Migración de una cuenta a otra organización con AWS Organizations - AWS Organizations
Antes de la migraciónMigraciónDespués de la migración

Migración de una cuenta a otra organización con AWS Organizations

Puede migrar una Cuenta de AWS de una organización a otra en cualquier momento. Por ejemplo, la migración de una cuenta puede resultar útil en el caso de una fusión o adquisición cuando se necesita unificar una o más Cuentas de AWS de varias organizaciones en una sola.

Sea cual sea su caso de uso, la migración de una cuenta entre organizaciones requiere que elimine la cuenta de la organización anterior, que la convierta en una cuenta independiente y que la cuenta acepte la invitación para unirse a la nueva organización. Sus cargas de trabajo y servicios seguirán funcionando según sus especificaciones durante la migración. Sin embargo, es importante que esté al tanto de las dependencias que pueda tener en su organización.

nota

Las cuentas cerradas o suspendidas no se pueden migrar

No puede migrar una cuenta cerrada o suspendida. Para reactivar una cuenta, contacte con AWS Support.

Requisito de antigüedad de siete días

Para migrar una cuenta que creó en una organización, debe esperar al menos siete días después de que se creó la cuenta. Las cuentas invitadas no están sujetas a este período de espera.

Replicación de datos entre cuentas

La siguiente guía prescriptiva de AWS proporciona información sobre las estrategias para replicar datos entre Cuentas de AWS: la Resource replication or migration between Cuentas de AWS.

Lo que debe hacer antes de migrar una cuenta

Antes de migrar SU Cuenta de AWS de una organización a otra, asegúrese de haber completado los siguientes pasos.

Paso 1: compruebe que tenga los permisos de IAM necesarios para migrar una cuenta

Asegúrese de haber aplicado los permisos necesarios para migrar una cuenta a las organizaciones respectivas.

Para abandonar una organización, debe disponer de los siguientes permisos:

  • organizations:DescribeOrganization (solo consola)

  • organizations:LeaveOrganization

Para obtener más información, consulte Leave an organization from your member account.

Para invitar a una Cuenta de AWS a unirse a su organización, debe contar con los permisos siguientes:

  • organizations:DescribeOrganization (solo consola)

  • organizations:InviteAccountToOrganization

Para obtener más información, consulte Inviting an Cuenta de AWS to join your organization.

Para migrar una cuenta, no puede tener políticas de IAM o políticas de control de servicios que impidan la migración

Si es un administrador delegado o el administrador de la cuenta de administración, puede controlar el acceso a los recursos de AWS asociando políticas de permisos a identidades de IAM (usuarios, grupos y roles) dentro de una organización. Para obtener más información, consulte IAM policies for AWS Organizations.

Antes de migrar una cuenta:

  • Asegúrese de que no haya políticas de IAM o políticas de control de servicios (SCP) que le impidan migrar la cuenta.

  • Identifique las políticas de IAM y las políticas de control de servicios (SCP) existentes que deba replicar en la organización a la que va a migrar la cuenta.

  • Identifique las políticas de IAM existentes que especifican el ID de su organización. Por ejemplo, aws:PrincipalOrgID.

Para obtener más información, consulte Administración de políticas de IAM en la Guía del usuario de IAM y Service control policies (SCPs).

Paso 2: compruebe que haya eliminado los permisos de IAM que permitían el acceso a la cuenta de administración anterior

Asegúrese de haber eliminado los permisos de IAM que permitían el acceso a la antigua cuenta de administración, por ejemplo, OrganizationAccountAccessRole.

Cuando elimina una cuenta miembro de una organización, no se eliminan automáticamente los roles de IAM que se hayan creado para permitir el acceso de la cuenta de administración de la organización. Si desea eliminar este acceso desde la cuenta de administración anterior de la organización, debe eliminar manualmente el rol de IAM.

Para obtener información acerca de cómo eliminar un rol, consulte Eliminación de roles o perfiles de instancia en la Guía del usuario de IAM.

Paso 3: compruebe la verificación de su teléfono y el método de pago

La cuenta de migración debe funcionar como una cuenta independiente durante un período de tiempo antes de migrar a la nueva organización.

Para permitir que una cuenta funcione como una cuenta independiente, compruebe lo siguiente:

  • Asegúrese de que la verificación de su teléfono esté actualizada.

  • Asegúrese de haber agregado un método de pago válido para la cuenta a fin de poder pagar cualquier cargo en el que se incurra durante la migración de la cuenta.

  • Si utiliza la facturación como método de pago, asegúrese de que la factura esté actualizada.

Paso 4: haga una copia de seguridad de todos los informes

Asegúrese de exportar o hacer copias de seguridad de los informes de la cuenta de administración, especialmente los informes de facturación. Los informes y el historial de la organización no se almacenan al migrar una cuenta. Solo puede acceder a los informes de la cuenta miembro, como el historial de eventos de AWS CloudTrail y el historial de facturación de la cuenta.

importante

Todos los informes y el historial de la organización, como la información de facturación de la organización en la cuenta de administración, se eliminarán una vez que se elimine una cuenta de la organización.

