Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS Organizations
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que se ejecuta Servicios de AWS en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores independientes prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de cumplimiento a los que se aplica AWS Organizations, consulte [Servicios de AWS Alcance by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Organizations. En los siguientes temas, se le mostrará cómo configurar Organizations para satisfacer sus objetivos de seguridad y conformidad. También aprenderá a usar otros Servicios de AWS que le ayuden a monitorear y proteger los recursos de su Organización.
**Topics**
+ [AWS PrivateLink para AWS Organizations](orgs_security_privatelink.md)
+ [Identity and Access Management para AWS Organizations](orgs_security_iam.md)
+ [Inicio de sesión y supervisión AWS Organizations](orgs_security_incident-response.md)
+ [Validación de conformidad para AWS Organizations](orgs_security_compliance-validation.md)
+ [Resiliencia en AWS Organizations](orgs_security_disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura en AWS Organizations](orgs_security_infrastructure.md)
# AWS PrivateLink para AWS Organizations
Con AWS PrivateLink for AWS Organizations, puede acceder al AWS Organizations servicio desde la Nube Privada Virtual (VPC) sin tener que cruzar la Internet pública.
Amazon VPC le permite lanzar AWS recursos en una red virtual personalizada. Puede utilizar una VPC para controlar la configuración de red, como el intervalo de direcciones IP, las subredes, las tablas de enrutamiento y las puertas de enlace de red. Para obtener más información VPCs, consulte la Guía del [https://docs.aws.amazon.com/vpc/latest/userguide/](https://docs.aws.amazon.com/vpc/latest/userguide/).
Para conectar su Amazon VPC AWS Organizations, primero debe definir un punto de enlace de la VPC de interfaz (puntos de enlace de interfaz). Los puntos finales de la interfaz están representados por una o más interfaces de red elásticas (ENIs) a las que se les asignan direcciones IP privadas desde las subredes de la VPC. Las solicitudes de su VPC a puntos de enlace a AWS Organizations través de la interfaz permanecen en la red de Amazon.
Para obtener información general sobre los puntos de enlace de la interfaz, consulte [Acceder a un AWS servicio mediante un punto de enlace de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations) en la Guía del usuario de *Amazon VPC*.
**Topics**
+ [Limitaciones y restricciones de la forma AWS PrivateLink AWS Organizations](#limits-restrictions-privatelink)
+ [Creación de un punto de conexión de VPC](create-vpc-endpoint.md)
+ [Creación de una política de punto de conexión de VPC](create-vpc-endpoint-policy.md)
## Limitaciones y restricciones de la forma AWS PrivateLink AWS Organizations
Se aplican limitaciones de VPC a AWS PrivateLink . AWS Organizations Para obtener más información, consulte [Acceder a un AWS servicio mediante un punto final de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations) y [AWS PrivateLink cuotas](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html) en la Guía del usuario de Amazon *VPC*. Además, se aplican las siguientes restricciones:
+ Solo está disponible en la región `us-east-1`.
+ No admite seguridad de la capa de transporte (TLS) 1.1
# Creación de un punto final de VPC para AWS Organizations
Puede crear un AWS Organizations punto de conexión en su VPC mediante la consola de Amazon VPC, el AWS Command Line Interface () o.AWS CLI CloudFormation
Para obtener información sobre cómo crear y configurar un punto de conexión mediante la consola de Amazon VPC o la AWS CLI, consulte [Crear un punto de enlace de VPC en](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) la Guía del usuario de Amazon *VPC*. Para obtener información sobre cómo crear y configurar un punto final mediante CloudFormation, consulte el VPCEndpoint recurso [AWS: :EC2::](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) en la Guía del *AWS CloudFormation usuario*.
Al crear un AWS Organizations punto final, utilice lo siguiente como nombre del servicio:
```
com.amazonaws.us-east-1.organizations
```
Si necesita módulos criptográficos validados por FIPS 140-2 para acceder AWS, utilice el siguiente nombre de servicio AWS Organizations FIPS:
```
com.amazonaws.us-east-1.organizations-fips
```
# Crear una política de puntos de conexión de VPC para AWS Organizations
Puede vincular una política de punto de conexión con su punto de conexión de VPC que controla el acceso a Organizations. La política especifica la siguiente información:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.
Para obtener más información, consulte [Controlar el acceso a los puntos de conexión de la VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) mediante políticas de puntos de conexión en la *Guía de usuario de Amazon VPC*.
## Ejemplo: política de puntos finales de VPC para acciones AWS Organizations
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"Organizations:DescribeAccount"
],
"Resource":"*"
}
]
}
```
# Identity and Access Management para AWS Organizations
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién puede estar *autenticado* (iniciar sesión) y *autorizado* (tiene permisos) para utilizar recursos de Organizations. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [¿Cómo AWS Organizations funciona con IAM](security_iam_service-with-iam.md)
+ [Administración de permisos en una organización](orgs_permissions_overview.md)
+ [Ejemplos de políticas basadas en identidades](security_iam_id-based-policy-examples.md)
+ [Ejemplos de políticas basadas en recursos](security_iam_resource-based-policy-examples.md)
+ [AWS políticas gestionadas](orgs_reference_available-policies.md)
+ [Control de acceso basado en atributos con etiquetas](orgs_tagging_abac.md)
+ [Resolución de problemas](security_iam_troubleshoot.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de AWS Organizations identidad y acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [¿Cómo AWS Organizations funciona con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en la identidad para AWS Organizations](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# ¿Cómo AWS Organizations funciona con IAM
Antes de utilizar IAM para administrar el acceso a Organizations, conozca qué características de IAM se pueden utilizar con Organizations.
| Característica de IAM | Compatible con Organizations |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | Sí |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | No |
| [Sesiones de acceso directo (FAS)](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | Sí |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | Sí |
Para obtener una visión general de cómo funcionan las Organizaciones y otros AWS servicios con la mayoría de las funciones de IAM, consulte [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
## Políticas basadas en identidades para Organizations
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en identidades para Organizations
Para ver ejemplos de políticas basadas en identidades de Organizations, consulte [Ejemplos de políticas basadas en la identidad para AWS Organizations](security_iam_id-based-policy-examples.md).
## Políticas basadas en recursos de Organizations
**Compatibilidad con las políticas basadas en recursos:** sí
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los directores pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
El servicio de Organizations solo admite un tipo de política basada en recursos denominada *política de delegación basada en recursos*, que especifica qué cuenta de miembro puede llevar a cabo acciones con las políticas. Puede agregar varias declaraciones en la política para denotar distintos conjuntos de permisos para las cuentas de los miembros.
Para obtener más información, consulte [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
### Ejemplos de políticas basadas en recursos de Organizations
Para ver ejemplos de políticas basadas en recursos de Organizations, consulte [Ejemplos de políticas basadas en recursos para AWS Organizations](security_iam_resource-based-policy-examples.md).
## Acciones de política para Organizations
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de las acciones de Organizations, consulte [Actions defined by AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions) en la *Referencia de autorizaciones de servicio*.
Las acciones de políticas de Organizations utilizan el siguiente prefijo antes de la acción:
```
organizations
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"organizations:action1",
"organizations:action2"
]
```
Para ver ejemplos de políticas basadas en identidades de Organizations, consulte [Ejemplos de políticas basadas en la identidad para AWS Organizations](security_iam_id-based-policy-examples.md).
## Recursos de políticas para Organizations
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de recursos de Organizations y sus tipos ARNs, consulte [los recursos definidos por AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-resources-for-iam-policies) en la *Referencia de autorización de servicio*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions).
Para ver ejemplos de políticas basadas en identidades de Organizations, consulte [Ejemplos de políticas basadas en la identidad para AWS Organizations](security_iam_id-based-policy-examples.md).
## Claves de condición de política de Organizations
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de las claves de condición de Organizations, consulte [Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-policy-keys) en la *Referencia de autorizaciones de servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions).
Para ver ejemplos de políticas basadas en identidades de Organizations, consulte [Ejemplos de políticas basadas en la identidad para AWS Organizations](security_iam_id-based-policy-examples.md).
