Asignación de acceso a la Cuenta de AWS a grupos
Tras crear un usuario administrativo en Centro de identidades de IAM y crear los conjuntos de permisos adicionales que puede utilizar para realizar tareas con los permisos de privilegio mínimo, puede proporcionar acceso a sus Cuentas de AWS a grupos de usuarios.
Se recomienda asignar el acceso directamente a grupos en lugar de a usuarios individuales. Por ejemplo, si crea grupos y conjuntos de permisos basados en unidades organizativas, si un usuario cambia a una unidad organizativa diferente, simplemente tiene que mover a ese usuario a un grupo diferente y, automáticamente, recibirá los permisos necesarios para la nueva unidad organizativa y perderá los permisos de la unidad organizativa anterior.
Para asignar acceso a grupos de usuarios a las Cuentas de AWS
-
Abra la consola de Centro de identidades de IAM
nota
Antes de continuar con el paso siguiente, si el origen de identidad es AWS Managed Microsoft AD, compruebe que la consola de Centro de identidades de IAM utiliza alguna de las regiones donde se encuentra su directorio de AWS Managed Microsoft AD.
-
En el panel de navegación, en Permisos para varias cuentas, elijaCuentas de AWS.
-
En la página Cuentas de AWS, aparece una lista de su organización en forma de árbol. Seleccione la casilla de verificación situada junto a una o varias Cuentas de AWS a las que desea asignar el acceso mediante inicio de sesión único.
nota
Puede seleccionar hasta 10 Cuentas de AWS por conjunto de permisos.
-
Seleccione Asignar usuarios o grupos.
-
En Paso 1: selección de usuarios y grupos, en la página Asignar usuarios y grupos a “
nombre-de-cuenta-de-AWS”, seleccione la pestaña Grupos y, a continuación, elija uno o más grupos.Para filtrar los resultados, escriba el nombre del grupo que desea en el cuadro de búsqueda.
Para mostrar los grupos que ha seleccionado, seleccione el triángulo lateral situado junto a Usuarios y grupos seleccionados.
Tras confirmar que se hayan seleccionado los grupos correctos, seleccione Siguiente.
-
En Paso 2: selección de conjuntos de permisos, en la página Asignar conjuntos de permisos a “
nombre-de-cuenta-de-AWS”, seleccione uno o varios conjuntos de permisosnota
Si no creó el conjunto de permisos que desea antes de iniciar este procedimiento, seleccione Crear conjunto de permisos y siga los pasos que se indican en Crea un conjunto de permisos.. Tras crear los conjuntos de permisos que desea aplicar, en la consola de Centro de identidades de IAM, vuelva a las Cuentas de AWS y siga las instrucciones hasta llegar al paso 2: seleccionar conjuntos de permisos. Cuando llegue a este paso, seleccione los nuevos conjuntos de permisos que ha creado y continúe con el siguiente paso de este procedimiento.
Tras confirmar que se haya seleccionado los conjuntos de permisos correctos, seleccione Siguiente.
-
Para el Paso 3: Revisar y enviar, en la página Revisar y enviar las tareas a "
AWS-nombre-de-cuenta", haga lo siguiente:-
Revise los grupos y los conjuntos de permisos seleccionados.
-
Tras confirmar que se hayan seleccionado los grupos y los conjuntos de permisos correctos, seleccione Enviar.
importante
El proceso de asignación de grupos puede tardar unos minutos en completarse. Es importante que deje esta página abierta hasta que se complete el proceso correctamente.
nota
Es posible que deba conceder permisos a los usuarios o grupos para operar en la cuenta de administración de AWS Organizations. Como se trata de una cuenta con muchos privilegios, las restricciones de seguridad adicionales requieren que tenga la política IAMFullAccess
o permisos equivalentes antes de poder configurarla. Estas restricciones de seguridad adicionales no son necesarias para ninguna de las cuentas de los miembros de su organización AWS.
-
Como alternativa, puede utilizar AWS CloudFormation para crear y asignar conjuntos de permisos y asignar usuarios a esos conjuntos de permisos. A continuación, los usuarios pueden iniciar sesión en el portal de acceso de AWS o utilizar los comandos de la AWS Command Line Interface (AWS CLI).
