Creación de OrganizationAccountAccessRole en una cuenta miembro invitada con AWS Organizations
De forma predeterminada, si crea una cuenta miembro como parte de su organización, AWS crea automáticamente un rol en la cuenta que concede permisos de administrador a los usuarios de IAM en la cuenta maestra. De forma predeterminada, este rol se denomina OrganizationAccountAccessRole
. Para obtener más información, consulte Acceso a una cuenta miembro que tiene OrganizationAccountAccessRole con AWS Organizations.
Sin embargo, a las cuentas miembro a las que invite a unirse a su organización no se les crea automáticamente un rol de administrador. Tiene que hacerlo manualmente, tal y como se muestra en el siguiente procedimiento. Lo que este procedimiento hace básicamente es duplicar el rol configurado de forma automática para las cuentas creadas. Le recomendamos que utilice el mismo nombre, OrganizationAccountAccessRole
, para los roles creados manualmente en aras de la coherencia y para que sea fácil de recordar.
- AWS Management Console
-
Para crear un rol de administrador de AWS Organizations en una cuenta miembro
-
Inicie sesión en la consola de IAM en https://console.aws.amazon.com/iam/. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de miembro. El usuario o el rol deben tener permiso para crear roles y políticas de IAM.
-
En la consola de IAM, vaya a Roles y, a continuación, seleccione Crear rol.
-
Elija Cuenta de AWS y, a continuación, seleccione Otra Cuenta de AWS.
-
Ingrese el número de ID de 12 dígitos de la cuenta maestra a la que desea conceder acceso de administrador. En Opciones, tenga en cuenta lo siguiente:
-
Para este rol, dado que las cuentas son internas a su empresa, no debe seleccionar Require external ID. Para obtener más información acerca de la opción de ID externo, consulte ¿Cuándo debería utilizar un ID externo? en la Guía del usuario de IAM.
-
Si ha habilitado y configurado MFA, puede elegir que se requiera autenticación mediante un dispositivo MFA. Para obtener más información sobre MFA, consulte Uso de la autenticación multifactor (MFA) en AWS en la Guía del usuario de IAM.
-
Elija Siguiente.
-
En la página Agregar permisos, elija la política administrada por AWS denominada AdministratorAccess
y, a continuación, seleccione Siguiente.
-
En la página Asignar nombre, revisar y crear, especifique un nombre del rol y una descripción opcional. Le recomendamos que utilice OrganizationAccountAccessRole
para mantener la coherencia con el nombre predeterminado asignado al rol en las cuentas nuevas. Para confirmar los cambios, elija Crear rol.
-
Su nuevo rol aparecerá en la lista de roles disponibles. Seleccione el nombre del nuevo rol para ver los detalles y preste especial atención a la URL de enlace facilitada. Entregue esta URL a los usuarios de la cuenta miembro que necesitan tener acceso al rol. Además, anote el Role ARN (ARN de rol), ya que lo necesitará en el paso 15.
-
Inicie sesión en la consola de IAM en https://console.aws.amazon.com/iam/. Esta vez, inicie sesión como usuario de la cuenta de administración con permisos para crear políticas y asignarlas a los usuarios o grupos.
-
Vaya a Políticas y, a continuación, seleccione Crear política.
-
En Service, seleccione STS.
-
En Actions (Acciones), comience a escribir AssumeRole
en el cuadro Filter (Filtro) y marque la casilla cuando aparezca.
-
Seleccione Recursos, asegúrese de que Específico esté seleccionado y seleccione Agregar ARN.
-
Escriba su número de ID de cuenta miembro de AWS y, a continuación, el nombre del rol que haya creado anteriormente en los pasos 1-8. Seleccione Agregar ARN.
-
Si está concediendo un permiso para asumir la función en varias cuentas miembro, repita los pasos 14 y 15 para cada cuenta.
-
Elija Siguiente.
-
En la página Revisar y crear, ingrese un nombre para la nueva política y, a continuación, seleccione Crear política para guardar los cambios.
-
Elija Grupos de usuarios en el panel de navegación y, a continuación, elija el nombre del grupo (no la casilla) que desea utilizar para delegar la administración de la cuenta miembro.
-
Elija la pestaña Permisos.
-
Elija Agregar permisos, luego Asociar políticas y, a continuación, seleccione la política que creó en los pasos 11-18.
Los usuarios que sean miembros del grupo seleccionado ahora pueden utilizar las direcciones URL que anotó en el paso 9 para obtener acceso al rol de cada cuenta miembro. Pueden obtener acceso a estas cuentas miembro de la misma forma que lo harían si tuvieran acceso a una cuenta que usted haya creado en la organización. Para obtener más información sobre el uso del rol para administrar una cuenta miembro, consulte Acceso a una cuenta miembro que tiene OrganizationAccountAccessRole con AWS Organizations.