## ACLs en Organizations
**Soportes ACLs:** No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## ABAC con Organizations
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del director coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Uso de credenciales temporales con Organizations
**Compatible con el uso de credenciales temporales:** no
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Sesiones de acceso directo para Organizations
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos del principal que llama y los que solicitan Servicio de AWS para realizar solicitudes a los servicios descendentes. Servicio de AWS Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Roles de servicio para Organizations
**Compatible con roles de servicio:** sí
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
**aviso**
Cambiar los permisos de un rol de servicio podría interrumpir la funcionalidad de Organizations. Edite los roles de servicio solo cuando Organizations proporcione orientación para hacerlo.
## Roles vinculados a servicios para Organizations
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.
# Administrar los permisos de acceso de una organización con AWS Organizations
Todos los AWS recursos, incluidas las raíces OUs, las cuentas y las políticas de una organización, son propiedad de un Cuenta de AWS, y los permisos para crear un recurso o acceder a ellos se rigen por las políticas de permisos. Para una organización, su cuenta de administración posee todos los recursos. El administrador de una cuenta puede controlar el acceso a AWS los recursos adjuntando políticas de permisos a las identidades de IAM (usuarios, grupos y roles).
**nota**
Un *administrador de la cuenta* (o usuario administrador) es un usuario con permisos de administrador. Para obtener más información, consulte [Prácticas recomendadas de seguridad para IAM](https://docs.aws.amazon.com/accounts/latest/reference/getting-started-step4.html) en la *Guía del usuario de AWS Account Management *.
Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen permisos y qué acciones específicas desea permitir en esos recursos.
De forma predeterminada, los usuarios, grupos y roles de IAM no tienen permisos. Como administrador de la cuenta de administración de una organización, puede realizar tareas administrativas o delegar permisos de administrador a otros usuarios o funciones de IAM en la cuenta de administración. Para ello, asocia una política de permisos de IAM a un usuario, grupo o rol de IAM. De forma predeterminada, un usuario no tiene ningún permiso; esto recibe el nombre de *denegación implícita*. La política invalida la denegación implícita con un *permiso explícito* que especifica las acciones que puede realizar el usuario y los recursos que puede utilizar en las acciones. Si los permisos se conceden a un rol, los usuarios de otras cuentas de la organización pueden asumir ese rol.
## AWS Organizations recursos y operaciones
En esta sección se analiza cómo AWS Organizations los conceptos se corresponden con sus conceptos equivalentes a la IAM.
### Recursos
En AWS Organizations, puede controlar el acceso a los siguientes recursos:
+ La raíz y la OUs que componen la estructura jerárquica de una organización
+ Las cuentas que son miembros de la organización
+ Las políticas que adjunta a las entidades de la organización
+ Los protocolos que usa para cambiar el estado de la organización
Cada uno de esos recursos tiene un único nombre de recurso de Amazon (ARN) asociado. El acceso a un recurso se controla especificando su ARN en el elemento `Resource` de una política de permisos de IAM. Para obtener una lista completa de los formatos de ARN de los recursos que se utilizan AWS Organizations, consulte [Tipos de recursos definidos AWS Organizations en la Referencia](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) de *autorización de servicio*.
### Operaciones
AWS proporciona un conjunto de operaciones para trabajar con los recursos de una organización. Estas operaciones le permiten realizar tareas como crear, mostrar, modificar y eliminar recursos y obtener acceso a su contenido. A la mayoría de las operaciones se puede hacer referencia en el elemento `Action` de una política de IAM para controlar quién puede utilizar dicha operación. Para obtener una lista de las operaciones de AWS Organizations que pueden utilizarse como permisos en una política de IAM, consulte [Actions defined by organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-actions-as-permissions) en la *Referencia de autorización de servicios*.
Al combinar un elemento `Action` y un elemento `Resource` en el elemento `Statement` de una política de permisos, puede controlar exactamente qué recursos de ese conjunto concreto de acciones se pueden usar.
### Claves de condición
AWS proporciona claves de condición que puede consultar para proporcionar un control más detallado sobre determinadas acciones. Puede hacer referencia a estas claves de condición en el elemento `Condition` de una política de IAM para especificar las circunstancias adicionales que se deben cumplir para que se aplique la instrucción.
Las siguientes claves de condición son especialmente útiles en AWS Organizations:
+ `aws:PrincipalOrgID` - simplifica la especificación del elemento `Principal` en una política basada en recursos. Esta clave global ofrece una alternativa a enumerar todas IDs las cuentas Cuentas de AWS de una organización. En lugar de mostrar todas las cuentas de la organización, puede especificar el [ID de organización](orgs_manage_org.md) en el elemento `Condition`.
**nota**
Esta condición global también se aplica a la cuenta de administración de una organización.
Para obtener más información, consulte la descripción de `PrincipalOrgID` en [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
+ `aws:PrincipalOrgPaths` - Utiliza esta clave de condición para hacer coincidir los miembros de una raíz de organización específica, una unidad organizativa o sus secundarias. La clave de condición `aws:PrincipalOrgPaths` vuelve como verdadera cuando el elemento principal (usuario raíz, usuario o rol de IAM) que realiza la solicitud se encuentra en la ruta de la organización especificada. Una ruta es una representación textual de la estructura de una AWS Organizations entidad. Para obtener más información sobre las rutas, consulte [Comprender la ruta de la AWS Organizations entidad](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html#access_policies_access-advisor-viewing-orgs-entity-path) en la *Guía del usuario de IAM*. Para obtener más información sobre el uso de esta clave de condición, consulte [aws: PrincipalOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principal-org-paths) en la Guía del *usuario de IAM*.
Por ejemplo, el siguiente elemento de condición coincide con los miembros de cualquiera de las dos organizaciones OUs de la misma organización.
```
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
]
}
}
```
+ `organizations:PolicyType` - Puede utilizar esta clave de condición para restringir las operaciones de API relacionadas con la política de Organizations para que funcionen únicamente en políticas de Organizations del tipo especificado. Puede aplicar esta clave de condición a cualquier instrucción de política que incluya una acción que interactúe con las políticas de Organizations.
Puede utilizar los siguientes valores con esta clave de condición:
+ `SERVICE_CONTROL_POLICY`
+ `RESOURCE_CONTROL_POLICY`
+ `DECLARATIVE_POLICY_EC2`
+ `BACKUP_POLICY`
+ `TAG_POLICY`
+ `CHATBOT_POLICY`
+ `AISERVICES_OPT_OUT_POLICY`
Por ejemplo, la siguiente política de ejemplo permite al usuario realizar cualquier operación de Organizations. Sin embargo, si el usuario realiza una operación que toma un argumento de política, la operación solo se permite si la política especificada es una política de etiquetado. La operación produce un error si el usuario especifica cualquier otro tipo de política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [ "TAG_POLICY" ]
}
}
}
]
}
```
------
+ `organizations:ServicePrincipal`— Disponible como condición si utiliza las operaciones [Habilitar el AWSService acceso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) o [Deshabilitar el AWSService acceso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) para habilitar o deshabilitar el [acceso de confianza](orgs_integrate_services.md) con otros AWS servicios. Puede utilizar `organizations:ServicePrincipal` para limitar las solicitudes que esas operaciones realizan a una lista de nombres de principal de servicio aprobados.
Por ejemplo, la siguiente política permite al usuario especificar únicamente AWS Firewall Manager cuándo habilitar o deshabilitar el acceso de confianza con AWS Organizations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowOnlyAWSFirewallIntegration",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
}
}
}
]
}
```
------
Para ver una lista de todas las claves de AWS Organizations condición específicas que se pueden usar como permisos en una política de IAM, consulte [las claves de condición de la Referencia de AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) autorización de *servicios*.
## Titularidad de los recursos
Cuenta de AWS Es propietario de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es el Cuenta de AWS de la [entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (es decir, el usuario raíz, un usuario de IAM o un rol de IAM) que autentica la solicitud de creación de recursos. En el caso de una organización, ***siempre*** es la cuenta de administración. No puede llamar a la mayoría de las operaciones que crean o tiene acceso a los recursos de la organización desde las cuentas de miembro. Los siguientes ejemplos ilustran cómo funciona:
+ Si utiliza las credenciales de cuenta raíz de su cuenta de administración para crear una unidad organizativa, su cuenta de administración será la propietaria del recurso. (En AWS Organizations, el recurso es la OU).
