Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acceso a las cuentas miembro de la organización
Al crear una cuenta en la organización, además del usuario raíz, AWS Organizations crea automáticamente un rol de IAM con el nombre predeterminado OrganizationAccountAccessRole
. Puede especificar un nombre diferente al crearlo; sin embargo, le recomendamos que le asigne un nombre coherente en todas sus cuentas. En esta guía, haremos referencia al rol por el nombre predeterminado. AWS Organizations no crea ningún otro usuario o rol. Para tener acceso a las cuentas de su organización, debe utilizar uno de los siguientes métodos:
-
Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión que tiene acceso completo a todos los recursos y servicios de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz para sus tareas diarias. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que solo el usuario raíz pueda realizar. Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM. Para obtener recomendaciones de seguridad adicionales para los usuarios raíz, consulte Mejores prácticas para los usuarios raízCuenta de AWS.
-
Si crea una cuenta usando las herramientas proporcionadas como parte de AWS Organizations, puede tener acceso a la cuenta usando un rol preconfigurado denominado
OrganizationAccountAccessRole
que existe en todas las cuentas nuevas que usted crea de esta forma. Para obtener más información, consulte Acceso a una cuenta miembro con un rol de acceso a la cuenta de administración. -
Si invita a una cuenta existente a que se una a su organización y la cuenta acepta la invitación, puede elegir crear un rol de IAM que permita a la cuenta de administración tener acceso a la cuenta de miembro invitada. Se pretende que este rol sea idéntico al rol que se añade automáticamente a una cuenta que se crea con AWS Organizations. Para crear esta función, consulte Crear la OrganizationAccountAccessRole cuenta en un miembro invitado. Después de crear la función, puede tener acceso a él siguiendo los pasos de Acceso a una cuenta miembro con un rol de acceso a la cuenta de administración.
-
Utilice AWS IAM Identity Center y habilite el acceso de confianza para IAM Identity Center con AWS Organizations. Los usuarios pueden iniciar sesión en el portal de acceso de AWS con sus credenciales corporativas y acceder a recursos en sus cuentas de administración o de miembro asignadas.
Para obtener más información, consulte Multi-account permissions (Permisos de varias cuentas) en la Guía del usuario de AWS IAM Identity Center. Para obtener más información acerca de cómo configurar el acceso de confianza para IAM Identity Center, consulte AWS IAM Identity Center y AWS Organizations.
Permisos mínimos
Para tener acceso a una Cuenta de AWS desde cualquier otra cuenta de su organización, debe contar con el permiso siguiente:
-
sts:AssumeRole
- El elementoResource
debe estar establecido en un asterisco (*) o en el ID de la cuenta con el número de la cuenta con la que el usuario necesita obtener acceso a la nueva cuenta miembro.
Acceso a una cuenta miembro como usuario raíz
Al crear una nueva cuenta, AWS Organizations asigna inicialmente al usuario raíz una contraseña con un mínimo de 64 caracteres. Todos los caracteres se generan de forma aleatoria sin garantías en cuanto al aspecto de determinados conjuntos de caracteres. No puede recuperar esta contraseña inicial. Para obtener acceso a la cuenta como usuario raíz por primera vez, debe seguir el proceso de recuperación de contraseña. Para obtener más información, consulte He olvidado la contraseña de mi usuario root Cuenta de AWS en la Guía del usuario de AWS inicio de sesión.
Notas
-
Como práctica recomendada, recomendamos que no utilice el usuario raíz para obtener acceso a su cuenta excepto para crear otros usuarios y funciones con permisos más limitados. A continuación, inicie sesión como uno de los usuarios o roles.
-
También le recomendamos que habilite la autenticación multifactor (MFA) en el usuario raíz. Restablezca la contraseña y asigne un dispositivo MFA al usuario raíz.
-
Si ha creado una cuenta de miembro en una organización con una dirección de correo electrónico incorrecta, no podrá iniciar sesión en la cuenta como usuario raíz. Póngase en contacto con AWS Billing and Support
para obtener ayuda.
Crear la OrganizationAccountAccessRole cuenta en un miembro invitado
De forma predeterminada, si crea una cuenta miembro como parte de su organización, AWS crea automáticamente un rol en la cuenta que concede permisos de administrador a los usuarios de IAM en la cuenta maestra. De forma predeterminada, este rol se denomina OrganizationAccountAccessRole
. Para obtener más información, consulte Acceso a una cuenta miembro con un rol de acceso a la cuenta de administración.
Sin embargo, a las cuentas miembro a las que invite a unirse a su organización no se les crea automáticamente un rol de administrador. Tiene que hacerlo manualmente, tal y como se muestra en el siguiente procedimiento. Lo que este procedimiento hace básicamente es duplicar el rol configurado de forma automática para las cuentas creadas. Le recomendamos que utilice el mismo nombre, OrganizationAccountAccessRole
, para los roles creados manualmente en aras de la coherencia y para que sea fácil de recordar.
Los usuarios que sean miembros del grupo seleccionado ahora pueden utilizar las direcciones URL que anotó en el paso 9 para obtener acceso al rol de cada cuenta miembro. Pueden obtener acceso a estas cuentas miembro de la misma forma que lo harían si tuvieran acceso a una cuenta que usted haya creado en la organización. Para obtener más información sobre el uso del rol para administrar una cuenta miembro, consulte Acceso a una cuenta miembro con un rol de acceso a la cuenta de administración.
Acceso a una cuenta miembro con un rol de acceso a la cuenta de administración
Cuando crea una cuenta miembro con la consola de AWS Organizations, AWS Organizations crea automáticamente un rol de IAM denominado OrganizationAccountAccessRole
en la cuenta. Este rol tiene permisos administrativos completos en la cuenta miembro. El ámbito de acceso de este rol incluye todas las entidades principales de la cuenta de administración, de modo que el rol esté configurado para conceder ese acceso a la cuenta de administración de la organización. Puede crear un rol idéntico para una cuenta miembro invitada siguiendo los pasos que se indican en Crear la OrganizationAccountAccessRole cuenta en un miembro invitado. Para utilizar este rol para tener acceso a la cuenta miembro, debe iniciar sesión como usuario de la cuenta de administración con permisos para asumir el rol. Para configurar estos permisos, siga este procedimiento. Le recomendamos que conceda permisos a los grupos en lugar de a los usuarios para simplificar el mantenimiento.
Los usuarios de IAM que sean miembros del grupo ahora tendrán permisos para cambiar el nuevo rol en la consola de AWS Organizations siguiendo el procedimiento que se detalla a continuación.
Recursos adicionales
-
Para obtener más información sobre la concesión de permisos para cambiar de rol, consulte Otorgar permisos a un usuario para cambiar de rol en la Guía del usuario de IAM.
-
Para obtener más información sobre el uso de un rol para el que se le han otorgado permisos, consulte Cambiar a un rol (consola) en la Guía del usuario de IAM.
-
Para ver un tutorial sobre el uso de roles para el acceso entre cuentas, consulte el Tutorial: Delegar el acceso a través del Cuentas de AWS uso de roles de IAM en la Guía del usuario de IAM.
-
Para obtener más información acerca de cómo cerrar Cuentas de AWS, consulte Cierre de una cuenta miembro de la organización.