Administración de permisos en su organización de - AWS Organizations
AWS Organizations recursos y operacionesTitularidad de los recursosAdministración del acceso a los recursos de Especificación de elementos de política: acciones, condiciones, efectos y recursos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de permisos en su organización de

Todos los AWS recursos, incluidas las raícesOUs, las cuentas y las políticas de una organización, son propiedad de un Cuenta de AWS, y los permisos para crear un recurso o acceder a ellos se rigen por las políticas de permisos. Para una organización, su cuenta de administración posee todos los recursos. El administrador de una cuenta puede controlar el acceso a AWS los recursos adjuntando políticas de permisos a IAM las identidades (usuarios, grupos y roles).

nota

Un administrador de la cuenta (o usuario administrador) es un usuario con permisos de administrador. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen permisos y qué acciones específicas desea permitir en esos recursos.

De forma predeterminada, IAM los usuarios, los grupos y los roles no tienen permisos. Como administrador de la cuenta de administración de una organización, puede realizar tareas administrativas o delegar los permisos de administrador a otros IAM usuarios o funciones de la cuenta de administración. Para ello, debe adjuntar una política de IAM permisos a un IAM usuario, grupo o rol. De forma predeterminada, un usuario no tiene ningún permiso; esto recibe el nombre de denegación implícita. La política invalida la denegación implícita con un permiso explícito que especifica las acciones que puede realizar el usuario y los recursos que puede utilizar en las acciones. Si los permisos se conceden a un rol, los usuarios de otras cuentas de la organización pueden asumir ese rol.

AWS Organizations recursos y operaciones

En esta sección se analiza cómo AWS Organizations los conceptos se relacionan con sus conceptos IAM equivalentes.

Recursos

En AWS Organizations, puede controlar el acceso a los siguientes recursos:

  • La raíz y la OUs que componen la estructura jerárquica de una organización

  • Las cuentas que son miembros de la organización

  • Las políticas que adjunta a las entidades de la organización

  • Los protocolos que usa para cambiar el estado de la organización

Cada uno de estos recursos tiene asociado un nombre de recurso de Amazon (ARN) único. El acceso a un recurso se controla especificándolo ARN en el Resource elemento de una política de IAM permisos. Para obtener una lista completa de los ARN formatos de los recursos que se utilizan AWS Organizations, consulte los tipos de recursos definidos AWS Organizations en la Referencia de autorización de servicios.

Operaciones

AWS proporciona un conjunto de operaciones para trabajar con los recursos de una organización. Estas operaciones le permiten realizar tareas como crear, mostrar, modificar y eliminar recursos y obtener acceso a su contenido. Se puede hacer referencia a la mayoría de las operaciones en el Action elemento de una IAM política para controlar quién puede utilizar esa operación. Para obtener una lista de AWS Organizations las operaciones que se pueden usar como permisos en una IAM política, consulte las acciones definidas por las organizaciones en la Referencia de autorización de servicios.

Al combinar un elemento Action y un elemento Resource en el elemento Statement de una política de permisos, puede controlar exactamente qué recursos de ese conjunto concreto de acciones se pueden usar.

Claves de condición

AWS proporciona claves de condición que puede consultar para proporcionar un control más detallado sobre determinadas acciones. Puede hacer referencia a estas claves de condición en el Condition elemento de una IAM política para especificar las circunstancias adicionales que deben cumplirse para que la afirmación se considere coincidente.

Las siguientes claves de condición son especialmente útiles en AWS Organizations:

  • aws:PrincipalOrgID - simplifica la especificación del elemento Principal en una política basada en recursos. Esta clave global ofrece una alternativa a enumerar todas IDs las cuentas Cuentas de AWS de una organización. En lugar de mostrar todas las cuentas de la organización, puede especificar el ID de organización en el elemento Condition.

    nota

    Esta condición global también se aplica a la cuenta de administración de una organización.

    Para obtener más información, consulte la descripción de las claves de contexto de las condiciones AWS globales PrincipalOrgID en la Guía del IAM usuario.

  • aws:PrincipalOrgPaths - Utiliza esta clave de condición para hacer coincidir los miembros de una raíz de organización específica, una unidad organizativa o sus secundarias. La clave de aws:PrincipalOrgPaths condición vuelve a ser verdadera cuando el principal (usuario raíz, IAM usuario o rol) que realiza la solicitud se encuentra en la ruta de la organización especificada. Una ruta es una representación textual de la estructura de una AWS Organizations entidad. Para obtener más información sobre las rutas, consulte Comprender la ruta de la AWS Organizations entidad en la Guía del IAM usuario. Para obtener más información sobre el uso de esta clave de condición, consulte aws: PrincipalOrgPaths en la Guía del IAM usuario.