+ Si crea un usuario de IAM en su cuenta de administración y le concede permisos para crear unidades organizativas, este puede crearlas. Sin embargo, la cuenta de administración, a la que pertenece el usuario, es la propietaria del recurso de unidad organizativa.
+ Si crea un rol de IAM en su cuenta de administración con permisos para crear unidades organizativas, cualquier persona puede asumir el rol y crearlos. La cuenta de administración, a la que pertenece el rol (y no el usuario que lo asume), es la propietaria del recurso de unidad organizativa.
## Administración del acceso a los recursos
Una *política de permisos* describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.
**nota**
En esta sección se analiza el uso de la IAM en el contexto de AWS Organizations. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte la [Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html). Para obtener información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte [Referencia de políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.
Las políticas que se asocian a una identidad de IAM se denominan políticas *basadas en la identidad* (políticas de IAM). Las políticas que se asocian a un recurso se denominan "políticas *basadas en recursos*".
**Topics**
+ [Políticas basadas en permiso de identidades (políticas de IAM)](#orgs-access-control-iam-policies)
### Políticas basadas en permiso de identidades (políticas de IAM)
Puede adjuntar políticas a las identidades de IAM para permitir que esas identidades realicen operaciones en AWS los recursos. Por ejemplo, puede hacer lo siguiente:
+ **Adjunte una política de permisos a un usuario o grupo de su cuenta**: para conceder a un usuario permisos para crear un AWS Organizations recurso, como una [política de control de servicios (SCP)](orgs_manage_policies_scps.md) o una OU, puede adjuntar una política de permisos a un usuario o grupo al que pertenezca el usuario. El usuario o grupo debe estar en la organización de la cuenta de administración.
+ **Asociar una política de permisos a un rol (conceder permisos entre cuentas)**: puede asociar una política de permisos basada en la identidad a un rol de IAM para conceder acceso entre cuentas a una organización. Por ejemplo, el administrador de la cuenta de administración puede crear un rol para conceder permisos entre cuentas a un usuario de una cuenta de miembro de la siguiente manera:
1. El administrador de la cuenta de administración crea un rol de IAM y asocia una política de permisos al rol, que concede permisos a los recursos de la organización.
1. El administrador de la cuenta de administración asocia una política de confianza al rol, que identifica el ID de la cuenta de miembro como la entidad `Principal`, la cual puede asumir el rol.
1. El administrador de la cuenta de miembro puede delegar entonces permisos para asumir el rol a cualquier usuario de la cuenta de miembro. Esto permite a los usuarios de la cuenta de miembro crear o tener acceso a los recursos de la cuenta de administración y la organización. El principal de la política de confianza también puede ser el principal de un AWS servicio si quieres conceder permisos a un AWS servicio para que asuma esa función.
Para obtener más información sobre el uso de IAM para delegar permisos, consulte [Administración de accesos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) en la *Guía del usuario de IAM*.
A continuación se ofrecen ejemplos de políticas que permite a un usuario realizar la acción `CreateAccount` en su organización.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"Stmt1OrgPermissions",
"Effect":"Allow",
"Action":[
"organizations:CreateAccount"
],
"Resource":"*"
}
]
}
```
------
También puede facilitar un ARN parcial en el elemento `Resource` de la política para indicar el tipo de recurso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowCreatingAccountsOnResource",
"Effect":"Allow",
"Action":"organizations:CreateAccount",
"Resource":"arn:aws:organizations::*:account/*"
}
]
}
```
------
También puede denegar la creación de cuentas que no incluyan etiquetas específicas en la cuenta que se está creando.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
"Effect":"Deny",
"Action":"organizations:CreateAccount",
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/key":"value"
}
}
}
]
}
```
------
Para obtener más información acerca de los usuarios, los grupos, los roles y los permisos, consulte [Identidades de IAM (usuarios, grupos y roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) en la *Guía del usuario de IAM*.
## Especificación de elementos de política: acciones, condiciones, efectos y recursos
Para cada AWS Organizations recurso, el servicio define un conjunto de operaciones o acciones de la API que pueden interactuar con ese recurso o manipularlo de alguna manera. Para conceder permisos para estas operaciones, AWS Organizations define un conjunto de acciones que puede especificar en una política. Por ejemplo, para el recurso OU, AWS Organizations define acciones como las siguientes:
+ `AttachPolicy` y `DetachPolicy`
+ `CreateOrganizationalUnit` y `DeleteOrganizationalUnit`
+ `ListOrganizationalUnits` y `DescribeOrganizationalUnit`
En algunos casos, la ejecución de una operación de la API podría requerir permisos para más de una acción y podría necesitar permisos para más de un recurso.
A continuación se indican los aspectos más básicos que puede utilizar en una política de permisos de IAM:
+ **Action** - Puede utilizar esta palabra clave para identificar las operaciones (acciones) que desea permitir o denegar. Por ejemplo, según lo especificado`Effect`, `organizations:CreateAccount` permite o deniega al usuario los permisos para realizar la AWS Organizations `CreateAccount` operación. Para obtener más información, consulte [Elementos de política JSON de IAM: Action](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) en la *Guía del usuario de IAM*.
+ **Resource** - Utilice esta palabra clave para especificar el ARN del recurso al que se aplica la instrucción de la política. Para obtener más información, consulte [Elementos de política JSON de IAM: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) en la *Guía del usuario de IAM*.
+ **Condition** - Utilice esta palabra clave para especificar condiciones adicionales que se deben cumplir para que la instrucción de política sea aplicable. `Condition` suele especificar circunstancias adicionales que deben estar definidas como "true" para que la política coincida. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Effect** - Puede utilizar esta palabra clave para especificar si la instrucción de la política permite o deniega la acción en el recurso. Si no concede acceso de forma explícita (o permite) un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso; de esta forma, se asegurará de que un usuario no pueda realizar la acción especificada en el recurso especificado, incluso si otra política otorga acceso. Para obtener más información, consulte [Elementos de política JSON de IAM: Effect](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) en la *Guía del usuario de IAM*.
+ **Principal**: en las políticas basadas en la identidad (políticas de IAM), el usuario al que se asocia esta política es de forma automática e implícita la entidad principal. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos).
Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte [Referencia de políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.
# Ejemplos de políticas basadas en la identidad para AWS Organizations
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de Organizations. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos por Organizations, incluido el ARNs formato de cada uno de los tipos de recursos, consulte [las claves de condición, recursos y acciones de AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html) la *Referencia de autorización de servicio*.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Conceder permisos completos de administrador a un usuario](#orgs_permissions_grant-admin-actions)
+ [Conceder acceso limitado por acciones](#orgs_permissions_grant-limited-actions)
+ [Concesión de acceso a recursos específicos](#orgs_permissions_grant-limited-resources)
+ [Concesión de la capacidad de habilitar el acceso de confianza a entidades principales de servicio limitadas](#orgs_permissions_grant-trusted-access-condition)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de Organizations de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos**: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola de Organizations
Para acceder a la AWS Organizations consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de Organizations en su Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan seguir utilizando la consola de Organizations, adjunte también la política de [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html)Organizations o [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html) AWS gestionada a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Conceder permisos completos de administrador a un usuario
Puede crear una política de IAM que conceda todos los permisos de AWS Organizations administrador a un usuario de IAM de su organización. Para ello, puede usar el editor de políticas JSON en la consola de IAM.
**Utilización del editor de política de JSON para la creación de una política**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación de la izquierda, elija **Políticas**.
Si es la primera vez que elige **Políticas**, aparecerá la página **Welcome to Managed Policies** (Bienvenido a políticas administradas). Elija **Comenzar**.
1. En la parte superior de la página, seleccione **Crear política**.
1. En la sección **Editor de políticas**, seleccione la opción **JSON**.
1. Ingrese el siguiente documento de política JSON:
```
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*"
}
}
```
1. Elija **Siguiente**.
**nota**
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) en la *Guía del usuario de IAM*.
