicios (SCP) para el nodo raíz de su organización.

Note

Actualmente, solo puede tener un nodo raíz en su organización. Se creó automáticamente y sedenominó Root cuando creó la organización.

Para habilitar las SCP para el nodo raíz

1. En la pestaña Organize accounts (Organizar cuentas), elija el nodo raíz.2. En el panel Details (Detalles) de la derecha, en ENABLE/DISABLE POLICY TYPES (HABILITAR/

DESHABILITAR TIPOS DE POLÍTICAS) y junto a Service control policies (Políticas de control deservicios), elija Enable (Habilitar).

Adjuntar las políticas SCP a sus unidades organizativasAhora que las SCP están disponibles y habilitadas para su nodo raíz, puede asociarlas al nodo raíz y a lasunidades organizativas.

Para asociar las políticas al nodo raíz y a las unidades organizativas

1. Sin salir de la pestaña Organize accounts (Organizar cuentas), en el panel Details (Detalles) dela derecha, en POLICIES (POLÍTICAS), elija SERVICE CONTROL POLICIES (POLÍTICAS DECONTROL DE SERVICIOS).

2. Elija Attach (Asociar) junto a la SCP denominada Block CloudTrail Configuration Actionspara impedir que alguien modifique la forma en que ha configurado CloudTrail. En este tutorial, laasocia al nodo raíz para que afecte a todas las cuentas miembro.

En el panel Details (Detalles), ahora se muestran resaltadas las dos SCP asociadas al nodo raíz: laque acaba de crear y la SCP predeterminada, FullAWSAccess.

3. Elija la OU Production (no la casilla) para desplazarse hasta su contenido.4. En POLICIES (POLÍTICAS), elija SERVICE CONTROL POLICIES (POLÍTICAS DE CONTROL DE

SERVICIOS) y, a continuación, elija Attach (Asociar) junto a Allow List for All ApprovedServices para permitir a los usuarios o roles de las cuentas miembro de la OU Production el accesoa los servicios aprobados.

19

AWS Organizations Guía del usuarioPaso 4: probar las políticas de la organización

5. En el panel de información, ahora se muestra que hay dos SCP asociadas a la OU: la que acabade asociar y la SCP predeterminada, FullAWSAccess. Sin embargo, como la política SCPFullAWSAccess también permite todos los servicios y acciones, debe desasociar esta política SCPpara asegurarse de que solo se permitan los servicios aprobados.

6. Para eliminar la política predeterminada de la OU Production, junto a FullAWSAccess, elija Detach(Desasociar). Después de eliminar esta política predeterminada, todas las cuentas miembro del nodoraíz pierden inmediatamente el acceso a todas las acciones y servicios que no estén en la políticaSCP de lista de permitidos que se ha asociado en el paso anterior. Cualquier solicitud para utilizaracciones que no estén incluidas en la SCP Allow List for All Approved Services (Lista de permitidospara todos los servicios aprobados) se deniega. Esto es así incluso si un administrador de una cuentaconcede acceso a otro servicio asociando una política de permisos de IAM a un usuario de una de lascuentas miembro.

7. Ahora puede adjuntar la política SCP denominada Deny List for MainApp Prohibitedservices para impedir que algún usuario de las cuentas de la unidad organizativa MainApp usealguno de los servicios restringidos.

Para hacerlo, elija la OU MainApp (no la casilla) para desplazarse hasta su contenido.8. En el panel Details (Detalles), en POLICIES (POLÍTICAS), expanda la sección Service control policies

(Políticas de control de servicios). En la lista de políticas disponibles, junto a Deny List for MainAppProhibited Services (Lista de denegación para servicios prohibidos de MainApp), seleccione Attach(Adjuntar).

Paso 4: probar las políticas de la organizaciónAhora puede iniciar sesión como un usuario de cualquiera de las cuentas miembro e intentar realizaralgunas acciones de AWAWS:

• Si inicia sesión como un usuario de la cuenta maestra, puede realizar cualquier operación permitidapor las políticas de permisos de IAM. Las SCP no afectan a ningún usuario o rol de la cuenta maestra,independientemente de en qué nodo raíz o unidad organizativa se encuentre la cuenta.

• Si inicia sesión como usuario raíz o como un usuario de IAM en la cuenta 222222222222, puederealizar cualquier acción permitida por la lista de permitidos. AWS Organizations deniega cualquierintento de realizar una acción en cualquier servicio que no esté en la lista de permitidos. Asimismo,AWS Organizations deniega cualquier intento de realizar alguna de las acciones de configuración deCloudTrail.

• Si inicia sesión como un usuario en la cuenta 333333333333, puede realizar cualquier acción permitidapor la lista de permitidos y que no esté bloqueada por la lista de denegación. AWS Organizationsdeniega cualquier intento de realizar una acción en cualquier servicio que no esté en la política de la listade permitidos y cualquier acción que esté en la de la lista de denegación. Asimismo, AWS Organizationsdeniega cualquier intento de realizar alguna de las acciones de configuración de CloudTrail.

Tutorial: monitoreo de cambios importantes en laorganización mediante Eventos de CloudWatch

En este tutorial se muestra cómo configurar Eventos de CloudWatch para monitorear los cambios quepuedan producirse en la organización. Para comenzar, se configura una regla que se activa cuando losusuarios invocan determinadas operaciones de AWS Organizations. A continuación, se configura Eventosde CloudWatch para que ejecute una función AWS Lambda cuando se active la regla y se configuraAmazon SNS para que envíe un correo electrónico con información detallada acerca del evento.

En la siguiente ilustración se muestran los principales pasos del tutorial.

20

AWS Organizations Guía del usuarioRequisitos previos

Paso 1: Configuración de un registro de seguimiento y un selector de eventos (p. 22)

Cree un registro de seguimiento en AWS CloudTrail. Configúrelo para capturar todas las llamadas aAPI.

Paso 2: configuración de la función Lambda (p. 23)

Cree una función AWS Lambda que registre los detalles del evento en un bucket de S3.Paso 3: creación de un tema de Amazon SNS que envía correos electrónicos a los suscriptores (p. 23)

Cree un tema de Amazon SNS que envíe correos electrónicos a sus suscriptores y, a continuación,suscríbase a ese tema.

Paso 4: creación de una regla de Eventos de CloudWatch (p. 24)

Cree una regla que indique a Eventos de CloudWatch que pase determinados datos de las llamadas ala API especificadas a la función Lambda y a los suscriptores al tema de SNS.

Paso 5: comprobación de la regla de Eventos de CloudWatch (p. 25)

Ejecute una de las operaciones monitorizadas para probar la nueva regla. En este tutorial, laoperación monitorizada crea una unidad organizativa (OU). Puede ver la entrada de registro creadapor la función Lambda y el correo electrónico que Amazon SNS envía a los suscriptores.

Sugerencia

También puede utilizar este tutorial como guía al configurar operaciones similares como, porejemplo, el envío de notificaciones por correo electrónico cuando se haya completado la creaciónde la cuenta. Dado que la creación de la cuenta es una operación asíncrona, no recibirá de formapredeterminada una notificación cuando se complete. Para obtener más información acerca deluso de AWS CloudTrail y Eventos de CloudWatch con AWS Organizations, consulte Registro ymonitorización en AWS Organizations (p. 153).

Requisitos previosEste tutorial se basa en los siguientes supuestos:

• Puede iniciar sesión en la Consola de administración de AWS como usuario de IAM desde la cuentamaestra de su organización. El usuario de IAM debe tener permisos para crear y configurar un registroen CloudTrail, una función en Lambda, un tema en Amazon SNS y una regla en CloudWatch. Para

21

AWS Organizations Guía del usuarioPaso 1: Configuración de un registro de

seguimiento y un selector de eventos

obtener más información acerca de la concesión de permisos, consulte Administración de accesos en laGuía del usuario de IAM o la guía del servicio cuyo acceso desea configurar.

• Dispone de acceso a un bucket de Amazon Simple Storage Service (Amazon S3) (o tiene permisos paracrear un bucket) para recibir el registro de CloudTrail que ha configurado en el paso 1.

Important

En este momento, AWS Organizations se aloja únicamente en la región US East (N. Virginia)(aunque está disponible en todo el mundo). Para realizar los pasos de este tutorial, debeconfigurar la Consola de administración de AWS para que utilice esa región.

Paso 1: Configuración de un registro de seguimiento yun selector de eventosEn este paso, iniciará sesión en la cuenta maestra y configurará un registro de seguimiento en AWSCloudTrail. Además, configurará un selector de eventos en el registro de seguimiento para capturar todaslas llamadas a la API de lectura/escritura, de tal forma que existan llamadas que permitan que Eventos deCloudWatch se active.

Para crear un registro de seguimiento

1. Inicie sesión en AWS como administrador de la cuenta maestra de la organización y, a continuación,abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.

2. En la barra de navegación de la esquina superior derecha de la consola, elija la región US East(N. Virginia). Si elige otra región, AWS Organizations no aparecerá entre las opciones de laconfiguración de Eventos de CloudWatch, en cuyo caso CloudTrail no capturará la información deAWS Organizations.

3. En el panel de navegación, seleccione Trails.4. Elija Create Trail (Crear registro de seguimiento).5. En Trail name (Nombre del registro de seguimiento), escriba My-Test-Trail.6. Realice una de las siguientes opciones para especificar dónde deben entregarse los registros de

CloudTrail.

• Si ya tiene un bucket, elija No junto a Create a new S3 bucket (Crear un nuevo bucket de S3) y, acontinuación, elija el nombre del bucket en la lista S3 bucket (Bucket de S3).

• Si necesita crear un bucket, elija Yes (Sí) junto a Create a new S3 bucket (Crear un nuevo bucket deS3) y, a continuación, escriba el nombre del nuevo bucket en S3 bucket (Bucket de S3).

Note

Los nombres de los buckets de S3 deben ser únicos de forma global.7. Seleccione Create.8. Elija el registro de seguimiento My-Test-Trail que acaba de crear.9. Seleccione el icono de lápiz junto a Management events.10. Para Read/Write events, elija All, Save y, a continuación, elija Configure.

Eventos de CloudWatch permite elegir entre diferentes maneras de enviar alertas cuando una regla dealarma coincide con una llamada a la API entrante. En este tutorial se muestran dos métodos: invocar unafunción Lambda que puede registrar la llamada a la API y enviar información a un tema de Amazon SNSque, a su vez, envía un correo electrónico o mensaje de texto a los suscriptores del tema. En los próximosdos pasos, debe crear los componentes que necesita, la función Lambda y el tema de Amazon SNS.

22

AWS Organizations Guía del usuarioPaso 2: configuración de la función Lambda

Paso 2: configuración de la función LambdaEn este paso, se crea una función Lambda que registra la actividad de la API que le envía la regla deEventos de CloudWatch que configuraremos más adelante.

Para crear una función Lambda que registra eventos de Eventos de CloudWatch

1. Abra la consola de AWS Lambda en https://console.aws.amazon.com/lambda/.2. Si es nuevo en Lambda, seleccione Get Started Now (Comenzar ahora) en la página de bienvenida;

de lo contrario, seleccione Create a function (Crear una función).3. En la página Create function, elija Blueprints.4. En el cuadro de búsqueda Blueprints (Proyectos), escriba hello para el filtro y elija el proyecto hello-

world.5. Elija Configure.6. En la página Basic information (Información básica), haga lo siguiente:

a. Para el nombre de la función Lambda, escriba LogOrganizationEvents en el cuadro dedetexto Name (Nombre).

b. Para Role (Rol), elija Create a custom role (Crear un rol personalizado) y, a continuación, enla parte inferior de la página AWS Lambda requires access to your resources (AWS Lambdarequiere acceso a sus recursos), elija Allow (Permitir). Esta función concede a la función Lambdapermisos para obtener acceso a los datos que requiere y para escribir en su registro de salida.

c. Elija Create function.7. En la página siguiente, edite el código de la función Lambda, como se muestra en el ejemplo

siguiente.

console.log('Loading function');

exports.handler = async (event, context) => { console.log('LogOrganizationsEvents'); console.log('Received event:', JSON.stringify(event, null, 2)); return event.key1; // Echo back the first key value // throw new Error('Something went wrong');};

Este código de muestra registra el evento con una cadena de marcador LogOrganizationEventsseguida de la cadena JSON que compone el evento.

8. Seleccione Save.

Paso 3: creación de un tema de Amazon SNS queenvía correos electrónicos a los suscriptoresEn este paso, se crea un tema de Amazon SNS que envía información a sus suscriptores por correoelectrónico. A continuación, este tema se convierte en "objetivo" de la regla de Eventos de CloudWatchque se crea después.

Para crear un tema de Amazon SNS con el fin de enviar un correo electrónico a los suscriptores

1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/.2. En el panel de navegación, elija Topics.3. Elija Create new topic.

23

AWS Organizations Guía del usuarioPaso 4: creación de una regla de Eventos de CloudWatch

a. En Topic name (Nombre del tema), escriba OrganizationsCloudWatchTopic.b. En Display name (Nombre visible), escriba OrgsCWEvnt.c. Elija Create new topic.

4. Ahora puede crear una suscripción para el tema. Elija el ARN del tema que acaba de crear.5. Seleccione Create subscription.

a. En la página Create subscription, para Protocol, elija Email.b. En Punto de enlace, introduzca su dirección de correo electrónico.c. Seleccione Create subscription (Crear suscripción). AWS envía un mensaje de correo electrónico

a la dirección especificada en el paso anterior. Espere a recibir ese correo electrónico y, acontinuación, elija el enlace Confirm subscription que contiene para confirmar que lo ha recibidocorrectamente.

d. Vuelva a la consola y actualice la página. El mensaje Pending confirmation desaparece y sesustituye por el ID de suscripción que ha quedado validado.

Paso 4: creación de una regla de Eventos deCloudWatchAhora que ya existe la función Lambda en su cuenta, debe crear una regla Eventos de CloudWatch que lainvoque cuando se cumplan los criterios de dicha regla.

Para crear una regla de Eventos de CloudWatch

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Rules (Reglas) y, a continuación, seleccione Create rule (Crear regla).3. En Event source, haga lo siguiente:

a. Seleccione Event pattern.b. Seleccione Build event pattern to match events by service.c. En Service Name, elija Organizations.d. En Event Type (Tipo de evento), seleccione AWS API Call via CloudTrail.e. Elija Specific operation(s) (Operaciones específicas) y, a continuación, indique las API que

quiera monitorizar: CreateAccount y CreateOrganizationalUnit. Puede seleccionar también otrasque también desee. Para ver una lista completa de las API de AWS Organizations disponibles,consulte la Referencia de la API de AWS Organizations.

4. En Targets(Destinos), en Function (Función), elija la función que creó en el procedimiento anterior.5. En Targets, seleccione Add target.6. En la nueva fila de destino, elija el encabezado desplegable y, a continuación, seleccione SNS topic

(Tema de SNS).7. Para Topic (Tema), elija el tema denominado OrganizationCloudWatchTopic que haya creado en el

procedimiento anterior.8. Seleccione Configure details.9. En la página Configure rule details (Configurar los detalles de la regla), en Name (Nombre), escriba

OrgsMonitorRule, deje State (Estado) seleccionado y, a continuación, elija Create rule (Crearregla).

24

AWS Organizations Guía del usuarioPaso 5: comprobación de la

regla de Eventos de CloudWatch

Paso 5: comprobación de la regla de Eventos deCloudWatchEn este paso, se crea una unidad organizativa (OU) y se comprueba que la regla de Eventos deCloudWatch genere una entrada de registro y le envíe un correo electrónico con información detallada delevento.

Para crear una unidad organizativa (OU)

1. Abra la consola de AWS Organizations en https://console.aws.amazon.com/organizations/.2. Seleccione la pestaña Organize Accounts (Organizar cuentas) y, a continuación, elija Create

organizational unit (Crear unidad organizativa).3. Para el nombre de la unidad organizativa, escriba TestCWEOU y, a continuación, elija Create

organizational unit (Crear unidad organizativa).

Para ver la entrada de registro de Eventos de CloudWatch

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Logs.3. En la página Log Groups (Grupos de registros), elija el grupo asociado a su función Lambda: /aws/

lambda/LogOrganizationEvents.4. Cada grupo contiene uno o más flujos; debería haber un grupo para hoy. Elíjalo.5. Consulte el registro. Deben aparecer filas similares a las siguientes.

6. Seleccione la fila central de la entrada para ver todo el texto JSON del evento recibido.Aparecen todos los detalles de la solicitud al API en los componentes requestParameters yresponseElements de la salida.

2017-03-09T22:45:05.101Z 0999eb20-051a-11e7-a426-cddb46425f16 Received event:{ "version": "0", "id": "123456-EXAMPLE-GUID-123456", "detail-type": "AWS API Call via CloudTrail", "source": "aws.organizations", "account": "123456789012", "time": "2017-03-09T22:44:26Z", "region": "us-east-1", "resources": [], "detail": { "eventVersion": "1.04", "userIdentity": { ... }, "eventTime": "2017-03-09T22:44:26Z", "eventSource": "organizations.amazonaws.com", "eventName": "CreateOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "192.168.0.1", "userAgent": "AWS Organizations Console, aws-internal/3", "requestParameters": { "parentId": "r-exampleRootId", "name": "TestCWEOU" }, "responseElements": {

25

AWS Organizations Guía del usuarioEliminación: eliminar los recursos que ya no se necesitan

"organizationalUnit": { "name": "TestCWEOU", "id": "ou-exampleRootId-exampleOUId", "arn": "arn:aws:organizations::1234567789012:ou/o-exampleOrgId/ou-exampleRootId-exampeOUId" } }, "requestID": "123456-EXAMPLE-GUID-123456", "eventID": "123456-EXAMPLE-GUID-123456", "eventType": "AwsApiCall" }}

7. Consulte su cuenta de correo electrónico para ver el mensaje enviado por OrgsCWEvnt (el nombre devisualización del tema de Amazon SNS). El cuerpo del correo electrónico contiene la misma salida detexto JSON que la entrada de registro mostrada en el paso anterior.

Eliminación: eliminar los recursos que ya no senecesitanPara evitar que se acumulen cargos, debe eliminar todos los recursos de AWS creados durante estetutorial y que no desee conservar.

Para eliminar los recursos del entorno de AWS

1. Utilice la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/ para eliminar el registrode seguimiento denominado My-Test-Trail que se creó en el paso 1.

2. Si ha creado un bucket de Amazon S3 en el paso 1, utilice la consola de Amazon S3 en https://console.aws.amazon.com/s3/ para eliminarlo.

3. Utilice la consola de Lambda en https://console.aws.amazon.com/lambda/ para eliminar la funcióndenominada LogOrganizationEvents que se creó en el paso 2.

4. Utilice la consola de Amazon SNS en https://console.aws.amazon.com/sns/ para eliminar el tema deAmazon SNS denominado OrganizationsCloudWatchTopic que se creó en el paso 3.

5. Utilice la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/ para eliminar laregla de CloudWatchdenominada OrgsMonitorRule que se creó en el paso 4.

Y ya está. En este tutorial, ha configurado Eventos de CloudWatch; para monitorear los cambios ensu organización. Ha configurado una regla que se activa cuando los usuarios invocan determinadasoperaciones de AWS Organizations. La regla ha ejecutado una función Lambda que registró el evento yenvió un correo electrónico que contenía información acerca de dicho evento.

26

AWS Organizations Guía del usuarioCrear una organización

Creación y administración de unaorganización

Puede realizar las siguientes tareas a través de la consola de AWS Organizations

• Crear una organización (p. 27). Cree una organización con su cuenta actual como cuenta maestra.Cree cuentas miembro en su organización e invite a otras cuentas a que se unan a su organización.

• Habilitar todas las características en la organización (p. 29). Habilitar todas las características esla forma idónea de trabajar con AWS Organizations. Al crear una organización, tiene la opción dehabilitar todas las características o un subconjunto de ellas para unificar la facturación. Habilitar todas lascaracterísticas es la opción predeterminada e incluye las características de facturación unificada.

Si están habilitadas todas las características, puede utilizar las de administración avanzada de cuentasdisponibles en AWS Organizations, tales como las políticas de control de servicios (SCP) (p. 65).Las SCP ofrecen control central de los permisos máximos disponibles para todas las cuentas de laorganización. Esto le permite asegurarse de que sus cuentas cumplan en todo momento las directricesde control de acceso de la organización.

• Ver información detallada de su organización (p. 33). Vea información detallada de su organización ysus nodos raíz, unidades organizativas y cuentas.

• Eliminar una organización (p. 37). Elimine una organización cuando ya no la necesite.

Note

En los procedimientos de esta sección se indican los permisos mínimos necesarios para llevar acabo las tareas. Estos se aplican normalmente a la API o al acceso a la herramienta de línea decomandos.Para realizar una tarea en la consola podría necesitar permisos adicionales. Por ejemplo, puedeotorgar permisos de solo lectura a todos los usuarios de su organización y, a continuación,conceder otros permisos que permitan seleccionar los usuarios que pueden realizar tareasespecíficas.

Crear una organizaciónUtilice AWS Organizations para crear una organización propia que le permita consolidar y administrar suscuentas de AWS.

Puede crear una organización comenzando por su cuenta de AWS como cuenta maestra. Cuando creauna organización, puede elegir si la organización admitirá todas las características (opción recomendada)o solo las de facturación unificada.

Note

Actualmente, solo puede tener un nodo raíz en su organización.

Una vez creada la organización, puede añadir cuentas desde la cuenta maestra tal y como se indica acontinuación:

27

AWS Organizations Guía del usuarioCrear una organización

• Puede crear otras cuentas de AWS que se incorporen automáticamente a la organización comomiembros.

• Después de verificar la dirección de correo electrónico, puede invitar a otras cuentas de AWS existentespara que se unan a su organización como cuentas miembro.

Permisos mínimos

Para crear una organización con su cuenta de AWS actual, debe contar con los siguientespermisos:

• organizations:CreateOrganization

Para crear una organización (consola)

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Organizations enhttps://console.aws.amazon.com/organizations/. Debe iniciar sesión como usuario de IAM, asumir unafunción de IAM o iniciar sesión como usuario raíz (no se recomienda) en la que deba ser la cuentamaestra de la organización.

2. En la página de introducción, elija Create organization (Crear organización).3. En el cuadro de diálogo de confirmación Create organization (Crear organización), elija Create

organization (Crear organización).

Note

De forma predeterminada, la organización se crea con todas las características habilitadas.También puede crear la organización únicamente con las características de facturaciónunificada (p. 11) habilitadas.

Se crea la organización. Ahora estará en la pestaña Accounts (Cuentas). La estrella situada junto alcorreo electrónico de la cuenta indica que se trata de la cuenta maestra.

Se envía automáticamente un correo electrónico de verificación a la dirección asociada a la cuentamaestra. Puede pasar algún tiempo hasta que reciba el correo electrónico de verificación.

4. Verifique la dirección de correo electrónico en un plazo de 24 horas. Para obtener más información,consulte Verificación de dirección de correo electrónico (p. 29).

5. Agregue cuentas a la organización tal y como se indica a continuación:

• Para crear una cuenta de AWS que forme parte automáticamente de la organización de AWS,consulte Creación de una cuenta de AWS en su organización (p. 44).

• Para invitar a una cuenta existente a la organización, consulte Invitar a una cuenta de AWS a unirsea su organización (p. 40).

Note

Puede añadir nuevas cuentas a la organización sin verificar la dirección de correo electrónicode la cuenta maestra. Para invitar a otras cuentas existentes, primero debe verificar dichadirección de correo electrónico.

Para crear una organización (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para crear una organización:

• AWS CLI: aws organizations create-organization• API de AWS: CreateOrganization

28

AWS Organizations Guía del usuarioVerificación de dirección de correo electrónico

Verificación de dirección de correo electrónicoDespués de crear la organización, para poder invitar a otras cuentas a que se unan, debe verificar que esel propietario de la dirección de correo electrónico asociada a la cuenta maestra de la organización.

Cuando cree una organización, AWS enviará automáticamente un correo electrónico de verificación ala dirección de correo electrónico especificada. Puede pasar algún tiempo hasta que reciba el correoelectrónico de verificación.

En un plazo de 24 horas, siga las instrucciones del correo electrónico para verificar la dirección de correoelectrónico.

Si no verifica la dirección de correo electrónico en un plazo de 24 horas, puede volver a enviar la solicitudde verificación, de modo que pueda invitar a otras cuentas de AWS a la organización. Si no recibe elcorreo electrónico de verificación, compruebe que la dirección de correo electrónico es correcta y, si esnecesario, modifíquela.

• Para saber qué dirección de correo electrónico está asociada a la cuenta maestra, consulte Consultardetalles de una organización desde la cuenta maestra (p. 34).

• Para cambiar la dirección de correo electrónico asociada a la cuenta maestra, consulte Administraciónde una cuenta de AWS en la Guía del usuario de AWS Billing and Cost Management.

Para volver a enviar la solicitud de verificación

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Organizations enhttps://console.aws.amazon.com/organizations/. Debe iniciar sesión como usuario de IAM, asumir unafunción de IAM o iniciar sesión como usuario raíz (no se recomienda) en la que deba ser la cuentamaestra de la organización.

2. Seleccione la pestaña Settings (Configuración) y haga clic en Send verification request (Enviarsolicitud de verificación).

3. Verifique la dirección de correo electrónico en un plazo de 24 horas.

Después de verificar la dirección de correo electrónico, podrá invitar a otras cuentas de AWS para quese unan a su organización. Para obtener más información, consulte Invitar a una cuenta de AWS aunirse a su organización (p. 40).

Si cambia la dirección de correo electrónico de la cuenta maestra, el estado de la cuenta volverá a ser"email unverified" (correo electrónico sin verificar) y deberá completar el proceso de verificación de lanueva dirección de correo electrónico.

Habilitar todas las características en la organizaciónAWS Organizations tiene dos conjuntos de características disponibles:

• All features (p. 11) (Todas las características) – Esta característica es la mejor forma de trabajar conAWS Organizations e incluye las características de facturación unificada. Al crear una organización, lascaracterísticas se habilitan de manera predeterminada. Si están habilitadas todas las características,puede utilizar las de administración avanzada de cuentas disponibles en AWS Organizations, tales comolas políticas de control de servicios (SCP) (p. 65) y las políticas de etiquetas (p. 92).

• Consolidated billing features (p. 11) (Características de facturación unificada) – Todas las organizacionesadmiten este subconjunto de características, que proporciona herramientas de administración básicasque puede utilizar para administrar de forma centralizada las cuentas de su organización.

29

AWS Organizations Guía del usuarioAntes de habilitar todas las características

Si crea una organización que solo tenga las características de facturación unificada, podrá habilitarposteriormente todas las características. En esta página se describe el proceso para habilitar todas lascaracterísticas.

Antes de habilitar todas las característicasAntes de cambiar de una organización que admite solamente las características de facturación unificada auna organización que admita todas las características, tenga en cuenta lo siguiente:

• Cuando comienza el proceso para habilitar todas las características, AWS Organizations envía unasolicitud a cada cuenta a la que ha invitado a unirse a su organización. Cada cuenta invitada debeaprobar la habilitación de todas las características aceptando la solicitud. Solo entonces podrá completarel proceso para habilitar todas las características en su organización. Si una cuenta rechaza la solicitud,debe eliminar la cuenta de su organización o volver a enviar la solicitud. Se debe aceptar la solicitudantes de que pueda completar el proceso para habilitar todas las características. Las cuentas que hacreado utilizando AWS Organizations no reciben una solicitud porque no necesitan aprobar el controladicional.

• Las organizaciones también verifican que todas las cuentas tengan un servicio denominadoAWSServiceRoleForOrganizations. Este rol es obligatorio en todas las cuentas para habilitartodas las características. Si elimina el rol en una cuenta invitada, al aceptar la invitación para habilitartodas las características, se vuelve a crear el rol. Si elimina la función en una cuenta creada en AWSOrganizations, esa cuenta recibe una invitación específicamente para volver a crear la función. Todasestas invitaciones deben aceptarse para que la organización complete el procedimiento de habilitaciónde todas las características.

• Mientras la habilitación de todas las características esté en curso, podrá seguir creando cuentas en laorganización, pero no puede invitar a cuentas existentes para que se unan a la organización. Para invitarcuentas es preciso esperar a que el proceso de habilitación de todas las características haya finalizado.Si lo prefiere, puede cancelar el proceso de habilitación de todas las funciones, invitar a las cuentas y, acontinuación, reiniciar el proceso para habilitar todas las funciones.

• Dado que habilitar todas las características permite utilizar SCP (p. 65), asegúrese de que losadministradores de su cuenta comprendan los efectos de asociar SCP a la organización, las unidadesorganizativas o las cuentas. Las SCP pueden restringir lo que los usuarios e incluso los administradorespueden hacer en las cuentas afectadas. Por ejemplo, la cuenta maestra puede aplicar SCP que impidana las cuentas miembro abandonar la organización.

• La cuenta maestra no se ve afectada por ninguna SCP. No puede limitar lo que los usuarios y roles dela cuenta maestra pueden hacer mediante la aplicación de políticas SCP. Las políticas SCP afectanúnicamente a las cuentas miembro.

• La migración desde las características de facturación unificada a todas las características esunidireccional. No puede revertir una organización con todas las características habilitadas a solocaracterísticas de facturación unificada.

• Si en su organización solo están habilitadas las características de facturación unificada, losadministradores de las cuentas miembro pueden eliminar, si lo desean, el rol vinculado al serviciodenominado AWSServiceRoleForOrganizations. Sin embargo, cuando habilita todas lascaracterísticas de una organización, este rol es necesario y se vuelve a crear en todas las cuentascomo parte de la aceptación de la invitación para habilitar todas las características. Para obtener másinformación acerca de cómo AWS Organizations utiliza esta función, consulte AWS Organizations yfunciones vinculadas a servicios (p. 137).

Comienzo del proceso para habilitar todas lascaracterísticasPuede iniciar el proceso para habilitar todas las características iniciando sesión con permisos en la cuentamaestra de la organización. Para ello, siga los pasos que se describen a continuación.

30

AWS Organizations Guía del usuarioComienzo del proceso para habilitar todas las características

Permisos mínimos

Para habilitar todas las características en su organización, debe contar con el permiso siguiente:

• organizations:EnableAllFeatures

Para pedir a las cuentas miembro que acepten la habilitación de todas las características en laorganización

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Organizations enhttps://console.aws.amazon.com/organizations/. Debe iniciar sesión como usuario de IAM, asumirla función de IAM o iniciar sesión como usuario raíz (no se recomienda) en la cuenta maestra de laorganización.

2. En la pestaña Settings, elija Begin process to enable all features.3. Confirme que entiende que no puede volver a solo las características de facturación consolidada

una vez que realice el cambio eligiendo Comenzar el proceso para habilitar todas las características.AWS Organizations envía una solicitud a cada cuenta invitada (no creada) de la organización parapedir que apruebe la habilitación de todas las características en la organización. Si tiene alguna delas cuentas que se han creado utilizando AWS Organizations y el administrador de la cuenta miembroeliminó la función vinculada al servicio denominada AWSServiceRoleForOrganizations, AWSOrganizations envía a esa cuenta una solicitud para volver a crear la función.

4. Para ver el estado de las solicitudes, elija View all feature request approval status.

La página All feature request approval status muestra el estado de la solicitud actual para cada cuentade la organización. Las cuentas que han aceptado la solicitud tienen una marca de verificación verde ymuestran la fecha Acceptance. Las cuentas que todavía no la han aceptado tienen un icono de signode exclamación amarillo y muestran la fecha en la que se envió la solicitud con el estado Open.

Note

• Cuando se envía la solicitud a las cuentas miembro comienza una cuenta atrás de 90 días.Todas las cuentas deben aprobar la solicitud en ese período de tiempo; en caso contrario,la solicitud caducará. Todas las solicitudes relacionadas con este intento se cancelan ytendrá que empezar con el paso 2.

• Durante el momento entre el que se realiza la solicitud para habilitar todas lascaracterísticas y cuando todas las cuentas aceptan la solicitud o se agota el tiempo deespera, todas las invitaciones pendientes para que otras cuentas se unan a la organizaciónse cancelan automáticamente. No puede enviar nuevas invitaciones hasta que termine elproceso de activación de todas las características.

• Después de completar el proceso de activación de todas las características, puede invitarde nuevo a las cuentas a que se unan a la organización. El proceso no cambia, pero todasinvitaciones incluyen información que permite a los destinatarios saber que si aceptan lainvitación se regirán por las políticas aplicables.

5. Si una cuenta no aprueba la solicitud, puede seleccionar la cuenta en esta página y, a continuación,elegir Remove (Eliminar). De esta forma, cancelará la solicitud para la cuenta seleccionada y eliminaráesa cuenta de la organización, con lo que se eliminará también el bloqueo para activar todas lascaracterísticas.

6. Una vez que todas las cuentas aprueben las solicitudes, puede finalizar el proceso y habilitar todaslas características. También puede finalizar inmediatamente el proceso si su organización no tieneninguna cuenta miembro invitada. Para finalizar el proceso solo se requiere un par de clics en laconsola. Consulte Finalización del proceso para habilitar todas las características (p. 33).

Para pedir a las cuentas miembro invitadas que acepten la habilitación de todas las características en laorganización (AWS CLI, API de AWS)

31

AWS Organizations Guía del usuarioAprobación de la solicitud para habilitar todas las

características o recrear el rol vinculado al servicio

Puede utilizar uno de los siguientes comandos para habilitar todas las características de una organización:

• AWS CLI: aws organizations enable-all-features• API de AWS: EnableAllFeatures

Aprobación de la solicitud para habilitar todas lascaracterísticas o recrear el rol vinculado al servicioPuede aprobar una solicitud desde la cuenta maestra iniciando sesión con los permisos en una delas cuentas miembro invitadas de la organización. Si su cuenta recibió originalmente una invitación aunirse a la organización, la invitación es para habilitar todas las características y e incluye implícitamentela aprobación para recrear el rol AWSServiceRoleForOrganizations, si es necesario. Sisu cuenta se ha creado en AWS Organizations y ha eliminado la función vinculada al servicioAWSServiceRoleForOrganizations, recibirá una invitación únicamente para volver a crear la función.Para ello, siga los pasos que se describen a continuación.

Permisos mínimos

Para aprobar una solicitud para habilitar todas las características para la cuenta miembro, debecontar con los permisos siguientes:

• organizations:AcceptHandshake

• iam:CreateServiceLinkedRole – solo es necesario si la funciónAWSServiceRoleForOrganizations debe crearse de nuevo en la cuenta miembro.

Important

Si realiza los pasos que se indican en el siguiente procedimiento, la cuenta maestra de laorganización puede aplicar controles basados en políticas a la cuenta miembro. Estos controlespueden restringir lo que los usuarios e incluso usted como administrador pueden hacer en lacuenta. Además, la cuenta maestra puede aplicar una política que podría impedir que la cuentaabandonara la organización.

Para aceptar la solicitud para habilitar todas las características de la organización (consola)

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Organizations enhttps://console.aws.amazon.com/organizations/. Debe iniciar sesión como usuario de IAM, asumirel rol de IAM o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de miembro de laorganización.

2. Lea las implicaciones de aceptar la solicitud de todas las características para su cuenta y despuéselija Aceptar. La página muestra el proceso como incompleto hasta que todas las cuentas de laorganización aceptan las solicitudes y el administrador de la cuenta maestra finaliza el proceso.

Para aceptar la solicitud para habilitar todas las características de la organización (AWS CLI, API de AWS)

Para aceptar la solicitud, debe aceptar el protocolo de enlace con "Action":"APPROVE_ALL_FEATURES".

• AWS CLI: aws organizations accept-handshake• API de AWS: AcceptHandshake

32

AWS Organizations Guía del usuarioFinalización del proceso para

habilitar todas las características

Finalización del proceso para habilitar todas lascaracterísticasTodas las cuentas miembro invitadas deben aprobar la solicitud para habilitar todas las características.Si no hay ninguna cuenta miembro invitada en la organización, la página Enable all features progress(Progreso de habilitación de todas las características) indica con un banner verde que puede finalizar elproceso.

Permisos mínimos

Para finalizar el proceso para habilitar todas las características de la organización, debe contarcon el permiso siguiente:

• organizations:AcceptHandshake

Para finalizar el proceso para habilitar todas las características (consola)

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Organizations enhttps://console.aws.amazon.com/organizations/. Debe iniciar sesión como usuario de IAM, asumirla función de IAM o iniciar sesión como usuario raíz (no se recomienda) en la cuenta maestra de laorganización.

2. En la pestaña Settings, en el cuadro ENABLE ALL FEATURES, elija View all feature request approvalstatus.

3. Después de que todas las cuentas acepten la solicitud para habilitar todas las características, en elcuadro verde situado en la parte superior de la página, elija Finalize process to enable all features(Finalizar el proceso para habilitar todas las características). Cuando se le pida confirmación,elija de nuevo Finalize process to enable all features (Finalizar el proceso para habilitar todas lascaracterísticas).

4. Ahora, la organización tiene habilitadas todas las funciones. El siguiente paso consiste en habilitar lostipos de políticas que desea utilizar. A partir de ese punto, puede adjuntar políticas para administrarlas cuentas de su organización. Para obtener más información, consulte Administración de políticas deAWS Organizations (p. 62).

Para finalizar el proceso para habilitar todas las características (AWS CLI, API de AWS)

Para completar el proceso, debe aceptar el protocolo de enlace con "Action":"ENABLE_ALL_FEATURES".

• AWS CLI: aws organizations accept-handshake• API de AWS: AcceptHandshake

Consultar detalles de su organizaciónPuede realizar las siguientes tareas a través de la consola de AWS Organizations

• Consultar detalles de una organización desde la cuenta maestra (p. 34)• Consultar detalles de un nodo raíz (p. 34)• Consultar detalles de una unidad organizativa (p. 35)• Consultar detalles de una cuenta (p. 35)• Consultar detalles de una política (p. 36)

33

AWS Organizations Guía del usuarioConsultar detalles de una

organización desde la cuenta maestra

Consultar detalles de una organización desde lacuenta maestra

Permisos mínimos

Para ver los detalles de una organización, debe contar con el permiso siguiente:

• organizations:DescribeOrganization

Para ver los detalles de una organización (consola)

Cuando inicia sesión en la cuenta maestra de la organización en la consola de AWS Organizations, puedever los detalles de la organización.

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. Elija la pestaña Settings.

La consola muestra información acerca de la organización, incluido su ID y la dirección de correoelectrónico del propietario de su cuenta principal.

Para ver los detalles de una organización (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para ver detalles de una organización:

• AWS CLI: aws organizations describe-organization• API de AWS: DescribeOrganization

Consultar detalles de un nodo raízPermisos mínimos

Para ver los detalles de un nodo raíz, debe contar con los siguientes permisos:

• organizations:DescribeOrganization (solo consola)• organizations:ListRoots

Para ver detalles de un nodo raíz (consola)

Cuando inicia sesión en la cuenta maestra de la organización en la consola de AWS Organizations, puedever los detalles de un nodo raíz.

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. Seleccione la pestaña Organize accounts y, a continuación, elija Home.3. Elija la entidad Root. Root es el nombre predeterminado, pero puede cambiar el nombre mediante la

API o las herramientas de línea de comandos.

El panel Root (Raíz) situado en la parte derecha de la página muestra los detalles del nodo raíz.

Para ver los detalles de un nodo raíz (AWS CLI, API de AWS)

34

AWS Organizations Guía del usuarioConsultar detalles de una unidad organizativa

Puede utilizar uno de los siguientes comandos para ver detalles de un nodo raíz:

• AWS CLI: aws organizations list-roots• API de AWS: ListRoots

Consultar detalles de una unidad organizativaPermisos mínimos

Para ver los detalles de una unidad organizativa, debe contar con los permisos siguientes:

• organizations:DescribeOrganizationalUnit

• organizations:DescribeOrganization (solo consola)• organizations:ListOrganizationsUnitsForParent (solo consola)• organizations:ListRoots (solo consola)

Para ver los detalles de una unidad organizativa (consola)

Cuando inicia sesión en la cuenta maestra de la organización en la consola de AWS Organizations, puedever los detalles de las unidades organizativas de su organización.

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. En la pestaña Organize accounts, desplácese hasta la unidad organizativa que desea examinar.Si la unidad organizativa es una unidad secundaria de otra unidad organizativa, elija cada unidadorganizativa de la jerarquía para encontrar la que está buscando.

3. Seleccione la casilla de verificación de la unidad organizativa.

El panel Detalles de la parte derecha de la página muestra información sobre la unidad organizativa.

Para ver los detalles de una unidad organizativa (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para ver detalles de una unidad organizativa:

• AWS CLI: aws organizations describe-organizational-unit• API de AWS: DescribeOrganizationalUnit

Consultar detalles de una cuentaPermisos mínimos

Para ver los detalles de una cuenta de AWS, debe disponer de los siguientes permisos:

• organizations:DescribeAccount

• organizations:DescribeOrganization (solo consola)• organizations:ListAccounts (solo consola)

Para ver los detalles de una cuenta de AWS (consola)

Cuando inicia sesión en la cuenta maestra de la organización en la consola de AWS Organizations, puedever los detalles de las cuentas.

35

AWS Organizations Guía del usuarioConsultar detalles de una política

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. Aplique alguna de las siguientes acciones:

• En la pestaña Accounts, seleccione la cuenta que desea examinar.• En la pestaña Organize accounts, desplácese y, a continuación, elija una tarjeta de cuenta.

El panel Account summary (Resumen de la cuenta) de la parte derecha de la página muestra losdetalles de la cuenta seleccionada.

Note

De forma predeterminada, las solicitudes de creación de cuentas fallidas están ocultas en lapestaña Accounts. Puede incluirlas en la lista seleccionando el conmutador en la parte superiorpara cambiarlo a Show (Mostrar).

Para ver los detalles de una cuenta (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para ver detalles de una cuenta:

• AWS CLI: aws organizations describe-account• API de AWS: DescribeAccount

Consultar detalles de una políticaPermisos mínimos

Para ver los detalles de una política, debe contar con los siguientes permisos:

• organizations:DescribePolicy

• organizations:ListPolicies

Para ver los detalles de una política (consola)

Si ha iniciado sesión en la cuenta maestra de la organización en la consola de AWS Organizations, puedever los detalles de las políticas.

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. En la pestaña Policies (Políticas), elija la política que desea examinar.3. Elija View policy details (Ver detalles de la política) en el panel en la parte derecha de la página.

Para ver los detalles de una política (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para ver los detalles de una política:

• AWS CLI: aws organizations describe-policy• API de AWS: DescribePolicy

36

AWS Organizations Guía del usuarioEliminación de la cuenta maestra y la organización

Eliminación de la cuenta maestra y la organizaciónCuando ya no necesite una organización, puede eliminarla. Esto elimina la cuenta maestra de laorganización y la propia organización. La antigua cuenta maestra se convierte en una cuenta de AWSindependiente. A continuación, tiene tres opciones: puede continuar usándola como cuenta independiente,puede utilizarla para crear otra organización o puede aceptar una invitación de otra organización paraañadir la cuenta a dicha organización como cuenta miembro.

Important

• Si elimina una organización, no podrá recuperarla. Si creó una política dentro de laorganización, también se eliminará.

• Solo puede eliminar una organización después de eliminar todas las cuentas miembro dela organización. Si creó algunas de sus cuentas miembro mediante AWS Organizations, esposible que se le haya bloqueado la eliminación de esas cuentas. Puede eliminar una cuentamiembro solo si esta tiene toda la información necesaria para operar como cuenta de AWSindependiente. Para obtener más información sobre cómo proporcionar dicha información yeliminar la cuenta, consulte Abandonar una organización como cuenta miembro (p. 53).

Cuando se elimina la cuenta maestra de una organización eliminando la propia organización, la cuenta seve afectada de las siguientes formas:

• La cuenta es responsable de pagar únicamente sus propios cargos y ya no es responsable de los cargosgenerados por cualquier otra cuenta.

