Conceptos y terminología de AWS Organizations

Todas las características: el conjunto de características predeterminadas disponibles para AWS Organizations. Puede establecer políticas centrales y requisitos de configuración para toda la organización, crear capacidades o permisos personalizados dentro de la organización, administrar y organizar sus cuentas en una sola factura y delegar responsabilidades a otras cuentas en nombre de la organización. También puede utilizar las integraciones con otros Servicios de AWS para definir las configuraciones centrales, los mecanismos de seguridad, los requisitos de auditoría y el uso compartido de recursos entre todas las cuentas miembro de su organización. Para obtener más información, consulte Uso de AWS Organizations con otros Servicios de AWS.

El modo Todas las características proporciona todas las capacidades de facturación unificada junto con las capacidades administrativas.

Facturación unificada: este conjunto de características proporciona funcionalidad de facturación compartida, pero no incluye las características más avanzadas de AWS Organizations. Por ejemplo, no puede habilitar otros servicios de AWS para que se integren con su organización a fin de trabajar en todas sus cuentas, ni usar políticas para restringir lo que los usuarios y roles de diferentes cuentas pueden hacer.

Puede habilitar todas las características de una organización que originalmente solo admitía las características de facturación unificada. Para habilitar todas las características, todas las cuentas miembro invitadas deben aprobar el cambio aceptando la invitación que se envía cuando la cuenta de administración inicia el proceso. Para obtener más información, consulte Activación de todas las características de una organización con AWS Organizations.

Una organización es un conjunto de Cuentas de AWS que puede administrar de forma centralizada y organizar en una estructura jerárquica similar a un árbol, con un nodo raíz en la parte superior y unidades organizativas anidadas debajo de la raíz. Cada cuenta puede estar directamente en el nodo raíz o colocarse en una de las unidades organizativas de la jerarquía.

Cada organización se compone de los siguientes elementos:

Una organización tiene la funcionalidad determinada por el conjunto de características habilitadas.

Hay un nodo raíz administrativo (raíz) en la cuenta de administración que actúa como el punto de partida para organizar Cuentas de AWS. El nodo raíz es el contenedor que corona la jerarquía de la organización. Bajo este nodo raíz, puede crear unidades organizativas (OU) para agrupar sus cuentas de forma lógica y organizar estas OU en la jerarquía que mejor se adapte a sus necesidades.

Si aplica una política de administración al nodo raíz, esta se aplica a todas las unidades organizativas y cuentas, incluida la cuenta de administración de la organización.

Si aplica una política de autorización (por ejemplo, una política de control de servicios (SCP)) al nodo raíz, se aplicará a todas las unidades organizativas (OU) y a las cuentas miembro de la organización. No se aplica a la cuenta de administración de la organización.

Una unidad organizativa (OU) es un grupo de Cuentas de AWS dentro de una organización. Una OU también puede contener otras OU, lo que permite crear una jerarquía. Por ejemplo, puede agrupar todas las cuentas que pertenezcan al mismo departamento en una OU departamental. Del mismo modo, puede agrupar todas las cuentas que ponen en marcha servicios de seguridad en una OU de seguridad.

Las OU son útiles cuando necesita aplicar los mismos controles a un subconjunto de cuentas de su organización. El anidamiento de las OU permite unidades de administración más pequeñas. Por ejemplo, puede crear OU para cada carga de trabajo y, a continuación, crear dos OU anidadas en cada OU de carga de trabajo para dividir las cargas de trabajo de producción de las de preproducción. Estas OU heredan las políticas de la unidad organizativa principal, además de los controles asignados directamente a la OU del equipo. Si se incluye el nodo raíz y las Cuentas de AWS creados en las OU en los niveles más bajos, la jerarquía puede tener cinco niveles de profundidad.

Una Cuenta de AWS es un contenedor para sus recursos de AWS. Usted crea y administra sus recursos de AWS en una Cuenta de AWS y la Cuenta de AWS proporciona capacidades administrativas para el acceso y la facturación.

El uso de varias Cuentas de AWS es una práctica recomendada para escalar su entorno, ya que proporciona un límite de facturación para los costos, aísla los recursos por motivos de seguridad, brinda flexibilidad a las personas y los equipos y se puede adaptar a los nuevos procesos.

Hay dos tipos de cuentas en una organización: una cuenta única que se denomina la cuenta de administración y una o más cuentas miembro.

Una cuenta de administración es la Cuenta de AWS que se utiliza para crear la organización. Desde la cuenta de administración, puede hacer lo siguiente:

La cuenta de administración es el propietario final de la organización y tiene el control final sobre las políticas de seguridad, infraestructura y finanzas. Esta cuenta tiene el rol de cuenta de pago y es responsable de todos los cargos devengados por las cuentas de su organización.

