Realización de tarea con privilegios en la cuenta de miembro de AWS Organizations - AWS Identity and Access Management
Requisitos previosRealización de una acción con privilegios en una cuenta de miembro (consola)Realización de una acción con privilegios en una cuenta de miembro (AWS CLI)Realización de una acción con privilegios en una cuenta de miembro (API de AWS)

Realización de tarea con privilegios en la cuenta de miembro de AWS Organizations

La cuenta de administración de AWS Organizations o una cuenta de administrador delegado para IAM pueden realizar algunas tareas de usuario raíz en las cuentas de los miembros mediante el acceso raíz durante un plazo corto. Las tareas que se enumeran a continuación únicamente se pueden realizar cuando se inicia sesión como usuario raíz de una cuenta. Las sesiones con privilegios de corta duración le proporcionan credenciales temporales que puede utilizar para realizar acciones con privilegios en la cuenta de un miembro de su organización.

Una vez que inicie una sesión con privilegios, podrá eliminar políticas de bucket de Amazon S3 o políticas de colas de Amazon SQS mal configuradas, y eliminar y rehabilitar las credenciales de usuario raíz de una cuenta de miembro.

Requisitos previos

Antes de iniciar una sesión con privilegios, debe tener las siguientes configuraciones:

  • Ha habilitado el acceso raíz centralizado en su organización. Para ver los pasos necesarios para habilitar esta característica, consulte Centralización del acceso raíz para las cuentas de miembros.

  • Su cuenta de administración o cuenta de administrador delegado tiene los siguientes permisos: sts:AssumeRoot

Realización de una acción con privilegios en una cuenta de miembro (consola)

Inicialización de una sesión para realizar una acción con privilegios en una cuenta de miembro en la AWS Management Console

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de, elija Administración de acceso raíz.

  3. Seleccione un nombre de la lista de cuentas de miembros y elija Realizar una acción con privilegios.

  4. Elija la acción con privilegios que desea realizar en la cuenta de miembro.

    • Seleccione Eliminar política de bucket de Amazon S3 para eliminar una política de bucket mal configurada que impida a todas las entidades principales acceder al bucket de Amazon S3.

      1. Elija Explorar S3 para seleccionar un nombre de los buckets que pertenecen a la cuenta de miembro y, a continuación, seleccione Elegir.

      2. Elija Eliminar política de bucket.

      3. Use la consola de Amazon S3 para corregir la política de bucket después de eliminar la política mal configurada. Para obtener más información, consulte Agregar una política de bucket mediante la consola de Amazon S3 en la Guía del usuario de Amazon S3.

    • Seleccione Eliminar política de Amazon SQS para eliminar una política basada en recursos de Amazon Simple Queue Service que impida a todas las entidades principales acceder a una cola de Amazon SQS.

      1. Introduzca el nombre de la cola en Nombre de la cola de SQS y seleccione Eliminar política de SQS.

      2. Use la consola de Amazon SQS para corregir la política de cola después de eliminar la política mal configurada. Para obtener más información, consulte Configuración de una política de acceso en Amazon SQS en la Guía para desarrolladores de Amazon SQS.

    • Seleccione Eliminar credenciales raíz para eliminar el acceso raíz de la cuenta de miembro. Al eliminar las credenciales del usuario raíz, se eliminan la contraseña del usuario raíz, las claves de acceso y los certificados de firma y se desactiva la autenticación multifactor (MFA) de la cuenta miembro.

      1. Seleccione Eliminar las credenciales raíz.

    • Seleccione Permitir la recuperación de contraseñas para recuperar las credenciales del usuario raíz de una cuenta de miembro.

      Esta opción solo está disponible cuando la cuenta de miembro no tiene credenciales de usuario raíz.

      1. Seleccione Permitir la recuperación de contraseñas.

      2. Tras realizar esta acción con privilegios, la persona que tenga acceso a la bandeja de entrada del correo del usuario raíz de la cuenta de miembro podrá restablecer la contraseña del usuario raíz e iniciar sesión con el usuario raíz de la cuenta de miembro.

Realización de una acción con privilegios en una cuenta de miembro (AWS CLI)

Inicialización de una sesión para realizar una acción con privilegios en una cuenta de miembro con la AWS Command Line Interface

  1. Utilice el siguiente comando para iniciar una sesión de usuario raíz: aws sts assume-root.

    nota

    El punto de conexión global no es compatible para sts:AssumeRoot. Debe enviar esta solicitud a un punto de conexión regional de AWS STS. Para obtener más información, consulte Administración de AWS STS en una Región de AWS.

    Al iniciar una sesión de usuario raíz con privilegios para una cuenta de miembro, debe definir task-policy-arn para utilizar la sesión para realizar la acción con privilegios que se llevará a cabo durante la sesión. Puede usar una de las siguientes políticas administradas de AWS para determinar las acciones de sesión con privilegios.

    Para limitar las acciones que una cuenta de administración o un administrador delegado pueden realizar durante una sesión de usuario raíz con privilegios, puede usar la clave de condición AWS STS sts:TaskPolicyArn.

    En el siguiente ejemplo, el administrador delegado inicia sesión de usuario raíz para eliminar las credenciales de usuario raíz de la cuenta de miembro con el ID 111122223333. 

    aws sts assume-root \
  --target-principal 111122223333 \
  --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
  --duration-seconds 900

  2. Utilice las AccessKeyId y SecretAccessKey de la respuesta para realizar acciones con privilegios en la cuenta de miembro. Si omite el nombre de usuario y la contraseña en la solicitud, se utilizará la cuenta de miembro de manera predeterminada.

Realización de una acción con privilegios en una cuenta de miembro (API de AWS)

Inicialización de una sesión para realizar una acción con privilegios en una cuenta de miembro con la API de AWS

  1. Utilice el siguiente comando para iniciar una sesión de usuario raíz: AssumeRoot.

    nota

    El punto de conexión global no es compatible con AssumeRoot. Debe enviar esta solicitud a un punto de conexión regional de AWS STS. Para obtener más información, consulte Administración de AWS STS en una Región de AWS.

    Al iniciar una sesión de usuario raíz con privilegios para una cuenta de miembro, debe definir TaskPolicyArn para utilizar la sesión para realizar la acción con privilegios que se llevará a cabo durante la sesión. Puede usar una de las siguientes políticas administradas de AWS para determinar las acciones de sesión con privilegios.

    Para limitar las acciones que una cuenta de administración o un administrador delegado pueden realizar durante una sesión de usuario raíz con privilegios, puede usar la clave de condición AWS STS sts:TaskPolicyArn.

    En el siguiente ejemplo, el administrador delegado inicia una sesión de usuario raíz para leer, editar y eliminar una política basada en recursos mal configurada para un bucket de Amazon S3 de la cuenta de miembro con el ID 111122223333.

    https://sts.us-east-2.amazonaws.com/
  ?Version=2011-06-15
  &Action=AssumeRoot
  &TargetPrincipal=111122223333
  &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
  &DurationSeconds 900

  2. Utilice las AccessKeyId y SecretAccessKey de la respuesta para realizar acciones con privilegios en la cuenta de miembro. Si omite el nombre de usuario y la contraseña en la solicitud, se utilizará la cuenta de miembro de manera predeterminada.