• La integración con otros servicios podría estar deshabilitada. Por ejemplo, Inicio de sesión único de AWSrequiere una organización para operar, por lo que si elimina una cuenta de una organización que admiteAWS SSO, los usuarios de esa cuenta ya no podrán utilizar dicho servicio.

La cuenta maestra de una organización nunca se ve afectada por las políticas de control de servicios(SCP), por lo que no hay ningún cambio en los permisos una vez que las SCP dejan de estar disponibles.

Para eliminar la cuenta maestra de una organización y la propia organización (consola)

Permisos mínimos

Para eliminar una organización, debe iniciar sesión como usuario o función de IAM en la cuentamaestra y contar con los siguientes permisos:

• organizations:DeleteOrganization

• organizations:DescribeOrganization (solo consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. Para poder eliminar la organización, primero debe eliminar todas las cuentas de la organización. Paraobtener más información, consulte Eliminación de una cuenta miembro de la organización (p. 51).

3. En la pestaña Settings, elija Delete organization.4. En el cuadro de diálogo de confirmación Delete organization (Eliminar organización), elija Delete

organization (Eliminar organización).5. (Opcional) Si también desea cerrar esta cuenta, puede seguir los pasos que se indican en Cierre de

una cuenta de AWS (p. 55).

Para eliminar una organización (AWS CLI, API de AWS)

37

AWS Organizations Guía del usuarioEliminación de la cuenta maestra y la organización

Puede utilizar uno de los siguientes comandos para eliminar una organización:

• AWS CLI: aws organizations delete-organization• API de AWS: DeleteOrganization

38

AWS Organizations Guía del usuarioImpacto en una cuenta de AWS a la que

se invita a unirse a una organización

Administración de las cuentas deAWS de su organización

Una organización es una colección de cuentas de AWS que administra de forma centralizada. Puederealizar las siguientes tareas para administrar las cuentas que forman parte de su organización:

• Consultar los detalles de las cuentas de su organización (p. 35). Puede ver el número de ID único de lacuenta, su Nombre de recurso de Amazon (ARN) y sus políticas asociadas.

• Invitar a cuentas de AWS a que se unan a su organización (p. 40). Cree invitaciones, administre lasinvitaciones que ha creado y acepte o rechace invitaciones.

• Crear una cuenta de AWS como parte de su organización (p. 44). Cree y obtenga acceso a unacuenta de AWS que forme parte de su organización automáticamente.

• Eliminar una cuenta de AWS de su organización (p. 51). Como administrador de la cuenta maestra,elimine las cuentas miembro de su organización que ya no desee administrar. Como administrador deuna cuenta miembro, elimine la cuenta de su organización. Si la cuenta maestra ha asociado una políticaa su cuenta miembro, tal vez no pueda eliminar su cuenta.

• Eliminar (o cerrar) una cuenta de AWS (p. 55). Cuando ya no necesite una cuenta de AWS, puedecerrarla para evitar su uso o la acumulación de cargos.

Impacto en una cuenta de AWS a la que se invita aunirse a una organización

Invite a una cuenta de AWS a unirse a una organización. Si el propietario de la cuenta acepta la invitación,AWS Organizations realiza automáticamente los siguientes cambios en la cuenta miembro nueva:

• AWS Organizations crea una función vinculada a un servicio denominadaAWSServiceRoleForOrganizations (p. 137). La cuenta debe tener este rol si su organización admitetodas las características. Puede eliminar el rol si la organización únicamente admite el conjuntode características de facturación unificada. Si elimina la función y posteriormente habilita todas lascaracterísticas en su organización, AWS Organizations vuelve a crear la función para la cuenta.

• Es posible que tenga políticas de control de servicios (SCP) (p. 65) o políticas de etiquetas (p. 92)asociadas a la raíz de la organización o a la unidad organizativa que contiene la cuenta. Si es así, dichaspolíticas se aplican de inmediato a todos los usuarios y roles de la cuenta invitada.

• Puede habilitar la confianza de servicio para otro servicio de AWS (p. 138) en la organización. Trasello, ese servicio de confianza puede crear roles vinculados a servicios o realizar acciones en cualquiercuenta miembro de la organización, incluida una cuenta invitada.

En el caso de las cuentas miembro invitadas, AWS Organizations no crea automáticamente la funciónde IAM OrganizationAccountAccessRole (p. 49). Este rol concede a la cuenta maestra controladministrativo de la nueva cuenta miembro. Si desea habilitar ese nivel de control administrativo, puedeañadir manualmente el rol a la cuenta invitada. Para obtener más información, consulte Creación deOrganizationAccountAccessRole en una cuenta miembro invitada (p. 48).

Puede invitar a una cuenta a unirse a una organización que solo tenga habilitadas las características defacturación unificada. Si posteriormente desea habilitar todas las características para la organización, lascuentas invitadas deben aprobar el cambio.

39

AWS Organizations Guía del usuarioImpacto en una cuenta de AWSque se crea en una organización

Impacto en una cuenta de AWS que se crea en unaorganización

Cuando se crea una cuenta de AWS en una organización, AWS Organizations realiza automáticamente lossiguientes cambios en la cuenta miembro nueva:

• AWS Organizations crea una función vinculada a un servicio denominadaAWSServiceRoleForOrganizations (p. 137). La cuenta debe tener este rol si su organización admitetodas las características. Puede eliminar el rol si la organización únicamente admite el conjuntode características de facturación unificada. Si elimina la función y posteriormente habilita todas lascaracterísticas en su organización, AWS Organizations vuelve a crear la función para la cuenta.

• AWS Organizations crea la función de IAM OrganizationAccountAccessRole (p. 49). Este rol concedea la cuenta maestra acceso a la nueva cuenta miembro. Este rol se puede eliminar.

• Si tiene SCP asociadas a la raíz del árbol de la OU (p. 65), dichas SCP se aplican inmediatamentea todos los usuarios y roles de la cuenta creada. Las cuentas nuevas se añaden a la OU raíz de formapredeterminada.

• Si tiene habilitada la confianza de servicio para otro servicio de AWS (p. 138) en la organización, eseservicio de confianza puede crear funciones vinculadas a servicios o realizar acciones en cualquiercuenta miembro de la organización, incluida la cuenta creada.

Invitar a una cuenta de AWS a unirse a suorganización

Después de crear una organización y de verificar que es el propietario de la dirección de correo electrónicoasociada a la cuenta maestra, puede invitar a otras cuentas de AWS existentes para que se unan a suorganización.

Cuando invita a una cuenta, AWS Organizations envía una invitación al propietario de la cuenta, quiendecidirá si desea aceptar o rechazar la invitación. Puede utilizar la consola de AWS Organizations parainiciar y administrar las invitaciones que envíe a otras cuentas. Solo puede enviar una invitación a otracuenta desde la cuenta maestra de su organización.

Si es el administrador de una cuenta de AWS, también puede aceptar o rechazar una invitación de unaorganización. Si la acepta, su cuenta se convierte en miembro de esa organización. Su cuenta puedeunirse a una única organización, por lo que si recibe varias invitaciones de unión, solo puede aceptar una.

Cuando una cuenta invitada se une a su organización, no tendrá automáticamente control deadministrador pleno sobre la cuenta, a diferencia de las cuentas creadas. Si desea que la cuentamaestra tenga control administrativo completo de una cuenta miembro invitada, debe crear la funciónOrganizationAccountAccessRole de IAM en la cuenta miembro y conceder permiso a la cuentamaestra para que asuma la función. Para configurar esto, una vez que la cuenta invitada se conviertaen una cuenta miembro, siga los pasos de Creación de OrganizationAccountAccessRole en una cuentamiembro invitada (p. 48).

Note

Cuando se crea una cuenta en la organización, en lugar de invitar a una cuenta existentepara que se una, AWS Organizations crea automáticamente una función de IAM (llamadaOrganizationAccountAccessRole de forma predeterminada) que puede utilizar paraconceder a los usuarios de la cuenta maestra acceso de administrador a la cuenta creada.

40

AWS Organizations Guía del usuarioEnviar invitaciones a cuentas de AWS

AWS Organizations crea automáticamente una función vinculada al servicio en las cuentas miembroinvitadas para permitir la integración entre AWS Organizations y otros servicios de AWS. Para obtener másinformación, consulte AWS Organizations y funciones vinculadas a servicios (p. 137).

Puede enviar hasta 20 invitaciones al día por organización. Las invitaciones aceptadas no se contabilizanen esta cuota. Tan pronto como se acepta una invitación, puede enviar otra invitación ese mismo día.Todas las invitaciones deben responderse en un plazo de 15 días o caducarán.

Una invitación enviada a una cuenta se contabiliza para la cuota de cuentas de la organización. Lacuenta se devuelve si la cuenta invitada rechaza la invitación, la cuenta maestra cancela la invitación o lainvitación caduca.

Para crear una cuenta que forme parte automáticamente de su organización, consulte Creación de unacuenta de AWS en su organización (p. 44).

Important

Debido a restricciones legales y de facturación, puede invitar a cuentas de AWS solo desdela misma cuenta de vendedor de AWS que la cuenta maestra. No se pueden mezclar cuentasde AWS, Amazon Internet Services Pvt. Ltd (AISPL, distribuidor de AWS en India) o AmazonConnect Technology Services (Beijing) Co. (ACTS, distribuidor de AWS en China) en la mismaorganización. Puede agregar cuentas de un distribuidor de AWS únicamente a una organizacióncon cuentas del mismo distribuidor de AWS.

Enviar invitaciones a cuentas de AWSPara poder invitar a cuentas a su organización, primero debe verificar que es el propietario de la direcciónde correo electrónico asociada a la cuenta maestra. Una vez que haya verificado la dirección de correoelectrónico, siga los pasos que se describen a continuación para invitar a otras cuentas a que se unan a suorganización.

Permisos mínimos

Para invitar a una cuenta de AWS a unirse a su organización, debe contar con los permisossiguientes:

• organizations:DescribeOrganization (solo consola)• organizations:InviteAccountToOrganization

Para invitar a otra cuenta a que se una a su organización (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. Si la dirección de correo electrónico ya está verificada, omita este paso.

Si la dirección aún no se ha verificado, siga las instrucciones del correo electrónico deverificación (p. 29) en un plazo de 24 horas. Puede pasar algún tiempo hasta que reciba el correoelectrónico de verificación. No puede invitar a ninguna cuenta hasta que la dirección de correoelectrónico se haya verificado.

3. En la pestaña Accounts, elija Add account.4. Elija Invite account.5. Escriba la dirección de correo electrónico o el ID de la cuenta de AWS a la que desea invitar a la

organización. Si desea invitar a varias cuentas, sepárelas con comas.6. (Opcional) En Notas, escriba el mensaje que desee incluir en la invitación por correo electrónico a los

propietarios de las otras cuentas.

41

AWS Organizations Guía del usuarioAdministrar las invitaciones pendientes de su organización

7. Elija Invite.

Important

Si obtiene un mensaje en el que se indica que ha superado las cuotas de la organización oque no puede agregar una cuenta porque la organización aún se está inicializando, póngaseen contacto con AWS Support.

8. La consola le redirige a la pestaña Invitations. Puede ver todas las invitaciones abiertas y aceptadasaquí. La invitación que acaba de crear aparece en la parte superior de la lista con el estadoestablecido en OPEN.

AWS Organizations envía una invitación a la dirección de correo electrónico del propietario de lacuenta que ha invitado a la organización. Este correo electrónico incluye un enlace a la consola deAWS Organizations, donde el propietario de la cuenta puede ver los detalles y decidir si aceptar orechazar la invitación. El propietario de la cuenta invitada puede también omitir el correo electrónico, irdirectamente a la consola de AWS Organizations, ver la invitación y aceptarla o rechazarla.

La invitación a esta cuenta se contabiliza de inmediato para el número máximo de cuentas que puedetener en su organización. AWS Organizations no espera hasta que la cuenta acepta la invitación. Si lacuenta invitada la rechaza, la cuenta maestra cancela la invitación. Si la cuenta invitada no respondeen el periodo de tiempo especificado, la invitación caducará. En cualquier caso, la invitación ya no secontabiliza para la cuota.

Para invitar a otra cuenta a que se una a su organización (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para invitar a otra cuenta a unirse a su organización:

• AWS CLI: aws organizations invite-account-to-organization• API de AWS: InviteAccountToOrganization

Administrar las invitaciones pendientes de suorganizaciónTras iniciar sesión en su cuenta maestra, puede ver todas las cuentas vinculadas de AWS de suorganización y cancelar cualquier invitación pendiente (abierta). Para ello, siga los pasos que se describena continuación.

Permisos mínimos

Para administrar las invitaciones pendientes de su organización, debe contar con los siguientespermisos:

• organizations:DescribeOrganization (solo consola)• organizations:ListHandshakesForOrganization

• organizations:CancelHandshake

Para ver o cancelar las invitaciones que se envían desde su organización a otras cuentas(consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. Elija la pestaña Invitations. Todas las invitaciones que se envían desde su organización y su estadoactual se muestran aquí.

42

AWS Organizations Guía del usuarioAceptar o rechazar una invitación de una organización

Note

Las invitaciones aceptadas, canceladas y rechazadas siguen apareciendo en la lista durante30 días. Posteriormente, se eliminan y ya no aparecen en la lista.

3. Para cualquier invitación abierta que desee cancelar, en la columna Actions, elija Cancel.

El estado de la invitación cambia de Open a Canceled.

AWS envía un correo electrónico al propietario de la cuenta para indicarle que ha cancelado lainvitación. La cuenta ya no puede unirse a la organización a menos que envíe una nueva invitación.

Para ver o cancelar invitaciones que se han enviado desde su organización a otras cuentas (AWS CLI, APIde AWS)

Puede utilizar los siguientes comandos para ver o cancelar invitaciones:

• AWS CLI: aws organizations list-handshakes-for-organization, aws organizations cancel-handshake• API de AWS: ListHandshakesForOrganization, CancelHandshake

Aceptar o rechazar una invitación de una organizaciónSu cuenta de AWS podría recibir una invitación para unirse a una organización. Puede aceptar o rechazarla invitación. Para ello, siga los pasos que se describen a continuación.

Permisos mínimos

Para aceptar o rechazar una invitación para unirse a una organización de AWS, debe disponer delos siguientes permisos:

• organizations:ListHandshakesForAccount: – necesario para ver la lista de invitacionesen la consola de AWS Organizations.

• organizations:AcceptHandshake.• organizations:DeclineHandshake.• iam:CreateServiceLinkedRole: – necesario solo cuando aceptamos la invitación; requiere

crear una función vinculada al servicio para facilitar la integración con otros servicios deAWS. Para obtener más información, consulte AWS Organizations y funciones vinculadas aservicios (p. 137).

Note

El estado de una cuenta con una organización afecta a los datos de costo y uso visibles:

• Cuando una cuenta independiente se une a una organización, la cuenta ya no tiene acceso alos datos de costo y uso del intervalo de tiempo en el que la cuenta era independiente.

• Si una cuenta miembro deja una organización y pasa a ser una cuenta independiente, la cuentaya no tiene acceso a los datos de costo y uso del intervalo de tiempo en el que la cuenta eramiembro de la organización. La cuenta tiene acceso únicamente a los datos que se generancomo cuenta independiente.

• Si una cuenta miembro deja una organización A para unirse a una organización B, la cuentaya no tiene acceso a los datos de costo y uso del intervalo de tiempo en el que la cuenta eramiembro de la organización A. La cuenta tiene acceso únicamente a los datos que se generancomo miembro de la organización B.

• Si una cuenta vuelve a unirse a una organización a la que pertenecía anteriormente, la cuentavuelve a recuperar el acceso a sus datos históricos de costos y uso.

43

AWS Organizations Guía del usuarioCrear una cuenta

Para aceptar o rechazar una invitación (consola)

1. Una invitación para unirse a una organización se envía a la dirección de correo electrónicodel propietario de la cuenta. Si es el propietario de la cuenta y recibe un correo electrónico deinvitación, siga las instrucciones indicadas en el correo electrónico de invitación o vaya a https://console.aws.amazon.com/organizations/ con el navegador y seleccione Respond to invitations(Responder a las invitaciones).

2. Si se le solicita, inicie sesión en la cuenta invitada como usuario de IAM, asuma una función de IAM oinicie sesión como usuario raíz de la cuenta (no se recomienda).

3. En la página Invitations de la consola, puede ver sus invitaciones abiertas para unirse aorganizaciones. Elija Accept (Aceptar) o Decline (Rechazar) según corresponda.

• Si elige Accept en el paso anterior, en la ventana de confirmación Confirm joining the organization,seleccione Confirm.

La consola le redirige a la página Organization overview con detalles de la organización de la que sucuenta ahora es miembro. Puede ver el ID de organización y la dirección de correo electrónico delpropietario.

Note

Las invitaciones aceptadas siguen apareciendo en la lista durante 30 días. Posteriormente,se eliminan y ya no aparecen en la lista.

AWS Organizations crea automáticamente una función vinculada al servicio en la nueva cuentamiembro para permitir la integración entre AWS Organizations y otros servicios de AWS. Paraobtener más información, consulte AWS Organizations y funciones vinculadas a servicios (p. 137).

AWS envía un correo electrónico al propietario de la cuenta maestra de la organización paraindicarle que ha aceptado la invitación. También envía un correo electrónico al propietario de lacuenta miembro para indicarle que la cuenta ahora es miembro de la organización.

• Si elige Decline en el paso anterior, la cuenta permanece en la página Invitations, que muestratodas las demás invitaciones pendientes.

AWS envía un correo electrónico al propietario de la cuenta maestra de la organización paraindicarle que ha rechazado la invitación.

Note

Las invitaciones rechazadas siguen apareciendo en la lista durante 30 días.Posteriormente, se eliminan y ya no aparecen en la lista.

Para aceptar o rechazar una invitación (AWS CLI, API de AWS)

Puede utilizar los siguientes comandos para aceptar o rechazar invitaciones:

• AWS CLI: aws organizations accept-handshake, aws organizations decline-handshake• API de AWS: AcceptHandshake, DeclineHandshake

Creación de una cuenta de AWS en suorganización

En esta página se describe cómo crear cuentas dentro de su organización en AWS Organizations. Paraobtener más información acerca de cómo comenzar a utilizar AWS y crear una sola cuenta de AWS,consulte el Centro de recursos introductorios.

44

AWS Organizations Guía del usuarioCrear una cuenta de AWS queforme parte de la organización

Una organización es una colección de cuentas de AWS que administra de forma centralizada. Puederealizar los siguientes procedimientos para administrar las cuentas que forman parte de su organización:

• Crear una cuenta de AWS que forme parte de la organización (p. 45)• Acceso a una cuenta miembro con un rol de acceso a la cuenta maestra (p. 49)

Important

Al crear una cuenta miembro de su organización, AWS Organizations crea automáticamente unafunción de IAM en la cuenta miembro que permite que los usuarios de IAM de la cuenta maestraejerzan pleno control administrativo a través de la cuenta miembro. Esta función está sujeta a laspolíticas de control de servicios (SCP) (p. 65) que se aplican a la cuenta miembro.AWS Organizations también crea automáticamente una función vinculada al servicio denominadaAWSServiceRoleForOrganizations, que permite la integración con determinados serviciosde AWS. Debe configurar los demás servicios para permitir la integración. Para obtener másinformación, consulte AWS Organizations y funciones vinculadas a servicios (p. 137).

Crear una cuenta de AWS que forme parte de laorganizaciónCuando inicia sesión en la cuenta maestra de la organización, puede crear cuentas que se conviertanautomáticamente en cuentas miembro de su organización. Para ello, siga los pasos que se describen acontinuación.

Permisos mínimos

Para crear una cuenta miembro en su organización, debe contar con los permisos siguientes:

• organizations:DescribeOrganization (solo consola)• organizations:CreateAccount

Important

Al crear una cuenta utilizando el siguiente procedimiento, AWS no recopila automáticamentetoda la información necesaria para que una cuenta opere como cuenta independiente. Si algunavez necesita eliminar la cuenta de la organización y convertirla en cuenta independiente, debeproporcionar dicha información para la cuenta antes de poder eliminarla. Para obtener másinformación, consulte Abandonar una organización como cuenta miembro (p. 53).

Para crear una cuenta de AWS que forme parte de su organización automáticamente (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. En la pestaña Accounts, elija Add account.3. Elija Create account.4. Escriba el nombre que desee asignar a la cuenta. Este nombre le ayuda a distinguir la cuenta de todas

las demás de la organización y es independiente del alias de IAM o del nombre de correo electrónicodel propietario.

5. Escriba la dirección de correo electrónico del propietario de la nueva cuenta. Esta dirección debe serúnica para esta cuenta, ya que se puede utilizar para iniciar sesión como usuario raíz de la cuenta.

6. (Opcional) Especifique el nombre que va a asignar a la función de IAM que se crea automáticamenteen la nueva cuenta. Este rol concede a la cuenta maestra de la organización permiso para tener

45

AWS Organizations Guía del usuarioAcceso a las cuentas miembro

acceso a la cuenta miembro que acaba de crear. Si no especifica un nombre, AWS Organizationsasigna a la función el nombre predeterminado de OrganizationAccountAccessRole.

Important

Recuerde este nombre de rol. Lo necesitará más adelante para conceder acceso a la nuevacuenta a los usuarios de IAM de la cuenta maestra.

7. Seleccione Create.

Important

• Si aparece un error que indica que ha superado los límites de cuenta de la organización,póngase en contacto con el AWS Support.

• Si obtiene un error que indica que no puede añadir una cuenta porque la organizacióntodavía se está inicializando, espere una hora y vuelva a intentarlo.

• También puede comprobar el registro de AWS CloudTrail para obtener informaciónacerca de si la creación de la cuenta se ha realizado correctamente. Para obtener másinformación, consulte Registro y monitorización en AWS Organizations (p. 153).

• Si el error persiste, póngase en contacto con AWS Support.8. Se le redirigirá a la pestaña Accounts/All accounts, en la que se muestra la nueva cuenta en la parte

superior de la lista con el estado establecido en Pending creation. Cuando se crea la cuenta, esteestado cambia a Active (Activo).

Note

De forma predeterminada, la pestaña Accounts oculta las solicitudes de creación de cuentaque han fallado. Para mostrarlos, elija el conmutador en la parte superior de la lista ycámbielo a Show (Mostrar).

9. Ahora que ya ha creado la cuenta y tiene una función de IAM que concede acceso de administradora los usuarios de la cuenta maestra, puede tener acceso a la cuenta siguiendo los pasos de Acceso yadministración de las cuentas miembro de la organización (p. 46).

Al crear una cuenta, AWS Organizations asigna una contraseña al usuario raíz con un mínimo de 64caracteres. Todos los caracteres se generan de forma aleatoria sin garantías en cuanto al aspectode determinados conjuntos de caracteres. No se puede recuperar esta contraseña inicial, ya que sedescarta una vez creada la cuenta. Para obtener acceso a la cuenta como usuario raíz por primeravez, debe seguir el proceso de recuperación de contraseñas. Para obtener más información, consulteAcceso a una cuenta miembro como usuario raíz (p. 47).

Para crear una cuenta de AWS que forme parte de su organización automáticamente (AWS CLI, API deAWS)

Puede utilizar uno de los siguientes comandos para crear una cuenta:

• AWS CLI: aws organizations create-account• API de AWS: CreateAccount

Acceso y administración de las cuentas miembro dela organización

Cuando crea una cuenta en su organización, AWS Organizations crea automáticamente un usuario raízy una función de IAM denominada OrganizationAccountAccessRole para la cuenta. Sin embargo,AWS Organizations no crea ningún usuario, grupo u otras funciones de IAM. Para tener acceso a lascuentas de su organización, debe utilizar uno de los siguientes métodos:

46

AWS Organizations Guía del usuarioAcceso a una cuenta miembro como usuario raíz

• La cuenta tiene un usuario raíz que puede utilizar para iniciar sesión. Le recomendamos que utilice elusuario raíz solo para crear usuarios, grupos y funciones de IAM y que siempre inicie sesión con una deesas entidades. Consulte Acceso a una cuenta miembro como usuario raíz (p. 47).

• Si crea una cuenta en su organización, puede tener acceso a la cuenta usando un rol preconfiguradodenominado OrganizationAccountAccessRole que existe en todas las cuentas nuevas quese crean de esta forma. Consulte Acceso a una cuenta miembro con un rol de acceso a la cuentamaestra (p. 49).

• Si invita a una cuenta existente a que se una a su organización y la cuenta acepta la invitación,puede crear un rol de IAM que permita a la cuenta maestra tener acceso a la cuenta invitada. Esta essimilar al rol que se añade automáticamente a una cuenta que se crea con AWS Organizations. Paracrear esta función, consulte Creación de OrganizationAccountAccessRole en una cuenta miembroinvitada (p. 48). Después de crear la función, puede tener acceso a él siguiendo los pasos de Accesoa una cuenta miembro con un rol de acceso a la cuenta maestra (p. 49).

Permisos mínimos

Para tener acceso a una cuenta de AWS desde cualquier otra cuenta de su organización, debecontar con el permiso siguiente:

• sts:AssumeRole: – Resource el elemento debe ser un asterisco (*) o el número de ID de lacuenta del usuario que necesita obtener acceso a la nueva cuenta miembro.

Acceso a una cuenta miembro como usuario raízAl crear una nueva cuenta, AWS Organizations asigna inicialmente al usuario raíz una contraseña conun mínimo de 64 caracteres. Todos los caracteres se generan de forma aleatoria sin garantías en cuantoal aspecto de determinados conjuntos de caracteres. No puede recuperar esta contraseña inicial. Paraobtener acceso a la cuenta como usuario raíz por primera vez, debe seguir el proceso de recuperación decontraseña.

Notas

• Como práctica recomendada, recomendamos que no utilice el usuario raíz para obtener accesoa su cuenta excepto para crear otros usuarios y funciones con permisos más limitados. Acontinuación, inicie sesión como uno de los usuarios o roles.

• También le recomendamos que establezca la autenticación multifactor (MFA) en el usuario raíz.Restablezca la contraseña y asigne un dispositivo MFA al usuario raíz.

• Si ha creado una cuenta de miembro en una organización con una dirección de correoelectrónico incorrecta, no podrá iniciar sesión en la cuenta como usuario raíz. Para actualizarla dirección de correo electrónico, consulte la página Contacte con nosotros y seleccione elelemento relativo a la facturación para ponerse en contacto con AWS Support

Para solicitar una nueva contraseña para el usuario raíz de la cuenta miembro (consola)

1. Vaya a la página Sign in (Iniciar sesión) de la consola de AWS en https://console.aws.amazon.com/. Siya ha iniciado sesión en AWS, debe cerrarla para poder ver la página de inicio de sesión.

2. Si la página Sign in (Iniciar sesión) muestra tres cuadros de texto para Account ID or alias (ID decuenta o alias), IAM user name (Nombre de usuario de IAM) y Password (Contraseña), entonces elijaSign-in using root account credentials (Iniciar sesión mediante credenciales de cuenta raíz).

3. Escriba la dirección de correo electrónico que está asociada a su cuenta de AWS y, a continuación,elija Next (Siguiente).

4. Seleccione Forgot your password? (¿Ha olvidado su contraseña?) y después escriba la informaciónnecesaria para crear una contraseña nueva. Para ello, debe poder obtener acceso al correoelectrónico entrante enviado a la dirección de correo electrónico asociada a la cuenta.

47

AWS Organizations Guía del usuarioCreación de OrganizationAccountAccessRole

en una cuenta miembro invitada

Creación de OrganizationAccountAccessRole en unacuenta miembro invitadaDe forma predeterminada, si crea una cuenta miembro como parte de su organización, AWScrea automáticamente una función en la cuenta que concede permisos de administrador a losusuarios delegados de IAM en la cuenta maestra. De forma predeterminada, este rol se denominaOrganizationAccountAccessRole. Para obtener más información, consulte Acceso a una cuentamiembro con un rol de acceso a la cuenta maestra (p. 49).

Sin embargo, a las cuentas miembro a las que invite a unirse a su organización no se les creaautomáticamente un rol de administrador. Tiene que hacerlo manualmente, tal y como se muestra enel siguiente procedimiento. Lo que este procedimiento hace básicamente es duplicar el rol configuradode forma automática para las cuentas creadas. Le recomendamos que utilice el mismo nombre,OrganizationAccountAccessRole, para los roles creados manualmente en aras de la coherencia ypara que sea fácil de recordar.

Para crear una función de administrador de AWS Organizations en una cuenta miembro (consola)

1. Inicie sesión en la consola de IAM en https://console.aws.amazon.com/iam/. Debe iniciar sesión comousuario de IAM, asumir una función de IAM o iniciar sesión como usuario raíz (no se recomienda) en lacuenta miembro que tiene permisos para crear funciones y políticas de IAM.

2. En la consola de IAM, vaya a Roles (Funciones) y, a continuación, seleccione Create Role (Crearfunción).

3. Seleccione Another AWS account.4. Escriba el número de ID de la cuenta de 12 dígitos de la cuenta maestra a la que desea conceder

acceso de administrador.5. Para este rol, dado que las cuentas son internas a su empresa, no debe seleccionar Require external

ID. Para obtener más información acerca de la opción de ID externo, consulte ¿Cuándo debería usarel ID externo? en la Guía del usuario de IAM.

6. Si ha habilitado y configurado MFA, puede elegir que se requiera autenticación mediante undispositivo MFA. Para obtener más información acerca de cómo usar la autenticación multifactor,consulte Uso de Multi-Factor Authentication (MFA) en AWS en la Guía del usuario de IAM.

7. En la página Attach permissions policies (Asociar políticas de permiso), elija la política administradade AWS denominada AdministratorAccess y, a continuación, seleccione Next: Review (Siguiente:Revisar).

8. En la página Review, especifique un nombre del rol y una descripción opcional. Le recomendamosque utilice OrganizationAccountAccessRole, que es el nombre predeterminado asignado al rolen las cuentas nuevas. Para confirmar los cambios, elija Crear rol.

9. Su nuevo rol aparecerá en la lista de roles disponibles. Seleccione el nombre del nuevo rol para verlos detalles y preste especial atención a la URL de enlace facilitada. Entregue esta URL a los usuariosde la cuenta miembro que necesitan tener acceso al rol. Además, anote el Role ARN (ARN de rol), yaque lo necesitará en el paso 15.

10. Inicie sesión en la consola de IAM en https://console.aws.amazon.com/iam/. Esta vez, inicie sesióncomo usuario de la cuenta maestra con permisos para crear políticas y asignarlas a los usuarios ogrupos.

11. Seleccione Policies (Políticas) y, a continuación, seleccione Create Policy (Crear política).

Note

En este ejemplo se muestra cómo crear una política y asociarla a un grupo. Si ya ha creadoesta política para otras cuentas, vaya directamente al paso 19.

12. En Service, seleccione STS.

48

AWS Organizations Guía del usuarioAcceso a una cuenta miembro con

un rol de acceso a la cuenta maestra

13. En Actions (Acciones), comience a escribir AssumeRole en el cuadro Filter (Filtro) y marque la casillacuando aparezca.

14. Seleccione Resources (Recursos), asegúrese de que Specific (Específico) esté seleccionado yseleccione Add ARN (Agregar ARN).

15. Escriba su número de ID de cuenta miembro de AWS y, a continuación, el nombre del la función quehaya creado anteriormente en los pasos 1–al 9.

16. Si está concediendo un permiso para asumir la función en varias cuentas miembro, repita los pasos 14y 15 para cada cuenta.

17. Elija Review policy.18. Escriba un nombre para la nueva política y, a continuación, seleccione Create policy (Crear política)

para guardar los cambios.19. Elija Groups (Grupos) en el panel de navegación y, a continuación, elija el nombre del grupo (no la

casilla) que desea utilizar para delegar la administración de la cuenta miembro.20. Elija Attach Policy (Asociar política), seleccione la política que creó en los pasos 11– al 18 y, a

continuación, elija Attach Policy (Asociar política).

Los usuarios que sean miembros del grupo seleccionado ahora pueden utilizar las direcciones URLque anotó en el paso 9 para obtener acceso al rol de cada cuenta miembro. Pueden obtener acceso aestas cuentas miembro de la misma forma que lo harían si tuvieran acceso a una cuenta que usted hayacreado en la organización. Para obtener más información sobre el uso del rol para administrar una cuentamiembro, consulte Acceso a una cuenta miembro con un rol de acceso a la cuenta maestra (p. 49).

Acceso a una cuenta miembro con un rol de acceso ala cuenta maestraCuando crea una cuenta miembro con la consola de AWS Organizations, AWS Organizations creaautomáticamente un rol de IAM denominado OrganizationAccountAccessRole en la cuenta. Esterol tiene permisos administrativos completos en la cuenta miembro. El rol también está configurado paraconceder acceso a la cuenta maestra de la organización. Puede crear un rol idéntico para una cuentamiembro invitada siguiendo los pasos que se indican en Creación de OrganizationAccountAccessRole enuna cuenta miembro invitada (p. 48). Para utilizar este rol para tener acceso a la cuenta miembro, debeiniciar sesión como usuario de la cuenta maestra con permisos para asumir el rol. Para configurar estospermisos, siga este procedimiento. Le recomendamos que conceda permisos a los grupos en lugar de alos usuarios para simplificar el mantenimiento.

Para conceder permisos a los miembros de un grupo de IAM de la cuenta maestra para obteneracceso a la función (consola)

1. Inicie sesión en la consola de IAM en https://console.aws.amazon.com/iam/ con un usuario que tengapermisos de administrador en la cuenta maestra. Esto es necesario para delegar permisos al grupo deIAM cuyos usuarios vayan a tener acceso a la función en la cuenta miembro.

2. En el panel de navegación, elija Groups (Grupos) y, a continuación, elija el nombre del grupo (no lacasilla) cuyos miembros desea que asuman el rol en la cuenta miembro. Si es necesario, puede crearun grupo nuevo.

3. Elija la pestaña Permissions (Permisos) y, a continuación, expanda la sección Inline Policies (Políticasinsertadas).

4. Si no existen políticas integradas, elija click here para crear una. De lo contrario, seleccione CreateGroup Policy.

5. Seleccione Select junto a Policy Generator.6. En la página Edit Permissions, establezca las siguientes opciones:

• En Effect, elija Allow.

49

AWS Organizations Guía del usuarioAcceso a una cuenta miembro con

un rol de acceso a la cuenta maestra

• Para AWS Service, elija AWS Security Token Service.• Para Actions, elija AssumeRole.• En Amazon Resource Name (ARN) [Nombre de recurso de Amazon (ARN)], escriba el ARN del

rol que se creó en la cuenta. Puede ver el ARN en la consola de IAM, en la página Summary(Resumen) de la función. Para crear este ARN, utilice la siguiente plantilla:

arn:aws:iam::accountIdNumber:role/rolename

Sustituya el número de identificación de cuenta de la cuenta miembro y el nombre del rol queconfiguró cuando creó la cuenta. Si no especificó un nombre de función, se asigna el nombreOrganizationAccountAccessRole de forma predeterminada. El ARN debería tener el aspectosiguiente:

arn:aws:iam::123456789012:role/OrganizationAccountAccessRole

7. Elija Add Statement (Añadir declaración) y, a continuación, elija Next Step (Siguiente paso).8. En la página Review Policy, asegúrese de que el ARN de la función es correcto. Escriba un nombre

para la nueva política y, a continuación, elija Apply Policy (Aplicar política).

Los usuarios de IAM que sean miembros del grupo ahora tendrán permisos para cambiar a la nuevafunción en la consola de AWS Organizations siguiendo el procedimiento que se detalla a continuación.

Para cambiar a la función de la cuenta miembro (consola)

Cuando se utilice el rol, el usuario tendrá permisos de administrador en la nueva cuenta miembro. Indiquea los usuarios de IAM que sean miembros del grupo que hagan lo siguiente para cambiar al nuevo rol.

1. En la esquina superior derecha de la consola de AWS Organizations, elija el enlace que contiene elnombre de inicio de sesión y, a continuación, elija Switch Role (Cambiar rol).

2. Escriba el número de identificación de la cuenta y el nombre de la función proporcionados por eladministrador.

3. En Display Name (Nombre de visualización), escriba el texto que desee mostrar en la barra denavegación en la esquina superior derecha en lugar de su nombre de usuario mientras utiliza lafunción. Si lo desea, puede elegir un color.

4. Elija Switch Role. Ahora, todas las acciones que realice se harán con los permisos concedidos a lafunción a la que ha cambiado. Ya no tendrá los permisos asociados a su usuario de IAM original hastaque cambie otra vez a esta función.

5. Cuando haya terminado de realizar acciones que requieran los permisos del rol, puede volvera su usuario de IAM normal. Elija el nombre de la función en la esquina superior derecha,independientemente de lo que haya especificado como Display Name (Nombre de visualización). Acontinuación, elija Back to UserName (Volver a UserName).

Recursos adicionales• Para obtener más información acerca de cómo conceder permisos para cambiar de función, consulte

Conceder permisos de usuario para cambiar de rol en la Guía del usuario de IAM.• Para obtener más información acerca del uso de una función cuyos permisos se le han concedido para

poder asumirlo, consulte Cambio a un rol (Consola de administración de AWS) en la Guía del usuario deIAM.

• Para ver un tutorial acerca del uso de las funciones para el acceso entre cuentas, consulte Tutorial:Delegación del acceso entre cuentas de AWS mediante roles de IAM en la Guía del usuario de IAM.

• Para obtener más información acerca de cómo cerrar cuentas d AWS, consulte Cierre de una cuenta deAWS (p. 55).

50

AWS Organizations Guía del usuarioEliminar una cuenta miembro

Eliminación de una cuenta miembro de laorganización

Parte de la administración de cuentas en una organización consiste en eliminar las cuentas de miembroque ya no necesita. En esta página se describe lo que debe saber antes de eliminar una cuenta y seindican los procedimientos para eliminar cuentas.

Para obtener información acerca de cómo eliminar la cuenta maestra, consulte Eliminación de la cuentamaestra y la organización (p. 37).

Temas• Antes de eliminar una cuenta de una organización (p. 51)• Eliminación de una cuenta miembro de la organización (p. 52)• Abandonar una organización como cuenta miembro (p. 53)

Antes de eliminar una cuenta de una organizaciónAntes de eliminar una cuenta, es importante saber lo siguiente:

• Puede eliminar una cuenta de la organización solo si la cuenta tiene la información que necesita parafuncionar como cuenta independiente. Cuando se crea una cuenta en una organización con la consola,la API o los comandos de la AWS Organizations de AWS CLI, toda la información necesaria para lascuentas independientes no se recopila automáticamente. Por cada cuenta que desee convertir enindependiente, deberá aceptar el Acuerdo de cliente de AWS, elegir un plan de soporte, proporcionar yverificar la información de contacto necesaria y proporcionar un método de pago. AWS utiliza el métodode pago para cobrar cualquier actividad de AWS facturable (no de la capa gratuita de AWS) que seproduzca mientras la cuenta no esté asociada a una organización.

• Incluso después de eliminadas las cuentas creadas mediante la consola AWS Organizations o la API deCreateAccount desde una organización, (i) dichas cuentas se rigen por los términos del acuerdo connosotros de la cuenta maestra que las haya creado, y (ii) la cuenta maestra que las haya creado siguesiendo conjunta y solidariamente responsable de las acciones realizadas por sus cuentas creadas. Losacuerdos de los clientes con nosotros y los derechos y obligaciones que implican dichos acuerdos nose pueden asignar ni transferir sin nuestro consentimiento previo. Para obtener nuestro consentimiento,póngase en contacto con nosotros en https://aws.amazon.com/contact-us/.

• Si una cuenta miembro deja una organización, esa cuenta ya no tiene acceso a los datos de costo yuso del intervalo de tiempo en el que la cuenta era miembro de la organización. Sin embargo, la cuentamaestra de la organización puede seguir obteniendo acceso a los datos. Si la cuenta se vuelve a unir ala organización, la cuenta puede obtener de nuevo acceso a esos datos.

Efectos de la eliminación de una cuenta de una organizaciónAl eliminar una cuenta de una organización, no se realiza ningún cambio directo en la cuenta. Sinembargo, se producen los siguientes efectos indirectos:

• La cuenta ahora es responsable de pagar sus propios cargos y debe tener asociado un método de pagoválido.

• Las entidades principales de la cuenta ya no se verán afectadas por las políticas de control de servicios(SCP) (p. 65) que se definieron en la organización. Esto significa que las restricciones impuestas poresas SCP ya no existen, y que los usuarios y los roles de la cuenta podrían tener más permisos queantes.

51

AWS Organizations Guía del usuarioEliminación de una cuenta miembro de la organización

• La integración con otros servicios podría estar deshabilitada. Por ejemplo, Inicio de sesión único de AWSrequiere una organización para operar, por lo que si elimina una cuenta de una organización que admiteAWS SSO, los usuarios de esa cuenta ya no podrán utilizar dicho servicio.

Eliminación de una cuenta miembro de la organizaciónCuando inicie sesión en la cuenta maestra de la organización, puede quitar las cuentas miembro de laorganización que ya no necesite. Para ello, complete el procedimiento siguiente. Estos procedimientos seaplican únicamente a las cuentas miembro. Para eliminar la cuenta maestra, debe eliminar la organización.

Note

Si una cuenta miembro se elimina de una organización, dicha cuenta miembro ya no estarácubierta por los acuerdos de la organización. Los administradores de cuentas maestras debencomunicar esto a las cuentas miembro antes de eliminar las cuentas miembro de la organización,para que dichas cuentas miembro puedan formalizar nuevos acuerdos si es necesario. Puedeconsultar una lista de los acuerdos activos de la organización en AWS Artifact OrganizationAgreements (Acuerdos de la organización de AWS Artifact).

Permisos mínimos

Para eliminar una o varias cuentas miembro de la organización, debe iniciar sesión como usuarioo una función de IAM en la cuenta maestra con los siguientes permisos:

• organizations:DescribeOrganization (solo consola)• organizations:RemoveAccountFromOrganization

Si decidió iniciar sesión como un usuario o un rol de IAM en una cuenta miembro en el paso 5,ese usuario o rol debe tener los siguientes permisos:

• organizations:DescribeOrganization (solo consola).• organizations:LeaveOrganization – tenga en cuenta que el administrador de la

organización puede aplicar una política a la cuenta que elimine este permiso, lo que le impediráeliminar la cuenta de la organización.

• Si inicia sesión como un usuario de IAM y la cuenta tiene pendiente la información depago, el usuario de IAM debe tener los permisos aws-portal:ModifyBilling y aws-portal:ModifyPaymentMethods. Además, la cuenta miembro debe tener habilitado elacceso del usuario de IAM a la facturación. Si no está habilitado, consulte Activación del accesoa la consola Billing and Cost Management en la Guía del usuario de AWS Billing and CostManagement.

Para eliminar una cuenta miembro de su organización (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión en la cuenta maestra de la organización.

2. En la pestaña Accounts (Cuenta), seleccione la casilla junto a la cuenta miembro que desea eliminarde su organización. Puede elegir más de una.

3. Elija Remove account.4. En el cuadro de diálogo Remove account, elija Remove.

Un cuadro de diálogo mostrará el estado de éxito o fracaso para cada cuenta.5. Si AWS Organizations no consigue eliminar una o más de las cuentas, normalmente se debe a

que no ha proporcionado toda la información necesaria para que la cuenta funcione como cuentaindependiente. Siga estos pasos:

52

AWS Organizations Guía del usuarioAbandonar una organización como cuenta miembro

a. Inicie sesión en una de las cuentas con errores.b. Le recomendamos que inicie sesión en la cuenta miembro seleccionando Copy link y, a

continuación, pegándolo en la barra de direcciones en una nueva ventana del navegador deincógnito. Si no utiliza una ventana de incógnito, se cerrará la sesión de la cuenta maestra y nopodrá navegar para volver a este cuadro de diálogo.

c. El navegador le lleva directamente al proceso de registro para completar los pasos que falten paraesta cuenta. Complete todos los pasos indicados. Esto podría incluir lo siguiente:

• Proporcionar información de contacto• Aceptar el Acuerdo de cliente de AWS• Proporcionar un método de pago válido• Verificar el número de teléfono• Seleccionar una opción de plan de soporte

d. Al completar el último paso del registro, AWS redirige automáticamente su navegador a la consolade AWS Organizations de la cuenta miembro. Seleccione Leave organization y confirme suselección en el cuadro de diálogo de confirmación. Se le redirigirá a la página Introducción de laconsola de AWS Organizations, donde podrá ver las invitaciones pendientes de su cuenta paraunirse a otras organizaciones.

