Comience a utilizar AWS Organizations

Pruebe AWS Organizations

AWS Organizations está disponible para todos los clientes de AWS sin costo adicional.

P: ¿Qué es AWS Organizations?

AWS Organizations ofrece administración basada en políticas para varias cuentas de AWS. Con Organizations, puede crear grupos de cuentas y aplicarles políticas. Organizations le permite administrar políticas a nivel central en varias cuentas, sin scripts personalizados ni procesos manuales.

P: ¿Qué acciones administrativas se pueden realizar con AWS Organizations?

AWS Organizations permite la realización de las siguientes acciones administrativas:

  • Crear una cuenta de AWS y agregarla a su organización, o agregar una cuenta de AWS existente a su organización.
  • Organizar sus cuentas de AWS en grupos denominados unidades organizativas (OU).
  • Organizar las OU en una jerarquía que refleje la estructura de la compañía.
  • Administrar a nivel central y asignar políticas a toda la organización, a OU o a cuentas de AWS individuales.

P: ¿Qué controles se pueden utilizar en esta versión de AWS Organizations?

En esta versión, puede definir y exigir acciones de servicios de AWS, como RunInstances de Amazon EC2, que se encuentran disponibles para su uso en distintas cuentas de AWS de una organización.

P: ¿Es necesario migrar de mi familia de facturación consolidada a AWS Organizations?

No, AWS migró las familias de Facturación consolidada a las organizaciones de AWS de manera automática, solamente con la habilitación de las características de facturación consolidada.

P: ¿Cómo puedo empezar?

Para comenzar, primero debe decidir cuál de sus cuentas de AWS será la cuenta maestra. Si tiene una familia de facturación consolidada, ya hemos convertido su cuenta de AWS pagadora de la facturación consolidada en la cuenta maestra. Si no tiene una familia de facturación consolidada, puede crear una cuenta de AWS nueva o seleccionar una existente.

Pasos para los clientes que utilizan la facturación consolidada

  1. Diríjase a la consola de facturación consolidada. AWS le redirige a la nueva consola de AWS Organizations.
  2. AWS ha convertido su familia de facturación consolidada automáticamente, para que pueda empezar a aprovechar las nuevas capacidades de su empresa.
Pasos para los clientes que no utilizan la facturación consolidada
 
Debe crear una organización nueva siguiendo estos sencillos pasos:
 
  1. Inicie sesión como administrador en la consola de administración de AWS usando la cuenta de AWS con la que desea administrar su organización.
  2. Diríjase a la consola de AWS Organizations.
  3. Elija Create Organization.
  4. Seleccione qué características desea habilitar para su organización. Puede elegir solo las características de la facturación consolidada o todas las características.
  5. Agregue cuentas de AWS a su organización usando uno de los siguientes dos métodos:
    1. Invite a cuentas de AWS existentes a unirse a su organización usando su ID de cuenta de AWS o su dirección de correo electrónico asociada.
    2. Cree nuevas cuentas de AWS.
  6. Diseñe la jerarquía de su organización agrupando las cuentas de AWS en OU.
  7. Si decide habilitar todas las características para su organización, puede crear y asignar controles a esas OU.

También puede usar la CLI de AWS (para el acceso mediante la línea de comandos) o los SDK (para el acceso mediante programación) para seguir los mismos pasos y crear una organización nueva.

Nota: Solo puede iniciar la creación de una organización nueva desde una cuenta de AWS que no pertenezca ya a otra organización.
 
Para obtener más información, consulte Getting started with AWS Organizations.

P: ¿Qué es una organización?

Una organización es un conjunto de cuentas de AWS que puede organizar de manera jerárquica y administrar a nivel central.

P: ¿Qué es una cuenta de AWS?

Una cuenta de AWS es un contenedor de todos sus recursos de AWS. Puede crear y administrar sus recursos de AWS en una cuenta de AWS, y esta cuenta proporcionará capacidades administrativas de acceso y facturación.

P: ¿Qué es una cuenta maestra?

