Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cuándo usar AWS Organizations
<a name="using-orgs"></a>

AWS Organizations es un AWS servicio que puedes usar para administrarte Cuentas de AWS como grupo. Ofrece características como la facturación consolidada, en la que todas las facturas de sus cuentas se agrupan y son administradas por un único pagador. También puede administrar de forma centralizada la seguridad de su organización mediante controles basados en políticas. Para obtener más información al respecto AWS Organizations, consulte la [Guía AWS Organizations del usuario](https://docs.aws.amazon.com/organizations/latest/userguide/).

**Acceso de confianza**

Cuando se utilizan AWS Organizations para administrar las cuentas como grupo, la mayoría de las tareas administrativas de la organización solo las puede realizar la *cuenta de administración* de la organización. De forma predeterminada, esto incluye solo las operaciones relacionadas con la administración de la propia organización. Puede extender esta funcionalidad adicional a otros AWS servicios habilitando el *acceso confiable* entre Organizations y ese servicio. El acceso de confianza otorga permisos al AWS servicio especificado para acceder a la información sobre la organización y las cuentas que contiene. Cuando habilita el acceso de confianza para Account Management, el servicio de Account Management otorga a Organizations y a sus cuentas de administración permisos para acceder a los metadatos, como la información del contacto principal o alternativo, de todas las cuentas de los miembros de la organización. 

Para obtener más información, consulte [Habilite el acceso confiable para la administración de AWS cuentas](using-orgs-trusted-access.md).

**Administrador delegado**

Después de habilitar el acceso confiable, también puedes elegir designar una de tus cuentas de miembro como cuenta de *administrador delegado* para la administración de AWS cuentas. Esto permite que la cuenta de administrador delegado realice las mismas tareas de administración de metadatos de Account Management para las cuentas de los miembros de su organización que anteriormente solo podía realizar la cuenta de administración. La cuenta de administrador delegado solo puede acceder a las tareas del servicio de Account Management. La cuenta de administrador delegado no tiene todos los accesos administrativos a la organización que tiene la cuenta de administración.

Para obtener más información, consulte [Habilitar una cuenta de administrador delegado para la administración de AWS cuentas](using-orgs-delegated-admin.md).

**Políticas de control de servicios**

Si formas Cuenta de AWS parte de una organización gestionada por AWS Organizations, el administrador de la organización puede aplicar [políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) que pueden limitar lo que pueden hacer los directores de las cuentas de los miembros. Una SCP nunca concede permisos; más bien, es un filtro que limita los permisos que puede usar la cuenta de miembro. Un usuario o *un rol (principal*) de la cuenta de un miembro solo puede realizar las operaciones que se encuentren en la intersección de lo permitido por las SCPs políticas de permisos de la cuenta y las políticas de permisos de IAM asociadas al principal. Por ejemplo, se puede utilizar SCPs para impedir que el principal de una cuenta modifique los contactos alternativos de su propia cuenta.

Por ejemplo, SCPs los que se aplican a Cuentas de AWS, consulte[Restrinja el acceso mediante políticas de control de AWS Organizations servicios](using-orgs-example-scps.md).

# Habilite el acceso confiable para la administración de AWS cuentas
<a name="using-orgs-trusted-access"></a>

Al habilitar el acceso de confianza para la administración de AWS cuentas, el administrador de la cuenta de administración puede modificar la información y los metadatos (por ejemplo, los detalles de contacto principales o alternativos) específicos de cada cuenta de miembro AWS Organizations. Para obtener más información, consulte [AWS Account Management and AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account) en la *Guía del usuario de AWS Organizations *. Para obtener información general sobre cómo funciona el acceso confiable, consulte [Uso AWS Organizations con otros AWS servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).

Una vez habilitado el acceso de confianza, puede usar el parámetro `accountID` en las [operaciones de la API de Account Management](API_Operations.md) que lo admitan. Puede usar este parámetro correctamente solo si llama a la operación con las credenciales de la cuenta de administración o desde la cuenta de administrador delegado de su organización, si habilita una. Para obtener más información, consulte [Habilitar una cuenta de administrador delegado para la administración de AWS cuentas](using-orgs-delegated-admin.md).

Utilice el siguiente procedimiento para habilitar el acceso de confianza para Account Management en su organización.

**Permisos mínimos**  
Para realizar estas tareas, debe cumplir con los siguientes requisitos:  
Puede realizar esto únicamente desde la cuenta de administración de la organización.
Su organización debe tener [habilitadas todas las características](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html).

------
#### [ Consola de administración de AWS ]

**Para habilitar el acceso confiable para la administración de AWS cuentas**

1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

1. En el panel de navegación, elija **Servicios**.

1. Seleccione **AWS Account Management** en la lista de servicios.

1. Elija **Habilitar acceso de confianza**.

1. En el cuadro de diálogo **Habilitar el acceso de confianza para la administración de AWS cuentas**, escriba **habilitar** para confirmarlo y, a continuación, elija **Habilitar el acceso de confianza**.