Para eliminar una cuenta miembro de su organización (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para quitar una cuenta de miembro:

• AWS CLI: aws organizations remove-account-from-organization• API de AWS: RemoveAccountFromOrganization

Abandonar una organización como cuenta miembroCuando inicia sesión en una cuenta miembro, puede eliminar esa cuenta de su organización. Para ello,complete el procedimiento siguiente. La cuenta maestra no puede abandonar la organización medianteesta técnica. Para eliminar la cuenta maestra, debe eliminar la organización.

Note

Si abandona una organización, ya no estará cubierto por los acuerdos de la organizaciónque la cuenta maestra de la organización aceptó en su nombre. Puede consultar una lista deestos acuerdos de la organización en AWS Artifact Organization Agreements (Acuerdos de laorganización de AWS Artifact). Antes de abandonar la organización, debe determinar (con laayuda de los equipos jurídicos, de privacidad o de conformidad, si procede) si es necesarioformalizar nuevos acuerdos.

Permisos mínimos

Para abandonar una organización de AWS, debe disponer de los siguientes permisos:

• organizations:DescribeOrganization (solo consola).• organizations:LeaveOrganization – tenga en cuenta que el administrador de la

organización puede aplicar una política a la cuenta que elimine este permiso, lo que le impediráeliminar la cuenta de la organización.

• Si inicia sesión como un usuario de IAM y la cuenta tiene pendiente la información depago, el usuario de IAM debe tener los permisos aws-portal:ModifyBilling y aws-portal:ModifyPaymentMethods. Además, la cuenta miembro debe tener habilitado elacceso del usuario de IAM a la facturación. Si no está habilitado, consulte Activación del acceso

53

AWS Organizations Guía del usuarioAbandonar una organización como cuenta miembro

a la consola Billing and Cost Management en la Guía del usuario de AWS Billing and CostManagement.

Note

El estado de una cuenta con una organización afecta a los datos de costo y uso visibles:

• Cuando una cuenta independiente se une a una organización, la cuenta ya no tiene acceso alos datos de costo y uso del intervalo de tiempo en el que la cuenta era independiente.

• Si una cuenta miembro deja una organización y pasa a ser una cuenta independiente, la cuentaya no tiene acceso a los datos de costo y uso del intervalo de tiempo en el que la cuenta eramiembro de la organización. La cuenta tiene acceso únicamente a los datos que se generancomo cuenta independiente.

• Si una cuenta miembro deja una organización A para unirse a una organización B, la cuentaya no tiene acceso a los datos de costo y uso del intervalo de tiempo en el que la cuenta eramiembro de la organización A. La cuenta tiene acceso únicamente a los datos que se generancomo miembro de la organización B.

• Si una cuenta vuelve a unirse a una organización a la que pertenecía anteriormente, la cuentavuelve a recuperar el acceso a sus datos históricos de costos y uso.

Para abandonar una organización como cuenta miembro (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Puede iniciar sesión como usuario de IAM con los permisos necesarios, o como usuario raíz dela cuenta miembro que desea eliminar de la organización. De forma predeterminada, no tieneacceso a la contraseña de usuario raíz en una cuenta miembro que se haya creado utilizando AWSOrganizations. En caso necesario, recupere la contraseña de usuario raíz siguiendo los pasos enAcceso a una cuenta miembro como usuario raíz (p. 47).

2. En la página Organization overview, seleccione Leave organization.3. Lleve a cabo uno de los siguientes pasos:

• Si su cuenta tiene toda la información necesaria para operar como una cuenta independiente,aparecerá un cuadro de diálogo de confirmación. Confirme su elección para eliminar la cuenta.Se le redirigirá a la página Introducción de la consola de AWS Organizations, donde podrá ver lasinvitaciones pendientes de su cuenta para unirse a otras organizaciones.

• Si su cuenta no tiene toda la información necesaria, realice los pasos siguientes:a. Aparecerá un cuadro de diálogo que explica que debe completar algunos pasos adicionales.

Haga clic en el enlace.b. Complete todos los pasos de inicio de sesión que se indiquen. Esto podría incluir lo siguiente:

• Proporcionar información de contacto• Aceptar el Acuerdo de cliente de AWS• Proporcionar un método de pago válido• Verificar el número de teléfono• Seleccionar una opción de plan de soporte

c. Cuando vea el cuadro de diálogo que le avisa de que el proceso de inscripción se ha completado,seleccione Leave organization.

d. Aparece un cuadro de diálogo de confirmación. Confirme su elección para eliminar la cuenta. Sele redirigirá a la página Introducción de la consola de AWS Organizations, donde podrá ver lasinvitaciones pendientes de su cuenta para unirse a otras organizaciones.

54

AWS Organizations Guía del usuarioCierre de una cuenta

Para abandonar una organización como cuenta miembro (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para abandonar una organización:

• AWS CLI: aws organizations leave-organization• API de AWS: LeaveOrganization

Cierre de una cuenta de AWSSi ya no necesita una cuenta de AWS (sea o no miembro de una organización) y desea asegurarse de quenadie incurra en gastos vinculados con dicha cuenta, puede cerrarla.

Antes de cerrar la cuenta, realice un backup de las aplicaciones y los datos que desea conservar. Todoslos recursos y datos almacenados que hubiera en la cuenta se pierden y no pueden recuperarse. Paraobtener más información, consulte el artículo de KB "How do I close my Amazon Web Services account?"

A partir de este momento, la cuenta ya no puede utilizarse para ninguna actividad de AWS aparte de iniciarsesión como usuario raíz para ver las facturas anteriores o ponerse en contacto con AWS Support. Paraobtener más información, consulte Cómo ponerse en contacto con el servicio de atención al cliente enreferencia a su factura.

Important

• Las cuentas que se cierran durante 90 días están sujetas a la eliminación permanente. Una veztranscurrido este periodo, la cuenta y sus recursos no se pueden recuperar.

• Las cuentas cerradas están visibles su organización con el estado "suspendido". Una vezeliminada una cuenta de forma permanente, ya no está visible en su organización.

Las cuentas solo se pueden cerrar desde la consola de Billing and Cost Management, no desde la consolade AWS Organizations ni de sus herramientas.

Para cerrar una cuenta maestra, primero elimine la organización (p. 37); después, ciérrela siguiendo lospasos del siguiente procedimiento.

Para cerrar una cuenta de AWS (consola)

Recomendación: antes de cerrar la cuenta, haga una copia de seguridad de todas las aplicaciones y datosque quiera conservar. AWS no puede recuperar ni restaurar recursos ni datos de la cuenta después decerrada.

1. Inicie sesión como usuario raíz de la cuenta que desea cerrar, utilizando la dirección de correoelectrónico y la contraseña asociados a la cuenta. Si inicia sesión como un usuario o una función deIAM, no puede cerrar cuentas.

Note

De forma predeterminada, las cuentas miembro que crea con AWS Organizations no tienenuna contraseña asociada al usuario raíz de la cuenta. Para iniciar sesión, debe solicitar unacontraseña para el usuario raíz. Para obtener más información, consulte Acceso a una cuentamiembro como usuario raíz (p. 47).

2. Abra la consola de Billing and Cost Management en https://console.aws.amazon.com/billing/home#/.3. En la barra de navegación situada en la esquina superior derecha, elija su nombre de cuenta (o alias)

y, a continuación, elija Mi cuenta.4. En la página Configuración de cuenta, desplácese hasta el final de la página a la sección Cerrar

cuenta. Lea el texto situado junto a la casilla de verificación y asegúrese de que lo entiende.

55

AWS Organizations Guía del usuarioCierre de una cuenta

5. Seleccione la casilla de verificación para confirmar que entiende las condiciones y, a continuación,elija Cerrar cuenta.

6. En el cuadro de confirmación, elija Cerrar cuenta.

Después de cerrar una cuenta de AWS, ya no podrá usarla para tener acceso a los servicios o recursos deAWS. Durante los 90 días siguientes al cierre de su cuenta (el "Periodo posterior al cierre"), podrá iniciarsesión para ver las facturas anteriores y obtener acceso a AWS Support. Puede ponerse en contacto conAWS Support dentro del Periodo posterior al cierre para reabrir la cuenta. Para obtener más información,consulte How do I reopen my closed AWS account? en el Centro de conocimiento.

56

AWS Organizations Guía del usuarioNavegar por el nodo raíz y la

jerarquía de la unidad organizativa

Administración de unidadesorganizativas

Puede utilizar unidades organizativas para agrupar las cuentas que desee administrar como una solaunidad. Esto simplifica enormemente la administración de sus cuentas. Por ejemplo, puede asociar uncontrol basado en políticas a una unidad organizativa para que todas las cuentas de la unidad organizativahereden automáticamente la política. Puede crear varias unidades organizativas dentro de una únicaorganización, y puede crear unidades organizativas dentro de otras unidades organizativas. Cada unidadorganizativa puede contener varias cuentas, y puede mover cuentas de una unidad organizativa a otra. Sinembargo, los nombres de las unidades organizativas deben ser únicos dentro de una unidad organizativa onodo raíz.

Note

En la actualidad, puede disponer de un solo nodo raíz, que AWS Organizations crea cuando ustedconfigura por primera vez su organización. El nombre del nodo raíz predeterminado es "root."

Para estructurar las cuentas de su organización, puede realizar las siguientes tareas:

• Consultar los detalles de una unidad organizativa (p. 35)• Crear una unidad organizativa (p. 58)• Cambiar el nombre de una unidad organizativa (p. 59)• Mover una cuenta a una unidad organizativa o entre el nodo raíz y las unidades organizativas (p. 59)

Navegar por el nodo raíz y la jerarquía de la unidadorganizativa

Para navegar por distintas unidades organizativas o al nodo raíz al desplazar cuentas o adjuntar políticas,puede utilizar la vista de árbol.

Para habilitar y utilizar la vista de árbol de la organización

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.2. Elija la pestaña Organize accounts.3. Si el panel de vista de árbol no es visible en la parte izquierda de la página, seleccione el icono de

conmutador TREE VIEW (Vista de árbol) ..4. El árbol aparece inicialmente mostrando el nodo raíz y solo muestra el primer nivel de unidad

organizativa secundaria. Para ampliar el árbol para mostrar niveles más profundos, elija el icono +junto a cualquier entidad principal. Para reducir el desorden y contraer una rama del árbol, elija elicono — junto a alguna de las entidades principales ampliadas.

5. Elija la unidad organizativa o el nodo raíz por donde desee navegar. El nodo de la vista de árbol quese muestra en negrita es el que está viendo actualmente en el panel central.

Notas

• Operaciones Rename, Delete y Move en el panel central: cuando se visualiza el contenidode un nodo raíz o unidad organizativa en la consola, puede interactuar con las entidadessecundarias de dicho nodo raíz o unidad organizativa. Por ejemplo, si selecciona la casilla

57

AWS Organizations Guía del usuarioCrear una unidad organizativa

de verificación de una unidad organizativa o cuenta secundaria, puede elegir los enlacesRename, Delete o Move situados encima de dicha sección para realizar dichas operaciones enla entidad seleccionada. Las operaciones se aplican únicamente a las entidades secundariasque seleccione. No se aplican al nodo raíz o unidad organizativa que la contiene. Para realizarlas mismas operaciones para las unidades organizativas, debe desplazarse al nodo raíz o a launidad organizativa principal de la unidad organizativa y, a continuación, seleccionar la casillade verificación de la unidad organizativa secundaria que desea administrar.

• Panel Details: el panel de detalles del lado derecho de la consola muestra informaciónacerca del nodo raíz o de la unidad organizativa que está viendo. Si selecciona una casillade verificación para una entidad secundaria, el panel de detalles cambiará para mostrarinformación sobre la entidad seleccionada. Para volver a ver los detalles del nodo raíz o dela unidad organizativa que lo contiene, debe desactivar la casilla de verificación. De formaalternativa, puede obtener acceso al nodo raíz o unidad organizativa principal y, a continuación,seleccionar la casilla de verificación para la unidad organizativa cuya información que deseaver.

Para navegar sin usar la vista de árbol

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.2. Elija la pestaña Organize accounts.3. Acceda a una rama eligiendo el nombre de la unidad organizativa (no la casilla) que puede desear ver

en el panel central.4. Desplácese por la rama hacia arriba utilizando el botón Atrás (<) en la barra de título del panel central.

Crear una unidad organizativaCuando inicia sesión en la cuenta maestra de su organización, puede crear una unidad organizativaen el nodo raíz de su organización. Las unidades organizativas se pueden anidar hasta un máximo decinco niveles de profundidad. Para crear una unidad organizativa, siga los pasos que se describen acontinuación.

Permisos mínimos

Para crear una unidad organizativa dentro de un nodo raíz de su organización, debe contar conlos permisos siguientes:

• organizations:DescribeOrganization (solo consola)• organizations:CreateOrganizationalUnit

Para crear una unidad organizativa (Consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

La consola muestra el contenido del nodo raíz. La primera vez que visite un nodo raíz, la consolamostrará todas las cuentas de AWS en esa vista de nivel superior. Si previamente ha creado unidadesorganizativas y ha movido cuentas a ellas, la consola muestra únicamente las unidades organizativasde nivel superior y todas las cuentas que aún no ha movido a una unidad organizativa.

2. (Opcional) Si desea crear una unidad organizativa dentro de otra existente, vaya a la unidadorganizativa secundaria (p. 57) eligiendo el nombre (no la casilla) de dicha unidad organizativa oeligiendo la unidad organizativa en la vista de árbol.

3. Cuando esté en la ubicación correcta en la jerarquía, elija Create organizational unit (OU).

58

AWS Organizations Guía del usuarioCambiar el nombre de una unidad organizativa

4. En el cuadro de diálogo Create organizational unit, escriba el nombre de la unidad organizativa quedesee crear y, a continuación, seleccione Create organizational unit.

La nueva unidad organizativa aparecerá dentro de la principal. Ahora puede mover cuentas a estaunidad organizativa (p. 59) o asociarle políticas.

Para crear una unidad organizativa (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para crear una unidad organizativa:

• AWS CLI: aws organizations create-organizational-unit• API de AWS: CreateOrganizationalUnit

Cambiar el nombre de una unidad organizativaCuando inicia sesión en la cuenta maestra de su organización, puede cambiar el nombre de una unidadorganizativa. Para ello, siga los pasos que se describen a continuación.

Permisos mínimos

Para cambiar el nombre de una unidad organizativa dentro de un nodo raíz de su organización deAWS, debe contar con los permisos siguientes:

• organizations:DescribeOrganization (solo consola)• organizations:UpdateOrganizationalUnit

Para cambiar el nombre de una unidad organizativa (Consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. En la pestaña Organize accounts, desplácese a la rama principal de la unidad organizativa (p. 57)cuyo nombre desee cambiar. Seleccione la casilla de verificación de la unidad organizativa secundariacuyo nombre desea cambiar.

3. Elija Rename encima de la lista de unidades organizativas.4. En el cuadro de diálogo Rename organizational unit, escriba un nombre nuevo y, a continuación, elija

Rename organizational unit.

Para cambiar el nombre de una unidad organizativa (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para cambiar el nombre de una unidad organizativa:

• AWS CLI: aws organizations update-organizational-unit• API de AWS: UpdateOrganizationalUnit

Mover una cuenta a una unidad organizativa o entreel nodo raíz y las unidades organizativas

Cuando inicia sesión en la cuenta maestra de su organización, puede mover las cuentas de suorganización desde el nodo raíz a una unidad organizativa, de una unidad organizativa a otra, o de vuelta

59

AWS Organizations Guía del usuarioEliminar una unidad organizativa que ya no necesite

al nodo raíz desde una unidad organizativa. Al colocar una cuenta dentro de una unidad organizativa, estaobtiene todas las políticas que se han asociado a la unidad organizativa principal y a todas las demásunidades organizativas que van desde la principal hasta el nodo raíz. Si una cuenta no está en una unidadorganizativa, solo obtendrá las políticas que se han asociado al nodo raíz y las que se han asociadodirectamente a la cuenta. Para mover una cuenta, siga los pasos que se describen a continuación.

Permisos mínimos

Para mover una cuenta a una nueva ubicación en la jerarquía de unidades organizativas, debecontar con los permisos siguientes:

• organizations:DescribeOrganization (solo consola)• organizations:MoveAccount

Para mover una cuenta a una unidad organizativa (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. Seleccione la pestaña Organize accounts (Organizar cuentas) y, a continuación, navegue hasta launidad organizativa (p. 57) que contiene la cuenta que desea mover. Cuando encuentre la cuenta,seleccione su casilla de verificación. Seleccione varias casillas si desea mover varias cuentas.

3. Seleccione Move encima de la lista de cuentas.4. En el cuadro de diálogo Move accounts (Mover cuentas) elija la unidad organizativa o el nodo raíz al

que desea mover las cuentas y después elija Select (Seleccionar).

Para mover una cuenta a una unidad organizativa (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para mover una cuenta:

• AWS CLI: aws organizations move-account• API de AWS: MoveAccount

Eliminar una unidad organizativa que ya nonecesite

Cuando inicia sesión en la cuenta maestra de su organización, puede eliminar las unidades organizativasque ya no necesite. En primer lugar, debe mover todas las cuentas fuera de la unidad organizativa y detodas las unidades organizativas secundarias y después eliminar las unidades organizativas secundarias.

Permisos mínimos

Para eliminar una unidad organizativa, debe contar con los permisos siguientes:

• organizations:DescribeOrganization (solo consola)• organizations:DeleteOrganizationalUnit

Para eliminar una unidad organizativa (Consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

60

AWS Organizations Guía del usuarioEliminar una unidad organizativa que ya no necesite

2. En la pestaña Organize accounts, desplácese al contenedor principal (p. 57) de la unidadorganizativa que desee eliminar. Seleccione la casilla de verificación de la unidad organizativa. Puedeseleccionar casillas de verificación de varias unidades organizativas si desea eliminar más de una.

3. Elija Delete encima de la lista de unidades organizativas.

AWS Organizations elimina la unidad organizativa y la quita de la lista.

Para eliminar una unidad organizativa (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para eliminar una unidad organizativa:

• AWS CLI: aws organizations delete-organizational-unit• API de AWS: DeleteOrganizationalUnit

61

AWS Organizations Guía del usuarioTipos de políticas

Administración de políticas de AWSOrganizations

Las políticas de AWS Organizations le permiten aplicar tipos adicionales de administración a lascuentas de AWS de su organización. Puede utilizar políticas cuando todas las características estánhabilitadas (p. 29) en su organización.

Tipos de políticasOrganizaciones ofrece los siguientes tipos de políticas:

• Las políticas de control de servicios (SCP) (p. 65) ofrece un control central sobre los máximospermisos disponibles para todas las cuentas de su organización.

• Las políticas de etiquetas (p. 92) ayudan a estandarizar las etiquetas en los recursos en las cuentasde su organización.

La consola de AWS Organizations muestra los tipos de políticas que están habilitados y deshabilitados.En la pestaña Organize accounts (Organizar cuentas), elija Root en el panel de navegación izquierdo.El panel de detalles del lado derecho de la pantalla muestra todos los tipos de políticas disponibles. Lalista indica cuáles están habilitados y cuáles están deshabilitados en la raíz de esa organización. Si estádisponible la opción Enable (Habilitar) para un tipo, significa que ese tipo está deshabilitado actualmente.Si está disponible la opción Disable (Deshabilitar) para un tipo, significa que ese tipo está habilitadoactualmente.

Descripción de la información de la políticaEn esta sección se describen varias maneras de obtener información acerca de las políticas de laorganización. Estos procedimientos se aplican a todos los tipos de políticas. Debe habilitar un tipo depolítica en la raíz de la organización antes de poder asociar políticas de ese tipo a cualquier entidad en laraíz de esa organización.

Enumeración de todas las políticasPermisos mínimos

Para mostrar las políticas de su organización, debe contar con el permiso siguiente:

• organizations:ListPolicies

Para enumerar todas las políticas de la organización (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

62

AWS Organizations Guía del usuarioMostrar todas las políticas asociadas a unnodo raíz, unidad organizativa o cuenta

2. Elija la pestaña Policies.3. Elija el tipo de política: Service control policies (Políticas de control de servicios) o Tag policies

(Políticas de etiquetas).

La lista mostrada incluye todas las políticas de ese tipo definidas actualmente en la organización.

Para enumerar todas las políticas de una organización (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para enumerar las políticas de una organización:

• AWS CLI: aws organizations list-policies• API de AWS: ListPolicies

Mostrar todas las políticas asociadas a un nodo raíz,unidad organizativa o cuenta

Permisos mínimos

Para mostrar las políticas que están asociadas a un nodo raíz, unidad organizativa o cuenta de suorganización, debe contar con el permiso siguiente:

• organizations:ListPoliciesForTarget con un elemento Resource en la mismainstrucción de política que incluye el ARN del destino especificado (o "*")

Para mostrar todas las políticas que están asociadas directamente a un nodo raíz, unidadorganizativa o cuenta específica (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. En la pestaña Organize accounts, vaya (p. 57) al nodo raíz, unidad organizativa o cuenta cuyasasociaciones de políticas desea ver.

a. Para un nodo raíz o unidad organizativa, no seleccione ninguna casilla de verificación. De estemodo, el panel de detalles del lado derecho muestra información acerca de la raíz o de la unidadorganizativa que está viendo. De forma alternativa, puede obtener acceso a la unidad organizativaprincipal y, a continuación, seleccionar la casilla de verificación para la unidad organizativa cuyainformación que desea ver.

b. Para una cuenta, marque la casilla para la cuenta.3. En el panel de detalles de la derecha, expanda la sección Service control policies (Políticas de control

de servicios) o la sección Tag policies (Políticas de etiquetas).

La lista muestra todas las políticas de ese tipo que están asociadas directamente a esta entidad.También muestra políticas que afectan a esta entidad debido a herencia de la raíz o una unidadorganizativa principal.

Para mostrar todas las políticas que están asociadas directamente a un nodo raíz, unidad organizativa ocuenta específica (AWS CLI;, API de AWS)

Puede utilizar uno de los siguientes comandos para enumerar las políticas que están adjuntas a unaentidad:

• AWS CLI: aws organizations list-policies-for-target

63

AWS Organizations Guía del usuarioMostrar todos los nodos raíz, unidades organizativas

y cuentas que tienen una política asociada

• API de AWS: ListPoliciesForTarget

Mostrar todos los nodos raíz, unidades organizativas ycuentas que tienen una política asociada

Permisos mínimos

Para mostrar las entidades que tienen asociada una política, debe contar con el permisosiguiente:

• organizations:ListTargetsForPolicy con un elemento Resource en la mismainstrucción de política que incluye el ARN de la política especificada (o "*")

Para mostrar todos los nodos raíz, unidades organizativas y cuentas que tienen asociada lapolítica especificada (consola)

1. Elija la pestaña Policies.2. Elija el tipo de política: Service control policies (Políticas de control de servicios) o Tag policies

(Políticas de etiquetas).3. Seleccione la casilla de verificación situada junto a la política en la que está interesado.4. En el panel de detalles de la derecha, seleccione una de las siguientes opciones:

• Accounts para ver la lista de cuentas a la que la política está adjunta directamente• Organizational units para ver la lista de unidades organizativas a la que la política está adjunta

directamente• Roots para ver la lista de nodos raíz a los que la política está adjunta directamente

Para mostrar todos los nodos raíz, unidades organizativas y cuentas que tienen asociada la políticaespecificada (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para enumerar entidades que tengan una política:

• AWS CLI: aws organizations list-targets-for-policy• API de AWS: ListTargetsForPolicy

Obtener información sobre una políticaPermisos mínimos

Para mostrar los detalles de una política, debe contar con el permiso siguiente:

• organizations:DescribePolicy con un elemento Resource en la misma instrucción depolítica que incluye el ARN de la política especificada (o "*")

Para obtener información sobre una política (consola)

1. Elija la pestaña Policies.2. Elija el tipo de política: Service control policies (Políticas de control de servicios) o Tag policies

(Políticas de etiquetas).3. Seleccione la casilla de verificación situada junto a la política en la que está interesado.

64

AWS Organizations Guía del usuarioPolíticas de control de servicios

El panel de detalles de la derecha muestra la información disponible sobre la política, incluido su ARN,descripción y archivos adjuntos.

4. Para ver el contenido de la política, elija Policy editor.

El panel central muestra la siguiente información:

• Los detalles sobre la política: su nombre, descripción, ID exclusivo y ARN.• La lista de nodos raíz, unidades organizativas y cuentas a los que está asociado la política. Elija

cada elemento para ver las entidades individuales de cada tipo.• El contenido de la política (específico del tipo de política):

• Para las SCP, el texto JSON que define los permisos que se permiten en las cuentas asociadas.• Para las políticas de etiquetas, el texto JSON que define etiquetas de conformidad para los tipos

de recursos especificados.

Para actualizar el contenido del documento de política, elija Edit (Editar). Cuando haya terminado,elija Save. Para obtener más información, consulte la siguiente sección.

Para obtener información acerca de una política (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para obtener detalles acerca de una política:

• AWS CLI: aws organizations describe-policy• API de AWS: DescribePolicy

Políticas de control de serviciosLas políticas de control de servicios (SCP) son un tipo de política que puede utilizar para administrar suorganización. Las SCP ofrecen control centralizado de los máximos permisos disponibles para todas lascuentas de la organización. Esto le permite asegurarse de que sus cuentas respeten en todo momento lasdirectrices de control de acceso de la organización. Las SCP solo están disponibles en las organizacionesque tienen todas las características habilitadas (p. 29). Las SCP no están disponibles si su organización hahabilitado únicamente las características de facturación unificada. Para obtener instrucciones sobre cómohabilitar SCP, consulte Habilitación y deshabilitación de SCP (p. 68).

Las SCP son necesarias pero no suficientes para conceder accesos en las cuentas de la organización.Adjuntar una SCP al nodo raíz de la organización o a una unidad organizativa (OU) define una medida deseguridad que delimita qué acciones pueden realizar las cuentas de ese nodo u OU. Además, tendrá queadjuntar políticas de IAM a los usuarios y a los roles de las cuentas de la organización para concederlesrealmente los permisos. Si se ha adjuntado una SCP a estas cuentas, las políticas basadas en identidad yen recursos solamente concederán permisos a las entidades si esas políticas y la SCP permiten la acción.Si existen tanto un límite de permisos (funcionalidad avanzada de IAM) como una SCP, entonces eselímite, la SCP y la política basada en identidad deberán permitir la acción. Para obtener más información,consulte Lógica de evaluación de políticas en la Guía del usuario de IAM.

Temas• Comprobación de los efectos de las SCP (p. 66)• Tamaño máximo de SCP (p. 66)• Efectos en los permisos (p. 66)• Uso de datos de acceso para mejorar las políticas SCP (p. 67)• Tareas y entidades no restringidas por SCP (p. 67)• Habilitación y deshabilitación de SCP (p. 68)

65

AWS Organizations Guía del usuarioComprobación de los efectos de las SCP

• Creación y actualización de SCP (p. 69)• Asociación de SCP (p. 73)• Funcionamiento de las SCP (p. 74)• Estrategias para usar políticas SCP (p. 75)• Sintaxis de las SCP (p. 77)• Ejemplo de políticas de control de servicios (p. 84)

Comprobación de los efectos de las SCPAWS recomienda encarecidamente no adjuntar SCP al nodo raíz de la organización sin haber comprobadoexhaustivamente el impacto que tendrá la política en las cuentas. En lugar de ello, cree una unidadorganizativa en la que pueda mover sus cuentas de una en una, o al menos en incrementos pequeños,a fin de garantizar que no bloquee inadvertidamente a los usuarios de servicios clave. Una forma dedeterminar si una cuenta utilizará un servicio es examinar los datos a los que tuvo acceso el servicio porúltima vez en IAM. Otra forma es utilizar AWS CloudTrail para registrar el uso del servicio en el nivel deAPI.

Tamaño máximo de SCPTodos los caracteres de la SCP se contabilizan para calcular su tamaño máximo (p. 161). Los ejemplosque aparecen en esta guía muestran los SCP formateados con espacios en blanco adicionales paramejorar su legibilidad. Sin embargo, para ahorrar espacio si el tamaño de la política se aproxima al tamañomáximo, puede eliminar todos los espacios en blanco, como espacios y saltos de línea, que estén fuera delas comillas.

Tip

Utilice el editor visual para crear la SCP. Este elimina automáticamente el espacio en blancoadicional.

Efectos en los permisosLas SCP son similares a las políticas de permisos de IAM y utilizan prácticamente la misma sintaxis.Sin embargo, una SCP nunca concede permisos. Las SCP son políticas de JSON que especifican lospermisos máximos para una organización o unidad organizativa (OU). Tenga en cuenta lo siguiente:

• Una SCP limita los permisos para las entidades de las cuentas miembro, incluido cada usuario raíz decuenta de AWS. Cada cuenta tiene únicamente los permisos concedidos por cada elemento principalsituado por encima de ella. Si se bloquea un permiso en cualquier nivel por encima de la cuenta, yasea implícitamente (sin incluirlo en una instrucción de política "Allow") o explícitamente (incluyéndoloen una instrucción de política "Deny"), el usuario o función de la cuenta afectada no puede usar esepermiso, aunque el administrador de la cuenta asocie la política de IAM AdministratorAccess conlos permisos */* al usuario.

• A los usuarios y las funciones se les deben seguir concediendo permisos con las políticas de permisosde IAM adecuadas. Un usuario sin políticas de permisos de IAM no tendrá ningún tipo de acceso,aunque las SCP correspondientes permitan todos los servicios y todas las acciones.

• Si un usuario o una función tiene una política de permisos de IAM que le concede acceso a una acciónque también está permitida por las SCP correspondientes, el usuario o la función puede realizar dichaacción.

• Si un usuario o función tiene una política de permisos de IAM que le concede acceso a una acción queno está permitida o ha sido explícitamente denegada por las SCP correspondientes, el usuario o funciónno puede realizar dicha acción.

66

AWS Organizations Guía del usuarioUso de datos de acceso para mejorar las políticas SCP

• Las SCP afectan a todos los usuarios y roles en las cuentas adjuntas, incluyendo el usuario raíz. Lasúnicas excepciones son las que se describen en la siguiente lista de tareas que no resultan afectadas yno pueden restringirse mediante políticas SCP.

• Las SCP no afectan a cualquier rol vinculado al servicio. Las funciones vinculadas a servicios permitenque otros servicios de AWS se integren con AWS Organizations y no se pueden restringir con SCP.

• Las SCP solo afectan a las entidades principales administradas por cuentas que forman parte de laorganización. No afectan a los usuarios ni a los roles de cuentas que no pertenecen a la organización.Por ejemplo, tomemos el caso de un bucket de Amazon S3 que es propiedad de la cuenta A de unaorganización. La política de bucket concede acceso a los usuarios de cuentas que no pertenecen a laorganización. La cuenta A tiene asociada una SCP. Esa SCP no se aplica a esos usuarios externos.Solo se aplica a los usuarios que administra la cuenta A de la organización.

• Cuando se deshabilita el tipo de política SCP en un nodo raíz, todas las políticas SCP se desasocianautomáticamente de todas las entidades de ese nodo raíz. Si vuelve a habilitar las políticas SCPen un nodo raíz, ese nodo se revierte a solo la política FullAWSAccess predeterminada asociadaautomáticamente a todas las entidades del nodo raíz. Se perderán todas las asociaciones de políticasSCP a las entidades creadas antes de que se deshabilitaran las SCP y no podrán recuperarseautomáticamente aunque las vuelva a asociar manualmente.

Uso de datos de acceso para mejorar las políticasSCPCuando inicia sesión con las credenciales de la cuenta maestra, puede consultar los datos del últimoacceso al servicio de una entidad de AWS Organizations o una política en la sección AWS Organizationsde la consola de IAM. También puede utilizar la AWS CLI o la API de AWS en IAM para obtener datosdel último acceso al servicio. Estos datos incluyen información sobre la última vez que las entidadesprincipales de una cuenta de AWS Organizations intentaron obtener acceso a los servicios permitidosy cuándo. Puede utilizar esta información para identificar permisos innecesarios, de modo que puedaperfeccionar sus políticas SCP para que cumplan mejor el principio de privilegios mínimos.

Por ejemplo, es posible que tenga una SCP de lista de denegación (p. 76) que prohíba el acceso a tresservicios de AWS. Todos los servicios que no figuren en la instrucción Deny de la SCP se permiten. Losdatos de último acceso a los servicios de IAM le indican qué servicios de AWS están permitidos por la SCPpero no se utilizan nunca. Con esa información, puede actualizar la SCP para denegar el acceso a losservicios que no necesite.

Para obtener más información, consulte las páginas siguientes en la Guía del usuario de IAM:

• Visualización de los datos del último acceso al servicio de Organizaciones para Organizaciones• Uso de datos para ajustar los permisos de una unidad organizativa

Tareas y entidades no restringidas por SCPLas siguientes tareas y entidades no están limitados por SCP:

• Las acciones que realiza la cuenta principal.• Cualquier acción realizada mediante permisos que adjuntos a un rol vinculado al servicio.• Administración de credenciales del usuario raíz. Independientemente de las políticas SCP que se

asocien, el usuario raíz de una cuenta siempre podrá hacer lo siguiente:• Cambio de la contraseña del usuario raíz• Creación, actualización o eliminación de claves de acceso del usuario raíz• Activación o desactivación de la autenticación multifactor en el usuario raíz

67

AWS Organizations Guía del usuarioHabilitación y deshabilitación de SCP

• Creación, actualización o eliminación de las claves x.509 del usuario raíz• Registro en el plan de soporte Enterprise como usuario raíz• Cambio del nivel de soporte de AWS como usuario raíz• Administración de claves de Amazon CloudFront• Funcionalidad de signatario de confianza para contenido privado de CloudFront• Modificación de la función allowance/reverse DNS de correo electrónico de las cuentas de AWS• Realización de tareas en algunos servicios relacionados con AWS:

• Alexa Top Sites• Alexa Web Information Service• Amazon Mechanical Turk• API de marketing de productos de Amazon

Habilitación y deshabilitación de SCPAntes de crear y asociar políticas de control de servicios (SCP), tiene que habilitar esta función. Lahabilitación del uso de SCP es una tarea puntual que se realiza en la raíz de la organización. Debe haberiniciado sesión en la cuenta principal de la organización para habilitar las SCP.

Para habilitar las SCP, necesita permiso para ejecutar las siguientes acciones:

• organizations:EnablePolicyType

• organizations:DescribeOrganization

Para habilitar SCP (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. En la pestaña Organize accounts (Organizar cuentas), elija Root (Raíz) en el panel de navegaciónizquierdo.

3. En el panel de detalles que se encuentra en el lado derecho, junto a Service control policies (Políticasde control de servicios), seleccione Enable (Habilitar).

4. En What is a service control policy? (¿Qué es una política de control de servicios?), seleccione Enableservice control polices (Habilitar políticas de control de servicios).

Para habilitar SCP (AWS CLI, API de AWS)

Puede utilizar una de las siguientes opciones para habilitar SCP:

• AWS CLI: aws organizations enable-policy-type• API de AWS: EnablePolicyType

Deshabilitación de SCPCuando se deshabilitan las SCP, todas las SCP se desasocian automáticamente de todas las entidades dela raíz de la organización. Si vuelve a habilitar las SCP, todas las entidades de la raíz de la organización seasocian en un principio únicamente a la SCP de FullAWSAccess predeterminada. Se perderá cualquierasociación de SCP con las entidades que se produjera antes de que las SCP se deshabilitaran.

Únicamente puede deshabilitar las SCP de la cuenta principal de la organización.

68

AWS Organizations Guía del usuarioCreación y actualización de SCP

Para deshabilitar las SCP, necesita permiso para ejecutar las siguientes acciones:

• organizations:DescribeOrganization

• organizations:DisablePolicyType

Para deshabilitar SCP (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. En la pestaña Organize accounts (Organizar cuentas), elija Root (Raíz) en el panel de navegaciónizquierdo.

3. En el panel de detalles que se encuentra en el lado derecho, junto a Service control policies (Políticasde control de servicios), seleccione Disable (Deshabilitar).

Para deshabilitar SCP (AWS CLI, API de AWS)

Puede utilizar una de las siguientes opciones para deshabilitar SCP:

• AWS CLI: aws organizations disable-policy-type• API de AWS: DisablePolicyType

Creación y actualización de SCPSi ha iniciado sesión con permisos en la cuenta maestra de su organización, puede crear y actualizarpolíticas de control de servicios (SCP) (p. 65). Las SCP se crean mediante instrucciones que deniegano permiten el acceso a los servicios y las acciones especificados.

La configuración predeterminada para trabajar con las SCP consiste en crear instrucciones que denieguenel acceso. Con las instrucciones de denegación, también puede especificar recursos y condiciones parala instrucción y utilizar el elemento NotAction. En las instrucciones de permiso, solo puede especificarservicios y acciones.

Para obtener más información acerca de las instrucciones que deniegan el acceso y permiten el acceso,consulte Estrategias para usar políticas SCP (p. 75).

Tip

Puede utilizar los datos del último acceso al servicio de IAM para actualizar las SCP pararestringir el acceso únicamente a los servicios de AWS que necesite. Para obtener másinformación, consulte Visualización de los datos del último acceso al servicio Organizaciones paraOrganizaciones en la Guía del usuario de IAM.

Creación de una SCPPara crear las SCP, necesita permiso para ejecutar la siguiente acción:

• organizations:CreatePolicy

Para crear una política de control de servicios (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

69

AWS Organizations Guía del usuarioCreación y actualización de SCP

2. En la pestaña Policies (Políticas), seleccione Service control policies (Políticas de control de servicios).3. En la página Service control policies (Políticas de control de servicios), seleccione Create policy (Crear

política).4. En la página Create policy (Crear política), introduzca un nombre y una descripción para la política.

Para crear la política, los siguientes pasos varían en función de si desea añadir una instrucción quedeniega el acceso o lo permite. Con las instrucciones de denegación, dispone de un control adicional,ya que puede restringir el acceso a recursos específicos, definir condiciones que marcan cuándo seaplicará la SCP y utilizar el elemento NotAction. Para obtener más información, consulte Sintaxis delas SCP (p. 77).

5. Para añadir una instrucción que deniega el acceso:

a. En el panel izquierdo de la sección Policy (Política), elija el nombre del servicio al que deseaañadir acciones.

A medida que elige opciones a la izquierda, el panel de la derecha se actualiza para mostrar lapolítica de JSON. También puede escribir o pegar políticas en el editor del panel derecho de lasección Policy (Política). Sin embargo, este procedimiento describe cómo utilizar el editor visualque se encuentra en la parte izquierda para crear su SCP.

b. En la lista que se abre de acciones disponibles para ese servicio, elija la o las acciones que deseedenegar.

c. Especifique los recursos que hay que incluir en la instrucción.

• Seleccione Add resource (Añadir recurso).• En la pantalla Add resource (Añadir recurso), elija el servicio en la lista y haga clic en Resource

type (Tipo de recurso). Escriba el valor de Resource ARN (ARN del recurso).• Seleccione Add resource (Añadir recurso).

Tip

El elemento de recurso es obligatorio. Si desea especificar todos los recursos para elservicio seleccionado, edite la instrucción de recursos en el panel derecho de forma quemuestre lo siguiente: "Resource":"*".

d. Opcional: Para especificar condiciones que determinen cuándo se aplicará una política, elija Addcondition (Añadir condición). Para el servicio seleccionado, especifique lo siguiente:

• Condition key (Clave de condición) – Puede especificar una clave de condición que estédisponible para todos los servicios de AWS (por ejemplo, aws:SourceIp) o una claveespecífica de un servicio (por ejemplo, ec2:InstanceType).

• Qualifier (Calificador) – (opcional) Si escribe varios valores para la condición, puede especificarun calificador para probar las solicitudes con los valores.

• Operator (Operador) – Puede usar operadores para restringir el acceso comparando una clavecon un valor.

Para cualquier operador de condición, excepto la condición Null, puede elegir la opciónIfExists.

• Value (Valor) – (opcional) Especifique uno o varios valores para la condición.

Elija Add condition.

Para obtener más información acerca de las claves de condición, consulte Elementos de lapolítica de JSON de IAM: Condition en la Guía del usuario de IAM.

e. Opcional: si desea usar el elemento NotAction para denegar el acceso a todas los recursos deuna lista excepto para las acciones especificadas, sustituya Action en el panel izquierdo con

70

AWS Organizations Guía del usuarioCreación y actualización de SCP

NotAction, justo después del elemento "Effect": "Deny",. Para obtener más información,consulte Elementos de la política de JSON de IAM: NotAction en la Guía del usuario de IAM.

6. Para añadir una instrucción que permita el acceso:

a. En el panel derecho de la sección Policy (Política), cambie "Effect": "Deny" por "Effect":"Allow".

b. En el panel izquierdo de la sección Policy (Política), elija el nombre del servicio al que deseaañadir acciones.

A medida que elige opciones a la izquierda, el panel de la derecha se actualiza para mostrar lapolítica de JSON. También puede escribir o pegar políticas en el editor del panel derecho de lasección Policy (Política). Sin embargo, este procedimiento describe cómo utilizar el editor visualque se encuentra en la parte izquierda para crear su SCP.

c. En la lista que se abre de acciones disponibles para ese servicio, elija la o las acciones que deseepermitir.

7. Opcional: para agregar otra instrucción a la política, elija Add statement (Añadir instrucción) y use eleditor visual para crear la siguiente declaración.

8. Cuando haya terminado de añadir instrucciones, elija Create policy (Crear política) para guardar laSCP.

Su nueva SCP aparecerá en la lista de políticas de la organización. Ahora puede asociar la SCP a la raíz,a unidades organizativas o a cuentas (p. 73).

Note

Las SCP no se aplican en la cuenta principal y en determinadas situaciones. Para obtener másinformación, consulte Tareas y entidades no restringidas por SCP (p. 67).

Para crear una política de control de servicios (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para crear una SCP:

• AWS CLI: aws organizations create-policy• API de AWS: CreatePolicy

Actualización de una SCPPuede cambiar el nombre o cambiar el contenido de una política iniciando sesión en la cuenta maestra desu organización. El cambio de contenido de una SCP afecta inmediatamente a los usuarios, grupos y rolesde todas las cuentas asociadas.

Para actualizar una SCP, necesita permiso para ejecutar las siguientes acciones:

• organizations:UpdatePolicy con un elemento Resource en la misma instrucción de política queincluye el ARN de la política especificada (o "*")

• organizations:DescribePolicy con un elemento Resource en la misma instrucción de políticaque incluye el ARN de la política especificada (o "*")

Para actualizar una política (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. Elija la pestaña Policies.3. En la pestaña Policies (Políticas), seleccione Service control policies (Políticas de control de servicios).

71

AWS Organizations Guía del usuarioCreación y actualización de SCP

4. Elija la política que desea actualizar.5. En el panel de detalles de la derecha, elija Policy editor.6. Seleccione Editar para que sea posible realizar cambios en la política.7. Realice los cambios necesarios editando la política en el panel derecho. Para las instrucciones de

denegación, también puede realizar los cambios en el editor visual del panel izquierdo. Cuando hayafinalizado, Save changes (Guardar cambios).

Para actualizar una política (AWS CLI, API de AWS)

Puede utilizar uno de los comandos siguientes para actualizar una política:

• AWS CLI: aws organizations update-policy• API de AWS: UpdatePolicy

Para obtener más información

Para obtener más información sobre la creación de SCP, consulte las páginas siguientes:

• Ejemplo de políticas de control de servicios (p. 84)• Sintaxis de las SCP (p. 77)

Eliminación de una políticaCuando inicia sesión en la cuenta principal de su organización, puede eliminar una política que ya nonecesite en su organización.

