Acceder a las cuentas de los miembros de una organización con AWS Organizations

Al crear una cuenta en la organización, además del usuario raíz,AWS Organizations crea automáticamente un rol de IAM con el nombre predeterminado OrganizationAccountAccessRole. Puedes especificar un nombre diferente al crearla, pero te recomendamos que le pongas un nombre uniforme en todas tus cuentas. AWS Organizations no crea ningún otro usuario o rol.

Para tener acceso a las cuentas de su organización, debe utilizar uno de los siguientes métodos:

Uso del usuario raíz (no se recomienda para las tareas diarias)

Al crear una nueva cuenta de miembro en su organización, la cuenta no tiene credenciales de usuario raíz de forma predeterminada. Las cuentas de miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz a menos que la recuperación de cuentas esté habilitada.

Puede centralizar el acceso raíz a las cuentas de los miembros para eliminar las credenciales de los usuarios raíz de las cuentas de los miembros existentes en su organización. Al eliminar las credenciales del usuario raíz, se eliminan la contraseña del usuario raíz, las claves de acceso y los certificados de firma y se desactiva la autenticación multifactor (MFA). Estas cuentas de miembros no tienen credenciales de usuario raíz, no pueden iniciar sesión como usuarios raíz y no pueden recuperar la contraseña del usuario raíz. Las cuentas nuevas que cree en Organizations no tienen credenciales de usuario raíz de forma predeterminada.

Póngase en contacto con el administrador si necesita realizar una tarea que requiera credenciales de usuario raíz en una cuenta de miembro en la que no estén presentes las credenciales de usuario raíz.

Para acceder a su cuenta de miembro como usuario root, debe realizar el proceso de recuperación de la contraseña. Para más información, consulte He olvidado la contraseña del usuario raíz de mi cuenta de Cuenta de AWS en la Guía del usuario de Inicio de sesión en AWS .

Si debe acceder a la cuenta de un miembro con el usuario root, siga estas prácticas recomendadas:

No utilices el usuario root para acceder a tu cuenta, excepto para crear otros usuarios y roles con permisos más limitados. A continuación, inicie sesión como uno de los usuarios o roles.
Habilite la autenticación multifactor (MFA) en el usuario raíz. Restablezca la contraseña y asigne un dispositivo MFA al usuario raíz.

Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulta Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM. Para obtener más recomendaciones de seguridad para los usuarios root, consulte las mejores prácticas para los usuarios root Cuenta de AWS en la Guía del usuario de IAM.

Uso de un acceso de confianza para IAM Identity Center

Utilice AWS IAM Identity Centery habilite el acceso confiable al Centro de Identidad de IAM con. AWS Organizations Esto permite a los usuarios iniciar sesión en el portal de AWS acceso con sus credenciales corporativas y acceder a los recursos de la cuenta de administración o las cuentas de los miembros que tengan asignadas.

Para obtener más información, consulte Multi-account permissions (Permisos de varias cuentas) en la Guía del usuario de AWS IAM Identity Center . Para obtener más información acerca de cómo configurar el acceso de confianza para IAM Identity Center, consulte AWS IAM Identity Center y AWS Organizations.

Uso del rol de IAM OrganizationAccountAccessRole

Si crea una cuenta con las herramientas que se proporcionan como parte de ella AWS Organizations, puede acceder a la cuenta mediante el rol preconfigurado denominado OrganizationAccountAccessRole que existe en todas las cuentas nuevas que cree de esta manera. Para obtener más información, consulte Acceso a una cuenta miembro que tiene OrganizationAccountAccessRole con AWS Organizations.

Si invita a una cuenta existente a que se una a su organización y la cuenta acepta la invitación, puede elegir crear un rol de IAM que permita a la cuenta de administración tener acceso a la cuenta de miembro invitada. Se pretende que este rol sea idéntico al rol que se añade automáticamente a una cuenta que se crea con AWS Organizations.

Para crear esta función, consulte Creación de OrganizationAccountAccessRole en una cuenta miembro invitada con AWS Organizations.

Después de crear la función, puede tener acceso a él siguiendo los pasos de Acceso a una cuenta miembro que tiene OrganizationAccountAccessRole con AWS Organizations.

Permisos mínimos

Para acceder y Cuenta de AWS desde cualquier otra cuenta de su organización, debe tener el siguiente permiso:

sts:AssumeRole - El elemento Resource debe estar establecido en un asterisco (*) o en el ID de la cuenta con el número de la cuenta con la que el usuario necesita obtener acceso a la nueva cuenta de miembro.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Creación de una cuenta de miembro

Creación de un rol de acceso de IAM