------
#### [ AWS CLI & SDKs ]

**Para habilitar el acceso confiable para la administración de AWS cuentas**  
Luego de ejecutar este comando, puede usar las credenciales de la cuenta de administración de la organización para llamar a las operaciones de la API de Account Management que utilizan el parámetro `--accountId` para hacer referencia a las cuentas de miembro en una organización.
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  El siguiente ejemplo permite un acceso confiable para la administración de AWS cuentas en la organización de la cuenta que realiza la llamada.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal account.amazonaws.com
  ```

  Este comando no genera ningún resultado si se utiliza correctamente.

------

# Habilitar una cuenta de administrador delegado para la administración de AWS cuentas
<a name="using-orgs-delegated-admin"></a>

Habilitas una cuenta de administrador delegado para poder acceder a las operaciones de la AWS API de administración de cuentas de otros miembros. AWS Organizations Después de registrar una cuenta de administrador delegado para su organización, los usuarios y los roles de esa cuenta pueden llamar a las operaciones AWS CLI y del AWS SDK en el espacio de `account` nombres que pueden funcionar en el modo Organizations al admitir un parámetro opcional. `AccountId`

Para registrar una cuenta de miembro en su organización como cuenta de administrador delegado, utilice el siguiente procedimiento.

------
#### [ AWS CLI & SDKs ]

**Cómo registrar una cuenta de administrador delegado para el servicio de Account Management**  
Puede utilizar los siguientes comandos para habilitar un administrador delegado para el servicio de Account Management.

**Permisos mínimos**  
Para realizar estas tareas, debe cumplir con los siguientes requisitos:  
Puede realizar esto únicamente desde la cuenta de administración de la organización.
Su organización debe tener [habilitadas todas las características](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html).
Debe haber [habilitado el acceso de confianza para Account Management en su organización](using-orgs-trusted-access.md).

Debe especificar la siguiente entidad principal de servicio:

```
account.amazonaws.com
```
+ AWS CLI: [register-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)

  En el siguiente ejemplo, se registra una cuenta de miembro de la organización como administrador delegado del servicio de Account Management. 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal account.amazonaws.com
  ```

  Este comando no genera ningún resultado si se utiliza correctamente.

  Tras ejecutar este comando, puedes usar las credenciales de la cuenta 123456789012 para llamar a las operaciones de administración de cuentas AWS CLI y de la API del SDK que utilizan el `--account-id` parámetro para hacer referencia a las cuentas de los miembros de una organización.

------
#### [ Consola de administración de AWS ]

La consola de administración de AWS cuentas no admite esta tarea. Solo puede realizar esta tarea mediante la operación AWS CLI o una operación de API desde una de las AWS SDKs.

------

# Restrinja el acceso mediante políticas de control de AWS Organizations servicios
<a name="using-orgs-example-scps"></a>

En este tema se presentan ejemplos que muestran cómo puede utilizar las políticas de control de servicios (SCPs) AWS Organizations para restringir lo que pueden hacer los usuarios y las funciones de las cuentas de su organización. Para obtener más información sobre las políticas de control de servicios, consulte los siguientes temas en la *Guía del usuario de AWS Organizations *:
+ [Crear SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [Adjuntar SCPs a cuentas OUs y](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)
+ [Estrategias para SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
+ [SCP policy syntax](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)

**Example Ejemplo 1: impedir que las cuentas modifiquen sus propios contactos alternativos**  
En el siguiente ejemplo, se impide que cualquier cuenta de miembro llame a las operaciones de la API `PutAlternateContact` y `DeleteAlternateContact` en el [modo de cuenta independiente](manage-acct-api-modes-of-operation.md). Esto impide que las entidades principales de las cuentas afectadas cambien sus propios contactos alternativos.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "arn:aws:account::*:account" ]
        }
    ]
}
```

**Example Ejemplo 2: impedir que una cuenta de miembro modifique contactos alternativos para cualquier otra cuenta de miembro de la organización**  
En el siguiente ejemplo, se generaliza el elemento `Resource` a "\$1", lo que significa que se aplica tanto a las solicitudes en [modo independiente como a las solicitudes en modo de organizaciones](manage-acct-api-modes-of-operation.md). Esto significa que, incluso la cuenta de administrador delegado para Account Management (si se le aplica la SCP) no puede cambiar ningún contacto alternativo para cualquier cuenta en la organización.     
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "*" ]
        }
    ]
}
```

**Example Ejemplo 3: impedir que una cuenta de miembro de una UO modifique sus propios contactos alternativos**  
El siguiente ejemplo de SCP incluye una condición que compara la ruta organizativa de la cuenta con una lista de dos OUs. Esto impide que el principal de cualquier cuenta OUs de la especificada modifique sus propios contactos alternativos.