Notas

• Para poder eliminar una política, primero debe desasociarla de todas las entidades asociadas.• No puede eliminar ninguna SCP administrada por AWS, como la que se denominaFullAWSAccess.

Para eliminar una SCP, necesita permiso para ejecutar la siguiente acción:

• organizations:DeletePolicy

Para eliminar una política (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. La política que desea eliminar debe desasociarse primero de todos los nodos raíz, unidadesorganizativas y cuentas. Siga los pasos de Deasociación de una SCP de la raíz de la organización, lasunidades organizativas o las cuentas (p. 73) para desasociar la política de todas las entidades de laorganización.

3. En la pestaña Policies (Políticas), seleccione Service control policies (Políticas de control de servicios).4. En la página Service control policies (Políticas de control de servicios), seleccione la SCP que desea

eliminar.5. Elija Delete policy.

Para eliminar una política (AWS CLI, API de AWS)

72

AWS Organizations Guía del usuarioAsociación de SCP

Puede utilizar uno de los comandos siguientes para eliminar una política:

• AWS CLI: aws organizations delete-policy• API de AWS: DeletePolicy

Asociación de SCPCuando inicia sesión en la cuenta maestra de su organización, puede asociar una política de control deservicios (SCP) que haya creado anteriormente. Puede asociar una SCP a la raíz de la organización, a unaunidad organizativa o directamente a una cuenta. Para asociar una SCP, siga los pasos que se describena continuación.

Para asociar una SCP a un nodo raíz, una unidad organizativa o una cuenta, necesita permiso paraejecutar la siguiente acción:

• organizations:AttachPolicy con un elemento Resource en la misma declaración de política queincluye "*" o el ARN de la política especificada y el ARN de la raíz, unidad organizativa o cuenta a la quedesea adjuntar la política

Para asociar una SCP a un nodo raíz, una unidad organizativa o una cuenta (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (nose recomienda) en la cuenta maestra de la organización.

2. En la pestaña Organize accounts (Organizar cuentas), vaya hasta (p. 57) la casilla de verificación parala raíz, unidad organizativa o cuenta a la que desee asociar la SCP y selecciónela.

3. En el panel Details (Detalles) de la derecha, expanda la sección Service control policies (Políticas decontrol de servicios) para ver la lista de las SCP asociadas actualmente.

4. En la lista de SCP disponibles, busque la que desee y elija Attach (Asociar). La lista de SCP asociadasse actualiza con la nueva SCP añadida. La SCP entra en vigor inmediatamente. Por ejemplo, unapolítica de SCP afecta inmediatamente a los permisos de los usuarios y las funciones de IAM de lacuenta asociada o de todas las cuentas situadas bajo el nodo raíz o la unidad organizativa.

Para asociar una SCP a un nodo raíz, una unidad organizativa o una cuenta (AWS CLI, API de AWS)

Puede utilizar uno de los comandos siguientes para asociar una SCP:

• AWS CLI: aws organizations attach-policy• API de AWS: AttachPolicy

Deasociación de una SCP de la raíz de la organización, lasunidades organizativas o las cuentasCuando inicia sesión en la cuenta maestra de su organización, puede desasociar una SCP de la raíz dela organización, unidad organizativa o cuenta a la que está asociada. Después de desasociar una SCPde una entidad, dicha SCP ya no se aplica a ninguna cuenta que estuviera afectada por la entidad ahoradesasociada. Para desasociar una SCP, siga los pasos que se describen a continuación.

Note

No puede separar la última política SCP de una entidad. Debe haber al menos una SCP asociadaa todas las entidades en todo momento.

73

AWS Organizations Guía del usuarioFuncionamiento de las SCP

Para desasociar una SCP de la raíz de una organización, unidad organizativa o cuenta, necesita permisopara ejecutar la siguiente acción:

• organizations:DetachPolicy

Para desasociar una SCP de la raíz de la organización, la unidad organizativa o la cuenta(consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (nose recomienda) en la cuenta maestra de la organización.

2. En la pestaña Organize accounts (Organizar cuentas), vaya hasta (p. 57) la casilla de verificación parala raíz, unidad organizativa o cuenta de la que desee desasociar la SCP y selecciónela.

3. En el panel Details (Detalles) de la derecha, expanda la sección Service control policies (Políticasde control de servicios) para ver la lista de las SCP asociadas actualmente. El campo Source(Origen) le indica de dónde procede la SCP. Puede estar asociada directamente a la cuenta o unidadorganizativa, o puede estar asociada a una unidad organizativa principal o un nodo raíz.

4. Busque la SCP que desea desasociar y elija Detach (Desasociar). La lista de SCP asociadas seactualiza. El cambio de SCP que se origina al desasociar la SCP entra en vigor inmediatamente. Porejemplo, cuando se desasocia una SCP, este cambio afecta inmediatamente a los permisos de losusuarios y roles de IAM de la cuenta o cuentas anteriormente asociadas situados bajo la raíz de laorganización o unidad organizativa anteriormente asociadas.

Para desasociar una SCP de un nodo raíz, una unidad organizativa o una cuenta (AWS CLI, API de AWS)

Puede utilizar uno de los comandos siguientes para desasociar una SCP:

• AWS CLI: aws organizations detach-policy• API de AWS: DetachPolicy

Funcionamiento de las SCPEn la siguiente ilustración se muestra cómo funcionan las SCP (p. 65).

74

AWS Organizations Guía del usuarioEstrategias para usar políticas SCP

En esta ilustración, el nodo raíz tiene una política SCP asociada que concede los permisos A, B y C.Una unidad organizativa de ese nodo raíz tiene una política SCP que permite C, D y E. Como la unidadorganizativa del nodo raíz no permite D ni E, ningún elemento del nodo raíz o de sus nodos secundariospodrá usar estos permisos, incluida la unidad organizativa principal. Aunque la unidad organizativaprincipal los permita explícitamente, acabarán bloqueados porque están bloqueados por el nodo raíz.Además, como la política SCP de la unidad organizativa no permite A ni B, esos permisos estaránbloqueados para la unidad organizativa principal y todos sus nodos secundarios. Sin embargo, otrasunidades organizativas del nodo raíz que estén en el mismo nivel que la unidad organizativa principalpodrían conceder los permisos A y B.

Los usuarios y las funciones seguirán obteniendo los permisos a través de las políticas de permisosde IAM asociadas a ellos o a sus grupos. Las SCP filtran los permisos concedidos por estas políticas yel usuario no puede realizar ninguna de las acciones que las SCP correspondientes no permitan. Lasacciones permitidas por las SCP pueden realizarse si se concede permiso a un usuario o una funciónmediante alguna de las políticas de permisos de IAM.

Cuando asocia SCP al nodo raíz, a las unidades organizativas o directamente a las cuentas, todas laspolíticas que afectan a una cuenta determinada se evalúan de forma conjunta con las mismas reglas querigen las políticas de permisos de IAM.

• Una acción que tenga una instrucción Deny explícita en una política SCP no se puede delegar en losusuarios o roles de las cuentas afectadas. Una instrucción Deny explícita invalida cualquier declaraciónAllow que concedan otras SCP.

• Una acción que tenga una instrucción Allow explícita en una SCP (como la política SCPpredeterminada "*" o cualquier otra SCP que llame a una acción o servicio determinados) se puededelegar a los usuarios y roles de las cuentas afectadas.

• Una acción que no esté permitida de forma explícita por una SCP se denegará implícitamente y no sepodrá delegar a los usuarios o funciones de las cuentas afectadas.

De forma predeterminada, una SCP denominada FullAWSAccess se asocia a cada nodo raíz, unidadorganizativa y cuenta. Esta SCP predeterminada permite todas las acciones y todos los servicios. Por lotanto, en una nueva organización, hasta que comience a crear o manipular las SCP, todos los permisos deIAM seguirán operando normalmente. En cuanto aplique una política SCP nueva o modificada a un nodoraíz o unidad organizativa que contenga una cuenta, los permisos que los usuarios tengan en esa cuentaempezarán a filtrarse por la SCP. Los permisos que antes funcionaban ahora podrían denegarse si la SCPno los permite en todos los niveles de la jerarquía hasta la cuenta especificada.

Si deshabilita el tipo de política SCP en un nodo raíz, todas las políticas SCP se desasocianautomáticamente de todas las entidades de ese nodo raíz. Si vuelve a habilitar las políticas SCP enese nodo raíz, se pierden todas las asignaciones originales y todas las entidades se restablecen paraasociarse únicamente a la política SCP FullAWSAccess predeterminada.

Para obtener más información acerca de la sintaxis de las SCP, consulte Sintaxis de las SCP (p. 77).

Estrategias para usar políticas SCPPuede configurar las SCP de su organización para que funcionen de alguna de las maneras siguientes:

• Como una lista de denegación (p. 76): las acciones están permitidas de forma predeterminada yusted especifica los servicios y las acciones que están prohibidos.

• Como una lista de permitidos (p. 77): las acciones están prohibidas de forma predeterminada y ustedespecifica los servicios y las acciones que se permiten.

75

AWS Organizations Guía del usuarioEstrategias para usar políticas SCP

Tip

Puede utilizar los datos del último acceso al servicio de IAM para actualizar las SCP pararestringir el acceso únicamente a los servicios de AWS que necesite. Para obtener másinformación, consulte Visualización de los datos del último acceso al servicio Organizaciones paraOrganizaciones en la Guía del usuario de IAM.

Uso de SCP como lista de denegaciónLa configuración predeterminada de AWS Organizations permite usar las SCP como listas de denegación.Los administradores de cuentas pueden usar una estrategia de listas de denegación para delegar todoslos servicios y acciones hasta que haya creado y adjuntado una SCP que deniegue el acceso a unservicio concreto o a un conjunto de acciones. El uso de instrucciones de denegación requiere menosmantenimiento, porque no es preciso actualizarlas cada vez que AWS añade nuevos servicios. Lasinstrucciones de denegación suelen ocupar menos espacio, de modo que es más fácil respetar el tamañomáximo para los SCP (p. 161). En una instrucción cuyo elemento Effect tiene el valor Deny, tambiénpuede restringir el acceso a recursos concretos o definir las condiciones que determinan cuándo seaplicarán las SCP.

Para que esto sea posible, AWS Organizations asocia una SCP administrada por AWS denominadaFullAWSAccess a cada nodo raíz y unidad organizativa en el momento de su creación. Esta políticapermite todos los servicios y acciones. Siempre está disponible para que la asocie o desasocie de lasentidades de su organización según sea necesario. Dado que la política es una SCP administrada porAWS, no puede modificarla ni eliminarla. La política tiene un aspecto similar al siguiente.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ]}

Esta política permite a los administradores de cuentas delegar permisos para cualquier servicio o acciónhasta que cree y asocie una SCP que deniegue algún acceso. Puede adjuntar una SCP que prohíbaexplícitamente las acciones que no desea que realicen los usuarios y roles de determinadas cuentas.

Esta política podría ser como la del ejemplo siguiente, que impide que los usuarios de las cuentasafectadas realicen acciones para el servicio de Amazon DynamoDB. El administrador de la organizaciónpuede desasociar la política FullAWSAccess y asociar esta en su lugar. Tenga en cuenta que esta SCPsigue permitiendo todos los demás servicios y sus acciones.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsAllActions", "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Sid": "DenyDynamoDB", "Effect": "Deny", "Action": "dynamodb:*", "Resource": "*" } ]

76

AWS Organizations Guía del usuarioSintaxis de las SCP

}

Los usuarios de las cuentas afectadas no pueden realizar acciones de DynamoDB, porque el elementoDeny explícito de la segunda instrucción invalida el elemento Allow explícito de la primera. Otra forma deconfigurar esto mismo sería dejar la política FullAWSAccess existente y adjuntar una segunda políticaque únicamente contenga la instrucción Deny, tal como se muestra aquí.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "dynamodb:*", "Resource": "*" } ]}

La combinación de la política FullAWSAccess y la instrucción Deny en la política DynamoDB anterior quese aplica a un nodo raíz o unidad organizativa tiene el mismo efecto que una sola política que contengaambas instrucciones. Todas las políticas que se aplican en un nivel especificado se combinan. Cadainstrucción, independientemente de la política que la haya originado, se evalúa de acuerdo con las reglasdescritas anteriormente (es decir, una instrucción Deny explicita anula una instrucción Allow explicita, queanula la instrucción Deny implícita predeterminada).

Uso de políticas SCP como una lista de permitidosPara utilizar las SCP como una lista de permitidos, debe sustituir la política SCP FullAWSAccessadministrada por AWS por una SCP que permita de forma explícita solo los servicios y acciones que deseepermitir. Al eliminar la SCP FullAWSAccess predeterminada, todas las acciones de todos los serviciosestarán ahora denegadas implícitamente. La SCP personalizada invalida la instrucción Deny implícita conuna instrucción Allow explícita para las acciones que desea permitir. Para que un permiso esté habilitadopara una cuenta determinada, todas las SCP desde el nodo raíz pasando por cada unidad organizativaen la ruta directa hasta llegar a la cuenta, e incluso las asociadas a la propia cuenta, deben conceder esepermiso.

Una política de lista de permitidos como esta podría ser similar a la del ejemplo siguiente, que permite alos usuarios de la cuenta realizar operaciones de Amazon EC2 y Amazon CloudWatch, pero de ningúnotro servicio. Todas las SCP de las unidades organizativas y del nodo raíz deben permitir también estospermisos explícitamente:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:*", "cloudwatch:*" ], "Resource": "*" } ]}

Sintaxis de las SCPLas políticas de control de servicios (SCP) utilizan una sintaxis similar a la que se usa en las políticas depermisos de IAM y en las basadas en recursos (como las de buckets de Amazon S3). Para obtener más

77

AWS Organizations Guía del usuarioSintaxis de las SCP

información acerca de las políticas de IAM y su sintaxis, consulte Políticas de IAM en la Guía del usuariode IAM.

Una política SCP es un archivo de texto sin formato estructurado de acuerdo con las reglas JSON. Utilizalos elementos que se describen en esta página.

Note

Todos los caracteres de la SCP se contabilizan para calcular su tamaño máximo (p. 161). Losejemplos que aparecen en esta guía muestran los SCP formateados con espacios en blancoadicionales para mejorar su legibilidad. Sin embargo, para ahorrar espacio si el tamaño de lapolítica se aproxima al tamaño máximo, puede eliminar todos los espacios en blanco, comoespacios y saltos de línea, que estén fuera de las comillas.

Para obtener información general sobre las SCP, consulte Políticas de control de servicios (p. 65).

Resumen de elementosEn la tabla siguiente se resumen los elementos de política que se pueden usar en las SCP. Algunoselementos de política solo están disponibles en las SCP que deniegan acciones. En la columna Efectosadmitidos se enumera los tipos de efectos que se pueden usar con cada elemento de política en las SCP.

Elemento Finalidad Efectos admitidos

Versión Especificalas reglasde sintaxisdel lenguajeque seutilizaránparaprocesar lapolítica.

Allow, Deny

Instrucción Sirve comocontenedordeelementosde política.Una SCPpuedecontenervariasinstrucciones.

Allow, Deny

Statement ID (Sid) (ID deinstrucción)

(Opcional)Proporcionaun nombrefácil derecordarpara lainstrucción.

Allow, Deny

Effect Define si lainstrucciónSCPpermite (p. 11)

Allow, Deny

78

AWS Organizations Guía del usuarioSintaxis de las SCP

Elemento Finalidad Efectos admitidosodeniega (p. 12)el accesoprincipal yraíz en unacuenta.

Acción Especificalosservicios oaccionesde AWSque la SCPpermite odeniega.

Allow, Deny

NotAction Especificalosservicios oaccionesde AWSque quedanexentos dela SCP. Seutiliza enlugar delelementoAction.

Deny

Recurso Especificalos recursosde AWS alos que seaplica laSCP.

Deny

Condición Especificalascondicionesquedeterminancuándo seaplica lainstrucción.

Deny

En las secciones siguientes se proporcionan más información y ejemplos sobre cómo usar los elementosde política en las SCP.

Elemento VersionTodas las SCP deben incluir un elemento Version con el valor "2012-10-17". Este es el mismo valorde versión que la versión más reciente de las políticas de permisos de IAM.

"Version": "2012-10-17",

79

AWS Organizations Guía del usuarioSintaxis de las SCP

Elemento StatementUna política SCP consta de uno o varios elementos Statement. Solo puede tener una palabra claveStatement en una política, pero el valor puede ser una matriz de instrucciones JSON (rodeadas porcaracteres [ ]).

El siguiente ejemplo muestra una única instrucción que consta de los elementos Effect, Action yResource:

"Statement": { "Effect": "Allow", "Action": "*", "Resource": "*" }

El siguiente ejemplo incluye dos instrucciones como una lista de matriz dentro de un elementoStatement. La primera instrucción permite todas las acciones, mientras que la segunda deniega todaslas acciones de EC2. El resultado es que el administrador de la cuenta puede delegar cualquier permiso,excepto los de EC2:

"Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Action": "ec2:*", "Resource": "*" } ]

Elemento de ID de instrucción (Sid)El elemento Sid es un identificador opcional que se proporciona para la instrucción de la política. Puedeasignar un valor de Sid a cada instrucción de una matriz de instrucciones. En el siguiente ejemplo de SCPse incluye una instrucción Sid de muestra.

{ "Statement": { "Sid": "AllowsAllActions", "Effect": "Allow", "Action": "*", "Resource": "*" }}

Elemento EffectCada instrucción debe contener un elemento Effect. El valor puede ser Allow o Deny. Afecta a lasacciones enumeradas en la misma instrucción.

"Effect": "Allow"

En el siguiente ejemplo se muestra una SCP con una instrucción que contiene un elemento Effect conun valor de Allow que permite a los usuarios de la cuenta realizar acciones para el servicio Amazon S3.Este ejemplo es útil en una organización donde las políticas FullAWSAccess predeterminadas estén

80

AWS Organizations Guía del usuarioSintaxis de las SCP

desasociadas y, por tanto, los permisos se deniegan implícitamente de forma predeterminada. El resultadoes que permite (p. 11) los permisos de Amazon S3 en cualquier cuenta asociada:

{ "Statement": { "Effect": "Allow", "Action": "s3:*" }}

Tenga en cuenta que aunque se utiliza la misma palabra clave con el valor Allow que en una políticade permisos de IAM, las SCP no conceden en realidad permisos de usuario. En lugar de ello, las SCPespecifican los permisos máximos para una organización, unidad organizativa (OU) o cuenta. En elejemplo anterior, aunque un usuario de la cuenta tuviera la política administrada AdministratorAccessasociada, la SCP limita las acciones de todos los usuarios de la cuenta a solo las acciones de Amazon S3.

"Effect": "Deny"

En una instrucción cuyo elemento Effect tiene el valor Deny, también puede restringir el acceso arecursos específicos o definir condiciones que determinen cuándo se aplicará la SCP.

A continuación, se muestra un ejemplo de cómo utilizar una clave de condición en una instrucción dedenegación.

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:InstanceType": "t2.micro" } }}

Esta instrucción de una SCP establece una medida de seguridad para evitar que las cuentas afectadas(cuando la SCP se adjunte a la propia cuenta o al nodo raíz de la organización o unidad organizativa quecontiene la cuenta) lancen instancias Amazon EC2 si estas instancias Amazon EC2 no están establecidasen t2.micro. Aunque se adjunte a la cuenta una política de IAM que permita esta acción, la medida deseguridad creada por la SCP la impedirá.

Elementos Action y NotActionCada instrucción debe contener uno de los elementos siguientes:

• En las instrucciones de permiso o denegación, un elemento Action.• En las instrucciones de denegación solo (cuando el valor del elemento Effect sea Deny), un elementoAction o NotAction.

El valor del elemento Action o NotAction es una lista (una matriz JSON) de cadenas que identifican losservicios y acciones de AWS que la instrucción permite o deniega.

Cada cadena consta de la abreviatura del servicio (como "s3", "ec2", "iam" u "organizaciones"), enletras minúsculas, seguida de un carácter de punto y coma y una acción de ese servicio. Las acciones einacciones distinguen entre mayúsculas y minúsculas, y deben especificarse tal y como aparecen en ladocumentación de cada servicio. Por lo general, todas deben especificarse con cada palabra con la inicialen mayúsculas y el resto en minúsculas. Por ejemplo: "s3:ListAllMyBuckets".

81

AWS Organizations Guía del usuarioSintaxis de las SCP

También puede utilizar un asterisco como comodín para que coincida con varias acciones que compartenparte de un nombre. El valor "s3:*" significa todas las acciones del servicio Amazon S3. El valor"ec2:Describe*" coincide solo con las acciones de EC2 que empiezan por "Describe".

Note

En una política SCP, el carácter comodín (*) de un elemento Action o NotAction únicamentepuede aparecer solo o al final de la cadena. No puede aparecer al principio o en el medio de lacadena. Por lo tanto, "servicename:action*" es válido, pero "servicename:*action" y"servicename:some*action" no son válidos en las políticas SCP.

Para obtener una lista de todos los servicios y las acciones que se admiten tanto en las SCP de AWSOrganizations como en las políticas de permisos de IAM, consulte Acciones, recursos y claves decondición para servicios de AWS en la Guía del usuario de IAM.

Ejemplo de elemento Action

El siguiente ejemplo muestra una política SCP con una instrucción que permite a los administradores dela cuenta delegar los permisos describe, start, stop y terminate para las instancias EC2 de la cuenta. Setrata de otro ejemplo de una política de lista de permitidos (p. 11) y es útil cuando las políticas Allow* predeterminadas no están asociadas y, por tanto, los permisos se deniegan implícitamente de formapredeterminada. Si la política Allow * predeterminada sigue estando asociada al nodo raíz, unidadorganizativa o cuenta a la que la siguiente política está asociada, entonces la política no tiene ningúnefecto:

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeAvailabilityZones", "ec2:RunInstances", "ec2:TerminateInstances", "ec2:StopInstances", "ec2:StartInstances" ], "Resource": "*" }}

El siguiente ejemplo muestra cómo puede denegar el acceso (p. 12) a servicios que no desea usaren cuentas asociadas. Se asume que las políticas SCP "Allow *" predeterminadas siguen estandoasociadas a las unidades organizativas y al nodo raíz. Esta política de ejemplo impide que losadministradores de las cuentas asociadas deleguen permisos para los servicios de IAM, Amazon EC2 yAmazon RDS. Cualquier acción desde otros servicios se puede delegar siempre y cuando no exista otrapolítica asociada que la deniegue:

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "iam:*", "ec2:*", "rds:*" ], "Resource": "*" }}

Ejemplo de elemento NotAction

En el siguiente ejemplo, se muestra cómo puede utilizar un elemento NotAction para controlar el accesoa una región para todos los recursos de un servicio.

82

AWS Organizations Guía del usuarioSintaxis de las SCP

{ "Version": "2012-10-17", "Statement": [ { "Sid": "RequireBucketsInUSWest1", "Effect": "Deny", "NotAction": "s3:*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": "us-west-1" } } } ]}

Con esta instrucción, las cuentas afectadas se limitan a la creación de buckets de Amazon S3 en la regiónespecificada.

Elemento ResourceEn las instrucciones cuyo elemento Effect tiene el valor Allow, puede especificar solamente "*" en elelemento Resource de una SCP. No puede especificar los nombres de recurso de Amazon (ARN) de losrecursos individuales.

En las instrucciones cuyo elemento Effect tiene el valor Deny, puede especificar ARN individuales, comose muestra en el ejemplo siguiente.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessToAdminRole", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/role-to-deny" ] } ]}

Esta SCP restringe a las entidades principales de las cuentas de IAM para que no puedan realizar cambiosen un rol de IAM administrativo común creado en todas las cuentas de la organización.

Elemento ConditionPuede especificar un elemento Condition en las instrucciones de denegación de una SCP. Por ejemplo:

83

AWS Organizations Guía del usuarioSCP de ejemplo

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": [ "cloudfront:*", "iam:*", "route53:*", "support:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "eu-central-1", "eu-west-1" ] } } } ]}

Esta SCP deniega el acceso a todas las operaciones fuera de las regiones eu-central-1 y eu-west-1,excepto para las acciones de los servicios enumerados.

Elementos no compatiblesLos siguientes elementos no son compatibles con las SCP:

• Principal

• NotPrincipal

• NotResource

Ejemplo de políticas de control de serviciosLos ejemplos de políticas de control de servicios (SCP) (p. 65) que se muestran en este tema solotienen fines informativos.

Antes de usar estos ejemplos

Antes de intentar usar estos ejemplos de SCP en la organización, haga lo siguiente:

• Revíselas atentamente y personalícelas para ajustarlas a sus requisitos únicos.• Pruebe las políticas antes de utilizarlas en una capacidad de producción. Recuerde que una

SCP afecta a todos los usuarios y roles e incluso al usuario raíz de todas las cuentas a las quese asocia.

Tip

Puede utilizar los datos del último acceso al servicio de IAM para actualizar las SCP pararestringir el acceso únicamente a los servicios de AWS que necesite. Para obtener másinformación, consulte Visualización de los datos del último acceso al servicio Organizaciones paraOrganizaciones en la Guía del usuario de IAM.

84

AWS Organizations Guía del usuarioSCP de ejemplo

Cada una de las siguientes políticas es un ejemplo de una estrategia de política de lista dedenegación (p. 76) . Las políticas de lista de denegación deben adjuntarse junto con otras políticasque permitan las acciones aprobadas en las cuentas afectadas. Por ejemplo, la política FullAWSAccesspredeterminada permite el uso de todos los servicios de una cuenta. Esta política se adjunta de formapredeterminada a la raíz, a todas las unidades organizativas (OU) y a todas las cuentas. En realidad noconcede los permisos; ninguna SCP lo hace. En su lugar, permite a los administradores de la cuentadelegar el acceso a esas acciones asociando políticas de permisos de IAM estándar a los usuarios, roleso grupos de la cuenta. Cada una de estas políticas de lista de denegación sustituye cualquier políticamediante el bloqueo del acceso a los servicios o acciones especificados.

Temas• Ejemplo 1: Evitar que los usuarios deshabiliten AWS CloudTrail (p. 85)• Ejemplo 2: evitar que los usuarios deshabiliten Amazon CloudWatch o modifiquen su

configuración (p. 85)• Ejemplo 3: evitar que los usuarios eliminen los registros de flujo de Amazon VPC (p. 86)• Ejemplo 4: evitar que los usuarios deshabiliten AWS Config o cambien sus reglas (p. 86)• Ejemplo 5: Evitar que cualquier VPC que no tenga acceso a Internet lo obtenga (p. 87)• Ejemplo 6: Deniega el acceso a AWS en función de la región solicitada (p. 87)• Ejemplo 7: Evitar que las entidades principales de IAM realicen determinados cambios (p. 88)• Ejemplo 8: Evitar que las entidades principales de IAM realicen determinados cambios con

excepciones para los administradores (p. 88)• Ejemplo 9: Requerir el cifrado en los buckets de Amazon S3 (p. 89)• Ejemplo 10: Requerir que las instancias Amazon EC2 usen un tipo específico (p. 90)• Ejemplo 11: Requerir la MFA para detener una instancia de Amazon EC2 (p. 90)• Ejemplo 12: Restringir el acceso a Amazon EC2 para el usuario raíz (p. 90)• Ejemplo 13: Requerir una etiqueta al crear recursos (p. 91)

Ejemplo 1: Evitar que los usuarios deshabiliten AWS CloudTrailEsta SCP impide que los usuarios o las funciones de cualquier cuenta afectada deshabiliten un registro deCloudTrail, ya sea directamente como un comando o a través de la consola.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:StopLogging", "Resource": "*" } ]}

Ejemplo 2: evitar que los usuarios deshabiliten AmazonCloudWatch o modifiquen su configuraciónUn operador de CloudWatch de nivel inferior necesita monitorear los paneles y las alarmas, pero nodebe poder eliminar ni cambiar ningún panel o alarma que pueden haber configurado los responsables.Esta SCP evita que los usuarios o las funciones de cualquier cuenta afectada ejecuten cualquiera de loscomandos de CloudWatch que podrían eliminar o cambiar sus paneles o alarmas.

{

85

AWS Organizations Guía del usuarioSCP de ejemplo

"Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudwatch:DeleteAlarms", "cloudwatch:DeleteDashboards", "cloudwatch:DisableAlarmActions", "cloudwatch:PutDashboard", "cloudwatch:PutMetricAlarm", "cloudwatch:SetAlarmState" ], "Resource": "*" } ]}

Ejemplo 3: evitar que los usuarios eliminen los registros de flujode Amazon VPCEsta SCP evita que los usuarios o las funciones de cualquier cuenta afectada eliminen los registros de flujode Amazon EC2 o los grupos o secuencias de registros de CloudWatch.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:DeleteFlowLogs", "logs:DeleteLogGroup", "logs:DeleteLogStream" ], "Resource": "*" } ] }

Ejemplo 4: evitar que los usuarios deshabiliten AWS Config ocambien sus reglasEsta SCP evita que los usuarios o las funciones de cualquier cuenta afectada ejecuten operaciones deAWS Config que podrían deshabilitar AWS Config o modificar sus reglas o disparadores.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "config:DeleteConfigRule", "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:StopConfigurationRecorder" ], "Resource": "*" } ]}

86

AWS Organizations Guía del usuarioSCP de ejemplo

Ejemplo 5: Evitar que cualquier VPC que no tenga acceso aInternet lo obtengaEsta SCP evita que los usuarios o las funciones de cualquier cuenta afectada cambien la configuraciónde sus nubes virtuales privadas (VPC) de Amazon EC2 para concederles acceso directo a Internet. Nobloquea el acceso directo existente ni ningún acceso que se direccione a través de su entorno de red local.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:AttachInternetGateway", "ec2:CreateInternetGateway", "ec2:CreateEgressOnlyInternetGateway", "ec2:CreateVpcPeeringConnection", "ec2:AcceptVpcPeeringConnection", "globalaccelerator:Create*", "globalaccelerator:Update*" ], "Resource": "*" } ]}

Ejemplo 6: Deniega el acceso a AWS en función de la regiónsolicitadaEsta SCP deniega el acceso a cualquier operación fuera de las regiones eu-central-1 y eu-west-1,excepto a las acciones de los servicios incluidos en la lista. Para utilizar esta SCP, sustituya el texto rojo encursiva del ejemplo de política por su propia información.

Esta política utiliza el elemento NotAction con el efecto Deny para denegar el acceso a todas las accionesque no figuran en la instrucción. Los servicios enumerados son ejemplos de servicios globales de AWScon un único punto de enlace que se encuentra físicamente en la región us-east-1. Las solicitudesrealizadas a los servicios de la región us-east-1 no se deniegan si se han incluido en el elementoNotAction. Se denegarán todas las demás solicitudes a los servicios de la región us-east-1.

Notas

• No todos los servicios globales de AWS se muestran en este ejemplo de política. Sustituyala lista de servicios en texto rojo en cursiva por los servicios globales que las cuentas de laorganización utilizan.

• Este ejemplo de política bloquea el acceso al punto de enlace global de AWS Security TokenService (sts.amazonaws.com). Para utilizar AWS STS con esta política, use puntos de enlaceregionales o añada "sts:*" al elemento NotAction. Para obtener más información sobre lospuntos de enlace de AWS STS, consulte Activación y desactivación de AWS STS en una regiónde AWS en la Guía del usuario de IAM.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideEU", "Effect": "Deny",

87

AWS Organizations Guía del usuarioSCP de ejemplo

"NotAction": [ "iam:*", "organizations:*", "route53:*", "budgets:*", "waf:*", "cloudfront:*", "globalaccelerator:*", "importexport:*", "support:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "eu-central-1", "eu-west-1" ] } } } ]}

Ejemplo 7: Evitar que las entidades principales de IAM realicendeterminados cambiosEsta SCP restringe a las entidades principales de las cuentas de IAM para que no puedan realizar cambiosen un rol de IAM administrativo común creado en todas las cuentas de la organización.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessToASpecificRole", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/role-to-deny" ] } ]}

Ejemplo 8: Evitar que las entidades principales de IAM realicendeterminados cambios con excepciones para los administradoresEsta SCP se basa en el ejemplo anterior, pero especifica una excepción para los administradores. Impideque las entidades principales de IAM de las cuentas realicen cambios en un rol de IAM administrativo

88

AWS Organizations Guía del usuarioSCP de ejemplo

común creado en todas las cuentas de la organización, excepto para los administradores que usen el rolespecificado.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessWithException", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/role-to-deny" ], "Condition": { "StringNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/role-to-allow" } } } ]}

Ejemplo 9: Requerir el cifrado en los buckets de Amazon S3Esta SCP requiere que las entidades principales usen el cifrado AES256 al escribir en buckets de AmazonS3.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyIncorrectEncryptionHeader", "Effect": "Deny", "Action": "s3:PutObject", "Resource": "*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } }, { "Sid": "DenyUnEncryptedObjectUploads", "Effect": "Deny", "Action": "s3:PutObject", "Resource": "*", "Condition": { "Null": { "s3:x-amz-server-side-encryption": true } } }

89

AWS Organizations Guía del usuarioSCP de ejemplo

]}

Ejemplo 10: Requerir que las instancias Amazon EC2 usen untipo específicoCon esta SCP, se denegarán todos los lanzamientos de instancias qeu no usen el tipo de instanciat2.micro.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "RequireMicroInstanceType", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals":{ "ec2:InstanceType":"t2.micro" } } } ]}

Ejemplo 11: Requerir la MFA para detener una instancia deAmazon EC2Utilice una SCP similar a la siguiente para requerir que la autenticación multifactor (MFA) esté habilitadapara que una entidad principal o usuario raíz puedan detener una instancia Amazon EC2.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent", "Effect": "Deny", "Action": [ "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*", "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": false}} } ]}

Ejemplo 12: Restringir el acceso a Amazon EC2 para el usuarioraízLa siguiente política restringe todo acceso a las acciones de Amazon EC2 para el usuario raíz de unacuenta. Si desea evitar que en sus cuentas se usen las credenciales raíz de determinadas manerasconcretas, añada sus propias acciones a esta política.

{ "Version": "2012-10-17",

90

AWS Organizations Guía del usuarioSCP de ejemplo

"Statement": [ { "Sid": "RestrictEC2ForRoot", "Effect": "Deny", "Action": [ "ec2:*" ], "Resource": [ "*" ], "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } } ]}

Ejemplo 13: Requerir una etiqueta al crear recursosLa siguiente SCP impide que las entidades principales de una cuenta creen determinados tipos derecursos sin las etiquetas especificadas.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreateSecretWithNoProjectTag", "Effect": "Deny", "Action": "secretsmanager:CreateSecret", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/Project": "true" } } }, { "Sid": "DenyRunInstanceWithNoProjectTag", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*" ], "Condition": { "Null": { "aws:RequestTag/Project": "true" } } }, { "Sid": "DenyCreateSecretWithNoCostCenterTag", "Effect": "Deny", "Action": "secretsmanager:CreateSecret", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/CostCenter": "true" } }

91

AWS Organizations Guía del usuarioPolíticas de etiquetas

}, { "Sid": "DenyRunInstanceWithNoCostCenterTag", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*" ], "Condition": { "Null": { "aws:RequestTag/CostCenter": "true" } } } ]}

Políticas de etiquetasPuede utilizar políticas de etiquetas para mantener la coherencia de las etiquetas, incluido el tratamientode casos preferentes de valores y claves de etiquetas.

¿Qué son las etiquetas?Las etiquetas son atributos personalizados que usted o AWS asignan a los recursos de AWS. Cadaetiqueta tiene dos partes:

• Una clave de etiqueta (por ejemplo, CostCenter, Environment o Project). Las claves de etiquetadistinguen entre mayúsculas y minúsculas.

• Un campo opcional denominado valor de etiqueta (por ejemplo, 111122223333 o Production). Omitirel valor de etiqueta es lo mismo que usar una cadena vacía. Al igual que las claves de etiqueta, losvalores de etiqueta distinguen entre mayúsculas y minúsculas.

En el resto de esta página se describen las políticas de etiquetas. Para obtener más información acerca delas etiquetas, consulte las siguientes fuentes:

• Para obtener más información general acerca del etiquetado, incluidas las convenciones denomenclatura y uso, consulte Etiquetado de recursos de AWS en AWS General Reference.

• Para obtener una lista de los servicios que admiten el uso de etiquetas, consulte Referencia de la API deetiquetado de grupos de recursos.

• Para obtener información acerca del etiquetado de recursos de Organizaciones, consulte Etiquetado derecursos de AWS Organizations (p. 131).

• Para obtener información acerca del etiquetado de recursos en otros servicios de AWS, consulte ladocumentación de cada uno de los servicios.

• Para obtener información acerca del uso de etiquetas para categorizar los recursos, consulte Estrategiasde etiquetado de AWS.

¿Qué son las políticas de etiquetas?Las políticas de etiquetas son un tipo de política que le puede ayudar a estandarizar las etiquetas en todoslos recursos en las cuentas de su organización. En una política de etiquetas, se especifican las reglas deetiquetado aplicables a los recursos cuando se etiquetan.

92

AWS Organizations Guía del usuarioRequisitos previos y permisos

Por ejemplo, una política de etiquetas puede especificar que, cuando se asocia a un recurso la etiquetaCostCenter, esta debe utilizar el tratamiento de mayúsculas y minúsculas y los valores de etiquetaque define la política de etiquetas. Una política de etiquetas también puede especificar que se ejecutenoperaciones de etiquetado no conformes en los tipos de recursos especificados. En otras palabras, no sepueden completar las solicitudes de etiquetado no conformes en los tipos de recursos especificados. Nose evalúa la conformidad con la política de etiquetas de los recursos no etiquetados o las etiquetas que noestán definidas en la política de etiquetas.

El uso de políticas de etiquetas implica el uso de varios servicios de AWS:

• Utilice AWS Organizations para administrar políticas de etiquetas. Cuando se inicia sesión en la cuentamaestra de la organización, se utiliza Organizaciones para habilitar la característica de políticas deetiquetas. Debe iniciar sesión como usuario de IAM, asumir la función de IAM o iniciar sesión comousuario raíz (no se recomienda) en la cuenta maestra de la organización. A continuación, puede crearpolíticas de etiquetas y asociarlas a las entidades de la organización para poner en vigor dichas reglasde etiquetado.

• Utilice Grupos de recursos de AWS para administrar la conformidad con las políticas de etiquetas.Cuando se inicia sesión en una cuenta de la organización, se utiliza Resource Groups para buscaretiquetas no conformes en los recursos de la cuenta. Puede corregir las etiquetas no conformes en elservicio de AWS donde se creara el recurso.

Si inicia sesión en la cuenta maestra de la organización, puede ver la información de conformidad detodas las cuentas de la organización.

Las políticas de etiquetas solo están disponibles en las organizaciones que tienen todas las característicashabilitadas (p. 29). Para obtener más información acerca de qué se necesita para utilizar políticas deetiquetas, consulte Requisitos previos y permisos para administrar políticas de etiquetas (p. 93).

Important

Para comenzar a utilizar políticas de etiquetas, AWS recomienda encarecidamente que se siga elflujo de trabajo de ejemplo que se describe en Introducción a las políticas de etiquetas (p. 95)antes de pasar a políticas de etiquetas más avanzadas. Es mejor conocer los efectos de asociaruna política de etiquetas sencilla a una única cuenta antes de ampliar las políticas de etiquetasa toda una unidad organizativa u organización. Es especialmente importante conocer los efectosde una política de etiquetas antes de ejecutar la conformidad de cualquier política de etiquetas.Las tablas de esta página también ofrecen enlaces a instrucciones para tareas más avanzadasrelacionadas con las políticas.

Requisitos previos y permisos para administrarpolíticas de etiquetasEn esta página se describen los requisitos previos y los permisos necesarios para administrar políticas deetiquetas en AWS Organizations.

Temas• Requisitos previos para administrar políticas de etiquetas (p. 93)• Permisos para administrar políticas de etiquetas (p. 94)

Requisitos previos para administrar políticas de etiquetasLos requisitos para utilizar políticas de etiquetas son los siguientes:

• Su organización debe tener habilitadas todas las características (p. 29).

93

AWS Organizations Guía del usuarioPrácticas recomendadas

• Debe haber iniciado sesión en la cuenta maestra de su organización.• Necesita los permisos que se indican en Permisos para administrar políticas de etiquetas (p. 94).

Para evaluar el cumplimiento de las políticas de etiquetas, utilice Grupos de recursos de AWS. Paraobtener información acerca de los requisitos para evaluar el cumplimiento, consulte Requisitos previos ypermisos en la Guía del usuario de Grupos de recursos de AWS.

Permisos para administrar políticas de etiquetasLa política de IAM de ejemplo siguiente proporciona permisos para administrar políticas de etiquetas.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageTagPolicies", "Effect": "Allow", "Action": [ "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy", "organizations:DescribeEffectivePolicy", "organizations:DescribePolicy", "organizations:ListRoots", "organizations:DisableAWSServiceAccess", "organizations:DetachPolicy", "organizations:DeletePolicy", "organizations:DescribeAccount", "organizations:DisablePolicyType", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListPolicies", "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:EnableAWSServiceAccess", "organizations:ListCreateAccountStatus", "organizations:DescribeOrganization", "organizations:UpdatePolicy", "organizations:EnablePolicyType", "organizations:DescribeOrganizationalUnit", "organizations:AttachPolicy", "organizations:ListParents", "organizations:ListOrganizationalUnitsForParent", "organizations:CreatePolicy", "organizations:DescribeCreateAccountStatus" ], "Resource": "*" } ]}

Para obtener más información acerca de las políticas y los permisos de IAM, consulte Guía del usuario deIAM.

Prácticas recomendadas para utilizar políticas deetiquetasAWS recomienda las siguientes prácticas recomendadas para el uso de políticas de etiquetas:

• Decida una estrategia de uso de mayúsculas en las etiquetas: determine cómo desea utilizar lasmayúsculas en las etiquetas e implemente dicha estrategia de forma coherente en todos los tipos de

94

AWS Organizations Guía del usuarioIntroducción

recursos. Por ejemplo, decida si se va a utilizar Costcenter, costcenter o CostCenter y utilicela misma convención para todas las etiquetas. Para obtener resultados coherentes en los informesde conformidad, evite utilizar etiquetas similares con un tratamiento incoherente de mayúsculas yminúsculas. Esta estrategia le ayudará a definir políticas de etiquetas para su organización.

• Utilice el flujo de trabajo recomendado: comience poco a poco creando una política de etiquetas sencilla.A continuación, asóciela a una cuenta miembro que pueda utilizar con fines de prueba. Utilice los flujosde trabajo que se describen en Introducción a las políticas de etiquetas (p. 95).

• Determine reglas de etiquetado: esto dependerá de las necesidades de su organización. Por ejemplo,es posible que desee especificar que todos los secretos de AWS Secrets Manager deben tener unaetiqueta CostCenter. Cree políticas de etiquetas que definan etiquetas conformes y asócielas a lasentidades de la organización en las que desee que entren en vigor dichas reglas de etiquetado.

• Forme a los administradores de cuentas: cuando esté listo para ampliar el uso de políticas de etiquetas,forme a los administradores de cuentas de la siguiente manera:• Comunique su estrategia de etiquetado.• Haga hincapié en que los administradores han de utilizar etiquetas en tipos de recursos específicos.

Esto es importante, ya que los recursos sin etiquetas se muestran como conformes en los resultadosde conformidad.

• Proporcione instrucciones para la comprobación de la conformidad de las políticas de etiquetas.Indique a los administradores que busquen y corrijan las etiquetas no conformes en los recursos de sucuenta mediante el procedimiento que se describe en Evaluación de la conformidad de una cuenta enla Guía del usuario de Grupos de recursos de AWS. Infórmeles de la frecuencia con la que desea quecomprueben la conformidad.

• Actúe con precaución al ejecutar la conformidad: ejecutar la conformidad podría impedir que los usuariosde las cuentas de su organización etiqueten los recursos que necesiten. Revise la información deDescripción de la ejecución (p. 106). Consulte también los flujos de trabajo que se describen enIntroducción a las políticas de etiquetas (p. 95).