Una cuenta maestra es la cuenta de AWS que utiliza para crear su organización. Desde la cuenta maestra, puede crear otras cuentas en su organización, invitar a otras cuentas a unirse a su organización y administrar las invitaciones, y eliminar cuentas de su organización. También puede asignar políticas a entidades, como raíces administrativas, unidades organizativas (OU) o cuentas de su organización. La cuenta maestra cumple la función de cuenta del pagador y es responsable de todos los cargos incurridos por las cuentas de su organización. No es posible cambiar la cuenta maestra de la organización.

P: ¿Qué es una cuenta de miembro?

Una cuenta de miembro es una cuenta de AWS que forma parte de una organización y no es la cuenta maestra. Si usted es el administrador de una organización, puede crear cuentas de miembro en la organización e invitar a cuentas existentes a que se unan a la organización. También puede aplicar políticas a cuentas de miembros. Una cuenta de miembro no puede pertenecer a más de una organización a la vez.

P: ¿Qué es una raíz administrativa?

Una raíz administrativa es el punto de partida para organizar sus cuentas de AWS. La raíz administrativa es el contenedor superior en la jerarquía de su organización. Bajo esta raíz, puede crear OU para agrupar sus cuentas de manera lógica y organizar las OU en la jerarquía que satisfaga mejor las necesidades de su empresa.

P: ¿Qué es una unidad organizativa (OU)?

Una unidad organizativa (OU) es un grupo de cuentas de AWS en una organización. Una OU también puede contener otras OU, lo que le permite establecer una jerarquía. Por ejemplo, puede agrupar todas las cuentas que pertenezcan al mismo departamento en una OU departamental. De la misma manera, puede agrupar todas las cuentas que ejecuten servicios de producción en una OU de producción. Las OU resultan útiles cuando es necesario aplicar los mismos controles a un subconjunto de cuentas de su organización. Anidar las OU permite disponer de unidades más pequeñas de administración. Por ejemplo, dentro de una OU departamental, puede agrupar cuentas que pertenezcan a equipos individuales en OU de nivel de equipo. Estas OU heredan las políticas de la OU madre, así como cualquier control asignado directamente a la OU de nivel de equipo.

P: ¿Qué es una política?

Una política es un "documento" con una o más declaraciones que definen los controles que desea aplicar a un grupo de cuentas de AWS. En esta versión, AWS Organizations admite un tipo específico de política denominado una política de control de servicio (SCP). Una SCP define las acciones de servicio de AWS, como RunInstances de Amazon EC2, que están disponibles para su uso en distintas cuentas de una organización.


P: ¿Puedo definir y administrar mi organización a nivel regional?

No. Todas las entidades de la organización están accesibles a nivel global, de manera similar a cómo AWS Identity and Access Management (IAM) funciona hoy en día. No es necesario especificar una región al crear y administrar una organización. Los usuarios de sus cuentas de AWS pueden usar los servicios de AWS de cualquier región geográfica en la que dichos servicios se encuentren disponibles.

P: ¿Puedo cambiar qué cuenta es la cuenta maestra?

No. No puede cambiar la cuenta de AWS que es la cuenta maestra. Por lo tanto, debería seleccionar la cuenta maestra con cuidado.

P: ¿Cómo puedo añadir una cuenta de AWS a mi organización?

Para añadir una cuenta de AWS a su organización, utilice uno de los siguientes dos métodos:

Método 1: Invitar a una cuenta existente a que se una a su organización

  1. Inicie sesión como administrador de la cuenta maestra y diríjase a la consola de AWS Organizations.
  2. Elija la pestaña Accounts.
  3. Seleccione Add account y, a continuación, Invite account.
  4. Proporcione la dirección de correo electrónico de la cuenta a la que desea invitar o el ID de cuenta de AWS de esa cuenta.

Nota: Puede invitar a más de una cuenta de AWS si proporciona una lista separada con comas de direcciones de correo electrónico o ID de cuenta de AWS.

La cuenta de AWS especificada recibe un correo electrónico invitándola a que se una a su organización. Un administrador de la cuenta de AWS invitada debe aceptar o denegar la solicitud mediante la consola de AWS Organizations, la CLI de AWS o la API de Organizations. Si el administrador acepta su invitación, la cuenta podrá verse en la lista de cuentas de su organización. Cualquier política pertinente, como SCP, se aplicará automáticamente a la cuenta recién agregada. Por ejemplo, si su organización tiene una SCP asignada a la raíz de su organización, esta se aplicará directamente a las cuentas recién creadas.