1. En la página **Revisar y crear**, introduzca el **Nombre de la política** y la **Descripción** (opcional) para la política que está creando. Revise los **Permisos definidos en esta política** para ver los permisos que concede la política.
1. Elija **Crear política** para guardar la nueva política.
Para obtener más información sobre la creación de una política de IAM, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
## Conceder acceso limitado por acciones
Si desea conceder permisos limitados en lugar de todos los permisos, puede crear una política que muestre los permisos individuales que desea permitir en el elemento `Action` de la política de permisos de IAM. Tal y como se muestra en el siguiente ejemplo, puede utilizar caracteres comodín (\$1) para conceder solo los permisos `Describe*` y `List*`, que básicamente proporcionan acceso de solo lectura a la organización.
**nota**
En una política de control de servicios (SCP), el carácter comodín (\$1) de un elemento `Action` únicamente puede aparecer solo o al final de la cadena. No puede aparecer al principio o en el medio de la cadena. Por lo tanto, `"servicename:action*"` es válido, pero `"servicename:*action"` ambos no `"servicename:some*action"` son válidos en SCPs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
}
}
```
------
Para obtener una lista de todos los permisos que se pueden asignar en una política de IAM, consulte [Acciones definidas por AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-actions-as-permissions) en la *Referencia de autorización de servicios*.
## Concesión de acceso a recursos específicos
Además de restringir el acceso a acciones específicas, puede restringir el acceso a entidades específicas de la organización. Los elementos `Resource` de los ejemplos en las secciones anteriores especifican el carácter comodín ("\$1"), que significa "cualquier recurso al que la acción tenga acceso." En su lugar, puede sustituir el "\$1" por el Nombre de recurso de Amazon (ARN) de las entidades específicas a las que desea permitir el acceso.
**Ejemplo: Conceder permisos a una sola unidad organizativa**
La primera instrucción de la siguiente política concede acceso de lectura a un usuario de IAM en toda la organización, pero la segunda instrucción permite al usuario realizar acciones administrativas de AWS Organizations solo en una unidad organizativa especificada (OU). Esto no se extiende a ningún niño OUs. No se concede acceso a la facturación. Tenga en cuenta que esto no le da acceso administrativo a Cuentas de AWS la unidad organizativa. Solo concede permisos para realizar AWS Organizations operaciones en las cuentas de la OU especificada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "arn:aws:organizations::123456789012:ou/o-/ou-"
}
]
}
```
------
Puede obtener el IDs correspondiente a la OU y a la organización desde la AWS Organizations consola o llamando al `List*` APIs. El usuario o grupo al que aplica esta política puede realizar cualquier acción (`"organizations:*"`) en cualquier entidad que esté directamente incluida en la unidad organizativa especificada. La unidad organizativa se identifica por el Nombre de recurso de Amazon (ARN).
Para obtener más información sobre los ARNs distintos recursos, consulte [los tipos de recursos definidos AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) en la *Referencia de autorización de servicios*.
## Concesión de la capacidad de habilitar el acceso de confianza a entidades principales de servicio limitadas
Puede utilizar el elemento `Condition` de una instrucción de política para limitar aún más las circunstancias donde se debe aplicar dicha declaración de política.
**Ejemplo: Concesión de permisos para habilitar el acceso de confianza a un servicio especificado**
La siguiente instrucción muestra cómo se puede restringir la capacidad de habilitar el acceso de confianza únicamente a los servicios especificados. Si el usuario intenta llamar a la API con una entidad de servicio diferente a la utilizada AWS IAM Identity Center, esta política no coincide y se deniega la solicitud:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "organizations:EnableAWSServiceAccess",
"Resource": "*",
"Condition": {
"StringEquals" : {
"organizations:ServicePrincipal" : "sso.amazonaws.com"
}
}
}
]
}
```
------
Para obtener más información sobre los ARNs distintos recursos, consulta [los tipos de recursos definidos AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) en la *Referencia de autorización de servicios*.
# Ejemplos de políticas basadas en recursos para AWS Organizations
Los siguientes ejemplos de código muestran cómo se pueden utilizar las políticas de delegación basadas en recursos. Para obtener más información, consulte [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
**Topics**
+ [Ver la organización OUs, las cuentas y las políticas](#orgs_delegate_policies_example_view_accts_orgs)
+ [Crear, leer, actualizar y eliminar políticas](#orgs_delegate_policies_example_crud_policies)
+ [Etiquetar y desetiquetar políticas](#orgs_delegate_policies_example_tag_untag_policies)
+ [Vincular políticas a una sola unidad organizativa o cuenta](#orgs_delegate_policies_example_attach_policies)
+ [Permisos consolidados para administrar las políticas de copia de seguridad de una organización](#orgs_delegate_policies_example_consolidate_permissions)
## Ejemplo: ver la organización OUs, las cuentas y las políticas
Antes de delegar la administración de las políticas, debes delegar los permisos para navegar por la estructura de una organización y ver las unidades organizativas (OUs), las cuentas y las políticas asociadas a ellas.
En este ejemplo se muestra cómo puede incluir estos permisos en su política de delegación basada en los recursos para la cuenta del miembro,. *AccountId*
**importante**
Es aconsejable que incluya permisos solo para las acciones mínimas requeridas como se muestra en el ejemplo, aunque es posible delegar cualquier acción de solo lectura de Organizaciones utilizando esta política.
Este ejemplo de política de delegación otorga los permisos necesarios para completar las acciones mediante programación desde la API o. AWS AWS CLI Para utilizar esta política de delegación, sustituya el [texto del AWS marcador](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) de posición por su *AccountId* propia información. A continuación, siga las instrucciones indicadas en [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Ejemplo: Crear, leer, actualizar y eliminar políticas
Puede crear una política de delegación basada en recursos que permita a la cuenta de administración delegar acciones `create`, `read`, `update` y `delete` para cualquier tipo de política. En este ejemplo se muestra cómo puede delegar estas acciones para las políticas de control de servicios en la cuenta del miembro,*MemberAccountId*. Los dos recursos que se muestran en el ejemplo permiten el acceso a las políticas de control de servicios AWS gestionados y gestionados por el cliente, respectivamente.
**importante**
Esta política permite que los administradores delegados lleven a cabo las acciones especificadas en las políticas creadas por cualquier cuenta de la organización, incluida la cuenta de administración.
No permite a los administradores delegados vincular ni desvincular políticas porque no incluye los permisos necesarios para llevar a cabo las acciones `organizations:AttachPolicy` y `organizations:DetachPolicy`.
En este ejemplo, la política de delegación otorga los permisos necesarios para completar las acciones mediante programación desde la AWS API o. AWS CLI Sustituya el texto AWS del marcador de posición por *MemberAccountId**ManagementAccountId*, y por su *OrganizationId* propia información. A continuación, siga las instrucciones indicadas en [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingPolicyActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "SERVICE_CONTROL_POLICY"
}
}
},
{
"Sid": "DelegatingMinimalActionsForSCPs",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:policy/o-OrganizationId/service_control_policy/*",
"arn:aws:organizations::aws:policy/service_control_policy/*"
]
}
]
}
```
------
## Ejemplo: Etiquetar y desetiquetar políticas
En este ejemplo se muestra cómo podría crear una política de delegación basada en recursos que permita a los administradores delegados etiquetar o desetiquetar las políticas de copia de seguridad. Otorga los permisos necesarios para completar las acciones mediante programación desde la AWS API o. AWS CLI
Para utilizar esta política de delegación, sustituya el texto del AWS marcador de posición por *MemberAccountId* y por su propia *OrganizationId* información. *ManagementAccountId* A continuación, siga las instrucciones indicadas en [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingTaggingBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:TagResource",
"organizations:UntagResource"
],
"Resource": "arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
}
]
}
```
------
## Ejemplo: Vincular políticas a una sola unidad organizativa o cuenta
En este ejemplo, se muestra cómo se puede crear una política de delegación basada en recursos que permita a los administradores delegados `attach` o `detach` las políticas de Organizations de una unidad organizativa (OU) o cuenta específicas. Antes de delegar estas acciones, debe delegar los permisos para navegar por la estructura de una organización y ver las cuentas que contiene. Para obtener más información, consulte [Ejemplo: ver la organización OUs, las cuentas y las políticas](#orgs_delegate_policies_example_view_accts_orgs)
**importante**
Si bien esta política permite adjuntar o separar políticas de la unidad organizativa o cuenta especificada, no incluye ni a los hijos ni a las cuentas OUs subordinadas a menores. OUs
Esta política permite que los administradores delegados realicen las acciones especificadas en las políticas creadas por cualquier cuenta de la organización, incluida la cuenta de administración.
