AWS Identity and Access Management y AWS Organizations - AWS Organizations
Habilite el acceso confiableDeshabilitar el acceso de confianzaHabilitar una cuenta de administrador delegado para IAMDeshabilitación de un administrador delegado para IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Identity and Access Management y AWS Organizations

AWS Identity and Access Management es un servicio web para controlar de forma segura el acceso a AWS los servicios.

Puede utilizar los datos del último acceso al servicio de IAM para conocer mejor la actividad de AWS en su organización. Puede utilizar estos datos para crear y actualizar las políticas de control de servicios (SCPs) que restringen el acceso únicamente a los AWS servicios que utilizan las cuentas de su organización.

Para ver un ejemplo, consulte Uso de datos para ajustar los permisos de una unidad organizativa en la Guía del usuario de IAM.

IAM permite administrar las credenciales de usuario raíz de manera centralizada y realizar tareas con privilegios en las cuentas de miembros. Una vez que habilite la administración del acceso raíz, que permite un acceso confiable a IAM AWS Organizations, podrá proteger de forma centralizada las credenciales de los usuarios raíz de las cuentas de los miembros. Las cuentas de miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz. La cuenta de administración o una cuenta de administrador delegado de IAM también pueden realizar algunas tareas con privilegios en las cuentas de miembros mediante el acceso raíz a corto plazo. Las sesiones con privilegios de corta duración le proporcionan credenciales temporales que puede utilizar para realizar acciones con privilegios en la cuenta de un miembro de su organización.

Para obtener más información, consulte Administrar de forma centralizada el acceso raíz de las cuentas de miembros en la Guía del usuario de IAM.

Utilice la siguiente información para ayudarle a integrarse AWS Identity and Access Management con AWS Organizations.

Habilitación del acceso de confianza con IAM

Al habilitar la administración del acceso raíz, se habilitará el acceso de confianza para IAM en AWS Organizations.

Deshabilitación del acceso de confianza con IAM

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.

Solo un administrador de la cuenta AWS Organizations de administración puede deshabilitar el acceso de confianza con AWS Identity and Access Management.

Solo puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza mediante la AWS Organizations consola, ejecutando un AWS CLI comando de Organizations o llamando a una operación de la API de Organizations en uno de los AWS SDKs.

Consola de administración de AWS
Para deshabilitar el acceso de confianza mediante la consola de Organizations

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación, elija Servicios.

  3. En la lista de servicios, elija AWS Identity and Access Management.

  4. Seleccione Deshabilitar el acceso de confianza.

  5. En el cuadro de diálogo Deshabilitar el acceso de confianza para AWS Identity and Access Management, escriba deshabilitar para confirmar y, a continuación, elija Deshabilitar el acceso de confianza.

  6. Si es el administrador de Only AWS Organizations, dígale al administrador AWS Identity and Access Management que ahora puede deshabilitar el funcionamiento de ese servicio AWS Organizations mediante la consola de servicio o las herramientas.

AWS CLI, AWS API
Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK

Puedes usar los siguientes AWS CLI comandos u operaciones de API para deshabilitar el acceso a un servicio confiable:

  • AWS CLI: disable-aws-service-access

    Ejecute el siguiente comando para inhabilitarlo AWS Identity and Access Management como servicio de confianza con Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal iam.amazonaws.com

    Este comando no genera ninguna salida si se realiza correctamente.

  • AWS API: deshabilita el AWSService acceso

Habilitar una cuenta de administrador delegado para IAM

Cuando designa una cuenta de miembro como administrador delegado para la organización, los usuarios y roles de esa cuenta pueden realizar tareas con privilegios en las cuentas de miembros, las cuales solo podrían realizarlas los usuarios o roles en la cuenta de administración de la organización. Para obtener más información, consulte Realización de una tarea con privilegios en una cuenta de miembro de Organizations en la Guía del usuario de IAM.

Solo un administrador de la cuenta de administración de la organización puede configurar un administrador delegado para IAM.

Puede especificar una cuenta de administrador delegada desde la consola o la API de IAM, o utilizando la operación de la CLI o el SDK de Organizations.

Deshabilitación de un administrador delegado para IAM

Solo un administrador en la cuenta de administración de Organizations o en la cuenta de administrador delegado de IAM puede eliminar una cuenta de administrador delegado de la organización. Puede deshabilitar una administración delegada con la operación DeregisterDelegatedAdministrator de la CLI o el SDK de Organizations.