Administración delegada
La administración delegada proporciona una forma cómoda para que los usuarios asignados a una cuenta miembro registrada realicen la mayoría de las tareas administrativas de Centro de identidades de IAM. Al activar Centro de identidades de IAM, su instancia de Centro de identidades de IAM se crea en la cuenta de administración de AWS Organizations de forma predeterminada. Se diseñó originalmente de esta manera para que Centro de identidades de IAM pudiera aprovisionar, desaprovisionar y actualizar las características en todas las cuentas de los miembros de su organización. Aunque la instancia de Centro de identidades de IAM debe residir siempre en la cuenta de administración, puede optar por delegar la administración de Centro de identidades de IAM a una cuenta miembro de AWS Organizations, lo que amplía la capacidad de administrar Centro de identidades de IAM desde fuera de la cuenta de administración.
Habilitar la administración delegada proporciona los siguientes beneficios:
-
Minimiza la cantidad de personas que necesitan acceder a la cuenta de administración para ayudar a mitigar los problemas de seguridad
-
Permite a determinados administradores asignar usuarios y grupos a las aplicaciones y a las cuentas de los miembros de su organización
Para obtener más información sobre el funcionamiento de Centro de identidades de IAM con AWS Organizations, consulte Acceso a Cuenta de AWS. Para obtener información adicional y revisar un ejemplo de escenario empresarial que muestre cómo configurar la administración delegada, consulte Getting started with Centro de identidades de IAM delegated administration
Temas
Prácticas recomendadas
Estas son algunas prácticas recomendadas antes de configurar la administración delegada.
-
Otorgue el mínimo privilegio a la cuenta de administración: dado que la cuenta de administración es una cuenta con muchos privilegios y para cumplir con el principio de privilegios mínimos, le recomendamos encarecidamente que restrinja el acceso a la cuenta de administración al menor número posible de personas. La característica de administrador delegado tiene por objeto minimizar el número de personas que necesitan acceder a la cuenta de administración.
-
Cree conjuntos de permisos para usarlos únicamente en la cuenta de administración: esto facilita la administración de conjuntos de permisos diseñados específicamente para los usuarios que acceden a su cuenta de administración y ayuda a diferenciarlos de los conjuntos de permisos administrados por su cuenta de administrador delegado.
-
Tenga en cuenta su ubicación de Active Directory: si piensa utilizar Active Directory como fuente de identidad de Centro de identidades de IAM, localice el directorio en la cuenta del miembro en la que haya activado la característica de administrador delegado de Centro de identidades de IAM. Si decide cambiar la fuente de identidad de Centro de identidades de IAM de cualquier otra fuente a Active Directory, o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir en (ser propiedad de) la cuenta de miembro administrador delegado de Centro de identidades de IAM, si existe alguna; de lo contrario, debe estar en la cuenta de administración.
-
Cree asignaciones de usuarios únicamente en la cuenta de administración: el administrador delegado no puede modificar los conjuntos de permisos aprovisionados en la cuenta de administración. Sin embargo, los administradores delegados pueden añadir, editar y eliminar grupos y asignaciones de grupo.
Requisitos previos
Antes de poder registrar una cuenta como administrador delegado, primero debe configurar el siguiente entorno implementado:
-
AWS Organizations debe estar habilitado y configurado con al menos una cuenta miembro además de la cuenta de administración predeterminada.
-
Si su fuente de identidad está configurada en Active Directory, la característica Centro de identidades de IAM y sincronización de AD configurable debe estar habilitada.