Método 2: Crear una cuenta de AWS en su organización

  1. Inicie sesión como administrador de la cuenta maestra y diríjase a la consola de AWS Organizations.
  2. Elija la pestaña Accounts.
  3. Seleccione Add account y, a continuación, Create account.
  4. Proporcione un nombre para la cuenta y la dirección de correo electrónico de esta.

También puede crear una cuenta con el SDK de AWS o la CLI de AWS. Con ambos métodos, una vez que haya añadido la cuenta nueva, puede transferirla a una unidad organizativa (OU). La cuenta nueva heredará automáticamente las políticas aplicadas a la OU.

P: ¿Puede una cuenta de AWS pertenecer a más de una organización?

No. Una cuenta de AWS no puede pertenecer a más de una organización a la vez.

P: ¿Cómo puedo acceder a una cuenta de AWS creada en mi organización?

Al crear la cuenta, AWS Organizations crea una función de IAM con permisos administrativos completos en la nueva cuenta. Los usuarios de IAM y las funciones de IAM con permisos adecuados en la cuenta maestra pueden adoptar esta función de IAM para obtener acceso a la cuenta recién creada.

P: ¿Puedo configurar la autenticación multifactor (MF) en la cuenta de AWS que cree en mi organización mediante programación?

No. Esta función no se admite en la actualidad.

P: ¿Puedo trasladar una cuenta de AWS que he creado con AWS Organizations a otra organización?

No. Esta función no se admite en la actualidad.

P: ¿Puedo eliminar una cuenta de AWS que he creado utilizando Organizations y convertirla en una cuenta independiente?

Sí. Sin embargo, cuando crea una cuenta en una organización con la consola, la API o los comandos de la CLI de AWS Organizations, no se recopila toda la información necesaria para las cuentas independientes. Para cada cuenta que desee convertir en independiente, primero deberá aceptar el Acuerdo de cliente de AWS, elegir un plan de soporte, proporcionar y verificar la información de contacto necesaria y proporcionar un método de pago actual. AWS utiliza el método de pago para cobrar cualquier actividad de AWS facturable (no la capa gratuita de AWS) que se produzca mientras la cuenta no esté adjunta a una organización. Para obtener más información, consulte Abandonar una organización cuando todavía no se ha proporcionado toda la información de cuenta necesaria (consola).

P: ¿Cuántas cuentas de AWS puedo administrar en mi organización?

Esto puede variar. Si necesita administrar cuentas adicionales, vaya al Centro de soporte de AWS y abra un caso de soporte para solicitar un incremento.

P: ¿Cómo puedo eliminar una cuenta de miembro de AWS de una organización?

Puede eliminar una cuenta de miembro usando uno de los siguientes dos métodos. Es posible que tenga que proporcionar información adicional para eliminar una cuenta creada con Organizations. Si no consigue eliminar la cuenta, vaya al Centro de soporte de AWS y solicite ayuda para eliminarla.

Método 1: Eliminar una cuenta de miembro invitada iniciando sesión en la cuenta maestra

  1. Inicie sesión como administrador de la cuenta maestra y diríjase a la consola de AWS Organizations.
  2. En la parte izquierda, elija Accounts.
  3. Seleccione la cuenta que desea eliminar y, a continuación, elija Remove account.
  4. Si la cuenta no tiene un método de pago válido, debe proporcionar uno.

Método 2: Eliminar una cuenta de miembro invitada iniciando sesión en la cuenta de miembro

  1. Inicie sesión como administrador de la cuenta de miembro que desea eliminar de la organización.
  2. Diríjase a la consola de AWS Organizations.
  3. Elija Leave organization.
  4. Si la cuenta no tiene un método de pago, debe proporcionar uno.

P: ¿Cómo puedo crear una unidad organizativa (OU)?

Para crear una OU, siga estos pasos:

  1. Inicie sesión como administrador de la cuenta maestra y diríjase a la consola de AWS Organizations.
  2. Elija la pestaña Organize accounts.
  3. Diríjase en la jerarquía adonde desea crear la OU. Puede crearla directamente bajo la raíz, o dentro de otra OU.
  4. Seleccione Create organizational unit y proporcione un nombre para su OU. El nombre debe ser único en su organización.