• Tenga en cuenta la creación de una SCP para establecer medidas de seguridad en torno a lassolicitudes de creación de recursos: los recursos que nunca han tenido etiquetas asociadas se muestrancomo conformes en los informes. Los administradores de cuentas aún pueden crear recursos sinetiquetar. En algunos casos, puede utilizar una política de control de servicios (SCP) para establecermedidas de seguridad en torno a las solicitudes de creación de recursos. Para ver una SCP de ejemplo,consulte Ejemplo 13: Requerir una etiqueta al crear recursos (p. 91). Para saber si un servicio deAWS es compatible con el control del acceso mediante etiquetas, consulte Servicios de AWS quefuncionan con IAM en la Guía del usuario de IAM. Busque los servicios que tengan Sí en la columnaAuthorization based on tags (Autorización basada en etiquetas). Elija el nombre del servicio para ver ladocumentación sobre la autorización y el control de acceso para dicho servicio.

Introducción a las políticas de etiquetasEl uso de políticas de etiquetas implica el uso de varios servicios de AWS. Para empezar, revise lassiguientes páginas. A continuación, siga los flujos de trabajo de esta página para familiarizarse con laspolíticas de etiquetas y sus efectos.

• Requisitos previos y permisos para administrar políticas de etiquetas (p. 93)• Prácticas recomendadas para utilizar políticas de etiquetas (p. 94)

Uso de políticas de etiquetas por primera vezSiga estos pasos para comenzar a utilizar las políticas de etiquetas por primera vez.

95

AWS Organizations Guía del usuarioIntroducción

Tarea Cómo realizarla

Paso 1: habilite las políticas de etiquetas de suorganización. (p. 99)

• Cuenta en la que iniciar sesión: la cuentamaestra de la organización.¹

• Consola de servicio de AWS que utilizar: AWSOrganizations.

Paso 2: cree una política de etiquetas (p. 100).

Mantenga su primera política de etiquetas simple.Introduzca una clave de etiqueta en el tratamientode mayúsculas y minúsculas que desea utilizary deje el resto de opciones en sus valorespredeterminados.

• Cuenta en la que iniciar sesión: la cuentamaestra de la organización.¹

• Consola de servicio de AWS que utilizar:Organizaciones.

Paso 3: asocie una política de etiquetas a la cuentade un solo miembro que pueda utilizar para laspruebas. (p. 103)

Tendrá que iniciar sesión en esta cuenta en elsiguiente paso.

• Cuenta en la que iniciar sesión: la cuentamaestra de la organización.¹

• Consola de servicio de AWS que utilizar:Organizaciones.

Paso 4: cree algunos recursos con etiquetas deconformidad y otros con etiquetas no conformes.

• Cuenta en la que iniciar sesión: la cuenta delmiembro que utiliza para realizar pruebas.

• Consola de servicio de AWS; cualquier serviciode AWS con el esté más cómodo.

Por ejemplo, puede utilizar AWS SecretsManager y seguir el procedimiento en Creaciónde un secreto básico para crear secretos consecretos de conformidad y no conformes.

Paso 5: vea la política de etiquetas en vigor yevalúe el estado de conformidad de la cuenta.

• Cuenta en la que iniciar sesión: la cuenta delmiembro que utiliza para realizar pruebas.

• Consola de servicio de AWS que se va a utilizar:el servicio Resource Groups y AWS en el que secreó el recurso.

Si ha creado recursos con etiquetas deconformidad y no conformes, debería ver lasetiquetas no conformes en los resultados.

Paso 6: repita el proceso para buscar y corregir losproblemas de conformidad hasta que los recursosen la cuenta de pruebas cumplan con su política deetiquetas.

• Cuenta en la que iniciar sesión: la cuenta delmiembro que utiliza para realizar pruebas.

• Consola de servicio de AWS que se va a utilizar:el servicio Resource Groups y AWS en el que secreó el recurso.

En cualquier momento, puede evaluar elcumplimiento en toda la organización.

• Cuenta en la que iniciar sesión: la cuentamaestra de la organización.¹

• Consola de servicio de AWS que utilizar:Resource Groups.

¹ Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (no serecomienda) en la cuenta maestra de la organización.

96

AWS Organizations Guía del usuarioIntroducción

Si utiliza la AWS Command Line Interface, el proceso completo y los ejemplos se describen en Uso depolíticas de etiquetas en la AWS CLI (p. 125).

Ampliación del uso de políticas de etiquetasPuede realizar las siguientes tareas en cualquier orden para ampliar el uso de las políticas de etiquetas.

Tarea avanzada Cómo realizarla

Cree políticas de etiquetas másavanzadas (p. 100).

Siga el mismo proceso que para los usuariosprincipiantes, pero pruebe otras tareas. Porejemplo, defina claves o valores adicionaleso especifique un tratamiento de mayúsculas yminúsculas diferente para una clave de etiquetas.

Puede utilizar la información en Cómo funcionala herencia de políticas (p. 115) y Sintaxis de lapolítica de etiquetas (p. 112) para crear políticasde etiquetas más detalladas.

• Cuenta en la que iniciar sesión: la cuentamaestra de la organización.¹

• Consola de servicio de AWS que utilizar:Organizaciones.

Asocie políticas de etiquetas a cuentas o unidadesorganizativas adicionales. (p. 103)

Compruebe la política de etiquetas en vigor de unacuenta (p. 104) después de asociar más políticasa ella o a cualquier unidad organizativa de la que lacuenta sea miembro.

• Cuenta en la que iniciar sesión: la cuentamaestra de la organización.¹

• Consola de servicio de AWS que utilizar:Organizaciones.

Cree una SCP para precisar etiquetas cuandoalguien cree nuevos recursos. Para ver un ejemplo,consulte Ejemplo 13: Requerir una etiqueta al crearrecursos (p. 91).

• Cuenta en la que iniciar sesión: la cuentamaestra de la organización.¹

• Consola de servicio de AWS que utilizar:Organizaciones.

Continúe evaluando el estado de conformidadde la cuenta con la política de etiquetas envigor a medida que cambia. Corrija etiquetas noconformes.

• Cuenta en la que iniciar sesión: la cuenta de unmiembro con una política de etiquetas en vigor.

• Consola de servicio de AWS que se va a utilizar:el servicio Resource Groups y AWS en el que secreó el recurso.

Evalúe el cumplimiento en toda la organización. • Cuenta en la que iniciar sesión: la cuentamaestra de la organización.¹

• Consola de servicio de AWS que utilizar:Resource Groups.

¹ Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (no serecomienda) en la cuenta maestra de la organización.

Cumplimiento de las políticas de etiquetas por primera vezPara aplicar políticas de etiquetas por primera vez, siga un flujo de trabajo similar al del uso de políticas deetiquetas por primera vez y utilice una cuenta de prueba.

97

AWS Organizations Guía del usuarioIntroducción

Warning

Tenga cuidado con forzar el cumplimiento. Asegúrese de que conoce los efectos del uso depolíticas de etiquetas y siga el flujo de trabajo recomendado. Pruebe el funcionamiento de laejecución en una cuenta de prueba antes de ampliarla a más cuentas. De lo contrario, podríaimpedir que los usuarios de las cuentas de su organización etiqueten los recursos que necesiten.Para obtener más información, consulte Descripción de la ejecución (p. 106).

Tareas de cumplimiento Cómo realizarla

Paso 1: cree una política de etiquetas (p. 100).

Mantenga su primera política de etiquetas aplicadasimple. Introduzca una clave de etiqueta enel tratamiento de mayúsculas y minúsculasy seleccione la opción Prevent noncompliantoperations for this tag (Evitar las operaciones noconformes para esta etiqueta). A continuación,especifique un tipo de recurso para aplicarlo.Continuando con nuestro ejemplo anterior,puede optar por aplicarlo en secretos de SecretsManager.

• Cuenta en la que iniciar sesión: la cuentamaestra de la organización.¹

• Consola de servicio de AWS que utilizar:Organizaciones.

Paso 2: asocie una política de etiquetas a unaúnica cuenta de prueba. (p. 103)

• Cuenta en la que iniciar sesión: la cuentamaestra de la organización.¹

• Consola de servicio de AWS que utilizar:Organizaciones.

Paso 3: pruebe a crear algunos recursos conetiquetas de conformidad y otros con etiquetasno conformes. No se le debería permitir crear unaetiqueta de un recurso de del tipo especificadoen la política de etiquetas con una etiqueta noconforme.

• Cuenta en la que iniciar sesión: la cuenta delmiembro que utiliza para realizar pruebas.

• Consola de servicio de AWS: cualquier serviciode AWS con el esté más cómodo.

Por ejemplo, puede utilizar AWS SecretsManager y seguir el procedimiento en Creaciónde un secreto básico para crear secretos consecretos de conformidad y no conformes.

Paso 4: evalúe el estado de conformidad de lacuenta con la política de etiquetas en vigor y corrijalas etiquetas no conformes.

• Cuenta en la que iniciar sesión: la cuenta delmiembro que utiliza para realizar pruebas.

• Consola de servicio de AWS que se va a utilizar:el servicio Resource Groups y AWS en el que secreó el recurso.

Paso 5: repita el proceso para buscar y corregir losproblemas de conformidad hasta que los recursosen la cuenta de pruebas cumplan con su política deetiquetas.

• Cuenta en la que iniciar sesión: la cuenta delmiembro que utiliza para realizar pruebas.

• Consola de servicio de AWS que se va a utilizar:el servicio Resource Groups y AWS en el que secreó el recurso.

En cualquier momento, puede evaluar elcumplimiento en toda la organización.

• Cuenta en la que iniciar sesión: la cuentamaestra de la organización.¹

• Consola de servicio de AWS que utilizar:Resource Groups.

98

AWS Organizations Guía del usuarioIntroducción

¹ Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (no serecomienda) en la cuenta maestra de la organización.

Habilitación de políticas de etiquetasAntes de crear y asociar políticas de etiquetas, tiene que habilitar esta función. La habilitación del usode políticas de etiquetas es una tarea puntual. Puede habilitar políticas de etiquetas en la raíz de laorganización, aunque tenga pensado asociar las políticas de etiquetas únicamente a cuentas individuales.Debe haber iniciado sesión en la cuenta principal de la organización para habilitar las políticas deetiquetas.

Para habilitar las políticas de etiquetas, necesita permisos para ejecutar las siguientes acciones:

• organizations:EnablePolicyType

• organizations:DescribeOrganization

• organizations:ListRoots

Para habilitar políticas de etiquetas (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (nose recomienda) en la cuenta maestra de la organización.

2. En la esquina superior derecha, elija Settings (Configuración).3. En la sección Trusted access for AWS services (Acceso de confianza para los servicios de AWS),

busque Tag policies (Políticas de etiquetas) y seleccione Enable access (Habilitar acceso). Cuando sele solicite, confirme la acción.

4. Elija la pestaña Policies (Políticas) y, a continuación, elija Tag policies (Políticas de etiquetas).5. En What is a tag policy? (¿Qué es una política de etiquetas?), seleccione Enable tag policies (Habilitar

políticas de etiquetas).

Para habilitar políticas de etiquetas (AWS CLI, API de AWS)

Puede utilizar una de las siguientes opciones para habilitar las políticas de etiquetas:

• AWS CLI: aws organizations enable-policy-type

Para conocer el procedimiento completo para utilizar las políticas de etiquetas en la AWS CLI, consulteUso de políticas de etiquetas en la AWS CLI (p. 125).

• API de AWS: EnablePolicyType

Qué hacer a continuación

Después de habilitar las políticas de etiquetas, puede crear políticas de etiquetas (p. 100).

Deshabilitación de las políticas de etiquetas

Cuando deshabilita las políticas de etiquetas, todas las políticas de etiquetas se desasocian de formaautomática, pero no se eliminan, de todas las entidades en la raíz de la organización.

Solo puede deshabilitar las políticas de etiquetas de la cuenta principal de la organización.

Para deshabilitar las políticas de etiquetas, debería tener permisos para ejecutar las siguientes acciones:

• organizations:DescribeOrganization

99

AWS Organizations Guía del usuarioIntroducción

• organizations:DisablePolicyType

• organizations:ListRoots

Para deshabilitar políticas de etiquetas (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir una función de IAM o iniciar sesión como usuarioraíz (no se recomienda) en la cuenta maestra de la organización.

2. En la pestaña Organize accounts (Organizar cuentas), elija Root (Raíz) en el panel de navegaciónizquierdo.

3. En el panel de detalles que se encuentra en el lado derecho, junto a Tag policies (Políticas deetiquetas), seleccione Disable (Deshabilitar).

Para deshabilitar políticas de etiquetas (AWS CLI, API de AWS)

Puede utilizar una de las siguientes opciones para deshabilitar las políticas de etiquetas:

• AWS CLI: aws organizations disable-policy-type• API de AWS: DisablePolicyType

Creación y actualización de políticas de etiquetasDespués de habilitar las políticas de etiquetas de su organización, puede crear una política de etiquetas.

Creación de una política de etiquetas

Para crear las políticas de etiquetas, necesita permiso para ejecutar la siguiente acción:

• organizations:CreatePolicy

Para crear una política de etiquetas (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (nose recomienda) en la cuenta maestra de la organización.

2. En la pestaña Policies (Políticas), elija Tag policies (Políticas de etiquetas).3. En la página Tag policies (Políticas de etiquetas), seleccione Create policy (Crear política).4. En la página Create policy (Crear política), introduzca un nombre y una descripción para la política.

Puede crear la política de etiquetas mediante el Visual editor (Editor visual) como se describe en esteprocedimiento. También puede escribir o pegar una política de etiquetas en la pestaña JSON. Paraobtener información acerca de la sintaxis de las políticas de etiquetas, consulte Sintaxis de la políticade etiquetas (p. 112).

5. En Tag Key (Clave de etiqueta), especifique el nombre de la clave de etiqueta que desea agregar.6. En Tag key capitalization compliance (Conformidad del uso de mayúsculas en la clave de etiqueta),

deje esta opción desactivada (la opción predeterminada) para especificar que la política de etiquetasprincipal debe definir el tratamiento de las mayúsculas y minúsculas en la clave de etiqueta.

Seleccione esta opción solo si desea especificar un uso diferente de las mayúsculas en la clavede etiqueta. Si selecciona esta opción, el uso de mayúsculas que haya especificado en Tag Key(Clave de etiqueta) anula el tratamiento de las mayúsculas y minúsculas especificado en una políticaprincipal.

100

AWS Organizations Guía del usuarioIntroducción

Si no existe ninguna política principal y no se selecciona esta opción, las claves de etiqueta con todoslos caracteres en minúscula se consideran conformes. Para obtener más información acerca de laspolíticas principales, consulte Cómo funciona la herencia de políticas (p. 115).

Tip

Tenga en cuenta el uso de la política de etiquetas de ejemplo que se muestra enEjemplo: defina las mayúsculas y minúsculas de la clave de etiquetas en toda laorganización (p. 114) como guía para crear una política de etiquetas que defina lasclaves de etiqueta y su tratamiento de las mayúsculas y minúsculas. Asóciela a la raíz de laorganización. Posteriormente, puede crear y asociar políticas de etiquetas adicionales a lasunidades organizativas o cuentas para crear reglas de etiquetado adicionales.

7. En Tag value compliance (Conformidad de los valores de etiqueta), seleccione la casilla de verificaciónsi desea agregar valores permitidos a esta clave de etiqueta.

De forma predeterminada, esta opción está desactivada, lo que significa que solo se consideranconformes los valores heredados de una política principal. Si no existe ninguna política principal oespecifica valores de etiqueta, cualquier valor (incluso la ausencia de valores) se considera conforme.

Para actualizar la lista de valores de etiqueta aceptables, seleccione Specify allowed values for thistag key (Especificar los valores permitidos en esta clave de etiqueta) y, a continuación, Specify values(Especificar valores). Cuando se le soliciten, introduzca los nuevos valores y elija Save changes(Guardar cambios).

8. En Prevent noncompliant operations for this tag (Evitar operaciones no conformes en esta etiqueta),deje esta opción desactivada (la opción predeterminada) a menos que tenga experiencia con eluso de políticas de etiquetas. Asegúrese de haber revisado las recomendaciones en Descripciónde la ejecución (p. 106). De lo contrario, podría impedir que los usuarios de las cuentas de suorganización etiqueten los recursos que necesiten.

Si desea ejecutar la conformidad con esta clave de etiqueta, seleccione la casilla de verificación y,a continuación, Specify allowed values (Especificar los valores permitidos). Cuando se le soliciten,introduzca los tipos de recursos que desea agregar. A continuación, elija Save changes (Guardarcambios).

9. Cuando haya terminado de crear la política de etiquetas, elija Save changes (Guardar cambios).

Para crear una política de etiquetas (AWS CLI, API de AWS)

Puede utilizar una de las siguientes opciones para crear una política de etiquetas:

• AWS CLI: aws organizations create-policy

Para conocer el procedimiento completo para utilizar las políticas de etiquetas en la AWS CLI, consulteUso de políticas de etiquetas en la AWS CLI (p. 125).

• API de AWS: CreatePolicy

Qué hacer a continuación

Después de crear una política de etiquetas, puede poner las reglas de etiquetado en vigor. Para ello,asocie la política (p. 103) a la raíz de la organización, las unidades organizativas (OU), las cuentas deAWS de la organización o una combinación de entidades de la organización.

Actualización de una política de etiquetas

Para actualizar una política de etiquetas, debe tener permiso para ejecutar las siguientes acciones:

101

AWS Organizations Guía del usuarioIntroducción

• organizations:UpdatePolicy con un elemento Resource en la misma instrucción de política queincluye el ARN de la política especificada (o "*")

• organizations:DescribePolicy con un elemento Resource en la misma instrucción de políticaque incluye el ARN de la política especificada (o "*")

Para actualizar una política de etiquetas (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (nose recomienda) en la cuenta maestra de la organización.

2. En la pestaña Policies (Políticas), elija Tag policies (Políticas de etiquetas).3. En la página Tag policies (Políticas de etiquetas), elija la política de etiquetas que desea actualizar.4. En el panel de detalles de la derecha, elija View details (Ver detalles).5. En la página que muestra la política de etiquetas, elija Edit policy (Editar política).6. Realice los cambios mediante el editor visual o editando el archivo JSON.7. Cuando haya terminado de actualizar la política de etiquetas, elija Save changes (Guardar cambios).

Para actualizar una política (AWS CLI, API de AWS)

Puede utilizar uno de los comandos siguientes para actualizar una política:

• AWS CLI: aws organizations update-policy• API de AWS: UpdatePolicy

Eliminación de una política de etiquetas

Cuando inicia sesión en la cuenta principal de su organización, puede eliminar una política que ya nonecesite en su organización.

Para poder eliminar una política, primero debe desasociarla de todas las entidades asociadas.

Para eliminar una política de etiquetas, debe tener permiso para ejecutar la siguiente acción:

• organizations:DeletePolicy

Para eliminar una política de etiquetas (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (nose recomienda) en la cuenta maestra de la organización.

2. La política de etiquetas que desea eliminar debe desasociarse primero de todos los nodos raíz,las unidades organizativas y las cuentas. Siga los pasos de Desasociación de una política deetiquetas (p. 104) para desasociar la política de etiquetas de todas las entidades de la organización.

3. En la pestaña Policies (Políticas), elija Tag policies (Políticas de etiquetas).4. En la página Tag policies (Políticas de etiquetas), elija la política de etiquetas que desea eliminar.5. Elija Delete policy.

Para eliminar una política de etiquetas (AWS CLI, API de AWS)

Puede utilizar uno de los comandos siguientes para eliminar una política:

102

AWS Organizations Guía del usuarioIntroducción

• AWS CLI: aws organizations delete-policy• API de AWS: DeletePolicy

Asociación de políticas de etiquetasPuede utilizar las políticas de etiquetas en toda una organización además de en las unidades organizativas(OU) y las cuentas individuales.

• Cuando asocia una política de etiquetas a la raíz de su organización, la política de etiquetas se aplica atodas las cuentas y unidades organizativas de los miembros de la raíz.

• Cuando asocia una política de etiquetas a una unidad organizativa, esa política de etiquetas se aplicaa las cuentas que pertenecen a la unidad organizativa. Esas cuentas también están sujetas a cualquierpolítica de etiquetas asocia a la raíz de la organización.

• Cuando asocia una política de etiquetas a una cuenta, esa política de etiquetas se aplica a la cuenta.Además, esa cuenta está sujeta a cualquier política de etiquetas asociada a la raíz de la organización,a parte de a cualquier política de etiquetas asociada a una unidad organizativa a la que pertenece lacuenta.

La agregación de cualquier política de etiquetas que herede la cuenta, además de cualquier política deetiquetas asociada directamente a la cuenta, es la política de etiquetas en vigor (p. 104). Para obtenermás información, consulte Cómo funciona la herencia de políticas (p. 115).

Para asociar políticas de etiquetas, debe tener permiso para ejecutar la siguiente acción:

• organizations:AttachPolicy

Para asociar una política de etiquetas a la raíz de la organización, la unidad organizativa o lacuenta (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (nose recomienda) en la cuenta maestra de la organización.

2. En la pestaña Organize accounts (Organizar cuentas), vaya hasta (p. 57) la casilla de verificación parala raíz, unidad organizativa o cuenta a la que desee asociar la política de etiquetas y selecciónela.

3. En el panel de detalles de la derecha, expanda la sección Tag policies (Políticas de etiquetas) para verla lista de las políticas de etiquetas asociadas actualmente.

4. En la lista de políticas de etiquetas disponibles, busque la que desee y elija Attach (Asociar).

Para asociar una política de etiquetas a la raíz de la organización, la OU o la cuenta (AWS CLI, API deAWS)

Puede utilizar uno de los siguientes elementos para asociar una política de etiquetas:

• AWS CLI: aws organizations attach-policy• API de AWS: AttachPolicy

Qué hacer a continuación

Después de asociar una política de etiquetas, puede averiguar la conformidad de los recursos de la cuentacon esa política de etiquetas. Para ello, utilice la consola de Resource Groups. Para obtener información,consulte Evaluación de la conformidad de una cuenta en la Guía de usuario de Grupos de recursos deAWS.

103

AWS Organizations Guía del usuarioVisualización de políticas de etiquetas en vigor

Desasociación de una política de etiquetasCuando inicia sesión en la cuenta principal de su organización, puede desasociar una política de etiquetasde la raíz de la organización, unidad organizativa o cuenta a la que está asociada. Después de desasociaruna política de etiquetas de una entidad, dicha política ya no se aplica a ninguna cuenta que estuvieraafectada por la entidad ahora desasociada. Para desasociar una política, siga los pasos que se describena continuación.

Para desasociar una política de etiquetas de la raíz de una organización, unidad organizativa o cuenta,debe tener permiso para ejecutar la siguiente acción:

• organizations:DetachPolicy

Para desasociar una política de etiquetas de la raíz de la organización, la unidad organizativa o lacuenta (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (nose recomienda) en la cuenta maestra de la organización.

2. En la pestaña Organize accounts (Organizar cuentas), vaya hasta (p. 57) la casilla de verificaciónpara la raíz de la organización, unidad organizativa o cuenta de la que desee desasociar la política yselecciónela.

3. En el panel Details (Detalles) de la derecha, expanda la sección Tag policies (Políticas de etiquetas)para ver la lista de las políticas de etiquetas asociadas actualmente.

4. Busque la política de etiquetas que desea desasociar y elija Detach (Desasociar). La lista de políticasde etiquetas asociadas se actualiza con la política seleccionada eliminada.

Para desasociar una política de etiquetas de la raíz de la organización, la unidad organizativa o la cuenta(AWS CLI, API de AWS)

Puede utilizar uno de los siguientes elementos para desasociar una política de etiquetas:

• AWS CLI: aws organizations detach-policy• API de AWS: DetachPolicy

Visualización de políticas de etiquetas en vigorAntes de comenzar a comprobar el estado de conformidad de los recursos etiquetados en una cuenta,resulta útil determinar primero la política de etiquetas en vigor para una cuenta.

¿Qué es la política de etiquetas en vigor?La política de etiquetas en vigor especifica las reglas de etiquetado que se aplican a una cuenta. Esla agregación de cualquier política de etiquetas que herede la cuenta, además de cualquier política deetiquetas asociada directamente a la cuenta. Cuando se asocia una política de etiquetas a la raíz dela organización, esta se aplica a todas las cuentas de la organización. Cuando asocia una política deetiquetas a una unidad organizativa, esta se aplica a todas las cuentas y unidades organizativas quepertenecen a la unidad organizativa.

Por ejemplo, la política de etiquetas asociada a la raíz de la organización puede definir una etiquetaCostCenter con cinco valores compatibles. Una política de etiquetas diferente asociada a la cuentapuede restringir la clave CostCenter a solo dos de los cuatro valores compatibles. La combinación deestas políticas de etiquetas comprende la política de etiquetas en vigor. El resultado es que solo dos delos cuatro valores de etiqueta compatibles definidos en la política de etiquetas de la raíz de la organizaciónson compatibles con la cuenta.

104

AWS Organizations Guía del usuarioUso de Eventos de CloudWatch para

monitorizar las etiquetas no conformes

Para obtener más información y ejemplos más avanzados de cómo se generan políticas de etiquetas envigor, consulte Cómo funciona la herencia de políticas (p. 115).

Cómo ver la política de etiquetas en vigorPuede ver la política de etiquetas en vigor de una cuenta desde la Consola de administración de AWS, laAPI de AWS o AWS Command Line Interface.

Para ver la política de etiquetas en vigor de una cuenta, debe tener permiso para ejecutar las siguientesacciones:

• organizations:DescribeEffectivePolicy

• organizations:DescribeOrganization

Para ver la política en vigor de una cuenta (consola)

1. Inicie sesión en la cuenta maestra de la organización.Note

Cuando se inicia sesión en una cuenta miembro, el procedimiento para ver la política en vigores diferente. Al iniciar sesión en una cuenta, puede ver la política de etiquetas en vigor enel contexto de la evaluación de la conformidad de la cuenta. Para obtener más información,consulte Evaluación de la conformidad de una cuenta en la Guía del usuario de Grupos derecursos de AWS.

2. En la pestaña Accounts (Cuentas), elija la cuenta.3. En el panel de detalles de la derecha, expanda la sección Tag policies (Políticas de etiquetas).4. Seleccione View effective policy (Ver política en vigor).

Para ver la política en vigor de una cuenta (AWS CLI, API de AWS)

Puede utilizar una de las siguientes opciones para ver la política de etiquetas en vigor:

• AWS CLI: aws organizations describe-effective-policy

Para conocer el procedimiento completo para utilizar las políticas de etiquetas en la AWS CLI, consulteUso de políticas de etiquetas en la AWS CLI (p. 125).

• API de AWS: DescribeEffectivePolicy

Uso de Eventos de CloudWatch para monitorizar lasetiquetas no conformesPuede utilizar Eventos de CloudWatch para llevar a cabo una monitorización cuando se introduzcanetiquetas no conformes. En el siguiente ejemplo de evento, el valor "false" de tag-policy-compliant indica que una nueva etiqueta no es compatible con la política de etiquetas en vigor.

{ "detail-type": "Tag Change on Resource", "region": "us-east-1", "resources": [ "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaaa" ], "detail": { "changed-tag-keys": [ "a-new-key"

105

AWS Organizations Guía del usuarioDescripción de la ejecución

], "service": "ec2", "resource-type": "instance", "version": 3, "tag-policy-compliant": "false", "tags": { "a-new-key": "tag-value-on-new-key-just-added" } }}

Puede suscribirse a eventos y especificar cadenas o patrones para monitorizarlos. Para obtener másinformación acerca de Eventos de CloudWatch, consulte Guía del usuario de Amazon CloudWatch Events.

Descripción de la ejecuciónDe forma predeterminada, no se aplica la conformidad de las políticas de etiquetas. Para aplicar laconformidad de las políticas de etiquetas, realice una de las siguientes acciones al crear una política deetiquetas (p. 100):

• En la pestaña Visual editor (Editor visual), seleccione Prevent noncompliant operations for this tag (Evitarlas operaciones no conformes en esta etiqueta) (p. 101).

• En la pestaña JSON, utilice el campo enforced_for. Para obtener información acerca de la sintaxis depolíticas de etiquetas, consulte Ejemplos y sintaxis de políticas de etiquetas (p. 112).

Siga estas prácticas recomendadas para ejecutar la conformidad con las políticas de etiquetas:

• Actúe con precaución al ejecutar la conformidad: asegúrese de que conoce los efectos del uso depolíticas de etiquetas y siga los flujos de trabajo recomendados que se describen en Introducción a laspolíticas de etiquetas (p. 95). Pruebe el funcionamiento de la ejecución en una cuenta de pruebaantes de ampliarla a más cuentas. De lo contrario, podría impedir que los usuarios de las cuentas de suorganización etiqueten los recursos que necesiten.

• Tenga en cuenta los tipos de recursos en los que puede ejecutar la conformidad: solo puede ejecutar laconformidad con las políticas de etiquetas en los tipos de recursos admitidos (p. 106). Se indican lostipos de recursos que admiten la ejecución de la conformidad cuando se utiliza el editor visual para crearuna política de etiquetas.

• Tenga presente las interacciones con algunos servicios: algunos servicios de AWS tienen agrupacionesde recursos similares a contenedores que crean recursos automáticamente y las etiquetas se puedenpropagar de un recurso de un servicio a otro. Por ejemplo, las etiquetas de grupos de Auto Scaling deAmazon EC2 y los clústeres de Amazon EMR se pueden propagar automáticamente a las instanciasde Amazon EC2 contenidas. Puede contar con políticas de etiquetas para Amazon EC2 que seanmás estrictas que para los grupos de Auto Scaling o los clústeres de EMR. Si habilita la ejecución, lapolítica de etiquetas impide que se etiqueten los recursos y puede bloquear el escalado dinámico y elaprovisionamiento.

Servicios y tipos de recursos que admiten el cumplimientoLos siguientes servicios y tipos de recursos admiten el cumplimiento con políticas de etiquetas:

Nombre del servicio Tipo de recurso Sintaxis del JSON

Amazon API Gateway • Claves de API• Nombres de dominio• Operaciones de la API REST

• "apigateway:apikeys"

• "apigateway:domainnames"

• "apigateway:restapis"

106

AWS Organizations Guía del usuarioDescripción de la ejecución

Nombre del servicio Tipo de recurso Sintaxis del JSON• Stages • "apigateway:stages"

AWS App Mesh • Todos• Mesh• Enrutador• Nodo virtual• Enrutador virtual• Servicio virtual

• "appmesh:*"

• "appmesh:mesh"

• "appmesh:route"

• "appmesh:virtualNode"

• "appmesh:virtualRouter"

• "appmesh:virtualService"

Amazon Athena • Todos• Grupo de trabajo

• "athena:*"

• "athena:workgroup"

AWS Certificate Manager • Todos• Certificados

• "acm:*"

• "acm:certificate"

Amazon CloudFront • Todos• Distribución• Distribución de streaming

• "cloudfront:*"

• "cloudfront:distribution"

• "cloudfront:streaming-distribution"

AWS CloudTrail • Todos• Trail

• "cloudtrail:*"

• "cloudtrail:trail"

Amazon CloudWatch • Todos• Alarma

• "cloudwatch:*"

• "cloudwatch:alarm"

Amazon CloudWatch Events • Todos• Bus de eventos• Rule

• "events:*"

• "events:event-bus"

• "events:rule"

AWS CodeBuild • Todos• Previsión

• "codebuild:*"

• "codebuild:project"

AWS CodeCommit • Todos• Repositorio

• "codecommit:*"

• "codecommit:repository"

AWS CodePipeline • Todos• Tipo de acción• Canalización• Webhook

• "codepipeline:*"

• "codepipeline:actiontype"

• "codepipeline:pipeline"

• "codepipeline:webhook"

Identidad de Amazon Cognito • Todos• Grupo de identidades

• "cognito-identity:*"

• "cognito-identity:identitypool"

Grupos de usuarios de AmazonCognito

• Todos• Grupo de usuarios

• "cognito-idp:*"

• "cognito-idp:userpool"

107

AWS Organizations Guía del usuarioDescripción de la ejecución

Nombre del servicio Tipo de recurso Sintaxis del JSON

Amazon Comprehend • Todos• Clasificador de documentos• Reconocedor de entidades

• "comprehend:*"

• "comprehend:document-classifier"

• "comprehend:entity-recognizer"

AWS Config • Todos• Autorización de agregación• Agregador de configuración• Regla de configuración

• "config:*"

• "config:aggregation-authorization"

• "config:config-aggregator"

• "config:config-rule"

AWS Database Migration Service • Todos• Punto de enlace• ES• Rep.• Subgrp• Tarea

• "dms:*"

• "dms:endpoint"

• "dms:es"

• "dms:rep"

• "dms:subgrp"

• "dms:task"

AWS Direct Connect • Todos• Dxcon• Dxlag• Dxvif

• "directconnect:*"

• "directconnect:dxcon"

• "directconnect:dxlag"

• "directconnect:dxvif"

Amazon DynamoDB • Todos• Tabla

• "dynamodb:*"

• "dynamodb:table"

108

AWS Organizations Guía del usuarioDescripción de la ejecución

Nombre del servicio Tipo de recurso Sintaxis del JSON

Amazon EC2 • Reserva de capacidad• Punto de enlace de Client VPN• Gateway de cliente• Opciones de DHCP• Elastic IP• Flota• Imagen FPGA• Reserva de alojamiento• Imagen• Instancia• Gateway de Internet• Plantilla de lanzamiento• Gateway NAT• ACL de red• Interfaz de red• Instancias reservadas• Tabla de enrutamiento• Grupo de seguridad• Instantánea• Solicitud de instancia de spot• Subred• Filtro de reflejo de tráfico• Sesión de reflejo de tráfico• Destino de reflejo de tráfico• Volumen• VPC• Punto de conexión VPC• Servicio de punto de enlace de

la VPC• Interconexión de VPC• Conexión VPN• Gateway VPN

• "ec2:capacity-reservation"

• "ec2:client-vpn-endpoint"

• "ec2:customer-gateway"

• "ec2:dhcp-options"

• "ec2:elastic-ip"

• "ec2:fleet"

• "ec2:fpga-image"

• "ec2:host-reservation"

• "ec2:image"

• "ec2:instance"

• "ec2:internet-gateway"

• "ec2:launch-template"

• "ec2:natgateway"

• "ec2:network-acl"

• "ec2:network-interface"

• "ec2:reserved-instances"

• "ec2:route-table"

• "ec2:security-group"

• "ec2:snapshot"

• "ec2:spot-instance-request"

• "ec2:subnet"

• "ec2:traffic-mirror-filter"

• "ec2:traffic-mirror-session"

• "ec2:traffic-mirror-target"

• "ec2:volume"

• "ec2:vpc"

• "ec2:vpc-endpoint"

• "ec2:vpc-endpoint-service"

• "ec2:vpc-peering-connection"

• "ec2:vpn-connection"

• "ec2:vpn-gateway"

AWS Elastic Beanstalk • Aplicación• Versión de la aplicación• Plantilla de configuración• Plataforma

• "elasticbeanstalk:application"

• "elasticbeanstalk:applicationversion"

• "elasticbeanstalk:configurationtemplate"

• "elasticbeanstalk:platform"

109

AWS Organizations Guía del usuarioDescripción de la ejecución

Nombre del servicio Tipo de recurso Sintaxis del JSON

Amazon Elastic ContainerService

• Clúster• Servicio• Conjunto de tareas

• "ecs:cluster"

• "ecs:service"

• "ecs:task-set"

Amazon Elastic File System • Todos• Sistema de archivos

• "elasticfilesystem:*"

• "elasticfilesystem:file-system"

Amazon ElastiCache • Todos• Clúster• Instantánea

• "elasticache:*"

• "elasticache:cluster"

• "elasticache:snapshot"

Elastic Load Balancing • Todos• Balanceador de carga• Grupo de destinos

• "elasticloadbalancing:*"

• "elasticloadbalancing:loadbalancer"

• "elasticloadbalancing:targetgroup"

Amazon FSx • Todos• Copia de seguridad• Sistema de archivos

• "fsx:*"

• "fsx:backup"

• "fsx:file-system"

AWS IoT Analytics • Todos• Canal• Conjunto de datos• Almacén de datos• Canalización

• "iotanalytics:*"

• "iotanalytics:channel"

• "iotanalytics:dataset"

• "iotanalytics:datastore"

• "iotanalytics:pipeline"

AWS IoT Events • Todos• Modelo de detector• Input

• "iotevents:*"

• "iotevents:detectorModel"

• "iotevents:input"

AWS Key Management Service • Todos• Clave

• "kms:*"

• "kms:key"

Amazon Kinesis • Todos• Aplicación

• "kinesisanalytics:*"

• "kinesisanalytics:application"

Amazon Kinesis Data Firehose • Todos• Flujo de entrega

• "firehose:*"

• "firehose:deliverystream"

AWS Lambda • Todos• Función

• "lambda:*"

• "lambda:function"

Amazon RDS • Clúster PG• ES• OG• PG• RI• Secgrp• Subgrp

• "rds:cluster-pg"

• "rds:es"

• "rds:og"

• "rds:pg"

• "rds:ri"

• "rds:secgrp"

• "rds:subgrp"

110

AWS Organizations Guía del usuarioDescripción de la ejecución

Nombre del servicio Tipo de recurso Sintaxis del JSON

Amazon Redshift • Todos• Clúster• Grupo de base de datos• Nombre de base de datos• Usuario de base de datos• Suscripción a eventos• Certificado de cliente del HSM• Configuración del HSM• Grupo de parámetros• Snapshot• Autorización de copia de

snapshot• Programación de instantáneas• Grupo de subredes

• "redshift:*"

• "redshift:cluster"

• "redshift:dbgroup"

• "redshift:dbname"

• "redshift:dbuser"

• "redshift:eventsubscription"

• "redshift:hsmclientcertificate"

• "redshift:hsmconfiguration"

• "redshift:parametergroup"

• "redshift:snapshot"

• "redshift:snapshotcopygrant"

• "redshift:snapshotschedule"

• "redshift:subnetgroup"

AWS Resource Access Manager • Todos• Uso compartido de recursos

• "ram:*"

• "ram:resource-share"

Grupos de recursos de AWS • Todos• Grupo

• "resource-groups:*"

• "resource-groups:group"

Amazon Route 53 • Zona hospedada • "route53:hostedzone"

Servicio de resolución denombres de Amazon Route 53

• Todos• Punto de enlace de

solucionador• Regla de solucionador

• "route53resolver:*"

• "route53resolver:resolver-endpoint"

• "route53resolver:resolver-rule"

Amazon S3 • Bucket • "s3:bucket"

AWS Secrets Manager • Todos• secreta

• "secretsmanager:*"

• "secretsmanager:secret"

Amazon Simple Queue Service(SQS)

• Cola • "sqs:queue"

AWS Step Functions • Actividad • "states:activity"

AWS Storage Gateway • Todos• Gateway• Share• Cinta• Volumen

• "storagegateway:*"

• "storagegateway:gateway"

• "storagegateway:share"

• "storagegateway:tape"

• "storagegateway:volume"

111

AWS Organizations Guía del usuarioEjemplos y sintaxis de políticas de etiquetas

Nombre del servicio Tipo de recurso Sintaxis del JSON

AWS Administrador de sistemas • Ejecución de automatización• Document• Tarea de la ventana de

mantenimiento• Instancia administrada• Elemento de operaciones• Base de referencia de parches• Session

• "ssm:automation-execution"

• "ssm:document"

• "ssm:maintenancewindowtask"

• "ssm:managed-instance"

• "ssm:opsitem"

• "ssm:patchbaseline"

• "ssm:session"

Amazon WorkSpaces • Todos• Directorio• WorkSpace• Paquete de WorkSpaces• Imagen de WorkSpaces• Grupo IP de WorkSpaces

• "workspaces:*"

• "workspaces:directory"

• "workspaces:workspace"

• "workspaces:workspacebundle"

• "workspaces:workspaceimage"

• "workspaces:workspaceipgroup"

Ejemplos y sintaxis de políticas de etiquetasEn esta página se describe la sintaxis de la política de etiquetas y se proporcionan ejemplos.

Sintaxis de la política de etiquetasUna política de etiquetas es un archivo de texto sin formato que se estructura de acuerdo con las reglas deJSON.

La siguiente política de etiquetas muestra una sintaxis de política de etiquetas básica:

{ "tags": { "CostCenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@assign": [ "100", "200" ] }, "enforced_for": { "@@assign": [ "secretsmanager:*" ] } } }}

La sintaxis de política de etiquetas incluye los siguientes componentes:

• El nombre de clave del campo tags. Las políticas de etiquetas siempre comienzan con este nombre declave fijo. Es la línea superior del ejemplo de política anterior.

112

AWS Organizations Guía del usuarioEjemplos y sintaxis de políticas de etiquetas

• Una clave de política que identifica únicamente a la declaración de política. Debe coincidir con el valorde la clave de etiqueta, excepto en el tratamiento de mayúsculas y minúsculas. La clave de la política nodistingue entre mayúsculas y minúsculas, pero la clave de etiqueta sí.

En este ejemplo, la primera instancia de CostCenter es la clave de la política.• Al menos una clave de etiqueta que especifica la clave de etiqueta permitida con el uso de mayúsculas

que desea que cumplan los recursos. Si no se define el tratamiento de mayúsculas y minúsculas,las minúsculas son el tratamiento predeterminado para las claves de etiqueta. El valor de la clave deetiqueta debe coincidir con el valor de la clave de política. No obstante, dado que el valor de la clave depolítica no distingue entre mayúsculas y minúsculas, el uso de mayúsculas puede ser diferente.

En este ejemplo, la segunda instancia de CostCenter es la clave de etiqueta.• (Opcional) Una lista de uno o varios valores de etiqueta aceptables para la clave de etiqueta. Si la

política de etiquetas no especifica un valor de etiqueta para una clave de etiqueta, cualquier valor(incluso si no existe ninguno) se considera conforme.

En este ejemplo, los valores aceptables para la clave de etiqueta CostCenter son 100 y 200.• (Opcional) Una opción enforced_for que indica si se debe evitar o no cualquier operación de

etiquetado no conforme en los recursos y los servicios especificados. En la consola, es la opción Preventnoncompliant operations for this tag (Evitar las operaciones no conformes en esta etiqueta) del editorvisual para crear políticas de etiquetas. La configuración predeterminada para esta opción es nula.

El ejemplo de política de etiquetas especifica que todos los recursos de AWS Secrets Manager debentener esta etiqueta.

Warning

Únicamente tiene que cambiar esta opción de configuración predeterminada si tiene experienciaen el uso de políticas de etiquetas. De lo contrario, podría evitar que los usuarios de las cuentasde la organización creen los recursos que necesitan.

• Operadores que especifican cómo se combina la política de etiquetas con las otras políticas de etiquetasdel árbol de organización para crear una política de etiquetas en vigor (p. 104) de la cuenta. En esteejemplo, se utiliza @@assign para asignar cadenas a tag_key, tag_value y enforced_for. Paraobtener más información acerca de los operadores, consulte Operadores de herencia (p. 117).

• Puede utilizar el comodín * en los valores de etiquetas y en los campos enforced_for:• Puede utilizar un comodín por valor de etiquetas. Por ejemplo, *@example.com está permitido, pero*@*.com no.

• Para enforced_for, puede utilizar <service>:* con algunos servicios para habilitar laaplicación de todos los recursos de ese servicio. Para obtener una lista de los servicios y tiposde recursos compatibles enforced_for, consulte Servicios y tipos de recursos que admiten elcumplimiento (p. 106).

No puede utilizar un comodín para especificar todos los servicios ni para especificar un recurso paratodos los servicios.

Ejemplos de políticas de etiquetasLas políticas de etiquetas (p. 92) siguientes son solo para fines informativos.

Note

Antes de intentar usar estos ejemplos de políticas de etiquetas en la organización, tenga encuenta lo siguiente:

• Asegúrese de que ha seguido el flujo de trabajo recomendado (p. 95) para comenzar con laspolíticas de etiquetas.

