Acceso a las cuentas de miembro de una organización con AWS Organizations

Al crear una cuenta en la organización, además del usuario raíz, AWS Organizations crea automáticamente un rol de IAM con el nombre predeterminado OrganizationAccountAccessRole. Puede especificar un nombre diferente al crearlo; sin embargo, le recomendamos que le asigne un nombre coherente en todas sus cuentas. AWS Organizations no crear ningún otro usuario o rol.

Para tener acceso a las cuentas de su organización, debe utilizar uno de los siguientes métodos:

Permisos mínimos

Para tener acceso a una Cuenta de AWS desde cualquier otra cuenta de su organización, debe contar con el permiso siguiente:

sts:AssumeRole - El elemento Resource debe estar establecido en un asterisco (*) o en el ID de la cuenta con el número de la cuenta con la que el usuario necesita obtener acceso a la nueva cuenta de miembro.

Using the root user (Not recommended for everyday tasks)

Al crear una cuenta de miembro nueva en su organización, la cuenta no tendrá credenciales de usuario raíz por defecto. Las cuentas de miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz a menos que la recuperación de cuentas esté habilitada.

Puede centralizar el acceso raíz para las cuentas de miembros para eliminar las credenciales de usuario raíz de las cuentas de miembros en Organizations. Al eliminar las credenciales del usuario raíz, se eliminan la contraseña del usuario raíz, las claves de acceso y los certificados de firma, y se desactiva la autenticación multifactor (MFA). Estas cuentas de miembros no tienen credenciales de usuario raíz, no pueden iniciar sesión como usuarios raíz y no pueden recuperar la contraseña del usuario raíz. Las cuentas nuevas que cree en Organizations no tienen credenciales de usuario raíz de forma predeterminada.

Póngase en contacto con el administrador si necesita realizar una tarea que requiera credenciales de usuario raíz en una cuenta de miembro donde no las hay.

Para obtener acceso a la cuenta de miembro como usuario raíz, debe seguir el proceso de recuperación de contraseña. Para más información, consulte He olvidado la contraseña del usuario raíz de mi cuenta de Cuenta de AWS en la Guía del usuario de Inicio de sesión en AWS.

Si debe acceder a una cuenta de miembro con el usuario raíz, siga estas prácticas recomendadas:

No utilice el usuario raíz para obtener acceso a su cuenta excepto para crear otros usuarios y funciones con permisos más limitados. A continuación, inicie sesión como uno de los usuarios o roles.
Habilitar la autenticación multifactor (MFA) en el usuario raíz. Restablezca la contraseña y asigne un dispositivo MFA al usuario raíz.

Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulta Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM. Para obtener recomendaciones de seguridad adicionales para el usuario raíz, consulte Prácticas recomendadas para el usuario raíz para su Cuenta de AWS en la Guía de usuario de IAM.

Using trusted access for IAM Identity Center

Utilice AWS IAM Identity Center y habilite el acceso de confianza para IAM Identity Center con AWS Organizations. Los usuarios pueden iniciar sesión en el portal de acceso de AWS con sus credenciales corporativas y acceder a recursos en sus cuentas de administración o de miembro asignadas.

Para obtener más información, consulte Multi-account permissions (Permisos de varias cuentas) en la Guía del usuario de AWS IAM Identity Center. Para obtener más información acerca de cómo configurar el acceso de confianza para IAM Identity Center, consulte AWS IAM Identity Center y AWS Organizations.

Using the IAM role OrganizationAccountAccessRole

Si crea una cuenta usando las herramientas proporcionadas como parte de AWS Organizations, puede tener acceso a la cuenta usando un rol preconfigurado denominado OrganizationAccountAccessRole que existe en todas las cuentas nuevas que usted crea de esta forma. Para obtener más información, consulte Acceso a una cuenta de miembro que tiene OrganizationAccountAccessRole con AWS Organizations.

Si invita a una cuenta existente a que se una a su organización y la cuenta acepta la invitación, puede elegir crear un rol de IAM que permita a la cuenta de administración tener acceso a la cuenta de miembro invitada. Se pretende que este rol sea idéntico al rol que se añade automáticamente a una cuenta que se crea con AWS Organizations.

Para crear esta función, consulte Creación de OrganizationAccountAccessRole en una cuenta de miembro invitada con AWS Organizations.

Después de crear la función, puede tener acceso a él siguiendo los pasos de Acceso a una cuenta de miembro que tiene OrganizationAccountAccessRole con AWS Organizations.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Creación de una cuenta de miembro

Creación de un rol de acceso de IAM