Nota: Puede cambiar el nombre de la OU más adelante.

Ya puede agregar cuentas de AWS a su OU. También puede usar la CLI de AWS y las API de AWS para crear y administrar una OU.

P: ¿Cómo puedo agregar una cuenta de AWS de miembro a una OU?

Para agregar cuentas de miembro a una OU, siga estos pasos:

  1. En la consola de AWS Organizations, elija la pestaña Organize accounts.
  2. Seleccione la cuenta de AWS y, a continuación, Move account.
  3. En el cuadro de diálogo, seleccione la OU a la que desea transferir la cuenta de AWS.

De manera alternativa, pude usar la CLI de AWS y las API de AWS para añadir cuentas de AWS a una OU.

P: ¿Puede ser una cuenta de AWS miembro de varias OU?

No. Una cuenta de AWS no puede ser miembro de más de una OU a la vez.

P: ¿Puede ser una OU miembro de varias OU?

No. Una OU no puede ser miembro de más de una OU a la vez.

P: ¿Cuántos niveles puedo tener en mi jerarquía de OU?

Puede anidar sus OU en hasta cinco niveles. Incluidas la raíz y las cuentas de AWS creadas en las OU de nivel inferior, la jerarquía puede tener cinco niveles.


P: ¿Cómo puedo controlar quién es capaz de administrar mi organización?

Puede controlar quién es capaz de administrar su organización y sus recursos de la misma manera que administra el acceso a otros recursos de AWS: asignando políticas de IAM a usuarios, grupos o funciones de IAM en la cuenta maestra. Con las políticas de IAM, puede controlar lo siguiente:

  • Crear una organización, unidad organizativa (OU) o cuenta de AWS.
  • Añadir, transferir y eliminar cuentas de AWS a y desde su organización y OU.
  • Crear políticas y asignarlas a la raíz de su organización, OU y cuentas individuales.

P: ¿Por qué hay una función de IAM definida en cada cuenta que creo con AWS Organizations?

Esta función permite a los usuarios de la cuenta maestra acceder a una cuenta de miembro nueva. Al principio, cualquier cuenta de miembro nueva no tiene ningún usuario ni contraseña, por lo que solo se puede acceder con esta función. Una vez utilizada la función para acceder a la cuenta de miembro y crear al menos un usuario de IAM con permisos de administrador, puede eliminarla si lo desea. Para obtener más información sobre las funciones y los usuarios de AWS, consulte Accessing a Member Account That Has a Master Account Access Role.

P: ¿Puedo conceder permiso para administrar mi organización a usuarios de IAM de cualquier cuenta de miembro de AWS de mi organización?

Sí. Si desea conceder a usuarios de IAM de una cuenta de miembro permiso para administrar toda su organización o partes de esta, puede usar funciones de IAM. Crea una función con los permisos adecuados en la cuenta maestra y permite a los usuarios o funciones de la cuenta maestra asumir la nueva función. Se trata del mismo método entre cuentas que utiliza para conceder a un usuario de IAM de una cuenta acceso a un recurso (por ejemplo, una tabla de DynamoDB) de otra cuenta.

P: ¿Puede un usuario de IAM de una cuenta de miembro iniciar sesión en mi organización?

No. Los usuarios de IAM solo pueden iniciar sesión en la cuenta de miembro asociada de su organización.

P: ¿Puede un usuario de IAM iniciar sesión en una OU de mi organización?

No. Los usuarios de IAM solo pueden iniciar sesión en su cuenta de AWS asociada de su organización.

P: ¿Puedo controlar quién de mi cuenta de AWS puede aceptar una invitación para unirse a una organización?

Sí. Con los permisos de IAM, puede conceder o denegar a usuarios de su cuenta la capacidad de aceptar o denegar invitaciones para unirse a una organización. La siguiente política concede acceso para ver y administrar invitaciones en una cuenta de AWS:

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect":"Allow",

            "Action":[

                "organizations:AcceptHandshake",

                "organizations:DeclineHandshake",

                "organizations:DescribeHandshake",

                "organizations:ListHandshakesForAccount"

            ],

            "Resource":" *"

        }

    ]

}

Para obtener más información, consulte Using Identity-Based Policies (IAM Policies) for AWS Organizations.