Este ejemplo de política de delegación otorga los permisos necesarios para completar las acciones mediante programación desde la API o. AWS AWS CLI Para usar esta política de delegación, sustituya el texto del AWS marcador de posición por *MemberAccountId* *ManagementAccountId**OrganizationId*, y por su propia *TargetAccountId* información. A continuación, siga las instrucciones indicadas en [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AttachDetachPoliciesSpecifiedAccountOU",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:ou/o-OrganizationId/ou-OUId",
"arn:aws:organizations::111122223333:account/o-OrganizationId/TargetAccountId",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
]
}
]
}
```
------
Para delegar la vinculación y desvinculación de políticas de cualquier OU o cuenta de la organización, sustituya el recurso del ejemplo anterior por los siguientes recursos:
```
"Resource": [
"arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
]
```
## Ejemplo: Permisos consolidados para administrar las políticas de copia de seguridad de una organización
En este ejemplo se muestra cómo se puede crear una política de delegación basada en recursos que permita a la cuenta de administración delegar todos los permisos necesarios para administrar las políticas de copia de seguridad dentro de la organización, incluidas `create`, `read`, `update` y acciones `delete`, así como acciones de `attach` y `detach` política.
**importante**
Esta política permite que los administradores delegados realicen las acciones especificadas en las políticas creadas por cualquier cuenta de la organización, incluida la cuenta de administración.
Este ejemplo de política de delegación otorga los permisos necesarios para completar las acciones mediante programación desde la AWS API o. AWS CLI Para usar esta política de delegación, sustituya el [texto del AWS marcador](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) de posición por *MemberAccountId* *ManagementAccountId**OrganizationId*, y por su propia *RootId* información. A continuación, siga las instrucciones indicadas en [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingAllActionsForBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"organizations:EnablePolicyType",
"organizations:DisablePolicyType"
],
"Resource": [
"arn:aws:organizations::111122223333:root/o-OrganizationId/r-RootId",
"arn:aws:organizations::111122223333:ou/o-OrganizationId/*",
"arn:aws:organizations::111122223333:account/o-OrganizationId/*",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
}
]
}
```
------
# AWS políticas gestionadas para AWS Organizations
En esta sección, se identifican las políticas AWS administradas que se proporcionan para administrar la organización. No puede modificar ni eliminar una política AWS gestionada, pero puede adjuntarla o desvincularla a las entidades de su organización según sea necesario.
## AWS Organizations políticas gestionadas para su uso con AWS Identity and Access Management (IAM)
Una política administrada de IAM la proporciona y mantiene AWS. Una política administrada proporciona permisos para tareas comunes que puede asignar a los usuarios adjuntando la política administrada al usuario o objeto de rol de IAM apropiado. No es necesario que redacte la política usted mismo y, cuando la AWS actualice según corresponda para admitir nuevos servicios, se beneficiará de la actualización de forma automática e inmediata.
Puede ver la lista de políticas administradas de AWS en la página [Políticas](https://console.aws.amazon.com/iam/home?#/policies) en la consola de IAM. Use el menú de **Filtrar políticas** para seleccionar **AWS administrado**.
Puede usar las siguientes políticas administradas para conceder permisos a usuarios y roles en su organización.
### AWS política gestionada: AWSOrganizationsFullAccess
Proporciona todos los permisos necesarios para crear y administrar completamente una organización.
Consulte la política: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html).
### AWS política gestionada: AWSOrganizationsReadOnlyAccess
Proporciona acceso de solo lectura a la información acerca de la organización. No permite al usuario realizar ningún cambio.
Consulte la política: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html).
### AWS política gestionada: DeclarativePoliciesEC2Report
El rol vinculado al servicio de [AWSServiceRoleForDeclarativePoliciesEC2informes](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#ec2-report-policy) utiliza esta política para poder describir los estados de los atributos de las cuentas de los miembros.
[Ver la política: DeclarativePolicies EC2 Informe.](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/DeclarativePoliciesEC2Report.html)
## Actualizaciones de las políticas AWS gestionadas por Organizations
En la siguiente tabla se AWS detallan las actualizaciones de las políticas administradas desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [historial de documentos](document-history.md).
****
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— actualizado para permitir los permisos de API de cuenta necesarios para ver o modificar el nombre de una cuenta a través de la consola de Organizations. | Se agregó la nueva acción `account:GetAccountInformation` para habilitar el acceso a la visualización del nombre de cualquier cuenta en una organización, y la nueva acción `account:PutAccountName` para habilitar el acceso a la modificación de cualquier nombre de cuenta en una oranización. | 22 de abril de 2025 |
| [DeclarativePoliciesEC2Informe](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/DeclarativePoliciesEC2Report$jsonEditor): nueva política gestionada | Se agregó la política `DeclarativePoliciesEC2Report` para habilitar la funcionalidad del rol vinculado a servicios `AWSServiceRoleForDeclarativePoliciesEC2Report`. | 22 de noviembre de 2024 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— actualizado para permitir los permisos de API de la cuenta necesarios para ver la dirección de correo electrónico de un usuario raíz, la dirección de . | Organizations ha agregado la acción `account:GetPrimaryEmail` a fin de permitir el acceso para ver la dirección de correo electrónico del usuario raíz de cualquier cuenta de miembro de una organización y la acción `account:GetRegionOptStatus` a fin de permitir el acceso para ver las regiones habilitadas para cualquier cuenta de miembro de una organización. | 6 de junio de 2024 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— actualizado para incluir `Sid` elementos que describen la declaración de política. | Se agregaron los elementos `Sid` para la política administrada `AWSOrganizationsFullAccess`. | 6 de febrero de 2024 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— actualizado para incluir `Sid` elementos que describen la declaración de política. | Se agregaron los elementos `Sid` para la política administrada `AWSOrganizationsReadOnlyAccess`. | 6 de febrero de 2024 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— se actualizó para permitir los permisos de API de la cuenta necesarios para habilitarlos o deshabilitarlos Regiones de AWS a través de la consola de Organizations. | Se agregaron las acciones `account:ListRegions`, `account:EnableRegion` y `account:DisableRegion` a la política para permitir el acceso de escritura para habilitar o deshabilitar regiones para una cuenta. | 22 de diciembre de 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— se actualizó para permitir los permisos de API de las cuentas necesarios para publicar anuncios Regiones de AWS a través de la consola de Organizations. | Se agregó la acción `account:ListRegions` a la política para permitir el acceso a la visualización de regiones para una cuenta. | 22 de diciembre de 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— actualizado para permitir los permisos de la API de la cuenta necesarios para añadir o editar los contactos de la cuenta a través de la consola de Organizations. | Se agregaron las acciones `account:GetContactInformation` y `account:PutContactInformation` a la política para permitir el acceso de escritura para modificar los contactos de una cuenta. | 21 de octubre de 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— actualizado para permitir los permisos de API de la cuenta necesarios para ver los contactos de la cuenta a través de la consola de Organizations. | Se agregó la acción `account:GetContactInformation` a la política para permitir el acceso para ver los contactos de una cuenta. | 21 de octubre de 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— actualizado para permitir la creación de una organización. | Se agregó el permiso `CreateServiceLinkedRole` a la política para habilitar la creación del rol vinculado a servicios necesarios para crear una organización. El permiso está restringido a la creación de un rol que solo puede ser utilizado por el servicio `organizations.amazonaws.com` | 24 de agosto de 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— actualizado para permitir los permisos de la API de la cuenta necesarios para añadir, editar o eliminar contactos alternativos de la cuenta a través de la consola de Organizations. | Se agregaron las acciones `account:GetAlternateContact`, `account:DeleteAlternateContact`, `account:PutAlternateContact` de la política para habilitar el acceso de escritura para modificar contactos alternativos de una cuenta. | 7 de febrero de 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— actualizado para permitir los permisos de API de la cuenta necesarios para ver los contactos alternativos de la cuenta a través de la consola de Organizations. | Se agregó la acción `account:GetAlternateContact` de la política para permitir el acceso para ver contactos alternativos de una cuenta. | 7 de febrero de 2022 |
## AWS políticas de autorización gestionadas
Las [políticas de autorización](orgs_manage_policies_authorization_policies.md) son similares a las políticas de permisos de IAM, pero son una característica AWS Organizations más que de IAM. Las políticas de autorización se utilizan para configurar y administrar de forma centralizada el acceso a las entidades principales y los recursos de las cuentas de miembros.