    Por ejemplo, el siguiente elemento de condición coincide con los miembros de cualquiera de las dos organizaciones OUs de la misma organización.

                "Condition": {
                "ForAnyValue:StringLike": {
                    "aws:PrincipalOrgPaths": [
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
                    ]
                }
            }

  • organizations:PolicyType— Puede utilizar esta clave de condición para restringir las API operaciones relacionadas con las políticas de la Organización para que funcionen únicamente con las políticas de la Organización del tipo especificado. Puede aplicar esta clave de condición a cualquier instrucción de política que incluya una acción que interactúe con las políticas de Organizations.

    Puede utilizar los siguientes valores con esta clave de condición:

    • AISERVICES_OPT_OUT_POLICY

    • BACKUP_POLICY

    • SERVICE_CONTROL_POLICY

    • TAG_POLICY

    Por ejemplo, la siguiente política de ejemplo permite al usuario realizar cualquier operación de Organizations. Sin embargo, si el usuario realiza una operación que toma un argumento de política, la operación solo se permite si la política especificada es una política de etiquetado. La operación produce un error si el usuario especifica cualquier otro tipo de política.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
            "Effect": "Allow",
            "Action": "organizations:*",
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:PolicyType": [ "TAG_POLICY" ]
                }
            }
        }
    ]
}

  • organizations:ServicePrincipal— Disponible como condición si utiliza las operaciones E nableAWSService Access o D isableAWSService Access para habilitar o deshabilitar el acceso confiable con otros AWS servicios. Puede utilizar organizations:ServicePrincipal para limitar las solicitudes que esas operaciones realizan a una lista de nombres de principal de servicio aprobados.

    Por ejemplo, la siguiente política permite al usuario especificar únicamente AWS Firewall Manager cuándo habilitar o deshabilitar el acceso de confianza con AWS Organizations.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowOnlyAWSFirewallIntegration",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
                }
            }
        }
    ]
}

Para ver una lista de todas las claves de condición AWS Organizations específicas que se pueden usar como permisos en una IAM política, consulte las claves de condición de la Referencia AWS Organizations de autorización de servicios.

Titularidad de los recursos

Cuenta de AWS Es propietario de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es el Cuenta de AWS de la entidad principal (es decir, el usuario raíz, un IAM usuario o un IAM rol) que autentica la solicitud de creación del recurso. En el caso de una organización, esa es siempre la cuenta de administración. No puede llamar a la mayoría de las operaciones que crean o tiene acceso a los recursos de la organización desde las cuentas miembro. Los siguientes ejemplos ilustran cómo funciona:

  • Si utiliza las credenciales de cuenta raíz de su cuenta de administración para crear una unidad organizativa, su cuenta de administración será la propietaria del recurso. (En AWS Organizations, el recurso es la OU).

  • Si crea un IAM usuario en su cuenta de administración y concede permisos para crear una OU a ese usuario, el usuario puede crear una OU. Sin embargo, la cuenta de administración, a la que pertenece el usuario, es la propietaria del recurso de unidad organizativa.

  • Si crea un IAM rol en su cuenta de administración con permisos para crear una OU, cualquier persona que pueda asumir la función podrá crear una OU. La cuenta de administración, a la que pertenece el rol (y no el usuario que lo asume), es la propietaria del recurso de unidad organizativa.

Administración del acceso a los recursos de

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se analiza el uso IAM en el contexto de AWS Organizations. No proporciona información detallada sobre el IAM servicio. Para obtener IAM la documentación completa, consulte la Guía IAM del usuario. Para obtener información sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia de IAM JSON políticas en la Guía del IAM usuario.

Las políticas asociadas a una IAM identidad se denominan políticas basadas en la identidad (IAMpolíticas). Las políticas adjuntas a un recurso se denominan políticas basadas en recursos. AWS Organizations solo admite políticas basadas en la identidad (políticas). IAM

Políticas de permisos basadas en la identidad (políticas de IAM)

Puede adjuntar políticas a las IAM identidades para permitir que esas identidades realicen operaciones en AWS los recursos. Por ejemplo, puede hacer lo siguiente:

  • Adjunte una política de permisos a un usuario o grupo de su cuenta: para conceder a un usuario permisos para crear un AWS Organizations recurso, como una política de control de servicios (SCP) o una OU, puede adjuntar una política de permisos a un usuario o grupo al que pertenezca el usuario. El usuario o grupo debe estar en la organización de la cuenta de administración.

  • Adjuntar una política de permisos a un rol (conceder permisos para varias cuentas): puede adjuntar una política de permisos basada en la identidad a un IAM rol para conceder el acceso multicuenta a una organización. Por ejemplo, el administrador de la cuenta de administración puede crear un rol para conceder permisos entre cuentas a un usuario de una cuenta miembro de la siguiente manera:

    1. El administrador de la cuenta de administración crea un IAM rol y adjunta una política de permisos al rol que otorga permisos a los recursos de la organización.

