Acceso a las cuentas miembro de una organización con AWS Organizations

Al crear una cuenta en la organización, además del usuario raíz, AWS Organizations crea automáticamente un rol de IAM con el nombre predeterminado OrganizationAccountAccessRole. Puede especificar un nombre diferente al crearlo; sin embargo, le recomendamos que le asigne un nombre coherente en todas sus cuentas. AWS Organizations no crear ningún otro usuario o rol.

Para tener acceso a las cuentas de su organización, debe utilizar uno de los siguientes métodos:

Uso del usuario raíz (no se recomienda para las tareas diarias)

Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión que tiene acceso completo a todos los recursos y Servicios de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz para sus tareas diarias. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que solo el usuario raíz pueda realizar. Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM. Para obtener recomendaciones de seguridad adicionales para los usuarios raíz, consulte Mejores prácticas para los usuarios raízCuenta de AWS.

Uso del rol de IAM OrganizationAccountAccessRole

Si crea una cuenta usando las herramientas proporcionadas como parte de AWS Organizations, puede tener acceso a la cuenta usando un rol preconfigurado denominado OrganizationAccountAccessRole que existe en todas las cuentas nuevas que usted crea de esta forma. Para obtener más información, consulte Acceso a una cuenta miembro que tiene OrganizationAccountAccessRole con AWS Organizations.

Si invita a una cuenta existente a que se una a su organización y la cuenta acepta la invitación, puede elegir crear un rol de IAM que permita a la cuenta de administración tener acceso a la cuenta de miembro invitada. Se pretende que este rol sea idéntico al rol que se añade automáticamente a una cuenta que se crea con AWS Organizations. Para crear esta función, consulte Creación de OrganizationAccountAccessRole en una cuenta miembro invitada con AWS Organizations. Después de crear la función, puede tener acceso a él siguiendo los pasos de Acceso a una cuenta miembro que tiene OrganizationAccountAccessRole con AWS Organizations.

Uso de un acceso de confianza para IAM Identity Center

Utilice AWS IAM Identity Center y habilite el acceso de confianza para IAM Identity Center con AWS Organizations. Los usuarios pueden iniciar sesión en el portal de acceso de AWS con sus credenciales corporativas y acceder a recursos en sus cuentas de administración o de miembro asignadas.

Para obtener más información, consulte Multi-account permissions (Permisos de varias cuentas) en la Guía del usuario de AWS IAM Identity Center. Para obtener más información acerca de cómo configurar el acceso de confianza para IAM Identity Center, consulte AWS IAM Identity Center y AWS Organizations.