Puede consultar la lista de políticas de su organización en la página [Políticas](https://console.aws.amazon.com/organizations/?#/policies) de la consola de Organizations.
****
| Nombre de la política | Description (Descripción) | ARN |
| --- | --- | --- |
| [CompletoAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess) | Permite el acceso a todas las operaciones. | arn:aws:organizations: :aws: -Full policy/service\$1control\$1policy/p AWSAccess |
| [RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess) | Permite el acceso a todos los recursos. | arn:aws:organizations: :aws: policy/resource\$1control\$1policy/p - RCPFull AWSAccess |
# Control de acceso basado en atributos con etiquetas para AWS Organizations
*[El control de acceso basado en atributos](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)* le permite usar atributos administrados por el administrador, como las [etiquetas](https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html) adjuntas a los AWS recursos y AWS las identidades, para controlar el acceso a esos recursos. Por ejemplo, puede especificar que un usuario pueda tener acceso a un recurso cuando tanto el usuario como el recurso tengan el mismo valor para una determinada etiqueta.
AWS Organizations Los recursos que se pueden etiquetar incluyen la raíz de la organización Cuentas de AWS, las unidades organizativas () o las políticas. OUs Al adjuntar etiquetas a recursos de Organizations, puede utilizar esas etiquetas para controlar quién puede tener acceso a esos recursos. Para ello, añada `Condition` elementos a sus declaraciones de política de permisos AWS Identity and Access Management (de IAM) que comprueben si determinadas claves y valores de etiquetas están presentes antes de permitir la acción. Esto le permite crear una política de IAM que diga: «Permita que el usuario administre solo las etiquetas OUs que tengan una clave `X` y un valor`Y`» o «Permita que el usuario administre solo las OUs que estén etiquetadas con una clave `Z` que tenga el mismo valor que la clave `Z` de etiqueta adjunta al usuario».
Puede basar sus pruebas `Condition` en diferentes tipos de referencias de etiquetas en una política de IAM.
+ [Comprobación de las etiquetas que se asocian a los recursos especificados en la solicitud](#abac-resource)
+ [Comprobación de las etiquetas que se asocian al usuario o rol de IAM que realiza la solicitud](#abac-prin)
+ [Compruebe las etiquetas que se incluyen como parámetros en la solicitud](#abac-request)
Para obtener más información sobre el uso de etiquetas para el [control de acceso en las políticas, consulte Controlar el acceso a y para los usuarios y roles de IAM utilizando etiquetas de recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html). Para obtener la sintaxis completa de las políticas de permisos de IAM, consulte la [Referencia de políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)
## Comprobación de las etiquetas que se asocian a los recursos especificados en la solicitud
Cuando realizas una solicitud mediante la Consola de administración de AWS, la AWS Command Line Interface (AWS CLI) o una de las AWS SDKs, especificas a qué recursos quieres acceder con esa solicitud. Ya sea que esté intentando enumerar los recursos disponibles de un tipo determinado, leer un recurso o escribir, modificar o actualizar un recurso, especifique el recurso al que se tendrá acceso como parámetro en la solicitud. Dichas solicitudes están controladas por las políticas de permisos de IAM que se adjuntan a los usuarios y roles. En estas políticas, puede comparar las etiquetas adjuntas al recurso solicitado y elegir permitir o denegar el acceso en función de las claves y valores de dichas etiquetas.
Para verificar una etiqueta adjunta al recurso, haga referencia a la etiqueta en un elemento `Condition` al anteponer el nombre de la clave de la etiqueta con la siguiente cadena: `aws:ResourceTag/`
Por ejemplo, la siguiente política de ejemplo permite al usuario o rol realizar cualquier AWS Organizations operación ***a menos que*** ese recurso tenga una etiqueta con la clave `department` y el valor `security`. Si esa clave y valor están presentes, entonces la política deniega explícitamente la operación `UntagResource`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : "organizations:*",
"Resource" : "*"
},
{
"Effect" : "Deny",
"Action" : "organizations:UntagResource",
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/department" : "security"
}
}
}
]
}
```
------
Para obtener más información sobre cómo utilizar este elemento, consulte [Controlling access to resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-resources) y [aws: ResourceTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) en la *Guía del usuario de IAM*.
## Comprobación de las etiquetas que se asocian al usuario o rol de IAM que realiza la solicitud
Puede controlar qué puede hacer la persona que realiza la solicitud (entidad principal) en función de las etiquetas que se asocian al usuario o rol de IAM. Para ello, utilice la clave de condición `aws:PrincipalTag/key-name` para especificar qué etiqueta y valor se deben adjuntar al usuario o rol que llama.
En el siguiente ejemplo se muestra cómo permitir una acción solo cuando la etiqueta especificada (`cost-center`) tiene el mismo valor tanto en la entidad que llama a la operación como en el recurso al que tiene acceso la operación. En este ejemplo, el usuario que llama puede iniciar y detener una instancia de Amazon EC2 solo si la instancia está etiquetada con el mismo valor `cost-center` como usuario.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"ec2:startInstances",
"ec2:stopInstances"
],
"Resource": "*",
"Condition": {"StringEquals":
{"ec2:ResourceTag/cost-center": "${aws:PrincipalTag/cost-center}"}}
}
}
```
------
Para obtener más información acerca de cómo utilizar este elemento, consulte [Control del acceso a los recursos IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) en la *Guía del usuario de IAM*.
## Compruebe las etiquetas que se incluyen como parámetros en la solicitud
Varias operaciones le permiten especificar etiquetas como parte de la solicitud. Por ejemplo, al crear un recurso, puede especificar las etiquetas que se adjuntan al nuevo recurso. Puede especificar un elemento `Condition` que utiliza `aws:TagKeys` para permitir o denegar la operación en función de si se incluye una clave de etiqueta específica o un conjunto de claves en la solicitud. A este operador de comparación no le importa qué valor contiene la etiqueta. Solo comprueba si está presente una etiqueta con la clave especificada.
Para comprobar la clave de etiqueta, o una lista de claves, especifique un elemento `Condition` con la sintaxis siguiente:
```
"aws:TagKeys": [ "tag-key-1", "tag-key-2", ... , "tag-key-n" ]
```
Puede utilizar [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) para prefaciar al operador de comparación para asegurarse de que todas las claves de la solicitud deben coincidir con una de las claves especificadas en la política. Por ejemplo, la siguiente política de muestra permite cualquier operación de Organizations solo si todas las etiquetas presentes son un ***subconjunto de tres*** etiquetas en esta política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"department",
"costcenter",
"manager"
]
}
}
}
}
```
------
De manera alternativa, puede utilizar [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) para prefaciar un operador de comparación para asegurarse de que al menos una de las claves de la solicitud deben coincidir con una de las claves especificadas en la política. Por ejemplo, la siguiente política permite cualquier operación de Organizations solo si ***al menos una*** de las claves de etiqueta especificadas está presente en la solicitud.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"stage",
"us-east-1",
"domain"
]
}
}
}
}
```
------
Varias operaciones le permiten especificar etiquetas en la solicitud. Por ejemplo, al crear un recurso, puede especificar las etiquetas que se adjuntan al nuevo recurso. Puede comparar un par clave-valor de etiqueta en la política con un par clave-valor incluido en la solicitud. Para ello, haga referencia a la etiqueta en un elemento `Condition` al anteponer el nombre de la clave de la etiqueta con la siguiente cadena: `aws:RequestTag/key-name` y, a continuación, especifique el valor de etiqueta que debe estar presente.