    2. El administrador de la cuenta de administración asocia una política de confianza al rol, que identifica el ID de la cuenta miembro como la entidad Principal, la cual puede asumir el rol.

    3. El administrador de la cuenta miembro puede delegar entonces permisos para asumir el rol a cualquier usuario de la cuenta miembro. Esto permite a los usuarios de la cuenta miembro crear o tener acceso a los recursos de la cuenta de administración y la organización. El principal de la política de confianza también puede ser un director de AWS servicio si quieres conceder permisos a un AWS servicio para que asuma el rol.

    Para obtener más información sobre cómo IAM delegar permisos, consulte Administración del acceso en la Guía del IAM usuario.

A continuación se ofrecen ejemplos de políticas que permite a un usuario realizar la acción CreateAccount en su organización.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"Stmt1OrgPermissions",
         "Effect":"Allow",
         "Action":[
            "organizations:CreateAccount"
         ],
         "Resource":"*"
      }
   ]
}

También puede incluir una parte ARN en el Resource elemento de la política para indicar el tipo de recurso.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowCreatingAccountsOnResource",
         "Effect":"Allow",
         "Action":"organizations:CreateAccount",
         "Resource":"arn:aws:organizations::*:account/*"
      }
   ]
}

También puede denegar la creación de cuentas que no incluyan etiquetas específicas en la cuenta que se está creando.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
         "Effect":"Deny",
         "Action":"organizations:CreateAccount",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/key":"value"
            }
         }
      }
   ]
}

Para obtener más información sobre los usuarios, los grupos, las funciones y los permisos, consulte IAMlas identidades (usuarios, grupos de usuarios y funciones) en la Guía del IAM usuario.

Políticas basadas en recursos

Algunos servicios, como Amazon S3, admiten políticas de permisos basadas en recursos. Por ejemplo, puede adjuntar una política a un bucket de Amazon S3 para gestionar los permisos de acceso a ese bucket. AWS Organizations actualmente no admite políticas basadas en recursos.

Especificación de elementos de política: acciones, condiciones, efectos y recursos

Para cada AWS Organizations recurso, el servicio define un conjunto de API operaciones o acciones que pueden interactuar con ese recurso o manipularlo de alguna manera. Para conceder permisos para estas operaciones, AWS Organizations define un conjunto de acciones que puede especificar en una política. Por ejemplo, para el recurso OU, AWS Organizations define acciones como las siguientes:

  • AttachPolicy y DetachPolicy

  • CreateOrganizationalUnit y DeleteOrganizationalUnit

  • ListOrganizationalUnits y DescribeOrganizationalUnit

En algunos casos, realizar una API operación puede requerir permisos para más de una acción y puede requerir permisos para más de un recurso.

Los siguientes son los elementos más básicos que puede utilizar en una política de IAM permisos:

  • Action - Puede utilizar esta palabra clave para identificar las operaciones (acciones) que desea permitir o denegar. Por ejemplo, según lo especificadoEffect, organizations:CreateAccount permite o deniega al usuario los permisos para realizar la AWS Organizations CreateAccount operación. Para obtener más información, consulte los elementos IAM JSON de la política: Acción en la Guía del IAM usuario.

  • Recurso: utilice esta palabra clave para especificar ARN el recurso al que se aplica la declaración de política. Para obtener más información, consulte los elementos IAM JSON de política: recurso en la Guía del IAM usuario.

  • Condition - Utilice esta palabra clave para especificar condiciones adicionales que se deben cumplir para que la instrucción de política sea aplicable. Condition suele especificar circunstancias adicionales que deben estar definidas como "true" para que la política coincida. Para obtener más información, consulte los elementos IAM JSON de política: Condición en la Guía del IAM usuario.

  • Effect - Puede utilizar esta palabra clave para especificar si la instrucción de la política permite o deniega la acción en el recurso. Si no concede acceso de forma explícita (o permite) un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso; de esta forma, se asegurará de que un usuario no pueda realizar la acción especificada en el recurso especificado, incluso si otra política otorga acceso. Para obtener más información, consulte los elementos IAM JSON de política: Efecto en la Guía del IAM usuario.

  • Principal: en las políticas basadas en la identidad (IAMpolíticas), el usuario al que está asociada la política es el principal de forma automática e implícita. En el caso de las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad a la que desea recibir los permisos (solo se aplica a las políticas basadas en recursos). AWS Organizations actualmente solo admite políticas basadas en la identidad, no en políticas basadas en recursos.

Para obtener más información sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia de IAM JSON políticas en la Guía del usuario. IAM