Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
La cuenta de administración, el acceso de confianza y los administradores delegados
| Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWSSRA) realizando una breve encuesta |
La cuenta de administración (también denominada cuenta de AWS Organization Management o cuenta de Org Management) es única y se diferencia de todas las demás cuentas de AWS Organizations. Es la cuenta que crea la organización de AWS. Desde esta cuenta, puede crear cuentas de AWS en la organización de AWS, invitar a otras cuentas existentes a la organización de AWS (ambos tipos se consideran cuentas de miembros), eliminar cuentas de la organización de AWS y aplicar políticas de IAM a la raíz, a las OU o a las cuentas de la organización de AWS.
La cuenta de administración implementa barreras de seguridad universales a través de SCP e implementaciones de servicios (como AWS CloudTrail) que afectarán a todas las cuentas de los miembros de la organización de AWS. Para restringir aún más los permisos en la cuenta de administración, esos permisos se pueden delegar a otra cuenta adecuada, como una cuenta de seguridad, siempre que sea posible.
La cuenta de administración tiene las responsabilidades de una cuenta de pago y es responsable de todos los cargos devengados por las cuentas miembro. No puede cambiar la cuenta de administración de una organización de AWS. Una cuenta de AWS solo puede ser miembro de una organización de AWS a la vez.
Debido a la funcionalidad y el alcance de la influencia de la cuenta de administración, le recomendamos que limite el acceso a esta cuenta y que conceda permisos únicamente a los roles que los necesiten. Dos funciones que le ayudan a hacerlo son el acceso confiable y el administrador delegado. Puede utilizar el acceso de confianza para permitir que un servicio de AWS que especifique, denominado servicio de confianza, realice tareas en su organización de AWS y sus cuentas en su nombre. Esto implica conceder permisos al servicio de confianza, pero no afecta de otro modo a los permisos de las entidades de IAM. Puede utilizar el acceso de confianza para especificar los ajustes y los detalles de configuración que desea que el servicio de confianza mantenga en las cuentas de su organización de AWS en su nombre. Por ejemplo, en la sección de cuentas de administración de la SRA de AWS se explica cómo conceder al CloudTrail servicio de AWS un acceso de confianza para crear un registro de CloudTrail la organización en todas las cuentas de su organización de AWS.
Algunos servicios de AWS admiten la función de administrador delegado en AWS Organizations. Con esta función, los servicios compatibles pueden registrar una cuenta de miembro de AWS en la organización de AWS como administrador de las cuentas de la organización de AWS en ese servicio. Esta capacidad proporciona flexibilidad para que los distintos equipos de la empresa utilicen cuentas independientes, según corresponda a sus responsabilidades, para gestionar los servicios de AWS en todo el entorno. Los servicios de seguridad de AWS en la SRA de AWS que actualmente admiten administradores delegados incluyen AWS IAM Identity Center (sucesor del AWS Single Sign-On), AWS Config, AWS Firewall Manager, Amazon, AWS IAM Access Analyzer GuardDuty, Amazon Macie, AWS Security Hub, Amazon Detective, AWS Audit Manager, Amazon Inspector y AWS Systems Manager AWS Systems Manager. En la SRA de AWS se hace hincapié en el uso de la función de administrador delegado como práctica recomendada, y delegamos la administración de los servicios relacionados con la seguridad en la cuenta Security Tooling.