113

AWS Organizations Guía del usuarioEjemplos y sintaxis de políticas de etiquetas

• Debería revisar y personalizar cuidadosamente estas políticas de etiquetas según sus requisitosúnicos.

• Todos los caracteres de la política de etiquetas están sujetos a un tamaño máximo (p. 161).Los ejemplos que aparecen en esta guía muestran las políticas de etiquetas formateadas conespacios en blanco adicionales para mejorar su legibilidad. Sin embargo, para ahorrar espaciosi el tamaño de política se acerca al tamaño máximo, puede eliminar cualquier espacio enblanco. Entre los ejemplos de espacio en blanco se incluyen caracteres de espacio y saltos delínea que están fuera de comillas.

Ejemplo: defina las mayúsculas y minúsculas de la clave deetiquetas en toda la organizaciónEn el ejemplo siguiente se muestra una política de etiquetas que solo define dos claves de etiqueta y eluso de mayúsculas en los que desea que las cuentas de su organización se estandarice.

Política A: política de etiquetas de la raíz de la organización

{ "tags": { "CostCenter": { "tag_key": { "@@assign": "CostCenter", "@@operators_allowed_for_child_policies": ["@@none"] } }, "Project": { "tag_key": { "@@assign": "Project", "@@operators_allowed_for_child_policies": ["@@none"] } } }}

Esta política de etiquetas define dos claves de etiquetas CostCenter y Project. Al asociar estapolítica de etiquetas a la raíz de la organización, se especifica que todas las cuentas de la organización laheredarán y que deben utilizar el tratamiento de mayúsculas y minúsculas definido para el cumplimiento.Las líneas de @@operators_allowed_for_child_policies": ["@@none"] líneas "bloquean"las claves de etiquetas. Las políticas de etiquetas que se asocian más abajo en el árbol de organización(políticas secundarias) no pueden utilizar operadores de configuración de valores para los cambios de laclave de etiquetas, incluido el tratamiento de mayúsculas y minúsculas.

AWS recomienda que utilice este ejemplo como guía para crear una política de etiquetas similar paralas claves de etiquetas que desee utilizar. Asóciela a la raíz de la organización. A continuación, cree unapolítica de etiquetas similar al siguiente ejemplo, que solo define los valores aceptables para las claves deetiqueta definidas.

Ejemplo: defina los valoresSuponga que asoció la política de etiquetas anterior a la raíz de la organización. A continuación, puedecrear una política de etiquetas como la siguiente y asociarla a una cuenta. Esta política define valoresaceptables para las claves de etiquetas CostCenter y Project.

Política B: política de etiquetas de la cuenta

{

114

AWS Organizations Guía del usuarioCómo funciona la herencia de políticas

"tags": { "CostCenter": { "tag_value": { "@@assign": [ "Production", "Test" ] } }, "Project": { "tag_value": { "@@assign": [ "A", "B" ] } } }}

Si asocia la política A a la raíz de la organización y la política B a una cuenta, las políticas se combinanpara crear la siguiente política de etiquetas efectiva para la cuenta:

Política A + política B = política de etiquetas en vigor para la cuenta

{ "tags": { "Project": { "tag_value": [ "A", "B" ], "tag_key": "Project" }, "CostCenter": { "tag_value": [ "Production", "Test" ], "tag_key": "CostCenter" } }}

Para obtener más información acerca de la herencia de políticas, además de ejemplos acerca de cómofuncionan los operadores de herencia y ejemplos de políticas de etiquetas en vigor, consulte Cómofunciona la herencia de políticas (p. 115).

Cómo funciona la herencia de políticasPuede asociar políticas de etiquetas a cualquier entidad de una organización (raíz de la organización,unidad organizativa o cuenta):

• Cuando se asocia una política de etiquetas a la raíz de la organización, todas las cuentas de laorganización heredan esa política.

• Cuando asocia una política de etiquetas a una unidad organizativa específica, las cuentas que estándirectamente en esa unidad organizativa o cualquier unidad organizativa secundaria heredan la política.

• Cuando asocia políticas de etiquetas a una cuenta, solo afectan a esa cuenta.

115

AWS Organizations Guía del usuarioCómo funciona la herencia de políticas

Dado que puede asociar políticas a varios niveles de la organización, las cuentas pueden heredar variaspolíticas de etiquetas.

La política de etiquetas en vigor es el conjunto de reglas de etiquetado heredadas de la raíz de laorganización y las unidades organizativas, además de las políticas de etiquetas asociadas de la cuenta. Lapolítica de etiquetas en vigor especifica las reglas de etiquetado que se aplican a la cuenta. Para obtenerinformación acerca de cómo ver la política de etiquetas en vigor para una cuenta, consulte Visualización depolíticas de etiquetas en vigor (p. 104).

En esta página se describe cómo se agregan las políticas principales y secundarias en la política en vigorde una cuenta.

TerminologíaEn la tabla siguiente se describen los términos comunes utilizados para definir el funcionamiento de laherencia de políticas.

Plazo Definición

Herencia de políticas La interacción de las políticas de etiquetas en diferentesniveles de una organización.

Puede asociar políticas de etiquetas a la raíz de laorganización, las unidades organizativas (OU), las cuentasindividuales y a una combinación de estas entidades deorganización. La herencia de políticas hace referencia a laspolíticas que se asocian a la raíz de la organización o a unaunidad organizativa. Todas las cuentas que son miembrosde la raíz de la organización o unidad organizativa dondese asocia una política de etiquetas heredan esa política deetiquetas.

Por ejemplo, cuando se asocian las políticas a la raízde la organización, todas las cuentas de la organizaciónheredan esa política. Esto se debe a que todas las cuentasde una organización siempre están bajo la raíz de laorganización. Cuando las políticas se asocian a una unidadorganizativa específica, las cuentas que están directamenteen esa unidad organizativa o cualquier unidad organizativasecundaria heredan la política. Dado que puede asociarpolíticas a varios niveles de la organización, las cuentaspueden heredar varios documentos de políticas para un solotipo de política.

Políticas principales Políticas asociadas más alto en el árbol organizativo que laspolíticas asociadas a entidades más abajo en el árbol.

Por ejemplo, si asocia la política A a la raíz de laorganización, es solo una política. Si también asocia lapolítica B a una unidad organizativa, la política A es lapolítica principal de la política B. La política B es la políticasecundaria de la política A. La política A y la política B sefusionan para crear la política de etiquetas en vigor para lascuentas de la unidad organizativa.

Políticas secundarias Políticas asociadas a un nivel inferior en el árbol de laorganización con respecto a la política principal.

116

AWS Organizations Guía del usuarioCómo funciona la herencia de políticas

Plazo Definición

Política en vigor (p. 104) Un documento de políticas único que especifica las reglasde etiquetado que se aplican a una cuenta. La políticaefectiva es la agregación de cualquier política de etiquetasque herede la cuenta, además de cualquier política deetiquetas que se asocie directamente a la cuenta.

Operadores de herencia (p. 117) Operadores que controlan cómo se fusionan las políticasheredadas en una sola política efectiva. Se considera queestos operadores son una característica avanzada. Losautores de políticas de etiquetas experimentados puedenutilizarlas para limitar los cambios que puede realizar unapolítica secundaria y cómo se combinan las configuracionesde las políticas.

Operadores de herenciaLos operadores de herencia controlan cómo se fusionan las políticas de etiquetas heredadas y las políticasde etiquetas de la cuenta con la política de etiquetas efectiva de la cuenta. Estos operadores incluyenoperadores de configuración de valores y operadores de control secundarios.

Cuando se utiliza el editor visual en la consola de AWS Organizations, solo se puede utilizar el operadorde @@assign. Se considera que los otros operadores son una característica avanzada. Para utilizarel resto operadores, debe crear manualmente la política JSON. Los autores de políticas de etiquetasexperimentados pueden utilizarlas para controlar qué valores de etiqueta se aplican a la política deetiquetas efectiva y limitar los cambios que pueden realizar las políticas secundarias.

Operadores de configuración de valores

Puede utilizar los operadores de configuración de valores para controlar cómo interactúa la política deetiquetas con sus políticas principales.

• @@assign: sobrescribe las claves y valores de etiquetas heredados con los valores y claves de etiquetaespecificados. Si la etiqueta especificada no se hereda, este operador agrega la clave y el valor a lapolítica efectiva.

• @@append: agrega las claves y valores de etiquetas especificados a las claves y valores de etiquetaheredados. Si la etiqueta especificada no se hereda, este operador agrega la clave y el valor a la políticaen vigor.

• @@remove: elimina las claves y valores de etiquetas heredados específicos de la política en vigor, siexisten. Si este operador elimina todos los valores de la clave de una política de etiquetas, las cuentasque están directamente en esa unidad organizativa o cualquier unidad organizativa secundaria puedenutilizar cualquier valor para esa etiqueta.

Operadores de control secundarios

Puede utilizar el operador @@operators_allowed_for_child_policies para controlar quéoperadores de configuración de valores pueden utilizar las políticas de etiquetas secundarias. El uso deoperadores de control secundarios es opcional. Puede permitir todos los operadores, algunos operadoresespecíficos o ningún operador. De forma predeterminada, todos los operadores (@@all) están permitidos.

• "@@operators_allowed_for_child_policies":["@@all"]: las cuentas y las unidadesorganizativas pueden utilizar cualquier operador en las políticas de etiquetas. De forma predeterminada,todos los operadores están permitidos en las políticas secundarias.

117

AWS Organizations Guía del usuarioCómo funciona la herencia de políticas

• "@@operators_allowed_for_child_policies":["@@assign", "@@append", "@@remove"]:las cuentas y las unidades organizativas secundarias solo pueden utilizar los operadores especificadosen las políticas de etiquetas. Puede especificar uno o más operadores de configuración de valores eneste operador de control secundario.

• "@@operators_allowed_for_child_policies":["@@none"]: las cuentas y las unidadesorganizativas secundarias no pueden utilizar operadores en las políticas de etiquetas. Para bloqueareficazmente los valores definidos en una política principal de modo que las políticas secundarias nopuedan agregar, anexar o quitar valores, utilice este operador.

Note

Si un operador de control secundario heredado limita el uso de un operador, no puede revertiresa regla en una política de etiquetas secundarias. Si incluye operadores de control secundariosen una política principal, limitan los operadores de configuración de valores en todas las políticassecundarias.

Ejemplos de herencia de políticas de etiquetasEstos ejemplos muestran cómo la herencia de políticas funciona al mostrar que las políticas de etiquetasprincipales y secundarias se fusionan en una política de etiquetas en vigor para una cuenta.

En los ejemplos se supone que tiene la siguiente estructura organizativa.

Ejemplo 1: permita que las políticas secundarias sobrescriban valores deetiquetas

La siguiente política de etiquetas define la clave de etiquetas y los valores aceptables de CostCenter. Siasocia una política de etiquetas a la raíz de la organización, la política de etiquetas se encuentra en vigorpara todas las cuentas en la organización.

Política A: política de etiquetas de la raíz de la organización

{ "tags": { "costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@assign": [ "Development", "Support" ] } } }}

118

AWS Organizations Guía del usuarioCómo funciona la herencia de políticas

Suponga que desea que los usuarios en OU1 utilicen un valor de etiquetas diferente para una clave ydesea aplicarlo para los tipos de recursos específicos. Dado que la política A no especifica qué operadoresde control secundarios están permitidos, todos los operadores están permitidos. Puede utilizar el operador@@assign y crear una política de etiquetas como la siguiente para asociar a OU1.

Política B: política de etiquetas de OU1

{ "tags": { "costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@assign": [ "Sandbox" ] }, "enforced_for": { "@@assign": [ "redshift:*", "dynamodb:table" ] } } }}

Al especificar el operador @@assign para la etiqueta, se hace lo siguiente cuando la política A y la B sefusionan para formar la política de etiquetas en vigor para una cuenta:

• La política B sobrescribe los dos valores de etiquetas que se especificaron en la política principal, lapolítica A. Sandbox solo es un valor compatible para la clave de etiquetas CostCenter.

• La adición de enforced_for especifica que la etiqueta CostCenter debe utilizar el valor de etiquetasespecificado en todos los recursos de Amazon Redshift y las tablas de Amazon DynamoDB.

Como se muestra en el diagrama, OU1 incluye dos cuentas: 111111111111 y 222222222222.

Política de etiquetas en vigor para las cuentas 111111111111 y 222222222222

{ "tags": { "costcenter": { "tag_key": "CostCenter", "tag_value": [ "Sandbox" ], "enforced_for": [ "redshift:*", "dynamodb:table" ] } }}

Ejemplo 2: añada nuevos valores a las etiquetas heredadasPuede haber casos en los que desee que todas las cuentas de su organización especifiquen una clavede etiquetas con una breve lista de valores aceptables. Para las cuentas de una unidad organizativa, esposible que desee permitir un valor adicional que solo puedan especificar esas cuentas al crear recursos.

119

AWS Organizations Guía del usuarioCómo funciona la herencia de políticas

En este ejemplo se especifica cómo hacerlo mediante el operador @@append. El operador @@append esuna característica avanzada.

Al igual que el ejemplo 1, este ejemplo comienza con la política A para la política de etiquetas de la raíz dela organización.

Política A: política de etiquetas de la raíz de la organización

{ "tags": { "costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@assign": [ "Development", "Support" ] } } }}

Para este ejemplo, asocie la política C a OU2. La diferencia en este ejemplo es que el uso del operador@@append en la política C agrega, en lugar de sobrescribir, la lista de valores aceptables y la regla deenforced_for.

Política C: política de etiquetas de OU2 para la adición de valores

{ "tags": { "costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@append": [ "Marketing" ] }, "enforced_for": { "@@append": [ "redshift:*", "dynamodb:table" ] } } }}

La asociación de la política C a OU2 tiene los siguientes efectos cuando las políticas A y C se fusionanpara formar la política de etiquetas en vigor para una cuenta:

• Dado que la política C incluye al operador @@append, permite agregar, no sobrescribir, la lista devalores de etiquetas aceptables especificados en la política A.

• Al igual que en la política B, la adición de enforced_for especifica que la etiqueta CostCenter debeutilizar el valor de etiquetas especificado en todos los recursos de Amazon Redshift y las tablas deAmazon DynamoDB. La sobrescritura (@@assign) y la adición (@@append) tienen el mismo efecto sila política principal no incluye un operador de control secundario que restringe lo que puede especificaruna política secundaria.

120

AWS Organizations Guía del usuarioCómo funciona la herencia de políticas

Como se muestra en el diagrama, OU2 incluye una cuenta: 999999999999. Las políticas A y C se fusionanpara crear la política de etiquetas en vigor para la cuenta 999999999999.

Política de etiquetas en vigor para la cuenta 999999999999

{ "tags": { "costcenter": { "tag_key": "CostCenter", "tag_value": [ "Development", "Support", "Marketing" ], "enforced_for": [ "redshift:*", "dynamodb:table" ] } }}

Ejemplo 3: elimine los valores de etiquetas heredadas

Puede haber casos en los que la política de etiquetas asociada a la organización defina más valoresde etiquetas de los que desea utilizar una cuenta. En este ejemplo se explica cómo hacerlo mediante eloperador @@remove. @@remove es una característica avanzada.

Al igual que otros ejemplos, este ejemplo comienza con la política A para la política de etiquetas de la raízde la organización.

Política A: política de etiquetas de la raíz de la organización

{ "tags": { "costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@assign": [ "Development", "Support" ] } } }}

Para este ejemplo, asocie la política D a la cuenta 999999999999.

Política D: política de etiquetas de la cuenta 999999999999 para la eliminación de valores

{ "tags": { "costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@remove": [

121

AWS Organizations Guía del usuarioCómo funciona la herencia de políticas

"Development", "Marketing" ], "enforced_for": { "@@remove": [ "redshift:*", "dynamodb:table" ] } } } }}

Asociar la política D a la cuenta 999999999999 tiene los siguientes efectos cuando las políticas A, C y D sefusionan para formar la política de etiquetas en vigor:

• Suponiendo que haya llevado a cabo todos los ejemplos anteriores, las políticas B, C y D son políticassecundarias de la política A. La política B solo se asocia a OU1, por lo que no tiene ningún efecto en lacuenta 9999999999999.

• Para la cuenta 9999999999999, el único valor aceptable para la clave de etiquetas CostCenter esSupport.

• La conformidad no se aplica para la clave de etiquetas CostCenter.

Nueva política de etiquetas en vigor para la cuenta 999999999999

{ "tags": { "costcenter": { "tag_key": "CostCenter", "tag_value": [ "Support" ] } }}

Si posteriormente agrega más cuentas a OU2, sus políticas de etiquetas en vigor serían diferentes para lacuenta 999999999999. Esto se debe a que la política D más restrictiva solo se asocia a la cuenta y no a launidad organizativa.

Ejemplo 4: restrinja los cambios en las políticas secundarias

Puede haber casos en los que desee restringir los cambios en las políticas secundarias. En este ejemplose explica cómo hacerlo mediante los operadores de control secundarios.

Este ejemplo comienza con una nueva política de etiquetas de la raíz de la organización y se supone quelas políticas de etiquetas aún no se asocian a las entidades de la organización.

Política E: política de etiquetas de la raíz de la organización para restringir los cambios en las políticassecundarias

{ "tags": { "project": { "tag_key": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "Project"

122

AWS Organizations Guía del usuarioCómo funciona la herencia de políticas

}, "tag_value": { "@@operators_allowed_for_child_policies": ["@@append"], "@@assign": [ "Maintenance", "Escalations" ] } } }}

Cuando se asocia la política E a la raíz de la organización, impide que las políticas secundarias cambien laclave de la etiqueta Project. Sin embargo, las políticas secundarias pueden sobrescribir o anexar valoresde etiquetas.

Supongamos que asocia la siguiente política a una unidad organizativa.

Política F: política de etiquetas de la unidad organizativa

{ "tags": { "project": { "tag_key": { "@@assign": "PROJECT" }, "tag_value": { "@@append": [ "Escalations - research" ] } } }}

La fusión de las políticas E y F tiene los siguientes efectos en las cuentas de la unidad organizativa:

• La política F es una política secundaria de la política E.• La política F intenta cambiar el tratamiento del caso, pero no puede. Esto se debe a que la política E

incluye el operador "@@operators_allowed_for_child_policies": ["@@none"] para la clavede etiqueta.

• Sin embargo, la política F puede añadir los valores de etiquetas para la clave. Esto se debe a que lapolítica E incluye "@@operators_allowed_for_child_policies": ["@@append"] para el valorde etiqueta.

Política en vigor para las cuentas en la unidad organizativa

{ "tags": { "project": { "tag_key": "project", "tag_value": [ "Maintenance", "Escalations", "Escalations - research" ] } }}

123

AWS Organizations Guía del usuarioCómo funciona la herencia de políticas

Ejemplo 5: Conflictos con los operadores de control secundarios

Los operadores de control secundarios pueden existir en políticas de etiquetas asociadas al mismonivel en la jerarquía de la organización. Cuando eso sucede, se utiliza la intersección de los operadorespermitidos cuando las políticas se fusionan para formar la política efectiva para las cuentas.

Supongamos que las políticas G y H se asocian a la raíz de la organización.

Política G: política de etiquetas de la raíz de la organización 1

{ "tags": { "project": { "tag_value": { "@@operators_allowed_for_child_policies": ["@@append"], "@@assign": [ "Maintenance" ] } } }}

Política H: política de etiquetas de la raíz de la organización 2

{ "tags": { "project": { "tag_value": { "@@operators_allowed_for_child_policies": ["@@append", "@@remove"] } } }}

En este ejemplo, una política en la raíz de la organización define que los valores de la clave de etiquetassolo se pueden anexar. La otra política asociada a la raíz de la organización permite que las políticassecundarias anexen y eliminen valores. La intersección de estos dos permisos se utiliza para las políticassecundarias. El resultado es que las políticas secundarias pueden anexar valores, pero no eliminar valores.Por lo tanto, la política secundaria puede anexar un valor a la lista de valores de etiquetas, pero no puedeeliminar Maintenance.

Ejemplo 6: conflictos al anexar valores en el mismo nivel de jerarquía

Puede asociar varias políticas de etiquetas a cada entidad de la organización. Al hacerlo, las políticas deetiqueta asociadas a la misma entidad de la organización pueden incluir información conflictiva. Estaspolíticas se evalúan en función del orden en que se asociaron a la entidad de la organización. Paracambiar la política que se evalúa primero, puede asociar una política y, a continuación, volver a asociarla.

Supongamos que la política J se asocia primero a la raíz de la organización y, a continuación, la política Kse asocia a la raíz de la organización.

Política J: primera política de etiquetas asociada a la raíz de la organización

{ "tags": { "project": { "tag_key": { "@@assign": "PROJECT"

124

AWS Organizations Guía del usuarioUso de políticas de etiquetas en la AWS CLI

}, "tag_value": { "@@append": ["Maintenance"] } } }}

Política K: segunda política de etiqueta asociada a la raíz de la organización

{ "tags": { "project": { "tag_key": { "@@assign": "project" } } }}

En este ejemplo, la clave de etiquetas PROJECT se utiliza en la política de etiquetas en vigor porque lapolítica que la definió se asoció primero a la raíz de la organización.

Política JK: política de etiquetas en vigor para la cuenta

La política en vigor para la cuenta es la siguiente.

{ "tags": { "project": { "tag_key": " PROJECT", "tag_value": [ "Maintenance", "Escalations" ] } }}

Uso de políticas de etiquetas en la AWS CLIPara utilizar políticas de etiquetas en la AWS Command Line Interface, AWS recomienda que siga primeroel flujo de trabajo básico que se describe en este tema.

Flujo de trabajo recomendadoEl flujo de trabajo recomendado para utilizar políticas de etiquetas es el siguiente:

1. Habilite las políticas de etiquetas de su organización. (p. 126)2. Cree una política de etiquetas. (p. 126)3. Asocie una política de etiquetas a una única cuenta de prueba. (p. 127)4. Consulte la política de etiquetas en vigor de dicha cuenta. (p. 127)5. Busque y corrija las etiquetas no conformes de los recursos. (p. 127)6. Busque y corrija más etiquetas no conformes de los recursos. (p. 128)7. En cualquier momento puede conocer el estado de conformidad de todos los recursos etiquetados de

todas las cuentas de la organización. Para ello, genere el informe de toda la organización. (p. 128)

125

AWS Organizations Guía del usuarioUso de políticas de etiquetas en la AWS CLI

Habilitación de políticas de etiquetas para la organizaciónLa habilitación del uso de políticas de etiquetas es una tarea puntual. Puede habilitar políticas de etiquetasen la raíz de la organización, aunque tenga pensado asociar las políticas de etiquetas únicamente acuentas individuales.

Para habilitar políticas de etiquetas

1. Busque el ID de la raíz de la organización para que pueda especificar dónde desea habilitar y asociaruna política de etiquetas. Para buscar el ID de la raíz, ejecute la siguiente acción desde el símbolo delsistema:

aws --region us-east-1 organizations list-roots

A continuación se muestra un resultado de ejemplo:

{ "Roots": [ { "Id": "r-examplerootid111", "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111", "Name": "Root", "PolicyTypes": [] } ]}

En este ejemplo, r-examplerootid111 es el ID de la raíz de la organización. Utilice este ID de raízen el siguiente paso.

2. Ejecute la siguiente acción para habilitar políticas de etiquetas en la organización:

aws --region us-east-1 resourcegroupstaggingapi enable-tag-policies --root-id r-examplerootid111

Este comando habilita políticas de etiquetas en la organización con el ID de raíz r-examplerootid111.

Creación de una política de etiquetasDespués de habilitar las políticas de etiquetas, está preparado para crear su primera política de etiquetas.

Puede utilizar cualquier editor de texto para crear una política de etiquetas. Utilice la sintaxis de JSON yguarde la política de etiquetas como un archivo con cualquier nombre y extensión en una ubicación quedesee. Las políticas de etiquetas pueden tener un máximo de 2500 caracteres, espacios incluidos.

Para crear una política de etiquetas

• Cree una política de etiquetas como la siguiente:

{ "tags": { "CostCenter": { "tag_key": { "@@assign": "CostCenter" }

126

AWS Organizations Guía del usuarioUso de políticas de etiquetas en la AWS CLI

} }}

Esta política de etiquetas define la clave de la etiqueta CostCenter. La etiqueta puede aceptarcualquier valor o no tener ninguno. Esto se debe a que cuando no especifica al menos un valor, seacepta cualquier valor o ninguno.

Asociar una política de etiquetasDespués de crear una política de etiquetas, está listo para asociarla a la raíz de la organización, a unaunidad organizativa o a una cuenta individual. Asociar una política de etiquetas a la raíz de la organizaciónafecta a todas las cuentas de miembros de la organización. Cuando asocia una política de etiquetas a unacuenta individual, únicamente dicha cuenta está sujeta a la política de etiquetas. También está sujeta acualquier política de etiquetas que esté asociada a la raíz de la organización.

En el siguiente procedimiento se muestra cómo asociar la política de etiquetas que acaba de crear a unaúnica cuenta de prueba.

• Asocie la política de etiquetas a la cuenta de prueba ejecutando un comando como el que se muestraa continuación:

aws --region us-east-1 organizations attach-policy --target-id <account-id> --policy file://<path-and-filename>

Determinación de la política en vigor para una cuentaPara comenzar a comprobar el estado de conformidad de los recursos etiquetados de una cuenta, sería útilque primero determinase la política de etiquetas en vigor de la cuenta.

Note

Si no ha especificado una región predeterminada cuando ha configurado la AWS CLI, tiene queespecificar la región de los comandos de nivel de cuenta. También debe especificar una región sidesea que el comando se aplique a una región que no sea la predeterminada. Para obtener másinformación, consulte Configuración de la AWS CLI en AWS Command Line Interface Guía delusuario.

Para determinar qué reglas de etiquetado se asocian a una cuenta, ejecute la siguiente acción desde lacuenta y guarde el resultado en un archivo:

aws --region region-name organizations describe-effective-policy

Si una política de etiquetas se asocia a la cuenta y a la raíz de la organización, la combinación de ambaspolíticas define la política de etiquetas en vigor de la cuenta. En estos casos, ejecutar describe-effective-policy desde la cuenta devuelve el contenido de ambas políticas de etiquetas.

Búsqueda de recursos no conformes para una cuentaEn cada cuenta, puede obtener información acerca de los recursos no conformes. Debe ejecutar estecomando desde todas las regiones en las que la cuenta tenga recursos.

Note

Si no ha especificado una región predeterminada cuando ha configurado la AWS CLI, tiene queespecificar la región de los comandos de nivel de cuenta. También debe especificar una región si

127

AWS Organizations Guía del usuarioUso de políticas de etiquetas en la AWS CLI

desea que el comando se aplique a una región que no sea la predeterminada. Para obtener másinformación, consulte Configuración de la AWS CLI en AWS Command Line Interface Guía delusuario.

Para buscar recursos no conformes para una cuenta que utiliza la política en vigor, ejecute la siguienteacción cuando inicie sesión en la cuenta y guarde los resultados en un archivo:

aws --region region-name resourcegroupstaggingapi get-resources --include-compliance-details --exclude-compliant-resources

A continuación se muestra un ejemplo:

aws --region us-east-1 resourcegroupstaggingapi get-resources --include-compliance-details --exclude-compliant-resources

Corrección de etiquetas no conformes en recursosDespués de encontrar etiquetas no conformes, realice las correcciones pertinentes mediante cualquierade los siguientes métodos. Tiene que iniciar sesión en la cuenta que tiene el recurso con etiquetas noconformes:

• Utilice las operaciones de la API o la consola del servicio que tiene los recursos no conformes.

Utilice TagResources para añadir etiquetas que cumplan con la política en vigor.• Utilice UntagResources para eliminar las etiquetas que no cumplen con la política de etiquetas en vigor.

Búsqueda y corrección de problemas de no conformidadadicionalesLa búsqueda y corrección de los problemas de conformidad es un proceso iterativo.

Para seguir buscando y corrigiendo problemas de conformidad

1. Después de buscar y corregir etiquetas no conformes en recursos, vuelva a ejecutar el comando get-resources con los parámetros --include-compliance-details y --exclude-compliant-resources para asegurarse de que ha corregido todos los problemas devueltos anteriormente.

Ejecute este comando en todas las regiones en las que tiene recursos.2. Realice correcciones adicionales.3. Repita el proceso para buscar y corregir los problemas de conformidad hasta que los recursos que le

importan cumplan con la política de etiquetas.

Generación de un informe de conformidad de toda laorganizaciónEn cualquier momento puede generar un informe que enumere todos los recursos etiquetados de lascuentas de la organización. El informe muestra si cada recurso cumple con la política de etiquetas en vigor.Tenga en cuenta que los cambios que realice a los recursos o una política de etiquetas pueden tardarhasta 48 horas en verse reflejados en el informe de conformidad de toda la organización. Por ejemplo,supongamos que tiene una política de etiquetas que define una etiqueta estandarizada nueva para un tipode recurso. Los recursos de ese tipo que no tienen esta etiqueta aparecen como conformes en el informedurante un máximo de 48 horas.

128

AWS Organizations Guía del usuarioRegiones admitidas

Puede generar el informe de la cuenta principal de la organización en la región us-east-1, dado quetiene acceso a un bucket de Amazon S3. El bucket debe tener una política de bucket asociada como semuestra en Política de bucket de Amazon S3 para almacenar informes. Para generar el informe, ejecute elsiguiente comando:

aws resourcegroupstaggingapi get-compliance-summary

Puede generar un informe a la vez.

Es posible que este informe tarde algo de tiempo en completarse. Puede comprobar su estado ejecutandoel siguiente comando:

aws resourcegroupstaggingapi describe-report-creation

Cuando el comando anterior devuelve SUCCEEDED, puede abrir el informe desde el bucket de Amazon S3.

Regiones admitidasLas características de la política de etiquetas están disponibles en las siguientes regiones:

Nombre de la región Parámetro de la región

Región EE.UU Este (Ohio) us-east-2

Región EE.UU. Este (Norte de Virginia)¹ us-east-1

EE.UU. Oeste (Norte de California) us-west-1

Región EE.UU. Oeste (Oregón) us-west-2

Región Asia Pacífico (Hong Kong)² ap-east-1

Región Asia Pacífico (Mumbai) ap-south-1

Región Asia Pacífico (Osaka-Local)³ ap-northeast-3

Región Asia Pacífico (Seúl) ap-northeast-2

Región Asia Pacífico (Singapur) ap-southeast-1

Región Asia Pacífico (Sídney) ap-southeast-2

Región Asia Pacífico (Tokio) ap-northeast-1

Región Canadá (Central) ca-central-1

Región de Europa (Fráncfort) eu-central-1

Región de Europa (Irlanda) eu-west-1

Región de Europa (Londres) eu-west-2

Región de Europa (París) eu-west-3

Región de Europa (Estocolmo) eu-north-1

Región de Oriente Medio (Baréin)² me-south-1

Región América del Sur (São Paulo) sa-east-1

129

AWS Organizations Guía del usuarioRegiones admitidas

¹Debe especificar la región us-east-1 cuando llame a las siguientes operaciones de Organizaciones:

• DeletePolicy• DisablePolicyType• EnablePolicyType• Cualquier otra operación en la raíz de una organización, como ListRoots.

También debe especificar la región us-east-1 cuando llame a las siguientes operaciones de la API deetiquetado de grupos de recursos que forman parte de la característica de políticas de etiquetas:

• DescribeReportCreation• GetComplianceSummary• GetResources• StartReportCreation

Note

Para evaluar la conformidad de políticas de etiquetas en toda la organización, también debe teneracceso a un bucket de Amazon S3 en la región US East (N. Virginia) para el almacenamientode informes. Para obtener más información, consulte Política de bucket de Amazon S3 paraalmacenar informes.

²Estas regiones deben estar habilitadas manualmente. Para obtener más información sobre la activacióny desactivación de regiones de AWS, consulte Administración de regiones de AWS en la AWS GeneralReference. La consola de Resource Groups no está disponible en estas regiones.

³Esta región no es compatible con la generación de informes acerca de los recursos.

130

AWS Organizations Guía del usuarioRecursos admitidos en AWS Organizations

Etiquetado de recursos de AWSOrganizations

Una etiqueta es una designación de atributo personalizada que añade a un recurso de AWS para facilitar laidentificación, la organización y la búsqueda de recursos. Cada etiqueta tiene dos partes:

• Una clave de etiqueta (por ejemplo, CostCenter, Environment o Project). Las claves de etiquetadistinguen entre mayúsculas y minúsculas.

• Un valor de etiqueta (por ejemplo, 111122223333 o Production). Puede establecer el valor de unaetiqueta como una cadena vacía, pero no puede asignarle un valor nulo. Omitir el valor de etiqueta es lomismo que usar una cadena vacía. Al igual que las claves de etiqueta, los valores de etiqueta distinguenentre mayúsculas y minúsculas.

Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Paraobtener más información, consulte Estrategias de etiquetado de AWS.

Tip

Puede utilizar las políticas de etiquetas (p. 92) para ayudar a estandarizar las etiquetas en todoslos recursos en las cuentas de su organización.

Recursos admitidos en AWS OrganizationsEn la actualidad, AWS Organizations admite las siguientes operaciones de etiquetado cuando inicia sesiónen la cuenta maestra:

• Puede aplicar y quitar etiquetas en cuentas de AWS Organizations.• Puede ver las etiquetas de una cuenta de AWS Organizations.

AWS Organizations no admite actualmente el etiquetado de recursos en una cuenta ni la característica decontrol de acceso basado en etiquetas de AWS Identity and Access Management (IAM).

Adición de etiquetasCuando inicia sesión con los permisos de la cuenta maestra de su organización, puede añadir etiquetas acuentas de su organización.

Para añadir etiquetas a las cuentas de su organización, necesita permiso para ejecutar las siguientesacciones:

• organizations:ListTagsForResource (solo consola)• organizations:TagResource

Para añadir una etiqueta a una cuenta de su organización (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (nose recomienda) en la cuenta maestra de la organización.

131

AWS Organizations Guía del usuarioConsulta de etiquetas de una cuenta

2. En la pestaña Accounts (Cuentas), elija una cuenta.3. En la sección TAGS (ETIQUETAS) del panel de detalles situado a la derecha, elija EDIT TAGS

(EDITAR ETIQUETAS).4. Escriba una clave y, opcionalmente, un valor para la etiqueta.

Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Utilice el uso demayúsculas que desee definir como estándar.

5. Elija Save changes (Guardar cambios).

Todas las etiquetas que ha añadido a la cuenta aparecerán en la sección TAGS (ETIQUETAS) del panelde detalles situado a la derecha.

Para añadir una etiqueta a una cuenta de su organización (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para añadir etiquetas a cuentas:

• AWS CLI: aws organizations tag-resource• API de AWS: TagResource

Consulta de etiquetas de una cuentaCuando inicia sesión con los permisos de la cuenta maestra de su organización, puede consultar lasetiquetas de una cuenta de su organización.

Para ver las etiquetas de una cuenta de su organización, necesita permiso para ejecutar las siguientesacciones:

• organizations:ListTagsForResource

Para ver las etiquetas de una cuenta de su organización (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (nose recomienda) en la cuenta maestra de la organización.

2. En la pestaña Accounts (Cuentas), elija una cuenta.3. En el panel de detalles de la derecha, busque la sección TAGS (ETIQUETAS).

Se muestran todas las etiquetas que están asociadas a la cuenta seleccionada.

Para ver las etiquetas de una cuenta de su organización (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para ver las etiquetas de una cuenta:

• AWS CLI: aws organizations list-tags-for-resource• API de AWS: ListTagsForResource

Edición de valores de etiquetaCuando inicia sesión con los permisos de la cuenta maestra de su organización, puede editar valores deetiquetas de las etiquetas asociadas a las cuentas.

132

AWS Organizations Guía del usuarioEliminación de etiquetas

Para editar las claves de etiqueta, tiene que eliminar la clave de etiqueta y, a continuación, añadir unanueva clave. Para obtener más información, consulte Eliminación de etiquetas (p. 133) y Adición deetiquetas (p. 131).

Para editar los valores de etiqueta en etiquetas que están asociadas a cuentas, necesita permiso paraejecutar las siguientes acciones:

• organizations:ListTagsForResource

• organizations:TagResource

Para editar un valor de una etiqueta de una cuenta de su organización (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (nose recomienda) en la cuenta maestra de la organización.

2. En la pestaña Accounts (Cuentas), elija una cuenta.3. En la sección TAG (ETIQUETA) del panel de detalles de la derecha, elija EDIT TAGS (EDITAR

ETIQUETAS).4. Modifique el valor de la etiqueta que desea cambiar.5. Elija Save changes (Guardar cambios).

La sección TAGS (ETIQUETAS) del panel de detalles de la derecha se actualiza con los cambios querealiza en los valores de etiqueta de la cuenta.

Para editar un valor de etiqueta de una cuenta de una organización (AWS CLI, API de AWS)

1. Elimine el valor de etiqueta existente mediante uno de los siguientes comandos:

• AWS CLI: aws organizations untag-resource• API de AWS: UntagResource

2. Añada un nuevo valor de etiqueta mediante uno de los siguientes comandos:

• AWS CLI: aws organizations tag-resource• API de AWS: TagResource

Eliminación de etiquetasCuando inicia sesión con los permisos de la cuenta maestra de su organización, puede eliminar etiquetasque estén asociadas a cuentas de su organización.

Para eliminar etiquetas, necesita permiso para ejecutar las siguientes acciones:

• organizations:ListTagsForResource

• organizations:UntagResource

Para eliminar una etiqueta de una cuenta de su organización (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.Debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz (nose recomienda) en la cuenta maestra de la organización.

2. En la pestaña Accounts (Cuentas), elija una cuenta.

133

AWS Organizations Guía del usuarioEliminación de etiquetas

3. En la sección TAGS (ETIQUETAS) del panel de detalles situado a la derecha, elija EDIT TAGS(EDITAR ETIQUETAS).

4. Elija Remove (Eliminar) junto a la etiqueta para eliminarla.5. Elija Save changes (Guardar cambios).

La sección TAGS (ETIQUETAS) del panel de detalles ya no muestra las etiquetas que ha eliminado.

Para eliminar una etiqueta de una cuenta de su organización (AWS CLI, API de AWS)

Puede utilizar uno de los siguientes comandos para eliminar etiquetas:

• AWS CLI: aws organizations untag-resource• API de AWS: UntagResource

134

AWS Organizations Guía del usuarioPermisos necesarios para habilitar el acceso de confianza

Habilitación del acceso de confianzacon otros servicios de AWS

Puede utilizar el acceso de confianza para permitir al servicio de AWS que especifique, que se denominaservicio de confianza, que realice tareas en la organización y en las cuentas de esta en su nombre. Estoimplica conceder permisos al servicio de confianza, pero no afecta de ninguna otra manera a los permisosde los usuarios o las funciones de IAM. Cuando se habilita el acceso, el servicio de confianza puede crearuna función de IAM denominada función vinculada a un servicio en cada cuenta de la organización. Esterol tiene una política de permisos que permite al servicio de confianza realizar las tareas que se describenen la documentación del servicio. Esto le permite especificar las opciones y los detalles de configuraciónque desea que el servicio de confianza mantenga en las cuentas de la organización en su nombre. Elservicio de confianza crea los roles de forma asíncrona según sea necesario, pero no necesariamente entodas las cuentas de la organización.

Important

Le recomendamos que habilite el acceso de confianza a través de la consola del servicio deconfianza, la AWS CLI o las operaciones de API de uno de los SDK de AWS. Esto permite queel servicio de confianza lleve a cabo las inicializaciones necesarias o que cree los recursosrequeridos. Para conocer la configuración que realiza el servicio de confianza, consulte ladocumentación correspondiente a dicho servicio.

Permisos necesarios para habilitar el acceso deconfianza

El acceso de confianza requiere permisos para dos servicios: AWS Organizations y el servicio deconfianza. Para habilitar el acceso de confianza, elija uno de los escenarios siguientes:

• Si tiene credenciales con permisos tanto en AWS Organizations como en el servicio de confianza,habilite el acceso utilizando las herramientas (la consola o la AWS CLI) que están disponibles en elservicio de confianza. Esto permite al servicio de confianza habilitar el acceso de confianza en AWSOrganizations en su nombre, así como crear todos los recursos que necesita para funcionar en laorganización.

Los permisos mínimos para estas credenciales son los siguientes:• organizations:EnableAWSServiceAccess. También puede utilizar la clave de condiciónorganizations:ServicePrincipal con esta operación para limitar las solicitudes que esasoperaciones realizan a una lista de nombres de principal de servicio aprobados. Para obtener másinformación, consulte Claves de condición (p. 149).

• organizations:ListAWSServiceAccessForOrganization: – obligatorio si se utiliza la consolade AWS Organizations.

• Los permisos mínimos necesarios que requiere el servicio de confianza dependen del servicio. Paraobtener más información, consulte la documentación del servicio de confianza.

• Si una persona tiene credenciales con permisos en AWS Organizations, pero otra persona tienecredenciales con permisos en el servicio de confianza, siga estos pasos en el orden que se indica acontinuación:1. La persona que tiene credenciales con permisos en AWS Organizations debe utilizar la consola de

AWS Organizations, la AWS CLI de o un SDK de AWS para habilitar el acceso de confianza del

135

AWS Organizations Guía del usuarioPermisos necesarios para

deshabilitar el acceso de confianza

servicio de confianza. Esto concederá permiso al otro servicio para llevar a cabo la configuraciónnecesaria en la organización cuando se realice el siguiente paso (paso 2).

Los permisos mínimos de AWS Organizations son los siguientes:• organizations:EnableAWSServiceAccess

• organizations:ListAWSServiceAccessForOrganization: – obligatorio solo si se utiliza laconsola de AWS Organizations.

Para conocer los pasos para habilitar el acceso de confianza en AWS Organizations, consulte Cómohabilitar o deshabilitar el acceso de confianza (p. 137).

2. La persona que tiene credenciales con permisos en el servicio de confianza habilita ese servicio paratrabajar con AWS Organizations. Esto indica al servicio que debe realizar todas las inicializacionesnecesarias, como la creación de los recursos necesarios para que el servicio de confianza funcioneen la organización. Para obtener más información, consulte las instrucciones específicas de losservicios en Servicios compatibles con el acceso de confianza en la organización (p. 138).

Permisos necesarios para deshabilitar el acceso deconfianza

Si ya no desea permitir que el servicio de confianza realice tareas en la organización o en las cuentas deesta, elija uno de los escenarios siguientes.

Important

La deshabilitación del acceso del servicio de confianza no impide que los usuarios y los rolescon los permisos apropiados utilicen dicho servicio. Para bloquear completamente el accesode los usuarios y las funciones a un servicio de AWS, puede eliminar los permisos de IAM queconceden dicho acceso o puede utilizar políticas de control de servicios (SCP) (p. 65) en AWSOrganizations.

• Si tiene credenciales con permisos tanto en AWS Organizations como en el servicio de confianza,deshabilite el acceso utilizando las herramientas (la consola o la AWS CLI) disponibles para el serviciode confianza. A continuación, el servicio realiza una limpieza eliminando los recursos que ya no sonnecesarios y deshabilitando el acceso de confianza del servicio en AWS Organizations en su nombre.

Los permisos mínimos para estas credenciales son los siguientes:• organizations:DisableAWSServiceAccess. También puede utilizar la clave de condiciónorganizations:ServicePrincipal con esta operación para limitar las solicitudes que esasoperaciones realizan a una lista de nombres de principal de servicio aprobados. Para obtener másinformación, consulte Claves de condición (p. 149).

• organizations:ListAWSServiceAccessForOrganization: – obligatorio si se utiliza la consolade AWS Organizations.

• Los permisos mínimos necesarios que requiere el servicio de confianza dependen del servicio. Paraobtener más información, consulte la documentación del servicio de confianza.