P: ¿En qué niveles de mi organización puedo aplicar una política?

Puede adjuntar una política a la raíz de su organización (se aplicarán a todas las cuentas de su organización), unidades organizativas individuales (OU) (se aplicarán a todas las cuentas de la OU, incluidas OU anidadas) o cuentas individuales.

P: ¿Cómo puedo asignar una política?

Puede asignar una política de una de dos maneras:

  • En la consola de AWS Organizations, vaya adonde desea asignar la política (una raíz, OU o cuenta) y, a continuación, elija Attach Policy.
  • En la consola de Organizations, seleccione la pestaña Policies y haga una de las siguientes opciones:
    • Elija una política existente, seleccione Attach Policy en el menú desplegable Actions y, a continuación, seleccione la raíz, OU o cuenta a la que desea adjuntar la política.
    • Elija Create Policy y, a continuación, como parte del flujo de trabajo de creación de la política, seleccione la raíz, OU o cuenta a la que desea adjuntar la nueva política.

Para obtener más información, consulte Managing Policies.

P: ¿Se heredan las políticas mediante las conexiones jerárquicas en mi organización?

Sí. Por ejemplo, supongamos que ha organizado sus cuentas de AWS en OU de acuerdo con las fases de desarrollo de su aplicación: DEV, TEST y PROD. La política P1 está adjunta a la raíz de la organización, la política P2 está adjunta a la OU DEV y la política P3 está adjunta a la cuenta de AWS A1 en la OU DEV. Con esta configuración, P1+P2+P3 se aplican a la cuenta A1.

Para obtener más información, consulte About Service Control Policies.

P: ¿Qué tipos de políticas admite AWS Organizations?

En la actualidad, AWS Organizations admite políticas de control de servicio (SCP). Puede usar SCP para definir e imponer las acciones que los usuarios, grupos y funciones de IAM pueden realizar en las cuentas a las que se ha aplicado la SCP.

P: ¿Qué es una política de control de servicio (SCP)?

Las políticas de control de servicio (SCP) le permiten controlar qué acciones de los servicios de AWS son accesibles a los agentes principales (raíz de la cuenta, usuarios de IAM y funciones de IAM) en las cuentas de su organización. Se requiere una SCP, pero no es el único control que determina qué agentes principales de una cuenta pueden acceder a recursos para conceder acceso a recursos a agentes principales. El permiso efectivo de un agente principal de una cuenta con una SCP adjunta es la intersección de lo que permite explícitamente la SCP y lo que permiten explícitamente los permisos adjuntos al agente principal. Por ejemplo, si una SCP aplicada a una cuenta establece que las únicas acciones permitidas son acciones de Amazon EC2 y los permisos de un agente principal de la misma cuenta de AWS permiten acciones de EC2 y de Amazon S3, el agente principal solamente podrá acceder a las acciones de EC2.

Los agentes principales de una cuenta de miembro (incluido el usuario raíz de la cuenta de miembro) no pueden eliminar ni cambiar políticas SCP a esa cuenta.

P: ¿Qué aspecto tiene una SCP?

Las SCP siguen las mismas reglas y gramática que las políticas de IAM, excepto que no se especifican condiciones y la sección de los recursos debe ser igual a “*”. Puede usar una SCP para denegar o permitir el acceso a acciones de servicios de AWS.

Ejemplo de lista blanca

La siguiente SCP concede acceso a todas las acciones de servicio de EC2 y S3 en la cuenta de AWS. Todos los agentes principales (raíz de la cuenta, usuario de IAM y función de IAM) de una cuenta con esta SCP aplicada no podrán acceder a otras acciones, independientemente de qué políticas de IAM tengan asignadas directamente. Esas políticas de IAM deben permitir acciones de los servicios EC2 o S3 explícitamente para que los agentes principales puedan acceder a ellas.