Por ejemplo, el siguiente ejemplo de política rechaza cualquier solicitud del usuario o rol para crear una Cuenta de AWS en la que la solicitud carezca de la `costcenter` etiqueta o proporcione a la etiqueta un valor distinto de `1``2`, o`3`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "organizations:CreateAccount",
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/costcenter": "true"
}
}
},
{
"Effect": "Deny",
"Action": "organizations:CreateAccount",
"Resource": "*",
"Condition": {
"ForAnyValue:StringNotEquals": {
"aws:RequestTag/costcenter": [
"1",
"2",
"3"
]
}
}
}
]
}
```
------
Para obtener más información sobre cómo utilizar estos elementos, consulte [aws: TagKeys y [aws: RequestTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) en la *Guía del usuario de IAM*.
# Solución de problemas de AWS Organizations identidad y acceso
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgir cuando se trabaja con Organizations e IAM.
**Topics**
+ [No tengo autorización para llevar a cabo una acción en Organizations.](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar tareas como: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a los recursos de mi Organización](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para llevar a cabo una acción en Organizations.
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `organizations:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: organizations:GetWidget on resource: my-example-widget
```
En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `organizations:GetWidget`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## No estoy autorizado a realizar tareas como: PassRole
Si recibe un error que indica que no cuenta con autorización para llevar a cabo la acción `iam:PassRole`, las políticas se deben actualizar para permitir transferir un rol a Organizations.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para llevar a cabo una acción en Organizations. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a los recursos de mi Organización
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puede utilizar esas políticas para permitir que las personas accedan a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si Organizations admite estas características, consulte [¿Cómo AWS Organizations funciona con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Inicio de sesión y supervisión AWS Organizations
Como práctica recomendada, debe monitorear su organización para asegurarse de que los cambios queden registrados. Esto le ayuda a garantizar que se pueda investigar cualquier cambio inesperado y revertir los cambios no deseados. AWS Organizations actualmente admite dos Servicios de AWS que le permiten supervisar su organización y la actividad que se lleva a cabo en ella.
**Topics**
+ [AWS CloudTrail](orgs_cloudtrail-integration.md)
+ [Amazon EventBridge](orgs_cloudwatch-integration.md)
# Registrar las llamadas a la API con AWS CloudTrail for AWS Organizations
AWS Organizations está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, rol o AWS servicio en AWS Organizations. CloudTrail captura todas las llamadas a la API AWS Organizations como eventos, incluidas las llamadas desde la AWS Organizations consola y desde las llamadas de código a AWS Organizations APIs. Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos para AWS Organizations. Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el **historial de eventos**. Con la información recopilada por CloudTrail, puedes determinar el destinatario de la solicitud AWS Organizations, la dirección IP desde la que se realizó, quién la realizó, cuándo se realizó y detalles adicionales.
Para obtener más información CloudTrail, consulta la *Guía AWS CloudTrail del usuario*.
**importante**
Puede ver toda la CloudTrail información AWS Organizations solo en la región EE. UU. Este (Virginia del Norte). Si no ves tu AWS Organizations actividad en la CloudTrail consola, configura la consola en **EE.UU. Este (Virginia del Norte)** mediante el menú de la esquina superior derecha. Si realizas consultas CloudTrail con las herramientas AWS CLI o el SDK, dirige la consulta al punto final de EE. UU. Este (Virginia del Norte).
## AWS Organizations información en CloudTrail
CloudTrail está habilitada en tu cuenta Cuenta de AWS al crear la cuenta. Cuando se produce una actividad en AWS Organizations, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el **historial de eventos**. Puede ver, buscar y descargar eventos recientes en su Cuenta de AWS. Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para mantener un registro continuo de eventos en la Cuenta de AWS, incluidos los eventos de AWS Organizations, cree un registro de seguimiento. Un rastro permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. Cuando el CloudTrail registro está activado en su cuenta Cuenta de AWS, las llamadas a la API realizadas a AWS Organizations las acciones se registran en los archivos de CloudTrail registro, donde se escriben junto con otros registros de AWS servicio. Puede configurar otros Servicios de AWS para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para más información, consulte los siguientes temas:
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Servicios e integraciones compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
Todas AWS Organizations las acciones se registran CloudTrail y se documentan en la [referencia de la AWS Organizations API](https://docs.aws.amazon.com/organizations/latest/APIReference/). Por ejemplo, las llamadas a `CreateAccount` (incluido el `CreateAccountResult` evento) y `InviteAccountToOrganization` generan entradas en los archivos de CloudTrail registro. `ListHandshakesForAccount` `CreatePolicy`
Cada entrada de registro contiene información sobre quién generó la solicitud. La información de identidad del usuario en la entrada de registro le ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con las credenciales del usuario raíz o del usuario de IAM
+ Si la solicitud se realizó con credenciales de seguridad temporales de un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) o un [usuario federado](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html).
+ Si la solicitud la realizó otro AWS servicio
Para obtener más información, consulte el [Elemento userIdentity de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
**nota**
CloudTrail registrará los eventos en la cuenta que realiza una acción determinada (es decir, en la cuenta del miembro y no en la cuenta de administración si la cuenta del miembro realizó la acción). Por ejemplo, una cuenta de miembro que abandona una organización se registrará en el registro de la cuenta de miembro y una cuenta de administración que elimine una cuenta de miembro se registrará en el registro de la cuenta de administración.
## Descripción de las entradas de los archivos de AWS Organizations registro
Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una única solicitud de cualquier origen e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etcétera. Los archivos de registro de CloudTrail no son un rastro de la pila ordenada de las llamadas a la API públicas, por lo que no aparecen en ningún orden específico.
### Ejemplos de entradas de registro: CloseAccount
El siguiente ejemplo muestra una entrada de CloudTrail registro para una `CloseAccount` llamada de ejemplo que se genera cuando se llama a la API y el flujo de trabajo para cerrar la cuenta comienza a procesarse en segundo plano.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE:my-admin-role",
"arn": "arn:aws:sts::111122223333:assumed-role/my-admin-role/my-session-id",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/my-admin-role",
"accountId": "111122223333",
"userName": "my-session-id"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2022-03-18T18:17:06Z"
}
}
},
"eventTime": "2022-03-18T18:17:06Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CloseAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": {
"accountId": "555555555555"
},
"responseElements": null,
"requestID": "e28932f8-d5da-4d7a-8238-ef74f3d5c09a",
"eventID": "19fe4c10-f57e-4cb7-a2bc-6b5c30233592",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
En el siguiente ejemplo, se muestra una entrada de CloudTrail registro para una `CloseAccountResult` llamada una vez finalizado correctamente el flujo de trabajo en segundo plano para cerrar la cuenta.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "organizations.amazonaws.com"
},
"eventTime": "2022-03-18T18:17:06Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CloseAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "organizations.amazonaws.com",
"userAgent": "organizations.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"closeAccountStatus": {
"accountId": "555555555555",
"state": "SUCCEEDED",
"requestedTimestamp": "Mar 18, 2022 6:16:58 PM",
"completedTimestamp": "Mar 18, 2022 6:16:58 PM"
}
},
"eventCategory": "Management"
}
```
### Ejemplos de entradas de registro: CreateAccount
El siguiente ejemplo muestra una entrada de CloudTrail registro para una `CreateAccount` llamada de ejemplo que se genera cuando se llama a la API y el flujo de trabajo para crear la cuenta comienza a procesarse en segundo plano.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE:my-admin-role",
"arn": "arn:aws:sts::111122223333:assumed-role/my-admin-role/my-session-id",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/my-admin-role",
"accountId": "111122223333",
"userName": "my-session-id"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-09-16T21:16:45Z"
}
}
},
"eventTime": "2018-06-21T22:06:27Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)...",
"requestParameters": {
"tags": [],
"email": "****",
"accountName": "****"
},
"responseElements": {
"createAccountStatus": {
"accountName": "****",
"state": "IN_PROGRESS",
"id": "car-examplecreateaccountrequestid111",
"requestedTimestamp": "Sep 16, 2020 9:20:50 PM"
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
En el siguiente ejemplo, se muestra una entrada de CloudTrail registro para una `CreateAccount` llamada una vez finalizado correctamente el flujo de trabajo en segundo plano para crear la cuenta.