• Si las credenciales que tienen permisos en AWS Organizations no coinciden con las credenciales quetienen permisos en el servicio de confianza, siga estos pasos en el orden que se indica a continuación:1. La persona con permisos en el servicio de confianza primero deshabilita el acceso utilizando dicho

servicio. Esto indica al servicio de confianza que debe eliminar los recursos necesarios para el accesode confianza. Para obtener más información, consulte las instrucciones específicas de los servicios enServicios compatibles con el acceso de confianza en la organización (p. 138).

2. La persona con permisos en AWS Organizations podrá entonces utilizar la consola de AWSOrganizations, la AWS CLI de o un SDK de AWS para deshabilitar el acceso del servicio de

136

AWS Organizations Guía del usuarioCómo habilitar o deshabilitar el acceso de confianza

confianza. Esto eliminará los permisos para el servicio de confianza de la organización y las cuentasde esta.

Los permisos mínimos de AWS Organizations son los siguientes:• organizations:DisableAWSServiceAccess

• organizations:ListAWSServiceAccessForOrganization: – obligatorio solo si se utiliza laconsola de AWS Organizations.

Para conocer los pasos para deshabilitar el acceso de confianza en AWS Organizations, consulteCómo habilitar o deshabilitar el acceso de confianza (p. 137).

Cómo habilitar o deshabilitar el acceso de confianzaSi solo tiene permisos para AWS Organizations y desea habilitar o deshabilitar el acceso de confianza a laorganización en nombre del administrador del otro servicio de AWS, utilice el siguiente procedimiento.

Para habilitar o deshabilitar el acceso del servicio de confianza (consola)

1. Inicie sesión en la consola de Organizaciones en https://console.aws.amazon.com/organizations/.2. En la esquina superior derecha, elija Settings (Configuración).3. Si va a habilitar el acceso, continúe en el paso siguiente. Si va a deshabilitar el acceso, espere hasta

que el administrador le indique que el servicio está deshabilitado y que los recursos se han eliminado.4. En la sección Acceso de confianza para los servicios de AWS, busque el servicio que desea y elija

Habilitar acceso o Deshabilitar el acceso, según corresponda.5. Si va a habilitar el acceso, dígale al administrador del otro servicio de AWS que ahora puede habilitar

el otro servicio para que funcione con AWS Organizations.

Para habilitar o deshabilitar el acceso del servicio de confianza (AWS CLI y la API de AWS)

Puede utilizar los siguientes comandos de la AWS CLI o las operaciones de API para habilitar odeshabilitar el acceso del servicio de confianza:

• AWS CLI: aws organizations enable-aws-service-access• AWS CLI: aws organizations disable-aws-service-access• API de AWS: EnableAWSServiceAccess• API de AWS: DisableAWSServiceAccess

AWS Organizations y funciones vinculadas aservicios

AWS Organizations usa funciones vinculadas a servicios de IAM para permitir que los servicios deconfianza realicen tareas en su nombre en las cuentas miembro de su organización. Al configurar unservicio de confianza y autorizar su integración con la organización, dicho servicio puede solicitar queAWS Organizations cree una función vinculada a sí mismo en su cuenta miembro. El servicio de confianzarealiza acción de forma asíncrona según lo necesite, pero no necesariamente en todas las cuentas de laorganización al mismo tiempo. La función vinculada al servicio tiene permisos de IAM predefinidos quepermiten al servicio de confianza realizar tareas específicas en esa cuenta. En general, AWS administratodas las funciones vinculadas a servicios, lo que significa que normalmente no puede modificar lasfunciones ni las políticas adjuntas.

137

AWS Organizations Guía del usuarioServicios compatibles con el acceso

de confianza en la organización

Para que todo esto sea posible, al crear una cuenta en una organización o aceptar una invitación paraunir su cuenta existente a una organización, AWS Organizations aprovisiona la cuenta con una funciónvinculada a un servicio denominado AWSServiceRoleForOrganizations. Solo el propio servicioAWS Organizations puede asumir esta función. Esta función tiene permisos que permiten a solo a AWSOrganizations crear funciones vinculadas a servicios para otros servicios de AWS. Este rol vinculado a unservicio está presente en todas las organizaciones.

Aunque no lo recomendamos, si su organización tiene solo las características defacturación unificada (p. 11) habilitadas, el rol vinculado a un servicio denominadoAWSServiceRoleForOrganizations no se utiliza nunca y puede eliminarlo. Si más adelante deseahabilitar todas las características (p. 11) de la organización, el rol es necesario y debe restaurarlo. Lassiguientes comprobaciones se producen cuando inicia el proceso para habilitar todas las características:

• Por cada cuenta miembro que se haya invitado a unirse a la organización – el administradorde dicha cuenta recibe una solicitud para que acepte habilitar todas las características.Para aceptar correctamente la solicitud, el administrador debe tener los permisosorganizations:AcceptHandshake e iam:CreateServiceLinkedRole si el rolvinculado a un servicio (AWSServiceRoleForOrganizations) no existe todavía. Si el rolAWSServiceRoleForOrganizations ya existe, el administrador necesita únicamente el permisoorganizations:AcceptHandshake para aceptar la solicitud. Si no existe una función vinculada alservicio, AWS Organizations la crea cuando el administrador acepta la solicitud.

• Por cada cuenta miembro que se haya creado en la organización – el administrador de la cuenta recibeuna solicitud para volver a crear la función vinculada al servicio. El administrador de la cuenta miembrono recibe una solicitud para habilitar todas las características, ya que el administrador de la cuentamaestra se considera el propietario de las cuentas miembro creadas. AWS Organizations crea la funciónvinculada al servicio cuando el administrador de la cuenta miembro acepta la solicitud. El administradordebe tener los permisos organizations:AcceptHandshake e iam:CreateServiceLinkedRolepara aceptar correctamente el protocolo de enlace.

Después de habilitar todas las características de su organización, ya no puede eliminar el rol vinculado alservicio AWSServiceRoleForOrganizations de cualquier cuenta.

Important

Las SCP de AWS Organizations nunca afectan a las funciones vinculadas a servicios. Estos rolesestán exentos de cualquier restricción de las SCP.

Servicios compatibles con el acceso de confianzaen la organización

En las secciones siguientes se describen los servicios de AWS para los que se puede habilitar el accesode confianza en la organización. Cada sección contiene lo siguiente:

• Un resumen del servicio de confianza y de cómo funciona cuando se habilita el acceso de confianza• Enlaces a las instrucciones para habilitar y deshabilitar el acceso de confianza en la organización• El nombre de entidad principal del servicio de confianza que se puede especificar en las políticas para

conceder el acceso de confianza a las cuentas de la organización• Si procede, el nombre de la función vinculada a un servicio de IAM creada en todas las cuentas cuando

se habilita el acceso de confianza

Para obtener más información sobre los beneficios de utilizar otros servicios de AWS con Organizaciones,consulte Servicios de AWS que se pueden utilizar con AWS Organizations (p. 4).

138

AWS Organizations Guía del usuarioAWS Artifact y AWS Organizations

AWS Artifact y AWS OrganizationsAWS Artifact es un servicio que le permite descargar informes de seguridad y conformidad de AWS,como informes ISO y PCI. Mediante AWS Artifact, un usuario de una cuenta maestra puede aceptaracuerdos automáticamente en nombre de todas las cuentas miembro de una organización, incluso cuandose añadan nuevos informes y cuentas. Los usuarios de las cuentas miembro pueden ver y descargaracuerdos. Para obtener más información acerca de AWS Artifact, consulte la Guía del usuario de AWSArtifact.

La siguiente lista proporciona información útil para saber cuándo integrar AWS Artifact y Organizaciones.

• Para habilitar el acceso de confianza con AWS Organizations: debe iniciar sesión con su cuenta maestrade AWS Organizations para configurar una cuenta en la organización como la cuenta de administradorde AWS Artifact. Para obtener más información, consulte Paso 1: Crear un grupo de administradores yañadir un usuario de IAM en la Guía del usuario de AWS Artifact.

• Para deshabilitar el acceso de confianza con AWS Organizations: AWS Artifact necesita tener accesode confianza a través de AWS Organizations para poder trabajar con acuerdos de la organización.Si deshabilita el acceso de confianza con AWS Organizations mientras utiliza AWS Artifact paratrabajar con acuerdos de la organización, este deja de funcionar porque no puede obtener acceso a laorganización. Todos los acuerdos de la organización que acepta en AWS Artifact se conservan, peroAWS Artifact no puede obtener acceso a ellos. La función de AWS Artifact AWS Artifactque este mismoservicio crea se conserva. Si vuelve a habilitar el acceso de confianza, AWS Artifact seguirá funcionandocomo lo hacía antes sin necesidad de volver a configurar el servicio.

Una cuenta independiente que se elimine de una organización ya no tendrá acceso a ningún acuerdo dela organización.

• Nombre de la entidad principal de AWS Artifact: aws-artifact-account-sync.amazonaws.com.• Nombre de la función creada para realizar la sincronización con AWS Artifact:AWSArtifactAccountSync.

AWS CloudTrail y AWS OrganizationsAWS CloudTrail es un servicio de AWS que le ayuda a habilitar el gobierno, el cumplimiento, elfuncionamiento y el análisis de operaciones y riesgo de su cuenta de AWS. Mediante AWS CloudTrail, unusuario en una cuenta maestra puede crear un registro de seguimiento de la organización que registretodos los eventos de todas las cuentas de AWS en dicha organización. Los registros de seguimientode la organización se aplican automáticamente a todas las cuentas de miembros de la organización.Las cuentas de miembros pueden ver el registro de seguimiento de la organización, pero no puedenmodificarlo o eliminarlo. De forma predeterminada, las cuentas de miembros no tienen acceso a losarchivos de registro del registro de seguimiento de la organización en el bucket de Amazon S3. Estolo ayuda a aplicar y reforzar de manera uniforme su estrategia de registro entre las cuentas en suorganización. Para obtener más información, consulte Creating a Trail for an Organization en la AWSCloudTrail User Guide.

La siguiente lista proporciona información que necesita a la hora de integrar AWS CloudTrail con AWSOrganizations:

• Para habilitar el acceso de confianza con AWS Organizations: Debe iniciar sesión con su cuenta maestrade AWS Organizations para crear un registro de seguimiento de la organización. Si crea el registro deseguimiento desde la consola de AWS CloudTrail, el acceso de confianza se configura automáticamente.Si decide crear un registro de seguimiento de la organización mediante la AWS CLI o la API de AWS,debe configurar manualmente el acceso de confianza. Para obtener más información, consulte EnablingCloudTrail as a trusted service in AWS Organizations en la AWS CloudTrail User Guide.

• Para deshabilitar el acceso de confianza con AWS Organizations: AWS CloudTrail necesitatener acceso de confianza a través de AWS Organizations para poder trabajar con registros de

139

AWS Organizations Guía del usuarioAWS Config y AWS Organizations

seguimiento de la organización. Si deshabilita el acceso de confianza con AWS Organizationsmientras utiliza AWS CloudTrail para registros de seguimiento de la organización, los registros deseguimiento dejan de funcionar para las cuentas de miembros ya que CloudTrail no puede accedera la organización. Los registros de seguimiento de la organización permanecen, igual que el rolAWSServiceRoleForCloudTrail creado para la integración entre CloudTrail y AWS Organizations.Si vuelve a habilitar el acceso de confianza, CloudTrail seguirá funcionando como lo hacía antes sinnecesidad de volver a configurar los registros de seguimiento.

• Nombre de la entidad principal de AWS CloudTrail: cloudtrail.amazonaws.com.• Nombre de la función creada para realizar la sincronización con AWS CloudTrail:AWSServiceRoleForCloudTrail.

AWS Config y AWS OrganizationsLa acumulación de datos de varias cuentas y regiones de AWS Config le permite agregar dichos datosde AWS Config en una misma cuenta. La acumulación de datos de varias cuentas y regiones permite alos administradores centrales de TI monitorear la conformidad de varias cuentas de AWS de la compañía.Un agregador es un tipo de recurso de AWS Config que recopila datos de AWS Config de varias cuentasy regiones de origen. Los agregadores se crean en la región en la que se desean ver los datos de AWSConfig agregados. Al crear un agregador, puede seleccionar si desea añadir ID de cuenta individuales osu organización. Para obtener más información acerca de AWS Config, consulte la AWS Config DeveloperGuide.

También puede utilizar las API de AWS Config para administrar las reglas de AWS Config en todas lascuentas de AWS de su organización. Para obtener más información, consulte Habilitar reglas de AWSConfig en todas las cuentas de su organización en la AWS Config Developer Guide.

La siguiente lista proporciona información útil para saber cuándo integrar AWS Config y AWSOrganizations.

• Para habilitar el acceso de confianza con AWS Organizations: para habilitar el acceso de confianzaa AWS Organizations desde AWS Config, cree un agregador de varias cuentas y añádalo a laorganización. Para obtener más información acerca de cómo configurar un agregador de varias cuentas,consulte Configuración de un agregador mediante la consola en la AWS Config Developer Guide.

• Nombre de la entidad principal del servicio• Para AWS Config: config.amazonaws.com• Para las reglas de AWS Config: config-multiaccountsetup.amazonaws.com

• Nombre del rol vinculado a un servicio de IAM que se puede crear en las cuentas cuando se habilita elacceso de confianza• Para AWS Config: AWSConfigRoleForOrganizations• Para las reglas de AWS Config: AWSServiceRoleForConfigMultiAccountSetup

AWS Directory Service y AWS OrganizationsAWS Directory Service para Microsoft Active Directory, o AWS Managed Microsoft AD, permite ejecutarMicrosoft Active Directory (AD) como un servicio administrado. AWS Directory Service facilita laconfiguración y ejecución de directorios en la nube de AWS o ayuda a conectar los recursos de AWS conuna instancia local existente de Microsoft Active Directory. AWS Managed Microsoft AD mantiene tambiénuna estrecha integración con AWS Organizations para permitir que se puedan compartir directoriosfácilmente entre varias cuentas de AWS y cualquier VPC de una región. Para obtener más información,consulte AWS Directory Service Administration Guide.

La siguiente lista proporciona información útil para saber cuándo integrar AWS Directory Service forMicrosoft Active Directory y AWS Organizations.

140

AWS Organizations Guía del usuarioAWS Firewall Manager y AWS Organizations

• Para habilitar el acceso de confianza con AWS Organizations: para poder compartir un directorio deMicrosoft AD con una cuenta de la organización, AWS Directory Service debe tener acceso de confianzaa AWS Organizations. Para obtener más información, consulte Compartir el directorio en la AWSDirectory Service Administration Guide.

• Para deshabilitar el acceso de confianza con AWS Organizations: si se deshabilita el acceso deconfianza con AWS Organizations mientras se está utilizando AWS Directory Service, todos losdirectorios que se hayan compartido previamente seguirán funcionando con normalidad. Sin embargo,no podrá compartir nuevos directorios en la organización hasta que rehabilite el acceso de confianza.

• Nombre de la entidad principal de AWS Directory Service: ds.amazonaws.com.

AWS Firewall Manager y AWS OrganizationsAWS Firewall Manager es un servicio de administración de la seguridad que configura y administrade forma centralizada reglas de firewall para las aplicaciones web en sus cuentas y aplicaciones.AWS Firewall Manager le permite implementar varias reglas de AWS WAF al mismo tiempo para losBalanceador de carga de aplicaciones y las distribuciones de Amazon CloudFront en todas las cuentasde la organización de AWS. Utilice AWS Firewall Manager para configurar las reglas de firewall una únicavez de forma que se apliquen automáticamente en todas las cuentas y recursos de la organización, inclusocuando se añadan nuevas cuentas y recursos. Para obtener más información acerca de AWS FirewallManager, consulte la Guía para desarrolladores de AWS Firewall.

La siguiente lista proporciona información útil para saber cuándo integrar AWS Firewall Manager y AWSOrganizations.

• Para habilitar el acceso de confianza con AWS Organizations: debe iniciar sesión con su cuentamaestra de AWS Organizations para configurar una cuenta en la organización como la cuenta deadministrador de AWS Firewall Manager. Para más información, consulte Paso 2: establecer la cuentade administrador de AWS Firewall Manager en la Guía para desarrolladores de AWS Firewall Manager.

• Para deshabilitar el acceso de confianza con AWS Organizations: puede cambiar o revocar la cuentade administrador de AWS Firewall Manager siguiendo las instrucciones de Designación de una cuentadiferente como cuenta de administrador de AWS Firewall Manager en la Guía para desarrolladores deAWS Firewall Manager. Si revoca la cuenta de administrador, debe iniciar sesión en la cuenta maestrade AWS Organizations y establecer una nueva cuenta de administrador para AWS Firewall Manager.

• Nombre de la entidad principal de AWS Firewall Manager: fms.amazonaws.com.• Nombre de la función vinculada a un servicio de IAM que se puede crear en las cuentas cuando se

habilita el acceso de confianza: AWSServiceRoleForFMS.

Administrador de licencias de AWS y AWSOrganizationsEl Administrador de licencias de AWS simplifica el proceso de llevar licencias de proveedores de softwarea la nube. A medida que cree la infraestructura de nube de AWS, puede ahorrar en costos mediante el usode oportunidades "Bring-Your-Own-License (BYOL)" — es decir, reorientando su inventario de licenciasexistente para utilizarlo con los recursos de la nube. Con controles basados en reglas en el consumode licencias, los administradores pueden establecer límites fijos o flexibles en las implementacionesnuevas o existentes en la nube, impidiendo de este modo el uso de servidor no conforme antes de quese produzca. Al vincular el Administrador de licencias de AWS con AWS Organizations, puede habilitarel descubrimiento entre cuentas de recursos informáticos en toda su organización. Para obtener másinformación acerca del Administrador de licencias de AWS, consulte la Guía del Administrador de licenciasde AWS.

La siguiente lista proporciona información útil para saber cuándo puede integrar el Administrador delicencias de AWS y AWS Organizations:

141

AWS Organizations Guía del usuarioAWS RAM y AWS Organizations

• Para habilitar el acceso de confianza con AWS Organizations: Inicie sesión con su cuenta maestra deAWS Organizations para asociarla a su cuenta de Administrador de licencias de AWS y, a continuación,configure las opciones del Administrador de licencias. Para obtener más información, consulteConfiguración de la guía del Administrador de licencias de AWS.

• Nombres principales de servicio para el Administrador de licencias de AWS: license-manager.amazonaws.com y license-manager.member-account.amazonaws.com.

• Nombres de los roles vinculados a un servicio de IAM que se pueden crear en las cuentascuando el acceso de confianza está habilitado: AWSLicenseManagerMasterAccountRole,AWSLicenseManagerMemberAccountRole y AWSServiceRoleForAWSLicenseManagerRole.

Para obtener más información, consulte Uso del Administrador de licencias–Rol de cuenta maestra yUso del Administrador de licencias–Rol de cuenta de miembro.

AWS RAM y AWS OrganizationsAWS Resource Access Manager (AWS RAM) le permite compartir recursos de AWS especificadosde los que es propietario con otras cuentas de AWS. Es un servicio centralizado que proporciona unaexperiencia coherente para compartir distintos tipos de recursos de AWS en varias cuentas. Para obtenermás información acerca de AWS RAM, consulte la Guía del usuario de AWS RAM.

La siguiente lista proporciona información que necesita a la hora de integrar AWS RAM con AWSOrganizations:

• Para habilitar el acceso de confianza con AWS Organizations: desde la CLI de AWS RAM, utilice elcomando enable-sharing-with-aws-organizations. Para obtener más información, consulte lasección Uso compartido de los recursos en la Guía del usuario de AWS RAM.

• Nombre de la entidad principal de AWS RAM: ram.amazonaws.com.• Nombre de la función vinculada a un servicio de IAM que se puede crear en las cuentas cuando se

habilita el acceso de confianza: AWSResourceAccessManagerServiceRolePolicy.

AWS Service Catalog y AWS OrganizationsAWS Service Catalog le permite crear y administrar catálogos de servicios de TI aprobados para su usoen AWS. La integración de AWS Service Catalog con AWS Organizations simplifica el uso compartido decarteras de productos y la copia de productos en una organización. Los administradores de AWS ServiceCatalog pueden hacer referencia a una organización existente en AWS Organizations al compartir unacartera de productos y pueden compartir la cartera de productos con cualquier unidad organizativa (UO)de confianza en la estructura de árbol de la organización. De este modo desaparece la necesidad decompartir los ID de cartera y que la cuenta de recepción tenga que hacer referencia manualmente al IDde la cartera al importar la cartera. Las carteras compartidas a través de este mecanismo se enumeranen la cuenta de uso compartido en la vista Cartera importada del administrador en AWS Service Catalog.Para obtener más información sobre AWS Service Catalog, consulte la AWS Service Catalog AdministratorGuide.

La siguiente lista proporciona información útil para saber cuándo integrar AWS Service Catalog y AWSOrganizations.

• Para habilitar el acceso de confianza con AWS Organizations: Llame a la acciónAWSServiceCatalog::EnableAWSOrganizationsAccess o realice la acción desde la consola de AWSService Catalog, en la página Uso compartido de carteras. Para obtener más información, consulte Usocompartido de carteras en la AWS Service Catalog Administrator Guide.

Para deshabilitar el acceso de confianza con AWS Organizations: Llame a la acciónAWSServiceCatalog::DisableAWSOrganizationsAccess o realice la acción desde la consola de AWS

142

AWS Organizations Guía del usuarioService Quotas y AWS Organizations

Service Catalog, en la página Uso compartido de carteras. Si deshabilita el acceso de confianzamediante AWS Organizations mientras utiliza AWS Service Catalog, los usos compartidos actuales nose eliminan, pero le impide crear nuevos usos compartidos en su organización. Los usos compartidosactuales no se sincronizarán con la estructura de su organización si se cambian después de llamar aesta acción.

Nombre de la entidad principal de AWS Service Catalog: servicecatalog.amazonaws.com.

Service Quotas y AWS OrganizationsService Quotas es un servicio de AWS que le permite ver y administrar sus cuotas desde una ubicacióncentral. Las cuotas, también conocidas como límites, son el valor máximo de los recursos, acciones yelementos de su cuenta de AWS. Cuando Service Quotas se asocia a AWS Organizations, puede crearuna plantilla de solicitud de cuota para solicitar automáticamente aumentos de cuota cuando se creen lascuentas. Para obtener más información acerca de Service Quotas, consulte la Guía del usuario de ServiceQuotas.

La siguiente lista proporciona información útil para saber cuándo asociar Service Quotas y AWSOrganizations:

• Para habilitar el acceso de confianza con AWS Organizations: inicie sesión en su cuenta principalde AWS Organizations y, a continuación, configure la plantilla en la consola de Service Quotas. Paraobtener más información, consulte Uso de una plantilla de Service Quotas en la Guía del usuario deService Quotas.

También puede llamar a la operación AssociateServiceQuotaTemplate. Para obtener más información,consulte la Referencia de la API de Service Quotas.

• Para deshabilitar el acceso de confianza con AWS Organizations: llame a la operaciónDisableAWSServiceAccess.

• Nombre de la entidad principal del servicio de Service Quotas: servicequotas.amazonaws.com.• Nombre del rol vinculado a un servicio de IAM que se puede crear en las cuentas cuando se habilita el

acceso de confianza: AWSServiceRoleForServiceQuotas.

Inicio de sesión único de AWS y AWS OrganizationsInicio de sesión único de AWS (AWS SSO) proporciona servicios de inicio de sesión único para todas suscuentas de AWS y aplicaciones en la nube. Se conecta con Microsoft Active Directory a través de AWSDirectory Service para permitir a los usuarios de dicho directorio iniciar sesión en un portal de usuariopersonalizado con sus nombres de usuario y contraseñas de Active Directory. Desde el portal, los usuariosobtienen acceso a todas las cuentas de AWS y aplicaciones en la nube que proporcione en el portal. Paraobtener más información acerca de AWS SSO, consulte la Guía del usuario de Inicio de sesión único deAWS.

La siguiente lista proporciona información útil para saber cuándo integrar AWS SSO y AWS Organizations.

• Para habilitar el acceso de confianza con AWS Organizations: AWS SSO requiere el acceso deconfianza con AWS Organizations para funcionar. El acceso de confianza se habilita al configurar AWSSSO. Para obtener más información, consulte Introducción - Paso 1: Habilitar Inicio de sesión único deAWS en la Guía del usuario de Inicio de sesión único de AWS.

• Para deshabilitar el acceso de confianza con AWS Organizations: AWS SSO requiere el acceso deconfianza con AWS Organizations para funcionar. Si deshabilita el acceso de confianza con AWSOrganizations mientras utiliza AWS SSO, este deja de funcionar porque no puede obtener acceso a laorganización. Los usuarios no pueden utilizar AWS SSO para tener acceso a las cuentas. Las funcionescreadas por AWS SSO se mantienen, pero el servicio AWS SSO no puede obtener acceso a ellos. Las

143

AWS Organizations Guía del usuarioAWS Administrador de sistemas y AWS Organizations

funciones vinculadas al servicio AWS SSO se mantienen. Si vuelve a habilitar el acceso de confianza,AWS SSO seguirá funcionando como lo hacía antes sin necesidad de volver a configurar el servicio.

Si elimina una cuenta de su organización, AWS SSO limpia automáticamente los metadatos y losrecursos, como su función vinculada al servicio. Una cuenta independiente que se elimina de unaorganización deja de funcionar con AWS SSO.

• Nombre de la entidad principal de AWS SSO: sso.amazonaws.com.• Nombre de la función vinculada a un servicio de IAM que se puede crear en las cuentas cuando se

habilita el acceso de confianza: AWSServiceRoleForSSO.

Para obtener más información, consulte la sección Uso de roles vinculados a servicios en AWS SSO enla Guía del usuario de Inicio de sesión único de AWS.

AWS Administrador de sistemas y AWS OrganizationsAWS Administrador de sistemas es un conjunto de capacidades que le ofrece control y visibilidad desus recursos de AWS. Una de estas capacidades, Administrador de sistemas Explorer, es un panel deoperaciones personalizable que le ofrece información acerca de sus recursos de AWS. Puede sincronizarlos datos de las operaciones entre todas las cuentas de AWS de su organización mediante Organizacionesy Administrador de sistemas Explorer. Para obtener más información, consulte Administrador de sistemasExplorer.

Para integrar Administrador de sistemas y Organizaciones, todas las funciones (p. 29) deben estarhabilitadas en su organización.

La siguiente lista le proporciona información útil para saber cuándo integrar Administrador de sistemas yOrganizaciones:

• Para habilitar el acceso de confianza con AWS Organizations: tiene que iniciar sesión en su cuentaprincipal de AWS Organizations y crear una sincronización de datos de recursos. Para obtener másinformación, consulte Configuración de Explorer para mostrar los datos de diferentes cuentas y regionesen la Guía del usuario de AWS Administrador de sistemas.

• Para deshabilitar el acceso de confianza con AWS Organizations: Administrador de sistemas requiereel acceso de confianza con AWS Organizations para sincronizar los datos de las operaciones entre lascuentas de AWS de su organización. Si deshabilita el acceso de confianza, Administrador de sistemasno puede sincronizar los datos de las operaciones e informa sobre un error. Para habilitar el acceso deconfianza de nuevo, tiene que crear una nueva sincronización de datos de recursos para Administradorde sistemas Explorer.

• Nombre de la entidad principal del servicio para Administrador de sistemas: ssm.amazonaws.com.• Nombre de rol creado para la sincronización con Administrador de sistemas Explorer:AWSServiceRoleForAmazonSSM_AccountDiscovery.

Políticas de etiquetas y AWS OrganizationsLas políticas de etiquetas son un tipo de política que le puede ayudar a estandarizar las etiquetas en todoslos recursos en las cuentas de su organización. Para obtener más información acerca de las políticas deetiquetas, consulte Políticas de etiquetas (p. 92).

La siguiente lista proporciona información útil para saber cuándo permitir el acceso a las políticas deetiquetas:

• Para habilitar el acceso de confianza: llame a la acción Organizations::EnableAWSServiceAccess orealice la acción desde la consola de Organizaciones, en la página Settings (Configuración).

144

AWS Organizations Guía del usuarioPolíticas de etiquetas y AWS Organizations

Para deshabilitar el acceso de confianza con AWS Organizations: llame a la acciónAWSOrganizations::DisableAWSServiceAccess o realice la acción desde la consola de Organizaciones,en la página Settings (Configuración).

Nombre de entidad principal del servicio para las políticas de etiquetas:tagpolicies.tag.amazonaws.com.

145

AWS Organizations Guía del usuarioAWS Identity and Access

Management en AWS Organizations

Seguridad en AWS OrganizationsLa seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de unaarquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de lasorganizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidadcompartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta servicios deAWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura.Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marcode los programas de conformidad de AWS. Para obtener más información acerca de los programas deconformidad que se aplican a AWS Organizations, consulte Servicios de AWS en el ámbito del programade conformidad.

• Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. Tambiénes responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa yla legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuandose utiliza Organizaciones. En los siguientes temas, se le mostrará cómo configurar Organizaciones parasatisfacer sus objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios deAWS que le ayudan a supervisar y proteger sus recursos de Organizaciones.

Temas• AWS Identity and Access Management en AWS Organizations (p. 146)• Registro y monitorización en AWS Organizations (p. 153)• Validación de la conformidad para AWS Organizations (p. 159)• Resiliencia en AWS Organizations (p. 160)• Seguridad de la infraestructura en AWS Organizations (p. 160)

AWS Identity and Access Management en AWSOrganizations

El acceso a AWS Organizations requiere credenciales. Estas credenciales deben tener permisos paraobtener acceso a los recursos de AWS, como un bucket de Amazon Simple Storage Service (AmazonS3), una instancia de Amazon Elastic Compute Cloud (Amazon EC2) o una unidad organizativa (OU) deAWS Organizations. En las secciones siguientes se incluye información detallada acerca de cómo puedeutilizar AWS Identity and Access Management (IAM) para ayudar a proteger el acceso a su organización ycontrolar quién puede administrarla.

Para determinar quién puede administrar las distintas partes de su organización, AWS Organizationsutiliza el mismo modelo de permisos basado en IAM que otros servicios de AWS. Como administrador dela cuenta maestra de una organización, puede conceder permisos basados en IAM para realizar tareasde AWS Organizations asociando políticas a usuarios, grupos y funciones en la cuenta maestra. Estas

146

AWS Organizations Guía del usuarioAutenticación

políticas especifican las acciones que pueden realizar esas entidades. Puede asociar una política depermisos de IAM a un grupo del que el usuario es miembro o directamente a un usuario o una función.Como práctica recomendada, es conveniente que asocie las políticas a grupos en lugar de a usuarios.También tiene la opción de conceder permisos completos de administrador a otros usuarios.

Para la mayoría de las operaciones de administrador de AWS Organizations, tendrá que asociarpermisos a los usuarios o grupos en la cuenta maestra. Si un usuario de una cuenta miembro deberealizar operaciones de administrador para su organización, tendrá que conceder los permisos de AWSOrganizations a una función de IAM en la cuenta maestra y permitir que el usuario de la cuenta miembroasuma dicha función. Para obtener más información general acerca de las políticas de permisos de IAM,consulte Políticas de IAM en la Guía del usuario de IAM.

Temas• Autenticación (p. 147)• Control de acceso (p. 148)• Administración de permisos en su organización de AWS (p. 148)

AutenticaciónPuede obtener acceso a AWS con los siguientes tipos de identidades:

• Usuario raíz de la cuenta de AWS – cuando se inscribe en AWS, proporciona una dirección decorreo electrónico y la contraseña asociada a su cuenta de AWS. Estas son las credenciales raíz yproporcionan acceso completo a todos los recursos de AWS.

Important

Por motivos de seguridad, le recomendamos que utilice las credenciales raíz solo para crearun usuario administrador, que es un usuario de IAM con permiso total para gestionar sucuenta de AWS. Después, podrá utilizar este usuario administrador para crear otros usuariosy funciones de IAM con permisos limitados. Para obtener más información, consulte Prácticasrecomendadas de IAM y Creación del primer grupo y usuario administrador de IAM en la Guíadel usuario de IAM.

• Usuario de IAM – un usuario de IAM es simplemente una identidad dentro de su cuenta de AWS quetiene permisos personalizados específicos (por ejemplo, permisos para crear un sistema de archivos enAmazon Elastic File System). Puede utilizar un nombre de usuario de IAM y su contraseña para iniciarsesión en páginas web seguras de AWS, como la Consola de administración de AWS, los foros dedebate de AWS o el Centro de AWS Support.

Además de un nombre de usuario y una contraseña, puede generar claves de acceso para cada usuario.Puede utilizar estas claves cuando obtenga acceso a los servicios de AWS mediante programación,ya sea a través de uno de los varios SDK o mediante la interfaz de línea de comandos (AWS CLI) deAWS. El SDK y las herramientas de la AWS CLI usan claves de acceso para firmar criptográficamentela solicitud. Si no utiliza las herramientas de AWS, debe firmar la solicitud. AWS Organizations escompatible con Signature Version 4, un protocolo para autenticar solicitudes entrantes de la API. Paraobtener más información acerca de la autenticación de solicitudes, consulte Proceso de firma SignatureVersion 4 en la AWS General Reference.

• Función de IAM – una función de IAM es otra identidad de IAM que puede crear en la cuenta que tienepermisos específicos. Es similar a un usuario de IAM, pero no está asociado a una persona determinada.Una función de IAM le permite obtener claves de acceso temporales para obtener acceso a los recursosy servicios de AWS. Las funciones de IAM con credenciales temporales son útiles en los siguientescasos:• Acceso de usuarios federados – en lugar de crear un usuario de IAM, puede usar identidades de

usuario preexistentes de AWS Directory Service, el directorio de usuarios de la compañía o unproveedor de identidad web. A estas identidades se les llama usuarios federados. AWS asigna un rol

147

AWS Organizations Guía del usuarioControl de acceso

a un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtenermás información acerca de los usuarios federados, consulte Federated Users and Roles en la IAMUser Guide.

• Acceso entre cuentas – puede utilizar una función de IAM en su cuenta para conceder permisos a otracuenta de AWS, de modo que pueda tener acceso a los recursos de su cuenta. Para ver un ejemplo,consulte Tutorial: Delegación del acceso entre cuentas de AWS mediante funciones de IAM en la Guíadel usuario de IAM.

• Acceso a servicios de AWS – puede utilizar una función de IAM de su cuenta para conceder permisosa un servicio de AWS, de modo que pueda tener acceso a los recursos de su cuenta. Por ejemplo,puede crear una función que permita a Amazon Redshift tener acceso a un bucket de Amazon S3 ensu nombre y, a continuación, cargar los datos almacenados en el bucket en un clúster de AmazonRedshift. Para obtener más información, consulte Creación de un rol para delegar permisos a unservicio de AWS en la Guía del usuario de IAM.

• Aplicaciones que se ejecutan en Amazon EC2 – en lugar de almacenar claves de acceso en lainstancia EC2 para que lo usen las aplicaciones que se ejecutan en la instancia y realizan solicitudesde la API de AWS, pueda usar una función de IAM para administrar credenciales temporales paraestas aplicaciones. Para asignar una función de AWS a una instancia EC2 y ponerla a disposición detodas las aplicaciones, cree un perfil de instancia asociado a dicha instancia. Un perfil de instanciacontiene la función y permite a los programas que se encuentran en ejecución en la instancia EC2obtener credenciales temporales. Para obtener más información, consulte Uso de un rol de IAM paraconceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuariode IAM.

Control de accesoPuede tener credenciales válidas para autenticar las solicitudes, pero si no tiene permisos, no podráadministrar ni tener acceso a los recursos de AWS Organizations. Por ejemplo, debe tener permisospara crear una unidad organizativa o para asociar una política de control de servicios (SCP) (p. 65) a unacuenta.

Administración de permisos en su organización deAWSTodos los recursos de AWS, incluidos los nodos raíz, las unidades organizativas, las cuentas y las políticasde una organización, son propiedad de una cuenta de AWS y los permisos para crear o tener acceso aun recurso se rigen por las políticas de permisos. Para una organización, su cuenta principal posee todoslos recursos. Un administrador de la cuenta puede controlar el acceso a los recursos de AWS asociandopolíticas de permisos a las identidades de IAM (usuarios, grupos y funciones).

Note

Un administrador de la cuenta (o usuario administrador) es un usuario con permisos deadministrador. Para obtener más información, consulte Prácticas recomendadas de IAM de laGuía del usuario de IAM.

Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienenpermisos y qué acciones específicas desea permitir en esos recursos.

De forma predeterminada, los usuarios, grupos y funciones de IAM no tienen permisos. Comoadministrador de la cuenta maestra de una organización, puede realizar tareas administrativas o delegarpermisos de administrador a otros usuarios o funciones de IAM en la cuenta maestra. Para ello, asocia unapolítica de permisos de IAM a un usuario, grupo o función de IAM. De forma predeterminada, un usuariono tiene ningún permiso; esto recibe el nombre de denegación implícita. La política invalida la denegaciónimplícita con un permiso explícito que especifica las acciones que puede realizar el usuario y los recursos

148

AWS Organizations Guía del usuarioAdministración de permisos en su organización de AWS

que puede utilizar en las acciones. Si los permisos se conceden a un rol, los usuarios de otras cuentas dela organización pueden asumir ese rol.

Recursos y operaciones de AWS OrganizationsEn esta sección se explica cómo se corresponden los conceptos de AWS Organizations con los conceptosequivalentes de IAM.

Recursos

En AWS Organizations, puede controlar el acceso a los siguientes recursos:

• La raíz y las unidades organizativas que componen la estructura jerárquica de una organización.• Las cuentas que son miembros de la organización• Las políticas que adjunta a las entidades de la organización• Los protocolos que usa para cambiar el estado de la organización

Cada uno de esos recursos tiene un único nombre de recurso de Amazon (ARN) asociado. El acceso aun recurso se controla especificando su ARN en el elemento Resource de una política de permisos deIAM. Para obtener una lista completa de los formatos de ARN para los recursos que se utilizan en AWSOrganizations, consulte la sección relacionada con los recursos definidos por AWS Organizations en laGuía del usuario de IAM.

Operaciones

AWS ofrece un conjunto de operaciones para trabajar con los recursos de una organización. Estasoperaciones le permiten realizar tareas como crear, mostrar, modificar y eliminar recursos y obteneracceso a su contenido. Se puede hacer referencia a la mayoría de las operaciones en el elemento Actionde una política de IAM para controlar quién puede utilizar dicha operación. Para obtener una lista de lasoperaciones de AWS Organizations que pueden utilizarse como permisos en una política de IAM, consultela sección relacionada con los permisos de las acciones de la API definidos por AWS Organizations en laGuía del usuario de IAM.

Al combinar un elemento Action y un elemento Resource en el elemento Statement de una políticade permisos, puede controlar exactamente qué recursos de ese conjunto concreto de acciones se puedenusar.

Claves de condición

AWS ofrece claves de condición que se pueden consultar para proporcionar un control más detallado dedeterminadas acciones. Puede hacer referencia a estas claves de condición en el elemento Conditionde una política de IAM con el fin de especificar las circunstancias adicionales que se deben cumplir paraaplicar la instrucción.

Las siguientes claves de condición son especialmente útiles con AWS Organizations:

• aws:PrincipalOrgID – simplifica la especificación del elemento Principal en una política basadaen recursos. Esta clave global es una alternativa a mostrar todos los ID de todas las cuentas de AWS deuna organización. En lugar de mostrar todas las cuentas de la organización, puede especificar el ID deorganización (p. 33) en el elemento Condition.

Note

Esta condición global también se aplica a la cuenta maestra de una organización.

Para obtener más información, consulte la descripción de PrincipalOrgID en AWSClaves de contextode condición globales de AWS en la Guía del usuario de IAM.

149

AWS Organizations Guía del usuarioAdministración de permisos en su organización de AWS

• aws:PrincipalOrgPaths: utilice esta clave de condición para hacer coincidir a los miembros de laraíz de una organización específica, una organización específica o sus elementos secundarios. La clavede condición aws:PrincipalOrgPaths vuelve como verdadera cuando el elemento principal (usuarioraíz, usuario de IAM o rol) que realiza la solicitud se encuentra en la ruta de la organización especificada.Una ruta es una representación de texto de la estructura de una entidad de AWS Organizations. Paraobtener más información acerca de las rutas de acceso, consulte Descripción de la ruta de la entidad deAWS Organizations en la Guía del usuario de IAM. Para obtener más información sobre el uso de estaclave de condición, consulte aws:PrincipalOrgPaths en la Guía del usuario de IAM.

Por ejemplo, el siguiente elemento de condición coincide con los miembros de cualquiera de las dosunidades organizativas de la misma organización.

"Condition": { "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/" ] } }

• organizations:ServicePrincipal – disponible como condición si se utilizan las operacionesEnableAWSServiceAccess o DisableAWSServiceAccess para habilitar o deshabilitar el acceso deconfianza (p. 135) con otros servicios de AWS. Puede utilizar organizations:ServicePrincipalpara limitar las solicitudes que esas operaciones realizan a una lista de nombres de principal de servicioaprobados.

Por ejemplo, la siguiente política permite al usuario especificar solo AWS Firewall Manager cuandohabilita y deshabilita el acceso de confianza con AWS Organizations.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowOnlyAWSFirewallIntegration", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "ForAllValues:StringLike": { "organizations:ServicePrincipal": [ "fms.amazonaws.com" ] } } } ]}

Para obtener una lista de todas las claves de condición específicas de AWS Organizations que se puedenusar como permisos en una política de IAM, consulte Claves de contexto de condición AWS Organizationsen la Guía del usuario de IAM.

Titularidad de los recursosLa cuenta de AWS es la propietaria de los recursos que se crean en ella, independientemente de quiénlos haya creado. En concreto, el propietario de los recursos es la cuenta de AWS de la entidad principal(es decir, la cuenta raíz, un usuario de IAM o una función de IAM) que autentica la solicitud de creación de

150

AWS Organizations Guía del usuarioAdministración de permisos en su organización de AWS

recursos. Para una organización de AWS, siempre es la cuenta maestra. No puede llamar a la mayoría delas operaciones que crean o tiene acceso a los recursos de la organización desde las cuentas miembro.Los siguientes ejemplos ilustran cómo funciona:

• Si utiliza las credenciales de cuenta raíz de su cuenta maestra para crear una unidad organizativa,su cuenta maestra será la propietaria del recurso. (En AWS Organizations, el recurso es la unidadorganizativa).

• Si crea un usuario de IAM en su cuenta maestra y le concede permisos para crear unidadesorganizativas, este puede crearlas. Sin embargo, la cuenta maestra, a la que pertenece el usuario, es lapropietaria del recurso de unidad organizativa.

• Si crea una función de IAM en su cuenta maestra con permisos para crear unidades organizativas,cualquier persona puede asumir la función y crearlas. La cuenta maestra, a la que pertenece el rol (y noel usuario que lo asume), es la propietaria del recurso de unidad organizativa.

Administración del acceso a los recursosUna política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican lasopciones disponibles para crear políticas de permisos.

Note

En esta sección, se explica cómo se utiliza IAM en el contexto de AWS Organizations. No seproporciona información detallada acerca del servicio IAM. Para ver la documentación completade IAM, consulte Guía del usuario de IAM. Para obtener más información acerca de la sintaxis ydescripciones de la política de IAM, consulte Referencia de políticas JSON de IAM en la Guía delusuario de IAM.

Las políticas que se asocian a una identidad de IAM se denominan políticas basadas en la identidad(políticas de IAM). Las políticas que se asocian a un recurso se denominan políticas basadas en recursos.AWS Organizations solamente admite las políticas basadas en identidades (políticas de IAM).

Temas• Políticas basadas en identidad (políticas IAM) (p. 151)• Políticas basadas en recursos (p. 152)

Políticas basadas en identidad (políticas IAM)Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

• Asociar una política de permisos a un usuario o un grupo de su cuenta – Para conceder a un usuariopermisos para crear un recurso de AWS Organizations, como una política de control de servicios(SCP) (p. 65) o una unidad organizativa, puede asociar una política de permisos a un usuario o a ungrupo al que pertenezca el usuario. El usuario o grupo debe estar en la organización de la cuentamaestra.

