Terminología y conceptos para AWS Organizations

Todas las funciones son el conjunto de funciones predeterminado disponible en AWS Organizations. Puede establecer políticas centrales y requisitos de configuración para toda la organización, crear capacidades o permisos personalizados dentro de la organización, administrar y organizar sus cuentas en una sola factura y delegar responsabilidades a otras cuentas en nombre de la organización. También puede utilizar las integraciones con otros Servicios de AWS para definir las configuraciones centrales, los mecanismos de seguridad, los requisitos de auditoría y el uso compartido de recursos entre todas las cuentas de miembro de su organización. Para obtener más información, consulte Uso de AWS Organizations con otros Servicios de AWS.

El modo Todas las características proporciona todas las capacidades de facturación unificada junto con las capacidades administrativas.

La facturación unificada es el conjunto de funciones que proporciona la funcionalidad de facturación compartida, pero no incluye las funciones más avanzadas de AWS Organizations. Por ejemplo, no puedes permitir que otros AWS servicios se integren con tu organización para que funcionen en todas sus cuentas, ni usar políticas para restringir lo que pueden hacer los usuarios y los roles de las distintas cuentas.

Puede habilitar todas las características de una organización que originalmente solo admitía las características de facturación unificada. Para habilitar todas las características, todas las cuentas de miembro invitadas deben aprobar el cambio aceptando la invitación que se envía cuando la cuenta de administración inicia el proceso. Para obtener más información, consulte Activación de todas las características de una organización con AWS Organizations.

Una organización es un conjunto de Cuentas de AWS que puede administrar de forma centralizada y organizar en una estructura jerárquica similar a un árbol, con un nodo raíz en la parte superior y unidades organizativas anidadas debajo de la raíz. Cada cuenta puede estar directamente en la raíz o colocarse en una de las OUs siguientes jerarquías.

Cada organización se compone de los siguientes elementos:

Una organización tiene la funcionalidad determinada por el conjunto de características habilitadas.

Hay un nodo raíz administrativo (raíz) en la cuenta de administración que actúa como el punto de partida para organizar Cuentas de AWS. El nodo raíz es el contenedor que corona la jerarquía de la organización. En esta raíz, puedes crear unidades organizativas (OUs) para agrupar tus cuentas de forma lógica y organizarlas OUs en la jerarquía que mejor se adapte a tus necesidades.

Si aplicas una política de administración a la raíz, se aplica a todas las unidades organizativas (OUs) y cuentas, incluida la cuenta de administración de la organización.

Si aplicas una política de autorización (por ejemplo, una política de control de servicios (SCP)) a la raíz, se aplicará a todas las unidades organizativas (OUs) y a las cuentas de los miembros de la organización. No se aplica a la cuenta de administración de la organización.

Una unidad organizativa (OU) es un grupo de Cuentas de AWS dentro de una organización. Una OU también puede contener otras OUs que le permitan crear una jerarquía. Por ejemplo, puede agrupar todas las cuentas que pertenezcan al mismo departamento en una OU departamental. Del mismo modo, puede agrupar todas las cuentas que ponen en marcha servicios de seguridad en una OU de seguridad.

OUs son útiles cuando necesita aplicar los mismos controles a un subconjunto de cuentas de su organización. El anidamiento OUs permite unidades de administración más pequeñas. Por ejemplo, puede crear OUs para cada carga de trabajo y, a continuación, crear dos anidadas OUs en cada unidad organizativa de carga de trabajo para dividir las cargas de trabajo de producción de las de preproducción. Estas OUs heredan las políticas de la unidad organizativa principal, además de cualquier control asignado directamente a la unidad organizativa a nivel de equipo. Si se incluye la raíz y Cuentas de AWS se crea en el nivel más bajo OUs, la jerarquía puede tener cinco niveles de profundidad.

An Cuenta de AWSes un contenedor para tus AWS recursos. Usted crea y administra sus AWS recursos en un Cuenta de AWS, y esto Cuenta de AWS proporciona capacidades administrativas de acceso y facturación.