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect":"Allow",

            "Action":["EC2:*","S3:*"],

            "Resource":"*"

        }

    ]

}

Ejemplo de lista negra

La siguiente SCP permite el acceso a todas las acciones de servicios de AWS excepto la acción PutObject de S3. Todos los agentes principales (raíz de la cuenta, usuario de IAM y función de IAM) con permisos adecuados asignados directamente en una cuenta en la que se ha aplicado esta SCP pueden acceder a cualquier acción excepto PutObject de S3.

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect":"Allow",

            "Action": "*:*",

            "Resource":"*"

        },

        {

            "Effect":"Deny",

            "Action":"S3:PutObject",

            "Resource":"*"

        }

    ]

}

Para ver más ejemplos, consulte Strategies for Using SCPs.

P: Si adjunto una SCP vacía a una cuenta de AWS, ¿significa eso que permito todas las acciones de servicio de AWS en esa cuenta de AWS?

No. Las SCP se comportan del mismo modo que las políticas de IAM: una política de IAM vacía equivale a DENY por defecto. Aplicar una SCP vacía a una cuenta equivale a asignar una política que deniega explícitamente todas las acciones.

P: ¿Puedo especificar recursos y agentes principales en una SCP?

No. En la versión actual, solo puede especificar servicios de AWS y acciones en una SCP. Puede especificar recursos y agentes principales utilizando políticas de permiso de IAM en la cuenta de AWS. Para obtener más información, consulte Service Control Policy Syntax.

P: ¿Cuáles son los permisos efectivos si aplico una SCP a mi organización y los agentes principales también tienen políticas de IAM?

Los permisos efectivos concedidos a un agente principal (raíz de la cuenta, usuario de IAM y función de IAM) de una cuenta de AWS con una SCP aplicada constituyen la intersección entre los permisos que concede la SCP y los que conceden las políticas de permiso de IAM al agente. Por ejemplo, si un usuario de IAM tiene "Allow": "ec2:* " y "Allow": "sqs:* ", y la SCP asignada a esa cuenta tiene "Allow": "ec2:* " y "Allow": "s3:* ", el permiso resultante para el usuario de IAM es "Allow": "ec2:* ". El agente principal no puede realizar ninguna acción de Amazon SQS (la SCP no lo permite) ni acción de S3 (la política de IAM no lo permite).

P: ¿Puedo simular el efecto de una SCP en una cuenta de AWS?

Sí, el simulador de políticas de IAM puede incluir los efectos de una SCP. Puede usar el simulador de políticas en una cuenta de miembro de su organización para comprender el efecto en agentes principales individuales de la cuenta. Un administrador de una cuenta de miembro con los permisos adecuados de AWS Organizations puede ver si una SCP influye en el acceso de los agentes principales (raíz de la cuenta, usuario de IAM y función de IAM) de su cuenta de miembro.

Para obtener más información, consulte Service Control Policies.

P: ¿Puedo crear y administrar una organización sin imponer una SCP?

Sí. Usted decide las políticas que desea imponer. Por ejemplo, puede crear una organización que aproveche solamente la funcionalidad de facturación consolidada. Eso le permite disponer de una cuenta con un solo pagador para todas las cuentas de su organización y recibir automáticamente beneficios de los precios por capas de manera predeterminada.


P: ¿Cuánto cuesta AWS Organizations?

AWS Organizations se ofrece sin cargo adicional.

P: ¿Quién paga el consumo realizado por los usuarios en una cuenta de miembro de AWS de mi organización?

El propietario de la cuenta maestra es responsable del uso, los datos y los recursos usados por las cuentas de la organización.

P: ¿En qué se parecen AWS Organizations y la facturación consolidada?

Ahora, las características de la facturación consolidada forman parte de AWS Organizations. Organizations le permite unificar los pagos de varias cuentas de AWS de su compañía designando una única cuenta de pago. Para obtener más información, consulte Consolidated Billing and AWS Organizations.

P: ¿Reflejará mi factura la estructura de la unidad organizativa que he creado en mi organización?

No. De momento, su factura no reflejará la estructura que ha definido en su organización. Puede usar etiquetas de asignación de costos en cuentas de AWS individuales para categorizar y monitorizar sus costos de AWS. Esta asignación estará visible en la factura consolidada de su organización.