• Asociar una política de permisos a una función (conceder permisos entre cuentas) – puede asociar unapolítica de permisos basada en la identidad a una función de IAM para conceder acceso entre cuentas auna organización. Por ejemplo, el administrador de la cuenta maestra puede crear un rol para concederpermisos entre cuentas a un usuario de una cuenta miembro de la siguiente manera:1. El administrador de la cuenta maestra crea una función de IAM y asocia una política de permisos a la

función, que concede permisos a los recursos de la organización.2. El administrador de la cuenta maestra asocia una política de confianza al rol, que identifica el ID de la

cuenta miembro como la entidad Principal, la cual puede asumir el rol.3. El administrador de la cuenta miembro puede delegar entonces permisos para asumir el rol a

cualquier usuario de la cuenta miembro. Esto permite a los usuarios de la cuenta miembro crear otener acceso a los recursos de la cuenta maestra y la organización. La entidad principal de la política

151

AWS Organizations Guía del usuarioAdministración de permisos en su organización de AWS

de confianza también puede ser una entidad principal de un servicio de AWS, si desea concederpermisos a un servicio de AWS para que asuma la función.

Si desea más información acerca del uso de IAM para delegar permisos, consulte Administración deaccesos en la Guía del usuario de IAM.

A continuación se ofrece un ejemplo de política que permite a un usuario realizar la acciónCreateAccount en su organización.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1OrgPermissions", "Effect": "Allow", "Action": [ "organizations:CreateAccount" ], "Resource": "*" } ]}

Para obtener más información acerca de los usuarios, grupos, roles y permisos, consulte Identidades(usuarios, grupos y roles) en la Guía del usuario de IAM.

Políticas basadas en recursos

Algunos servicios, como Amazon S3, admiten políticas de permisos basadas en recursos. Por ejemplo,puede asociar una política a un bucket de Amazon S3 para administrar los permisos de acceso a dichobucket. AWS Organizations no admite políticas basadas en recursos.

Especificación de elementos de política: acciones, condiciones,efectos y recursosPara cada recurso de AWS Organizations, el servicio define un conjunto de operaciones de API oacciones, que pueden interactuar con el recurso o manipularlo de algún modo. Para conceder permisosa estas operaciones. AWS Organizations define un conjunto de acciones que puede especificar en unapolítica. Por ejemplo, en el caso del recurso de unidad organizativa; AWS Organizations define accionescomo las siguientes:

• AttachPolicy y DetachPolicy• CreateOrganizationalUnit y DeleteOrganizationalUnit• ListOrganizationalUnits y DescribeOrganizationalUnit

En algunos casos, la ejecución de una operación de la API podría requerir permisos para más de unaacción y podría necesitar permisos para más de un recurso.

A continuación se indican los elementos más básicos que se pueden utilizar en una política de permisos deIAM:

• Action – puede utilizar esta palabra clave para identificar las operaciones (acciones) quedesea permitir o denegar. Por ejemplo, en función del elemento Effect especificado,organizations:CreateAccount permite o deniega los permisos de usuario para realizar laoperación CreateAccount de AWS Organizations. Para obtener más información, consulte Elementosde la política de JSON de IAM: Action en la Guía del usuario de IAM.

152

AWS Organizations Guía del usuarioRegistro y monitorización

• Resource: utilice esta palabra clave para especificar el ARN del recurso al que se aplica la instrucción dela política. Para obtener más información, consulte Elemento de la política de JSON de IAM: Resourceen la Guía del usuario de IAM.

• Condition – utilice esta palabra clave para especificar condiciones adicionales que se deben cumplir paraque la instrucción de política sea aplicable. Condition suele especificar circunstancias adicionales quedeben estar definidas como "true" para que la política coincida. Para obtener más información, consulteElementos de la política de JSON de IAM: condición en la Guía del usuario de IAM.

• Effect – puede utilizar esta palabra clave para especificar si la instrucción de la política permite o deniegala acción en el recurso. Si no concede acceso de forma explícita (o permite) un recurso, el acceso sedeniega implícitamente. También puede denegar explícitamente el acceso a un recurso; de esta forma,se asegurará de que un usuario no pueda realizar la acción especificada en el recurso especificado,incluso si otra política otorga acceso. Para obtener más información, consulte Elemento de la política deJSON de IAM: Effect en la Guía del usuario de IAM.

• Principal – en las políticas basadas en la identidad (políticas de IAM), el usuario al que se asocia estapolítica es de forma automática e implícita el principal. En las políticas basadas en recursos, debeespecificar el usuario, la cuenta, el servicio o cualquier otra entidad que desee que reciba permisos (seaplica solo a las políticas basadas en recursos). Actualmente, AWS Organizations solo admite políticasbasadas en identidad, no en recursos.

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM consulte lareferencia de políticas de JSON IAM de la Guía del usuario de IAM.

Registro y monitorización en AWS OrganizationsComo práctica recomendada, debe monitorear su organización para asegurarse de que los cambiosqueden registrados. Esto permite investigar cualquier modificación inesperada y revertir los cambios nodeseados. AWS Organizations actualmente admite dos servicios de AWS que permiten monitorear laorganización y la actividad que allí se produce.

Temas• Registro de llamadas a la API de AWS Organizations con AWS CloudTrail (p. 153)• Amazon CloudWatch Events (p. 159)

Registro de llamadas a la API de AWS Organizationscon AWS CloudTrailAWS Organizations está integrado con AWS CloudTrail, un servicio que proporciona un registro de lasacciones de un usuario, una función o un servicio de AWS en AWS Organizations. CloudTrail capturatodas las llamadas a la API de AWS Organizations como eventos, incluidas las llamadas procedentes dela consola de AWS Organizations y de las llamadas del código a las API de AWS Organizations. Si creaun registro de seguimiento, puede habilitar la entrega continua de eventos de CloudTrail a un bucket deAmazon S3, incluidos los eventos de AWS Organizations. Si no configura un registro de seguimiento,puede ver los eventos más recientes en la consola de CloudTrail en el Event history (Historial de eventos).Mediante la información que recopila CloudTrail, se puede determinar la solicitud que se envió a AWSOrganizations, la dirección IP desde la que se realizó, quién la realizó, cuándo y detalles adicionales.

Para obtener más información acerca de CloudTrail, consulte la AWS CloudTrail User Guide.

Important

Puede ver toda la información de CloudTrail para AWS Organizations únicamente en la regiónUS East (N. Virginia). Si no ve la actividad de AWS Organizations en la consola de CloudTrail,

153

AWS Organizations Guía del usuarioRegistro de llamadas a la API de AWS

Organizations con AWS CloudTrail

configure la consola para US East (N. Virginia) con el menú de la esquina superior derecha. Siconsulta CloudTrail con la AWS CLI o con las herramientas de los SDK, dirija la consulta al puntode enlace US East (N. Virginia).

Información de AWS Organizations en CloudTrailCloudTrail se habilita en una cuenta de AWS al crearla. Cuando se produce una actividad en AWSOrganizations, dicha actividad se registra en un evento de CloudTrail junto con los eventos de los demásservicios de AWS en Event history (Historial de eventos). Puede ver, buscar y descargar los últimoseventos de la cuenta de AWS. Para obtener más información, consulte Visualización de eventos con elhistorial de eventos de CloudTrail.

Para mantener un registro continuo de los eventos de la cuenta de AWS, incluidos los eventos de AWSOrganizations, cree un registro de seguimiento. Un registro de seguimiento permite a CloudTrail enviararchivos de registro a un bucket de Amazon S3. Cuando el registro de CloudTrail está habilitado en sucuenta de AWS, las llamadas a la API realizadas en acciones de AWS Organizations se escriben en losarchivos de registro de CloudTrail junto con otros registros del servicio de AWS. También puede configurarotros servicios de AWS para analizar y actuar según los datos de eventos recopilados en los registros deCloudTrail. Para obtener más información, consulte los siguientes temas:

• Introducción a la creación de registros de seguimiento• Servicios e integraciones compatibles con CloudTrail• Configuración de notificaciones de Amazon SNS para CloudTrail

Todas las acciones de AWS Organizations las registra CloudTrail y están documentadas enla Referencia de la API de AWS Organizations. Por ejemplo, las llamadas a CreateAccount(incluido el evento CreateAccountResult), ListHandshakesForAccount, CreatePolicy eInviteAccountToOrganization generan entradas en los archivos de registro de CloudTrail.

Cada entrada de log contiene información sobre quién generó la solicitud. La información de identidad delusuario en la entrada de log le ayuda a determinar lo siguiente:

• Si la solicitud se realizó con las credenciales del nodo raíz o del usuario de IAM.• Si la solicitud se realizó con credenciales de seguridad temporales de una función de IAM o fue un

usuario federado.• Si la solicitud la realizó otro servicio de AWS.

Para obtener más información, consulte el elemento userIdentity de CloudTrail.

Cómo funcionan las entradas de los archivos de registro de AWSOrganizationsUn registro de seguimiento es una configuración que permite la entrega de eventos como archivos deregistro al bucket de Amazon S3 que se especifique. Los archivos de registro de CloudTrail contienenuna o varias entradas de registro. Un evento representa una única solicitud de cualquier origen e incluyeinformación acerca de la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud,etcétera. Los archivos de registro de CloudTrail no son un registro de seguimiento de la pila ordenada delas llamadas a la API públicas, por lo que no aparecen en ningún orden específico.

Entradas de registro de ejemplo: CreateAccount

En el siguiente ejemplo, se muestra una entrada de registro de CloudTrail para una llamadaCreateAccount de ejemplo que se genera cuando se llama a la API.

154

AWS Organizations Guía del usuarioRegistro de llamadas a la API de AWS

Organizations con AWS CloudTrail

{ "eventVersion": "1.06", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::111122223333:user/diego", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "diego" }, "eventTime": "2018-06-21T22:06:27Z", "eventSource": "organizations.amazonaws.com", "eventName": "CreateAccount", "awsRegion": "us-east-1", "sourceIPAddress": "192.168.0.1", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36", "requestParameters": { "email": "anaya@amazon.com", "accountName": "****" }, "responseElements": { "createAccountStatus": { "accountName": "****", "state": "IN_PROGRESS", "id": "car-examplecreateaccountrequestid111", "requestedTimestamp": "Jun 21, 2018 10:06:27 PM" } }, "requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "111111111111"}

En el ejemplo siguiente se muestra una entrada de registro de CloudTrail de una llamada CreateAccountuna vez que se ha completado correctamente.

{ "eventVersion": "1.06", "userIdentity": { "accountId": "111122223333", "invokedBy": "AWS Internal" }, "eventTime": "2018-06-21T22:06:27Z", "eventSource": "organizations.amazonaws.com", "eventName": "CreateAccountResult", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": null, "eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "readOnly": false, "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333", "serviceEventDetails": { "createAccountStatus": { "id": "car-examplecreateaccountrequestid111", "state": "SUCCEEDED", "accountName": "****", "accountId": "444455556666", "requestedTimestamp": Jun 21, 2018 10:06:27 PM, "completedTimestamp": Jun 21, 2018 10:07:15 PM

155

AWS Organizations Guía del usuarioRegistro de llamadas a la API de AWS

Organizations con AWS CloudTrail

} }}

En el ejemplo siguiente, se muestra una entrada de registro de CloudTrail que se genera después de queuna llamada CreateAccount devuelve un error.

{ "eventVersion": "1.06", "userIdentity": { "accountId": "111122223333", "invokedBy": "AWS Internal" }, "eventTime": "2018-06-21T22:06:27Z", "eventSource": "organizations.amazonaws.com", "eventName": "CreateAccountResult", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": null, "eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "readOnly": false, "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333", "serviceEventDetails": { "createAccountStatus": { "id": "car-examplecreateaccountrequestid111", "state": "FAILED", "accountName": "****", "failureReason": "EMAIL_ALREADY_EXISTS", "requestedTimestamp": Jun 21, 2018 10:06:27 PM, "completedTimestamp": Jun 21, 2018 10:07:15 PM } }}

Entrada de registro de ejemplo: CreateOrganizationalUnitEn el ejemplo siguiente se muestra una entrada de registro de CloudTrail para una llamadaCreateOrganizationalUnit de ejemplo:

{ "eventVersion": "1.06", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::111111111111:user/diego", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "diego" }, "eventTime": "2017-01-18T21:40:11Z", "eventSource": "organizations.amazonaws.com", "eventName": "CreateOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36", "requestParameters": { "name": "OU-Developers-1", "parentId": "r-examplerootid111"

156

AWS Organizations Guía del usuarioRegistro de llamadas a la API de AWS

Organizations con AWS CloudTrail

}, "responseElements": { "organizationalUnit": { "arn": "arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111", "id": "ou-examplerootid111-exampleouid111", "name": "test-cloud-trail" } }, "requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "111111111111"}

Entrada de registro de ejemplo: InviteAccountToOrganization

En el ejemplo siguiente se muestra una entrada de registro de CloudTrail para una llamadaInviteAccountToOrganization de ejemplo:

{ "eventVersion": "1.06", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::111111111111:user/diego", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "diego" }, "eventTime": "2017-01-18T21:41:17Z", "eventSource": "organizations.amazonaws.com", "eventName": "InviteAccountToOrganization", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36", "requestParameters": { "notes": "This is a request for Mary's account to join Diego's organization.", "target": { "type": "ACCOUNT", "id": "111111111111" } }, "responseElements": { "handshake": { "requestedTimestamp": "Jan 18, 2017 9:41:16 PM", "state": "OPEN", "arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "id": "h-examplehandshakeid111", "parties": [ { "type": "ORGANIZATION", "id": "o-exampleorgid" }, { "type": "ACCOUNT", "id": "222222222222" } ], "action": "invite", "expirationTimestamp": "Feb 2, 2017 9:41:16 PM", "resources": [

157

AWS Organizations Guía del usuarioRegistro de llamadas a la API de AWS

Organizations con AWS CloudTrail

{ "resources": [ { "type": "MASTER_EMAIL", "value": "diego@example.com" }, { "type": "MASTER_NAME", "value": "Master account for organization" }, { "type": "ORGANIZATION_FEATURE_SET", "value": "ALL" } ], "type": "ORGANIZATION", "value": "o-exampleorgid" }, { "type": "ACCOUNT", "value": "222222222222" }, { "type": "NOTES", "value": "This is a request for Mary's account to join Diego's organization." } ] } }, "requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "111111111111"}

Entrada de registro de ejemplo: AttachPolicyEn el ejemplo siguiente se muestra una entrada de registro de CloudTrail para una llamadaAttachPolicy de ejemplo: La respuesta indica que la llamada ha dado un error porque el tipo de políticasolicitado no está habilitado en la raíz donde se ha intentado adjuntar la solicitud.

{ "eventVersion": "1.06", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::111111111111:user/diego", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "diego" }, "eventTime": "2017-01-18T21:42:44Z", "eventSource": "organizations.amazonaws.com", "eventName": "AttachPolicy", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36", "errorCode": "PolicyTypeNotEnabledException", "errorMessage": "The given policy type ServiceControlPolicy is not enabled on the current view", "requestParameters": { "policyId": "p-examplepolicyid111",

158

AWS Organizations Guía del usuarioAmazon CloudWatch Events

"targetId": "ou-examplerootid111-exampleouid111" }, "responseElements": null, "requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "111111111111"}

Amazon CloudWatch EventsAWS Organizations puede operar con Eventos de CloudWatch para iniciar eventos cuando se producenlas acciones especificadas por el administrador en una organización. Por ejemplo, por la sensibilidad deese tipo de acciones, la mayoría de los administradores desean que se les advierta cada vez que alguiencrea una nueva cuenta en la organización o que un administrador de una cuenta miembro intenta salir dela organización. Puede configurar reglas de Eventos de CloudWatch que buscan estas acciones y, cuandolas detectan, envían los eventos generados a los objetivos definidos por el administrador. El objetivo puedeser un tema de Amazon SNS que envíe un correo electrónico o un mensaje de texto a sus suscriptores.O bien una función AWS Lambda creada para registrar los detalles de la acción, de modo que puedarevisarlos más adelante.

Para obtener un tutorial que muestra cómo habilitar Eventos de CloudWatch para monitorear la actividadclave de su organización, consulte Tutorial: monitoreo de cambios importantes en la organización medianteEventos de CloudWatch (p. 20).

Para obtener más información acerca de Eventos de CloudWatch, incluido cómo configurarlo y habilitarlo,consulte la Guía del usuario de Amazon CloudWatch Events.

Validación de la conformidad para AWSOrganizations

Auditores externos evalúan la seguridad y la conformidad de AWS Organizations como parte de variosprogramas de conformidad de AWS. Estos incluye SOC, PCI, FedRAMP, HIPAA y otros.

Para obtener una lista de los servicios de AWS en el ámbito de programas de conformidad específicos,consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,consulte Programas de conformidad de AWS.

Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener másinformación, consulte la sección Descarga de informes en AWS Artifact.

Su responsabilidad de conformidad al utilizar Organizaciones se determina en función de la sensibilidad delos datos, los objetivos de cumplimiento de su empresa y la legislación y los reglamentos correspondientes.AWS proporciona los siguientes recursos para ayudar con la conformidad:

• Guías de inicio rápido de seguridad y conformidad: estas guías de implementación tratanconsideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referenciacentrados en la seguridad y la conformidad en AWS.

• Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA: este documento técnicodescribe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA.

• Recursos de conformidad de AWS: este conjunto de manuales y guías podría aplicarse a su sector yubicación.

• AWS Config: este servicio de AWS evalúa en qué medida las configuraciones de los recursos cumplenlas prácticas internas, las directrices del sector y las normativas.

159

AWS Organizations Guía del usuarioResiliencia

• AWS Security Hub: este servicio de AWS ofrece una vista integral de su estado de seguridad en AWSque le ayuda a comprobar la conformidad con las normas del sector de seguridad y las prácticasrecomendadas.

Resiliencia en AWS OrganizationsLa infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Lasregiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladasque se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, ademásde baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datosque realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Laszonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que lasinfraestructuras tradicionales de centros de datos únicos o múltiples.

Para obtener más información sobre zonas de disponibilidad y las regiones de AWS, consulteInfraestructura global de AWS.

Seguridad de la infraestructura en AWSOrganizations

Al tratarse de un servicio administrado, AWS Organizations está protegido por los procedimientos deseguridad de red globales de AWS que se describen en el documento técnico Amazon Web Services:Información general sobre procesos de seguridad.

Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a Organizaciones a través de lared. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior.Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles conconjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE)o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 yposteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de accesosecreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security TokenService (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

160

AWS Organizations Guía del usuarioCuotas para AWS Organizations

Referencia de AWS OrganizationsConsulte los temas de esta sección para encontrar información de referencia detallada de distintosaspectos de AWS Organizations.

Temas• Cuotas para AWS Organizations (p. 161)• Políticas administradas de AWS disponibles para su uso con AWS Organizations (p. 163)

Cuotas para AWS OrganizationsEn esta sección se especifican las cuotas que afectan a AWS Organizations.

Directrices de nomenclaturaA continuación se indican las directrices para los nombres que crea en AWS Organizations, incluidos losnombres de cuentas, unidades organizativas (OU), raíces y políticas:

• Deben contener caracteres Unicode• No deben tener más de 250 caracteres de longitud

Valores mínimos y máximosA continuación, se indican los valores máximos predeterminados para las entidades de AWSOrganizations.

Número de cuentasde AWS en unaorganización

4 es el número máximo de cuentas permitidas en una organización de formapredeterminada. Si necesita aumentar la cuota, póngase en contacto conAWS Support. En la esquina superior derecha de la consola, elija Support(Soporte) y, a continuación, Support Center (Centro de soporte). En la páginaSupport Center (Centro de soporte), elija Create case (Crear caso).

Una invitación enviada a una cuenta computa para esta cuota. La cuenta sedevuelve si la cuenta invitada rechaza la invitación, la cuenta maestra cancelala invitación o la invitación caduca.

Número de nodos raízen una organización

1.

Número de unidadesorganizativas de unaorganización

1.000

Número de políticas enuna organización

1.000

Tamaño máximo de undocumento de políticade control de servicios(SCP) (p. 65)

5120 bytes. Esto incluye todos los caracteres, incluidos los espacios enblanco (como espacios y saltos de línea). Para reducir el tamaño de su SCPsi se acerca a la cuota, puede eliminar todos los caracteres de espacio enblanco que estén fuera de las comillas.

161

AWS Organizations Guía del usuarioValores mínimos y máximos

Tamaño máximo de undocumento de políticade etiquetas (p. 92)

2500 caracteres. Esto incluye los espacios en blanco (como espacios y saltosde línea). Para reducir el tamaño de su política de etiquetas si se acerca a lacuota, puede eliminar todos los caracteres de espacio en blanco que esténfuera de las comillas.

Anidación máxima deOU en un nodo raíz

Cinco niveles de profundidad de OU bajo un nodo raíz.

Número de invitacionesabiertas que puedeañadir en un periodo de24 horas

20: las invitaciones aceptadas no se contabilizan en esta cuota. Tan prontocomo se acepta una invitación, puede enviar otra invitación ese mismo día.

Número de cuentasmiembro que sepueden crear de formasimultánea

5. Tan pronto como una finaliza se puede iniciar otra, pero solo puede haber 5activas a la vez.

Número de entidades alas que puede asociaruna política

Sin límite.

Número de etiquetasque puede asociar auna cuenta

50.

Tiempo de vencimiento de protocolos de enlace (handshakes)

A continuación se indican los tiempos de espera para los protocolos de enlace en AWS Organizations.

Invitación para unirse auna organización

15 días

Solicitud de habilitartodas las funciones deuna organización

90 días

El protocolo de enlacese elimina y ya noaparece en las listas

30 días después de que se complete el protocolo de enlace

Número de políticas que puede asociar a una entidad

El máximo depende del tipo de política y de la entidad a la que asocia la política. En la siguiente tabla semuestra cada tipo de política y el número de entidades a la se puede asociar cada tipo.

Tipo de política Políticas por nodo raíz Políticas por unidadorganizativa

Políticas por cuenta

Política de control deservicios

5 5 5

Note

Actualmente, solo puede tener un nodo raíz en una organización.

162

AWS Organizations Guía del usuarioPolíticas administradas

El mínimo depende del tipo de política. En la siguiente tabla se muestra cada tipo de política y el númeromínimo de entidades a la se puede asociar cada tipo.

Tipo de política Mínimo permitido que se puede asociar a una entidad

Política de control deservicios

1 — Cada entidad debe tener al menos una SCP asociada en todo momento.No puede eliminar la última política SCP de una entidad.

Políticas administradas de AWS disponibles para suuso con AWS Organizations

En esta sección se identifican las políticas administradas por AWS que puede usar para las tareas deadministración. No puede modificar ni eliminar una política administrada por AWS, pero puede asociarla osepararla de entidades de la organización según sea necesario.

Políticas de control de servicios administradas porAWS OrganizationsLas políticas de control de servicios (SCP) (p. 65) son similares a las políticas de permisos de IAM, peroson una característica de AWS Organizations, no de IAM. Puede utilizar las SCP para especificar lospermisos máximos de las entidades afectadas. Puede asociar políticas SCP a nodos raíz, unidadesorganizativas o cuentas de su organización. Puede crear su propia política o bien usar las políticas queIAM define. Puede consultar la lista de políticas de su organización en la página Políticas de la consola deOrganizaciones.

Important

Cada nodo raíz, unidad organizativa y cuenta debe tener al menos una política SCP asociada entodo momento.

Nombre de lapolítica

Descripción ARN

FullAWSAccess Da acceso a la cuenta maestra de AWSOrganizations a las cuentas miembro.

arn:aws:iam::aws:policy/AWSFullAccess

163

AWS Organizations Guía del usuarioSolución de problemas generales

Solución de problemas de AWSOrganizations

Si surgen problemas a la hora de trabajar con AWS Organizations, consulte los temas de esta sección.

Temas• Solución de problemas generales (p. 164)• Solución de problemas de políticas de AWS Organizations (p. 167)

Solución de problemas generalesUtilice la información aquí ofrecida para diagnosticar y solucionar los problemas de acceso denegado uotros problemas comunes que puedan surgir al trabajar con AWS Organizations.

Temas• Aparece un mensaje de "acceso denegado" al realizar una solicitud a AWS Organizations (p. 164)• Aparece un mensaje de "acceso denegado" al realizar una solicitud con credenciales de seguridad

temporales (p. 165)• Obtengo un mensaje de "acceso denegado" cuando intento dejar una organización como cuenta

miembro o eliminar una cuenta miembro como cuenta maestra (p. 165)• Obtengo un mensaje de "cuota superada" cuando intento agregar una cuenta a mi

organización (p. 165)• Aparece un mensaje que indica que "esta operación requiere un periodo de espera" al añadir o

eliminar cuentas (p. 166)• Obtengo un mensaje de "organización todavía inicializando" cuando intento añadir una cuenta a mi

organización (p. 166)• Usé una dirección de correo electrónico incorrecta al crear una cuenta de miembro (p. 166)• Los cambios que realizo no están siempre visibles inmediatamente (p. 166)

Aparece un mensaje de "acceso denegado" al realizaruna solicitud a AWS Organizations• Compruebe que tiene permisos para llamar a la acción y a los recursos que ha solicitado. Un

administrador debe conceder permisos asociando una política de IAM a su usuario de IAM o a un grupodel que sea miembro. Si las instrucciones de la política que conceden esos permisos incluyen algunacondición, como la hora del día o restricciones de direcciones IP, también debe cumplir esos requisitoscuando envíe la solicitud. Para obtener más información acerca de cómo consultar o modificar políticaspara un usuario, grupo o función de IAM, consulte Administración de políticas de IAM en la Guía delusuario de IAM.

• Si va a firmar las solicitudes de la API manualmente (sin usar los SDK de AWS), compruebe que hayafirmado correctamente la solicitud.

164

AWS Organizations Guía del usuarioAparece un mensaje de "acceso denegado" al realizar

una solicitud con credenciales de seguridad temporales

Aparece un mensaje de "acceso denegado" alrealizar una solicitud con credenciales de seguridadtemporales• Compruebe que el usuario o la función de IAM que está utilizando para realizar la solicitud tiene los

permisos adecuados. Los permisos de credenciales de seguridad temporales se obtienen de un usuarioo una función de IAM y, por tanto, se limitan a los concedidos al usuario o la función de IAM. Paraobtener más información acerca de cómo se determinan los permisos de las credenciales de seguridadtemporales, consulte Solicitud de credenciales de seguridad temporales en la Guía del usuario de IAM.

• Compruebe que las solicitudes se han firmado correctamente y que la solicitud tiene el formato correcto.Para obtener más información, consulte la documentación del conjunto de herramientas del SDKseleccionado o Uso de credenciales de seguridad temporales para solicitar acceso a los recursos deAWS en la Guía del usuario de IAM.

• Compruebe que sus credenciales de seguridad temporales no hayan caducado. Para obtener másinformación, consulte Solicitud de credenciales de seguridad temporales en la Guía del usuario de IAM.

Obtengo un mensaje de "acceso denegado" cuandointento dejar una organización como cuenta miembroo eliminar una cuenta miembro como cuenta maestra• Puede eliminar una cuenta miembro solo después de habilitar el acceso de usuario de IAM a facturación

en la cuenta miembro. Para obtener más información, consulte Activación del acceso a la consola deBilling and Cost Management en la Guía del usuario de AWS Billing and Cost Management.

• Puede eliminar una cuenta de su organización solo si la cuenta tiene la información que necesitapara funcionar como cuenta independiente. Cuando crea una cuenta en una organización con laconsola, la API o los comandos de la AWS CLI de AWS Organizations, dicha información no se recopilaautomáticamente. Por cada cuenta que desee convertir en independiente, deberá aceptar el Acuerdo decliente de AWS, elegir un plan de soporte, proporcionar y verificar la información de contacto necesariay proporcionar un método de pago. AWS utiliza el método de pago para cobrar cualquier actividad deAWS facturable (no de la capa gratuita de AWS) que se produzca mientras la cuenta no esté asociadaa una organización. Para obtener más información, consulte Abandonar una organización como cuentamiembro (p. 53).

Obtengo un mensaje de "cuota superada" cuandointento agregar una cuenta a mi organizaciónExiste un número máximo de cuentas que puede tener en una organización. Las cuentas eliminadas ocerradas también se tienen en cuenta en esta cuota.

Una invitación de unión se contabiliza para el número máximo de cuentas de la organización. La cuenta sedevuelve si la cuenta invitada rechaza la invitación, la cuenta maestra cancela la invitación o la invitacióncaduca.

• Antes de cerrar o eliminar una cuenta de AWS, elimínela de su organización (p. 51) para que no se sigacontabilizando para la cuota.

• Para solicitar un aumento de cuota, póngase en contacto con AWS Support.

165

AWS Organizations Guía del usuarioAparece un mensaje que indica que "esta operación

requiere un periodo de espera" al añadir o eliminar cuentas

Aparece un mensaje que indica que "esta operaciónrequiere un periodo de espera" al añadir o eliminarcuentasAlgunas acciones requieren un periodo de espera. Por ejemplo, no se puede eliminar inmediatamentecuentas recién creadas. Vuelva a intentarlo más tarde. Si tiene problemas con las cuotas de la cuenta alagregar o eliminar cuentas, póngase en contacto con AWS Support para solicitar un aumento de cuota.

Obtengo un mensaje de "organización todavíainicializando" cuando intento añadir una cuenta a miorganizaciónSi recibe este error y ha pasado más de una hora desde que se creó la organización, póngase en contactocon AWS Support.

Usé una dirección de correo electrónico incorrecta alcrear una cuenta de miembroSi ha creado una cuenta miembro en una organización con una dirección de correo electrónico incorrecta,no podrá iniciar sesión en la cuenta como usuario raíz. En este caso, intente obtener acceso ar un rol decuenta maestra o crear este tipo de rol para la cuenta. Para obtener más información, consulte Accesoa una cuenta miembro con un rol de acceso a la cuenta maestra (p. 49). Si no puede obtener acceso alrol o crearlo, consulte la página Contacto y, a continuación, elija el elemento relativo a la facturación paraponerse en contacto con AWS Support.

Los cambios que realizo no están siempre visiblesinmediatamenteAl ser un servicio al que se obtiene acceso a través de equipos de centros de datos de todo el mundo,AWS Organizations utiliza un modelo de computación distribuida llamado consistencia final. Cualquiercambio que realice en AWS Organizations tardará en aparecer en todos los puntos de enlace posibles.Este retraso se debe en parte al tiempo que se tarda en enviar los datos de un servidor a otro o de unazona de replicación a otra. AWS Organizations también usa almacenamiento en caché para mejorar elrendimiento, pero en algunos casos eso puede generar retrasos. Es posible que el cambio no sea visiblehasta que se agoten los datos previamente almacenados.

Diseñe sus aplicaciones globales teniendo en cuenta estos posibles retrasos y asegúrese de quefuncionan según lo previsto, incluso cuando un cambio realizado en una ubicación no está visibleinmediatamente en otra ubicación.

Para obtener más información acerca de cómo esto afecta a otros servicios de AWS, consulte lossiguientes recursos:

• Administración de la consistencia de los datos en la Amazon Redshift Database Developer Guide• Modelo de consistencia de datos de Amazon S3 en la Guía para desarrolladores de Amazon Simple

Storage Service• Ensuring Consistency When Using Amazon S3 and Amazon Elastic MapReduce for ETL Workflows en el

blog de big data de AWS• EC2 Eventual Consistency en la Amazon EC2 API Reference.

166

AWS Organizations Guía del usuarioSolución de problemas de políticas

Solución de problemas de políticas de AWSOrganizations

Utilice la información que se indica aquí para diagnosticar y corregir errores comunes en las políticas deAWS Organizations.

Políticas de control de serviciosLas políticas de control de servicios (SCP) de AWS Organizations son similares a las políticas de IAM ytienen una sintaxis común. Esta sintaxis comienza con las reglas de JavaScript Object Notation (JSON).JSON describe un objeto con pares de nombre y valor que componen el objeto. La gramática de laspolíticas de IAM se basa en la definición de nombres y valores que tengan significado y puedan serentendidos por los servicios de AWS que usan políticas para conceder permisos.

AWS Organizations utiliza un subconjunto de la sintaxis y la gramática de IAM. Para obtener másinformación, consulte Sintaxis de las SCP (p. 77).

Errores de políticas comunes• Más de un objeto de política (p. 167)• Más de un elemento Statement (p. 168)• El documento de política supera el tamaño máximo (p. 169)

Más de un objeto de políticaUna SCP debe constar de uno y un solo objeto JSON. Los objetos se indican incluyéndolos en llaves { }.Aunque puede anidar otros objetos dentro de un objeto JSON añadiendo llaves ({}) adicionales en el parexterior, una política solo puede contener un par exterior de llaves { }. El siguiente ejemplo es incorrectoporque contiene dos objetos en la parte superior (indicados en rojo):

{ "Version": "2012-10-17", "Statement": { "Effect":"Allow", "Action":"ec2:Describe*", "Resource":"*" }}{ "Statement": { "Effect": "Deny", "Action": "s3:*", "Resource": "*" }}

Sin embargo, podría satisfacer la intención del ejemplo anterior con el uso de la gramática de políticascorrecta. En lugar de incluir dos objetos de política completos, cada uno con su propio elementoStatement, puede combinar los dos bloques en un único elemento Statement. El elemento Statementtiene una matriz de dos objetos como su valor, tal y como se muestra en el ejemplo siguiente:

{ "Version": "2012-10-17", "Statement": [

167

AWS Organizations Guía del usuarioPolíticas de control de servicios

{ "Effect": "Allow", "Action": "ec2:Describe*", "Resource":" *" }, { "Effect": "Deny", "Action": "s3:*", "Resource": "*" } ]}

Este ejemplo no se puede comprimir en una instrucción Statement con un solo elemento, porque losdos elementos tienen efectos diferentes. Por lo general, solo puede combinar instrucciones cuando loselementos Effect y Resource de cada instrucción sean idénticos.

Más de un elemento StatementEste error podría parecer a simple vista una variante del error de la sección anterior. Sin embargo, es untipo de error diferente desde el punto de vista sintáctico. En el siguiente ejemplo, solo hay un objeto depolítica indicado por un único par de llaves { } en el nivel superior. Sin embargo, ese objeto contiene doselementos Statement en su interior.

Una SCP debe contener solo un elemento Statement, que consta del nombre (Statement) que aparecea la izquierda de un carácter de punto y coma, seguido de su valor a la derecha. El valor de un elementoStatement debe ser un objeto, identificado por llaves { }, que contiene un elemento Effect, un elementoAction y un elemento Resource. El siguiente ejemplo es incorrecto porque contiene dos elementosStatement en el objeto de política:

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, "Statement": { "Effect": "Deny", "Action": "s3:*", "Resource": "*" }}

Como un objeto de valor puede ser una matriz de varios objetos de valor, puede resolver este problemacombinando los dos elementos Statement en un elemento con una matriz de objetos, tal y como semuestra en el ejemplo siguiente:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe*", "Resource":"*" }, { "Effect": "Deny", "Action": "s3:*", "Resource": "*" }

168

AWS Organizations Guía del usuarioPolíticas de control de servicios

]}

El valor del elemento Statement es una matriz de objetos. La matriz del ejemplo se compone de dosobjetos, cada uno de los cuales es un valor correcto para un elemento Statement. Cada objeto de lamatriz está separado por comas.

El documento de política supera el tamaño máximoEl tamaño máximo de un documento de SCP es 5.120 bytes. Este tamaño máximo incluye todos loscaracteres, incluido el espacio en blanco. Para reducir el tamaño de su SCP, puede eliminar todos loscaracteres de espacio en blanco (como espacios y saltos de línea) que estén fuera de las comillas.

169

AWS Organizations Guía del usuarioPuntos de enlace

Llamar a la API mediante solicitudesde consulta HTTP

Esta sección contiene información general acerca de cómo utilizar la API de consulta de AWSOrganizations. Para obtener más información acerca de las operaciones y los errores de la API, consulte laReferencia de la API de AWS Organizations.

Note

En lugar de realizar llamadas directas a la API de consultas de AWS Organizations, puedeutilizar uno de los SDK de AWS. El SDK de AWS consta de bibliotecas y código de muestra paradiversos lenguajes de programación y plataformas (Java, Ruby, .NET, iOS, Android, etc.). LosSDK son una forma cómoda de crear acceso mediante programación a AWS Organizations yAWS. Por ejemplo, los SDK se encargan de tareas como firmar solicitudes criptográficamente,gestionar los errores y reintentar las solicitudes de forma automática. Para obtener informaciónacerca de los SDK de AWS (por ejemplo, cómo descargarlos e instalarlos), consulte Herramientaspara Amazon Web Services.

La API de consultas de AWS Organizations le permite llamar a acciones del servicio. Las solicitudesde la API de consulta son solicitudes HTTPS que deben contener un parámetro Action que indiquela operación que se va a realizar. AWS Organizations admite solicitudes GET y POST para todas lasoperaciones. Es decir, la API no requiere que use GET para algunas acciones y POST para otras. Sinembargo, las solicitudes GET están sujetas a las limitaciones de tamaño de una URL. Aunque este límitedepende del navegador, suele ser de 2048 bytes. Por lo tanto, para las solicitudes de la API de consultasque requieran tamaños más grandes, debe utilizar una solicitud POST.

La respuesta es un documento XML. Para obtener más información acerca de la respuesta, consulte laspáginas de cada acción en la Referencia de la API de AWS Organizations.

Temas• Puntos de enlace (p. 170)• HTTPS obligatorio (p. 170)• Firma de solicitudes de la API AWS Organizations (p. 171)

Puntos de enlaceAWS Organizations tiene un único punto de enlace de API global alojado en la región US East (N. Virginia).

Para obtener más información acerca de los puntos de enlace de AWS y las regiones de todos losservicios, consulte Regiones y puntos de enlace de AWS en la AWS General Reference.

HTTPS obligatorioDado que la API de consultas devuelve información confidencial como, por ejemplo, credenciales deseguridad, debe usar HTTPS para cifrar todas las solicitudes de la API.

170

AWS Organizations Guía del usuarioFirma de solicitudes de la API AWS Organizations

Firma de solicitudes de la API AWS OrganizationsLas solicitudes deben firmarse con un ID de clave de acceso y una clave de acceso secreta.Recomendamos encarecidamente que no utilice las credenciales de la cuenta raíz de AWS para trabajarcon AWS Organizations. Puede utilizar las credenciales de un usuario de IAM o credenciales temporalescomo las que usa con una función de IAM.

Para firmar las solicitudes de la API, debe utilizar Signature Version 4 de AWS. Para obtener másinformación cómo usar Signature Version 4, consulte Proceso de firma Signature Version 4 en laReferencia general de AWS.

AWS Organizations no es compatible con versiones anteriores, como Signature Version 2.

Para obtener más información, consulte los siguientes temas:

• Credenciales de seguridad de AWS – ofrece información general acerca de los tipos de credenciales quepuede utilizar para tener acceso a AWS.

• Prácticas recomendadas de IAM – ofrece sugerencias acerca de cómo utilizar el servicio de IAM paraayudar a proteger sus recursos de AWS, incluidos los de AWS Organizations.

• Credenciales temporales – describe cómo crear y utilizar credenciales de seguridad temporales.

171

AWS Organizations Guía del usuario

Historial de revisión de AWSOrganizations

En la tabla siguiente se describen las actualizaciones principales de la documentación de AWSOrganizations.

• Versión de API: 2016-11-28

update-history-change update-history-description update-history-date

Políticas de etiquetas Puede utilizar las políticasde etiquetas para ayudar aestandarizar las etiquetas entodos los recursos en las cuentasde su organización.

November 26, 2019

Integración con Administrador desistemas

Puede sincronizar los datosde las operaciones en todaslas cuentas de AWS en suorganización en el explorador deAdministrador de sistemas.

November 26, 2019

aws:principalOrgPaths La nueva clave de condiciónglobal comprueba la ruta de AWSOrganizations para el usuario deIAM, el rol de IAM y el usuarioraíz de la cuenta de AWS querealiza la solicitud.

November 20, 2019

Integración con reglas de AWSConfig

Puede utilizar las operacionesde API de AWS Config paraadministrar las reglas de AWSConfig en todas las cuentas deAWS de su organización.

July 8, 2019

Nuevo servicio para el acceso deconfianza

Cuotas de servicio se ha añadidocomo un servicio que puedefuncionar con las cuentas de suorganización.

June 24, 2019

Integración con AWS ControlTower

AWS Control Tower se haañadido como un servicio quepuede funcionar con las cuentasde su organización.

June 24, 2019

Integración con AWS Identity andAccess Management

IAM proporciona datos del últimoacceso de las entidades de suorganización (la organizaciónraíz, las unidades organizativasy las cuentas) al servicio. Puedeutilizar estos datos para restringirel acceso a solo los servicios deAWS que necesita.

June 20, 2019

172

AWS Organizations Guía del usuario

Etiquetado de cuentas Puede aplicar etiquetas a suorganización y eliminar estasetiquetas, así como ver lasetiquetas de una cuenta de suorganización.

June 6, 2019

Los recursos, las condicionesy el elemento NotAction en laspolíticas de control de servicios(SCP)

A partir de ahora, puedeespecificar recursos, condicionesy el elemento NotAction en lasSCP para denegar el acceso alas cuentas de su organización ounidad organizativa (OU).

March 25, 2019

Servicios nuevos para el accesode confianza

AWS License Manager y AWSService Catalog se han añadidocomo servicios que puedenfuncionar con las cuentas de suorganización.

December 21, 2018

Servicios nuevos para el accesode confianza

AWS CloudTrail y AWS RAM sehan añadido como servicios quepueden funcionar con las cuentasde su organización.

December 4, 2018

Nuevo servicio para el acceso deconfianza

AWS Directory Service se haañadido como un servicio quepuede funcionar con las cuentasde su organización.

September 25, 2018

Verificación de dirección decorreo electrónico

Para poder invitar a cuentasexistentes a su organización,debe verificar que es elpropietario de la dirección decorreo electrónico asociada a lacuenta maestra.

September 20, 2018

Notificaciones CreateAccount Las notificacionesCreateAccount se publican enlos registros de CloudTrail de lacuenta maestra.

June 28, 2018

Nuevo servicio para el acceso deconfianza

AWS Artifact se ha añadidocomo un servicio que puedefuncionar con las cuentas de suorganización.

June 20, 2018

Servicios nuevos para el accesode confianza

AWS Config y AWS FirewallManager se han añadidocomo servicios que puedenfuncionar con las cuentas de suorganización.

April 18, 2018

Acceso de servicios de confianza Ahora puede habilitar odeshabilitar el acceso dedeterminados servicios de AWSa las cuentas de la organización.AWS SSO es el primer serviciode confianza compatible.

March 29, 2018

173

AWS Organizations Guía del usuario

Ahora la eliminación de cuentases un servicio autónomo

A partir de ahora, puede eliminarcuentas creadas desde AWSOrganizations sin ponerse encontacto con AWS Support.

December 19, 2017

Se ha agregado compatibilidadcon el nuevo servicio Inicio desesión único de AWS.

AWS Organizations ahora admitela integración con Inicio de sesiónúnico de AWS (AWS SSO).

December 7, 2017

AWS ha agregado una funciónvinculada al servicio para todaslas cuentas de la organización.

Una función vinculadaal servicio denominadoAWSServiceRoleForOrganizationsse ha agregado a todas lascuentas de una organizaciónpara habilitar la integraciónentre AWS Organizations y otrosservicios de AWS.

October 11, 2017

A partir de ahora, puede eliminarcuentas creadas (p. 172)

Los clientes ya puedeneliminar cuentas creadas en suorganización con ayuda de AWSSupport.

June 15, 2017

Lanzamiento del servicio Versión inicial de ladocumentación de AWSOrganizations que acompañabael lanzamiento del nuevo servicio.

February 17, 2017

174

AWS Organizations Guía del usuario

AWS GlossaryFor the latest AWS terminology, see the AWS Glossary in the AWS General Reference.

175