El uso de varios Cuentas de AWS es una práctica recomendada para escalar su entorno, ya que proporciona un límite de facturación para los costos, aísla los recursos por motivos de seguridad, brinda flexibilidad a las personas y los equipos, además de poder adaptarse a los nuevos procesos.

Hay dos tipos de cuentas en una organización: una cuenta única que se denomina la cuenta de administración y una o más cuentas de miembro.

Una cuenta de administración es la Cuenta de AWS que se utiliza para crear la organización. Desde la cuenta de administración, puede hacer lo siguiente:

La cuenta de administración es el propietario final de la organización y tiene el control final de las políticas de seguridad, infraestructura y finanzas. Esta cuenta tiene el rol de cuenta pagadora y es responsable de todos los cargos acumulados por las cuentas de su organización.

Una cuenta de miembro es una Cuenta de AWS, distinta de la cuenta de administración, que forma parte de una organización. Si es un administrador de una organización, puede crear cuentas de miembro e invitar a cuentas existentes a unirse a la organización. También puede aplicar políticas a las cuentas de miembro.

Le recomendamos que utilice la cuenta de administración de y sus usuarios y roles únicamente para las tareas que deba realizar dicha cuenta. Almacene todos sus recursos de AWS en otras cuentas de miembros de la organización y manténgalos fuera de la cuenta de administración. Esto se debe a que las funciones de seguridad, como las políticas de control de servicios de Organizations (SCPs), no restringen ningún usuario o función en la cuenta de administración. Separar los recursos de su cuenta de administración también lo ayudará a comprender los cargos de sus facturas. Desde la cuenta de administración de la organización, puede designar una o más cuentas de miembros como cuentas de administrador delegado para ayudarlo a implementar esta recomendación. Hay dos tipos de administradores delegados:

Una invitación es una solicitud que la cuenta de administración realiza para otra cuenta de una organización. Por ejemplo, una invitación vendría siendo el proceso de pedirle a otra cuenta independiente que se una a una organización.

Las invitaciones se implementan como establecimientos de comunicación. Es posible que no vea protocolos de enlace cuando trabaja en la consola de AWS Organizations . Pero si utilizas la AWS Organizations API AWS CLI o, debes trabajar directamente con handshakes.

Un apretón de manos es el intercambio seguro de información entre dos AWS cuentas: la del remitente y la del destinatario.

Los siguientes establecimientos de comunicación son compatabiles:

Por lo general, solo necesitas interactuar directamente con handshakes si trabajas con la AWS Organizations API o con herramientas de línea de comandos, como la. AWS CLI

Una política de control de servicios es un tipo de política que ofrece un control centralizado sobre los permisos máximos disponibles para los usuarios de IAM y los roles de IAM de una organización.

Esto significa que SCPs especifican los controles centrados en el principal. SCPs cree una barrera de permisos o establezca límites a los permisos máximos disponibles para los directores en sus cuentas de miembros. Estas políticas se pueden utilizar cuando se desea aplicar de forma centralizada controles de acceso coherentes con las entidades principales de su organización.

Por ejemplo, especificar los servicios a los que pueden acceder sus usuarios y roles de IAM, los recursos a los que pueden acceder o las condiciones en las que pueden realizar solicitudes (desde regiones o redes específicas). Para obtener más información, consulte SCPs.

Una política de control de recursos es un tipo de política que ofrece un control centralizado sobre los permisos máximos disponibles para los recursos de una organización.

Esto significa que hay que RCPs especificar los controles centrados en los recursos. RCPs cree una barrera de permisos o establezca límites a los permisos máximos disponibles para los recursos en sus cuentas de miembros. Estas políticas se pueden utilizar cuando se desea aplicar de forma centralizada controles de acceso coherentes con todos los recursos de su organización.

Por ejemplo, restringir el acceso a sus recursos para que solo puedan acceder a ellos las identidades que pertenezcan a su organización, o especificar las condiciones en las que las identidades externas a su organización pueden acceder a los recursos. Para obtener más información, consulte RCPs.