Conceder permisos para actualizar los atributos de la cuenta

Descripción de los modos de operación de la API

Las operaciones de la API que funcionan con los atributos de una Cuenta de AWS siempre funcionan en uno de estos dos modos de operación:

Contexto independiente: este modo se usa cuando un usuario o rol de una cuenta accede o cambia un atributo de la cuenta en la misma cuenta. El modo de contexto independiente se usa automáticamente cuando usted no incluye el parámetro AccountId al llamar a una de las operaciones de la AWS CLI de Account Management o del SDK de AWS.
Contexto de organizaciones: este modo se usa cuando un usuario o rol en la cuenta de una organización accede o cambia un atributo de cuenta en una cuenta de miembro diferente en la misma organización. El modo de contexto de organizaciones se utiliza automáticamente cuando usted incluye el parámetro AccountId al llamar a una de las operaciones de la AWS CLI de Account Management o del SDK de AWS. En este modo, solo puede llamar a las operaciones desde la cuenta de administración de la organización o desde la cuenta de administrador delegado para Account Management.

Las operaciones de la AWS CLI y del SDK de AWS pueden funcionar tanto en un contexto independiente como en un contexto de organizaciones.

Si no incluye el parámetro AccountId, la operación se ejecuta en el contexto independiente y aplica automáticamente la solicitud a la cuenta que utilizó para realizarla. Esto es cierto independientemente de que la cuenta sea miembro de una organización o no.
Si incluye el parámetro AccountId, la operación se ejecuta en el contexto de organizaciones y funciona en la cuenta de Organizations especificada.
- Si la cuenta que llama a la operación es la cuenta de administración o la cuenta de administrador delegado del servicio de Account Management, puede especificar cualquier cuenta de miembro de esa organización en el parámetro AccountId para actualizar la cuenta especificada.
- La única cuenta de una organización que puede llamar a una de las operaciones de contacto alternativo y especificar su propio número de cuenta en el parámetro AccountId es la cuenta especificada como cuenta de administrador delegado del servicio de Account Management. Cualquier otra cuenta, incluida la cuenta de administración, recibe una excepción AccessDenied.
Si ejecuta una operación en modo independiente, debe tener permiso para ejecutar la operación con una política de IAM que incluya un elemento Resource de "*" para permitir todos los recursos o un ARN que utilice la sintaxis de una cuenta independiente.
Si ejecuta una operación en modo de organizaciones, debe tener permiso para ejecutar la operación con una política de IAM que incluya un elemento Resource de "*" para permitir todos los recursos o un ARN que utilice la sintaxis de una cuenta de miembro en una organización.

Conceder permisos para actualizar los atributos de la cuenta

Como ocurre con la mayoría de las operaciones de AWS, se conceden permisos para agregar, actualizar o eliminar atributos de Cuentas de AWS mediante políticas de permisos de IAM. Cuando adjunta una política de permisos de IAM a una entidad principal de IAM (ya sea un usuario o un rol), especifica qué acciones puede realizar esa entidad principal, en qué recursos y en qué condiciones.

Las siguientes son algunas consideraciones específicas de Account Management para crear una política de permisos.

Formato del Nombre de recurso de Amazon para Cuentas de AWS

El Nombre de recurso de Amazon (ARN) de una Cuenta de AWS que puede incluir en el elemento resource de una declaración de política se crea de forma diferente en función de si la cuenta a la que desea hacer referencia es una cuenta independiente o una cuenta corporativa. Consulte la sección anterior en Descripción de los modos de operación de la API.
- Un ARN de cuenta para una cuenta independiente:
```
arn:aws:account::{AccountId}:account
```
  Debe utilizar este formato cuando ejecuta una operación de atributos de cuenta en modo independiente al no incluir el parámetro AccountID.
- Un ARN de cuenta para una cuenta de miembro en una organización:
```
arn:aws:account::{ManagementAccountId}:account/o-{OrganizationId}/{AccountId}
```
  Debe utilizar este formato cuando ejecuta una operación de atributos de cuenta en modo de organizaciones e incluye el parámetro AccountID.

Claves de contexto para las políticas de IAM

El servicio de Account Management también brinda varias claves de condición específicas del servicio de Account Management que ofrecen un control detallado de los permisos que concede.

`account:AccountResourceOrgPaths`

La clave de contexto account:AccountResourceOrgPaths le permite especificar una ruta a través de la jerarquía de su organización hasta una unidad organizativa (UO) específica. Solo las cuentas de miembro incluidas en esa UO cumplen esta condición. El siguiente fragmento de ejemplo restringe la política para que se aplique únicamente a las cuentas que se encuentran en una de las dos UO especificadas.

Como account:AccountResourceOrgPaths es un tipo de cadena con varios valores, debe utilizar los operadores de cadena con varios valores ForAnyValue o ForAllValues. Además, tenga en cuenta que el prefijo de la clave de condición es account, aunque esté haciendo referencia a las rutas de acceso a las unidades organizativas en una organización.


"Condition": {
    "ForAnyValue:StringLike": {
        "account:AccountResourceOrgPaths": [
            "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/*", 
            "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h222/*"
        ]
    }
}

`account:AccountResourceOrgTags`

La clave de contexto account:AccountResourceOrgTags le permite hacer referencia a las etiquetas que se pueden asociar a una cuenta en una organización. Una etiqueta es un par de cadena clave-valor que puede utilizar para categorizar y etiquetar los recursos en su cuenta. Para obtener más información, consulte Tag Editor en la Guía del usuario de Grupos de recursos de AWS. Para obtener información sobre el uso de etiquetas como parte de una estrategia de control de acceso basada en atributos, consulte What is ABAC for AWS en la Guía del usuario de IAM. El siguiente fragmento de ejemplo restringe la política para que se aplique únicamente a las cuentas de una organización que tengan la etiqueta con la clave project y un valor de blue o red.

Como account:AccountResourceOrgTags es un tipo de cadena con varios valores, debe utilizar los operadores de cadena con varios valores ForAnyValue o ForAllValues. Además, tenga en cuenta que el prefijo de la clave de condición es account, aunque esté haciendo referencia a las etiquetas en la cuenta de miembro de una organización


"Condition": {
    "ForAnyValue:StringLike": {
        "account:AccountResourceOrgTags/project": [
            "blue", 
            "red"
        ]
    }
}

nota

Solo puede adjuntar etiquetas a una cuenta de una organización. No puede adjuntar etiquetas a una Cuenta de AWS independiente.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cuándo se debe usar AWS Control Tower

Configure su cuenta