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "..."
},
"eventTime": "2020-09-16T21:20:53Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "....",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"createAccountStatus": {
"id": "car-examplecreateaccountrequestid111",
"state": "SUCCEEDED",
"accountName": "****",
"accountId": "444455556666",
"requestedTimestamp": "Sep 16, 2020 9:20:50 PM",
"completedTimestamp": "Sep 16, 2020 9:20:53 PM"
}
}
}
```
El siguiente ejemplo muestra una entrada de CloudTrail registro que se genera después de que un flujo de trabajo en `CreateAccount` segundo plano no pueda crear la cuenta.
```
{
"eventVersion": "1.06",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-06-21T22:06:27Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"createAccountStatus": {
"id": "car-examplecreateaccountrequestid111",
"state": "FAILED",
"accountName": "****",
"failureReason": "EMAIL_ALREADY_EXISTS",
"requestedTimestamp": Jun 21, 2018 10:06:27 PM,
"completedTimestamp": Jun 21, 2018 10:07:15 PM
}
}
}
```
### Ejemplo de entrada de registro: CreateOrganizationalUnit
El siguiente ejemplo muestra una entrada de CloudTrail registro para un ejemplo de `CreateOrganizationalUnit` llamada.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:40:11Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"requestParameters": {
"name": "OU-Developers-1",
"parentId": "r-a1b2"
},
"responseElements": {
"organizationalUnit": {
"arn": "arn:aws:organizations::111111111111:ou/o-aa111bb222/ou-examplerootid111-exampleouid111",
"id": "ou-examplerootid111-exampleouid111",
"name": "test-cloud-trail",
"path": "o-aa111bb222/r-a1b2/ou-examplerootid111-exampleouid111/"
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Ejemplo de entrada de registro: InviteAccountToOrganization
El siguiente ejemplo muestra una entrada de CloudTrail registro para un ejemplo de `InviteAccountToOrganization` llamada.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:41:17Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "InviteAccountToOrganization",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"requestParameters": {
"notes": "This is a request for Mary's account to join Diego's organization.",
"target": {
"type": "ACCOUNT",
"id": "111111111111"
}
},
"responseElements": {
"handshake": {
"requestedTimestamp": "Jan 18, 2017 9:41:16 PM",
"state": "OPEN",
"arn": "arn:aws:organizations::111111111111:handshake/o-aa111bb222/invite/h-examplehandshakeid111",
"id": "h-examplehandshakeid111",
"parties": [
{
"type": "ORGANIZATION",
"id": "o-aa111bb222"
},
{
"type": "ACCOUNT",
"id": "222222222222"
}
],
"action": "invite",
"expirationTimestamp": "Feb 2, 2017 9:41:16 PM",
"resources": [
{
"resources": [
{
"type": "MASTER_EMAIL",
"value": "diego@example.com"
},
{
"type": "MASTER_NAME",
"value": "Management account for organization"
},
{
"type": "ORGANIZATION_FEATURE_SET",
"value": "ALL"
}
],
"type": "ORGANIZATION",
"value": "o-aa111bb222"
},
{
"type": "ACCOUNT",
"value": "222222222222"
},
{
"type": "NOTES",
"value": "This is a request for Mary's account to join Diego's organization."
}
]
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Ejemplo de entrada de registro: AttachPolicy
El siguiente ejemplo muestra una entrada de CloudTrail registro para un ejemplo de `AttachPolicy` llamada. La respuesta indica que la llamada ha dado un error porque el tipo de política solicitado no está habilitado en la raíz donde se ha intentado adjuntar la solicitud.
```
{
"eventVersion": "1.06",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:42:44Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "AttachPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"errorCode": "PolicyTypeNotEnabledException",
"errorMessage": "The given policy type ServiceControlPolicy is not enabled on the current view",
"requestParameters": {
"policyId": "p-examplepolicyid111",
"targetId": "ou-examplerootid111-exampleouid111"
},
"responseElements": null,
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Ejemplo de entrada de registro: política en vigor no válida
En el siguiente ejemplo, se muestra una entrada de CloudTrail registro para un `EffectivePolicyValidation` evento de ejemplo. Este evento se emite a la cuenta de administración de la organización cada vez que una actualización crea una política en vigor no válida para cualquier cuenta.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-07-17T14:53:40Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "EffectivePolicyValidation",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111111111111",
"serviceEventDetails": {
"accountId": "111111111111",
"policyType": "BACKUP_POLICY",
"state": "INVALID",
"requestTimestamp": "Jul 17, 2025, 2:53:40 PM",
"info": "All validation errors listed",
"validationErrors": [
{
"accountPath": "o-aa111bb222/r-a1b2/111111111111/",
"evaluationTimestamp": "Jul 17, 2025, 2:53:40 PM",
"errorCode": "ELEMENTS_TOO_MANY",
"errorMessage": "'hourly_rule' exceeds the allowed maximum limit 10",
"pathToError": "plans/hourly-backup/rules/hourly_rule",
"contributingPolicies": [
"p-examplepolicyid111"
]
}
]
},
"eventCategory": "Management"
}
```
### Ejemplo de entrada de registro: política en vigor válida
En el siguiente ejemplo, se muestra una entrada de CloudTrail registro para un `EffectivePolicyValidation` evento de ejemplo. Este evento se emite a la cuenta de administración de la organización cada vez que una actualización de la organización soluciona una política en vigor en una cuenta que anteriormente no era válida.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111111111111",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-07-17T14:54:40Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "EffectivePolicyValidation",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111111111111",
"serviceEventDetails": {
"accountId": "111111111111",
"policyType": "BACKUP_POLICY",
"state": "VALID",
"requestTimestamp": "Jul 17, 2025, 2:54:40 PM",
"info": "Previous effective policy validation error(s) resolved for this account/policyType"
},
"eventCategory": "Management"
}
```
# Amazon EventBridge y AWS Organizations
AWS Organizations puede trabajar con Amazon EventBridge, anteriormente Amazon CloudWatch Events, para generar eventos cuando se producen acciones especificadas por el administrador en una organización. Por ejemplo, por la sensibilidad de ese tipo de acciones, la mayoría de los administradores desean que se les advierta cada vez que alguien crea una nueva cuenta en la organización o que un administrador de una cuenta de miembro intenta salir de la organización. Puede configurar EventBridge reglas que busquen estas acciones y, a continuación, envíen los eventos generados a objetivos definidos por el administrador. El objetivo puede ser un tema de Amazon SNS que envíe un correo electrónico o un mensaje de texto a sus suscriptores. O bien una función AWS Lambda creada para registrar los detalles de la acción, de modo que pueda revisarlos más adelante.
Para ver un tutorial que muestra cómo habilitar la supervisión de EventBridge las actividades clave de su organización, consulte. [Tutorial: Supervisa los cambios importantes en tu organización con Amazon EventBridge](orgs_tutorials_cwe.md)
**importante**
Actualmente, solo AWS Organizations se aloja en la región EE.UU. Este (Virginia del Norte) (aunque está disponible en todo el mundo). Para llevar a cabo los pasos de este tutorial, debe configurar Consola de administración de AWS para usar esa región.
Para obtener más información EventBridge, incluido cómo configurarlo y habilitarlo, consulta la *[Guía del EventBridge usuario de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/)*.
# Validación de conformidad para AWS Organizations
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Resiliencia en AWS Organizations
La infraestructura AWS global se basa en zonas Regiones de AWS de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
[Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Seguridad de la infraestructura en AWS Organizations
Como servicio gestionado, AWS Organizations está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a Organizations a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Si necesita módulos criptográficos validados por FIPS 140-2 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).