Para obtener más información, consulte Cost and Usage Reports, Cost Explorer Reports, Savings Plans Reports y Reserved Instance (RI) utilization and coverage.

Paso 5: compruebe las dependencias de la organización

Asegúrese de que la cuenta que se está migrando no tenga ninguna dependencia relacionada con la organización.

Dependencias que hay que comprobar:

  • Si la cuenta es un administrador delegado, debe anular el registro de los permisos de administrador delegado antes de migrar la cuenta. Para obtener más información, consulte Services you can use with AWS Organizations.

  • Si la cuenta es la cuenta de administración, debe eliminar todas las cuentas miembro de la organización y eliminar la organización antes de llevar a cabo la migración. Una vez que haya eliminado la organización, su cuenta de administración funcionará como una cuenta independiente. Tras la migración, la cuenta de administración será una cuenta miembro de la nueva organización. Para obtener más información, consulte Deleting an organization.

  • Si algún permiso de IAM depende de la cuenta, tendrá que ajustar los permisos de la organización anterior después de migrar la cuenta a la nueva organización para que la antigua funcione como antes. Para obtener más información, consulte Managing access permissions for your organization.

  • Si utiliza alguna etiqueta de cuenta o unidad organizativa (OU), tendrá que volver a crear las etiquetas en la nueva organización.

(Opcional) Paso 6: revise las pautas si utiliza AWS Control Tower

Si va a migrar una cuenta hacia o desde una organización administrada por AWS Control Tower, consulte la siguiente guía prescriptiva de AWS: Migrate an AWS member account from AWS Organizations to AWS Control Tower.

Lo que debe hacer para migrar una cuenta

El proceso de migración requiere que la nueva organización envíe una invitación a la cuenta de migración, que la organización anterior elimine la cuenta de migración y que la cuenta que migra acepte la invitación para unirse a la nueva organización.

Para migrar una cuenta

  1. Envíe una invitación desde la cuenta de administración de la nueva organización a la cuenta de migración. Debe enviar la invitación a la cuenta antes de que abandone la organización anterior. Esto ayuda a minimizar los costos incurridos cuando la cuenta que se migra funciona temporalmente como una cuenta independiente. Para obtener información sobre cómo invitar cuentas, consulte Inviting an Cuenta de AWS to join your organization.

  2. Elimine la cuenta que va a migrar de la organización anterior. Puede eliminar una cuenta miembro de su organización con la cuenta de administración o abandonar una organización como cuenta miembro.

  3. Acepte la invitación para unirse a la nueva organización. Para obtener más información, consulte Accepting an invitation from an organization. Las cuentas que se migren de una organización a otra se agregarán automáticamente a la raíz de la nueva organización. Antes de trasladar una cuenta a una unidad organizativa (OU) de la nueva organización, se recomienda comprobar que la cuenta que se está migrando tenga las políticas organizativas y los permisos de la OU adecuados.

  4. Si desea migrar la cuenta de administración, debe eliminar todas las cuentas miembro de la organización y eliminar la organización antes de migrar la cuenta de administración a la nueva organización. Una vez que haya eliminado la organización anterior, su cuenta de administración funcionará como una cuenta independiente y podrá aceptar la invitación para unirse a la nueva organización. Si acepta la invitación, la cuenta de administración se convertirá en una cuenta miembro de la nueva organización.

Lo que debe hacer después de migrar una cuenta

Tras migrar su cuenta de una organización a otra, asegúrese de haber completado los siguientes pasos.

Revisión posterior a la migración

  1. Evalúe todas las configuraciones de las herramientas de facturación de la cuenta migrada, como las categorías de costos, los presupuestos y las alarmas de facturación.

  2. Revise y actualice la siguiente información monetaria de cualquier cuenta que haya migrado de una organización a otra:

    1. Si es necesario, actualice la configuración fiscal de la cuenta.

    2. Asegúrese de que el plan de AWS Support de la cuenta que va a migrar coincida con la cuenta del pagador de la nueva organización.

    3. Revise las posibles exenciones fiscales que quiera aplicar a la cuenta que migró.

  3. Valide y confirme las políticas de IAM y las políticas de control de servicios (SCP) actuales de la cuenta migrada. Por ejemplo, quizás necesite actualizar el ID de la organización de algunas políticas de IAM para que reflejen la nueva organización.

  4. Actualice las etiquetas de asignación de costos de la nueva organización a la que migró la cuenta. Deberá actualizar todas las etiquetas de asignación de costos anteriores recopiladas por la cuenta que ha migrado.

  5. Todas las instancias reservadas y Saving Plans se migrarán junto con la cuenta. Estos no se conservan en la organización anterior. Contacte con AWS Support si es necesario transferirlos a la organización anterior.