Cuándo se debe usar AWS Organizations

AWS Organizations es un servicio de AWS que puede usar para administrar su Cuentas de AWS como grupo. Ofrece características como la facturación consolidada, en la que todas las facturas de sus cuentas se agrupan y son administradas por un único pagador. También puede administrar de forma centralizada la seguridad de su organización mediante controles basados en políticas. Para obtener más información sobre AWS Organizations, consulte la Guía del usuario de AWS Organizations.

Acceso de confianza

Cuando utiliza AWS Organizations para administrar sus cuentas como grupo, la mayoría de las tareas administrativas de la organización solo las puede realizar la cuenta de administración de la organización. De forma predeterminada, esto incluye solo las operaciones relacionadas con la administración de la propia organización. Puede extender esta funcionalidad adicional a otros servicios de AWS si habilita el acceso de confianza entre Organizations y ese servicio. El acceso de confianza otorga permisos al servicio de AWS especificado para acceder a la información sobre la organización y las cuentas que contiene. Cuando habilita el acceso de confianza para Account Management, el servicio de Account Management otorga a Organizations y a sus cuentas de administración permisos para acceder a los metadatos, como la información del contacto principal o alternativo, de todas las cuentas de los miembros de la organización.

Para obtener más información, consulte Habilitación del acceso de confianza para AWS Account Management.

Administrador delegado

Luego de habilitar el acceso de confianza, también puede optar por designar una de sus cuentas de miembro como cuenta de administrador delegado para AWS Account Management. Esto permite que la cuenta de administrador delegado realice las mismas tareas de administración de metadatos de Account Management para las cuentas de los miembros de su organización que anteriormente solo podía realizar la cuenta de administración. La cuenta de administrador delegado solo puede acceder a las tareas del servicio de Account Management. La cuenta de administrador delegado no tiene todos los accesos administrativos a la organización que tiene la cuenta de administración.

Para obtener más información, consulte Habilitación de una cuenta de administrador delegado para AWS Account Management.

Políticas de control de servicios

Si su Cuenta de AWS forma parte de una organización administrada por AWS Organizations, el administrador de la organización puede aplicar políticas de control de servicios (SCP) que pueden limitar lo que pueden hacer las entidades principales de las cuentas de los miembros. Una SCP nunca concede permisos; más bien, es un filtro que limita los permisos que puede usar la cuenta de miembro. Un usuario o rol (entidad principal) en una cuenta de miembro solo puede realizar las operaciones que se encuentren en la intersección de lo permitido por las SCP aplicables a la cuenta y las políticas de permisos de IAM asociadas a la entidad principal. Por ejemplo, puede usar los SCP para evitar que la entidad principal de una cuenta modifique los contactos alternativos de su propia cuenta.

Para ver las SCP de ejemplo aplicables a Cuentas de AWS, consulte Restricción del acceso mediante políticas de control de servicios de AWS Organizations.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ventajas de usar múltiples Cuentas de AWS

Habilitar el acceso de confianza