Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
La cuenta de administración, el acceso de confianza y los administradores delegados
| Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta |
La cuenta de administración (también llamada cuenta de administración de la AWS organización o cuenta de administración de la organización) es única y se diferencia de todas las demás cuentas de AWS Organizations. Es la cuenta que crea la AWS organización. Desde esta cuenta, puede crear AWS cuentas en la AWS organización, invitar a otras cuentas existentes a la AWS organización (ambos tipos se consideran cuentas de miembros), eliminar cuentas de la AWS organización y aplicar IAM políticas a la raíz o a las cuentas de la AWS organización. OUs
La cuenta de administración implementa barreras de seguridad universales SCPs y despliegues de servicios (por ejemplo AWS CloudTrail) que afectarán a todas las cuentas de los miembros de la organización. AWS Para restringir aún más los permisos en la cuenta de administración, esos permisos se pueden delegar en otra cuenta adecuada, como una cuenta de seguridad, siempre que sea posible.
La cuenta de administración tiene las responsabilidades de una cuenta de pago y es responsable de todos los cargos devengados por las cuentas miembro. No puede cambiar la cuenta de administración de una AWS organización. Una AWS cuenta solo puede ser miembro de una AWS organización a la vez.
Debido a la funcionalidad y el alcance de la influencia que tiene la cuenta de administración, le recomendamos que limite el acceso a esta cuenta y conceda permisos solo a los roles que los necesiten. Dos funciones que le ayudan a hacerlo son el acceso confiable y el administrador delegado. Puede usar el acceso de confianza para habilitar un AWS servicio que especifique, denominado servicio de confianza, para realizar tareas en su AWS organización y sus cuentas en su nombre. Esto implica conceder permisos al servicio de confianza, pero no afecta de otro modo a los permisos de IAM las entidades. Puede usar el acceso de confianza para especificar los ajustes y los detalles de configuración que desea que el servicio de confianza mantenga en las cuentas de su AWS organización en su nombre. Por ejemplo, en la sección de cuentas de administración de la organización se AWS SRA explica cómo conceder al AWS CloudTrail servicio un acceso de confianza para crear un registro CloudTrail organizativo en todas las cuentas de AWS la organización.
Algunos AWS servicios admiten la función de administrador delegado en AWS Organizations. Con esta función, los servicios compatibles pueden registrar una cuenta de AWS miembro en la AWS organización como administrador de las cuentas de la AWS organización en ese servicio. Esta capacidad proporciona flexibilidad a los distintos equipos de la empresa para que utilicen cuentas independientes, según corresponda a sus responsabilidades, a fin de gestionar AWS los servicios en todo el entorno. Los servicios de AWS seguridad AWS SRA que actualmente admiten el administrador delegado incluyen AWS IAM Identity Center (sucesor de AWS Single Sign-On), AWS Config, AWS Firewall Manager, Amazon, AWS IAM Access Analyzer GuardDuty, Amazon Macie, Security AWS Hub, Amazon Detective, Audit AWS Manager, Amazon Inspector y Systems Manager. AWS AWSSRAComo práctica recomendada, se hace hincapié en el uso de la función de administrador delegado, y delegamos la administración de los servicios relacionados con la seguridad en la cuenta Security Tooling.
