Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Control Tower y AWS Organizations

AWS Control Tower ofrece una forma sencilla de configurar y gobernar un entorno con varias cuentas de AWS, de acuerdo con las prácticas recomendadas prescriptivas. La orquestación de AWS Control Tower amplía las capacidades de AWS Organizations.AWS Control Tower aplica controles preventivos y de detección (barreras de protección) para ayudar a evitar que sus organizaciones y cuentas diverjan de las mejores prácticas (desviación).

La orquestación de AWS Control Tower amplía las capacidades de AWS Organizations.

Para obtener más información, consulte la Guía del usuario de AWS Control Tower.

Utilice la siguiente información para ayudarle a integrar AWS Control Tower con AWS Organizations.

Roles necesarios para la integración

El rol AWSControlTowerExecution debe estar presente en todas las cuentas inscritas. Permite a AWS Control Tower administrar sus cuentas individuales y notificar información sobre ellas a sus cuentas de auditoría y archivo de registros.

Para obtener más información sobre los roles utilizados por AWS Control Tower, consulte Cómo funciona AWS Control Tower con roles para crear y administrar cuentas y Uso de políticas basadas en identidad (políticas de IAM) para AWS Control Tower.

Entidades principales del servicio utilizadas por AWS Control Tower

AWS Control Tower utiliza la entidad principal del servicio controltower.amazonaws.com.

Habilitar el acceso de confianza con AWS Control Tower

AWS Control Tower utiliza un acceso fiable para detectar desviaciones en los controles preventivos y realizar un seguimiento de los cambios de cuentas y unidades organizativas que causan desviaciones.

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Puede habilitar el acceso de confianza mediante las herramientas Organizations.

Para habilitar el acceso de confianza desde la consola de Organizations, seleccione Enable access junto a AWS Control Tower.

Puede habilitar el acceso de confianza ejecutando el comando de Organizations AWS CLI, o llamando a una operación API de Organizations en uno de los SDK de AWS.

AWS CLI, AWS API

Para habilitar el acceso de confianza mediante Organizations CLI/SDK

Puede utilizar los siguientes comandos de la AWS CLI o las operaciones de API para habilitar el acceso del servicio de confianza:

• AWS CLI: enable-aws-service-access

  Puede ejecutar el siguiente comando para habilitar AWS Control Tower como servicio de confianza con Organizations.

  $ aws organizations enable-aws-service-access \
      --service-principal controltower.amazonaws.com

  Este comando no genera ninguna salida si se realiza correctamente.

• API de AWS: EnableAWSServiceAccess

Deshabilitación del acceso con AWS Control Tower

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.

Solo puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza ejecutando un comando de Organizations AWS CLI, o bien llamando a una operación de API de Organizations en uno de los AWS SDK.

AWS CLI, AWS API

Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK

Puede utilizar los siguientes comandos de la AWS CLI o las operaciones de API para deshabilitar el acceso del servicio de confianza:

• AWS CLI: disable-aws-service-access

  Puede ejecutar el siguiente comando para deshabilitar AWS Control Tower como servicio de confianza con Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal controltower.amazonaws.com

  Este comando no genera ninguna salida si se realiza correctamente.

• API de AWS: DisableAWSServiceAccess