Una cuenta miembro es una Cuenta de AWS, distinta de la cuenta de administración, que forma parte de una organización. Si es un administrador de una organización, puede crear cuentas miembro e invitar a cuentas existentes a unirse a la organización. También puede aplicar políticas a las cuentas miembro.

Le recomendamos que utilice la cuenta de administración de y sus usuarios y roles únicamente para las tareas que deba realizar dicha cuenta. Almacene todos sus recursos de AWS en otras cuentas de miembros de la organización y manténgalos fuera de la cuenta de administración. Esto se debe a que las características de seguridad, como las políticas de control de servicios (SCP) de las organizaciones, no restringen ningún usuario usuarios ni rol de la cuenta de administración. Separar los recursos de su cuenta de administración también lo ayudará a comprender los cargos de sus facturas. Desde la cuenta de administración de la organización, puede designar una o más cuentas de miembros como cuentas de administrador delegado para ayudarlo a implementar esta recomendación. Hay dos tipos de administradores delegados:

Una invitación es el proceso de pedir a otra cuenta que se una a su organización. Únicamente la cuenta de administración de la organización puede emitir una invitación. La invitación se amplía al ID de la cuenta o a la dirección de correo electrónico asociada a la cuenta invitada. Una vez que la cuenta invitada acepta una invitación, pasa a ser una cuenta miembro de la organización. También se pueden enviar invitaciones a todas las cuentas miembro actuales cuando la organización necesita que todos los miembros aprueben el cambio de admitir únicamente las características de la facturación unificada a admitir todas las características de la organización. Las invitaciones funcionan mediante el intercambio de protocolos de enlace (handshakes) entre cuentas. Es posible que no vea protocolos de enlace cuando trabaja en la consola de AWS Organizations. No obstante, si utiliza la AWS CLI o la API de AWS Organizations, tiene que trabajar directamente con los protocolos de enlace.

Un establecimiento de comunicación es un proceso de varios pasos para intercambiar información entre dos partes. Uno de sus usos principales en AWS Organizations es servir de implementación subyacente de las invitaciones. Los mensajes de protocolos de enlace se transfieren entre el iniciador del protocolo de enlace y el destinatario y los responden ellos mismos. Los mensajes se transfieren de una forma que ayuda a garantizar que ambas partes sepan cuál es el estado actual. Los protocolos de enlace se usan también cuando la organización cambia de admitir solo las características de facturación unificada a admitir todas las características que ofrece AWS Organizations. Por lo general, solo necesita interactuar con los protocolos de enlace si trabaja en la API o en las herramientas de línea de comandos de AWS Organizations, como la AWS CLI.

Una política de copia de seguridad es un tipo de política que le permite estandarizar e implementar una estrategia de copia de seguridad de los recursos de todas las cuentas de su organización. En una Política de copia de seguridad, puede configurar e implementar planes de copia de seguridad para sus recursos.

Una política de etiquetas es un tipo de política que le permite estandarizar las etiquetas en todos los recursos de las cuentas de su organización. En una política de etiquetas, puede especificar las reglas de etiquetado de recursos específicos.

Una política de chatbots es un tipo de política que le permite controlar el acceso a las cuentas de su organización desde aplicaciones de chat como Slack y Microsoft Teams. En una política de chatbots, restringe el acceso a espacios de trabajo (Slack) y equipos (Microsoft Teams) específicos.

Una política de exclusión de servicios de IA es un tipo de política que le permite estandarizar la configuración de exclusión para servicios de IA de AWS de todas las cuentas de su organización. Ciertos servicios de IA AWS pueden almacenar y utilizar el contenido del cliente procesado por dichos servicios para el desarrollo y la mejora continua de los servicios y tecnologías de IA de Amazon. En una política de exclusión de servicios de IA, puede usar las políticas de exclusión de servicios de IA para que su contenido no se almacene ni se use para mejorar el servicio.

Una política de control de servicio es una política que especifica los servicios y las acciones que los usuarios y roles pueden utilizar en las cuentas afectadas por la SCP. Las SCP son similares a las políticas de permisos de IAM, con la salvedad de que no conceden permisos. En su lugar, las SCP especifican el máximo de permisos para una organización, unidad organizativa (OU) o cuenta. Al asociar una SCP al nodo raíz de la organización o a una unidad organizativa, la SCP limita los permisos para las entidades de las cuentas miembro.

Las listas de permitidos y las listas de denegación son estrategias complementarias para cuando se aplican SCP para filtrar los permisos que están disponibles para las cuentas.