Preguntas frecuentes sobre AWS Organizations

Aspectos generales

Con AWS Organizations, es posible controlar su entorno de manera centralizada a medida que escala las cargas de trabajo en AWS. Independientemente de si forma parte de una empresa emergente en crecimiento o de una gran compañía, Organizations lo ayuda, mediante programación, a crear nuevas cuentas y asignar recursos, y simplificar la facturación a través de la configuración de un único método de pago para todas las cuentas, además de crear grupos de cuentas para organizar los flujos de trabajo y aplicar políticas a estos grupos para la gobernanza. Además, AWS Organizations está integrado con otros servicios de AWS para que pueda definir configuraciones centrales, mecanismos de seguridad y uso compartido de recursos entre las cuentas de su organización.

AWS Organizations posibilita las siguientes capacidades:

  • Automatizar la creación y administración de cuentas de AWS, y el aprovisionamiento de recursos con AWS CloudFormation Stacksets
  • Mantener un entorno seguro con políticas y administración de servicios de AWS security
  • Controlar el acceso a los recursos, los servicios y las regiones de AWS
  • Administrar políticas de manera centralizada en varias cuentas de AWS
  • Auditar el entorno para la conformidad 
  • Ver y administrar los costos con facturación unificada 
  • Configurar servicios de AWS en varias cuentas

AWS Organizations está disponible en todas las regiones comerciales de AWS, regiones de AWS GovCloud (EE. UU.) y regiones de China. Los puntos de enlace de servicio de AWS Organizations están ubicados en EE. UU. Este (Norte de Virginia) para organizaciones comerciales y AWS GovCloud (EE. UU. Oeste) para organizaciones de AWS GovCloud (EE. UU.), y la región AWS China (Ningxia), administrada por NWCD.

Para comenzar, primero debe decidir cuál de sus cuentas de AWS será la cuenta de administración (antes conocida como cuenta maestra). Puede crear una nueva cuenta de AWS o seleccionar una ya existente.

  1. Inicie sesión como administrador en la Consola de administración de AWS con la cuenta de AWS con la que desea administrar su organización.
  2. Diríjase a la consola de AWS Organizations.
  3. Elija Crear organización.
  4. Seleccione qué características desea habilitar para su organización. Puede elegir todas las características o solo las características de la facturación unificada. Se recomienda seleccionar todas las características si desea aprovechar todas las capacidades de la administración centralizada de AWS Organizations.
  5. Agregue cuentas de AWS a su organización usando uno de los siguientes dos métodos: 
    1. Invite a cuentas de AWS existentes a su organización usando su ID de cuenta de AWS o su dirección de correo electrónico asociada.
    2. Cree nuevas cuentas de AWS.
  6. Diseñe la jerarquía de su organización agrupando las cuentas de AWS en OU.
  7. Cree políticas (como políticas de control de servicios o políticas de respaldo) para OU, cuentas o la organización (solo disponible para organizaciones con todas las características).
  8. Habilite los servicios de AWS que están integrados a AWS Organizations.

También puede usar la CLI de AWS (para el acceso mediante la línea de comandos) o los SDK para seguir los mismos pasos y crear una organización nueva.

Nota: Solo puede iniciar la creación de una organización nueva desde una cuenta de AWS que no pertenezca ya a otra organización.

Para obtener más información, consulte Introducción a AWS Organizations.

AWS Control Tower

AWS Control Tower, desarrollado en servicios de AWS como AWS Organizations, ofrece la manera más fácil de configurar y controlar un entorno de AWS nuevo, seguro y con varias cuentas. Establece un punto de llegada, el cual se trata de un entorno con varias cuentas de buena arquitectura basado en proyectos de prácticas recomendadas, y permite el control mediante el uso de diferentes medidas de seguridad preventivas. Las medidas de seguridad preventivas son SCP y reglas de AWS Config que implementan la gobernanza para la seguridad, el cumplimiento y las operaciones.

AWS Control Tower ofrece una experiencia abstraída, automatizada y normativa basada en AWS Organizations. Configura automáticamente AWS Organizations como el servicio de AWS subyacente para organizar las cuentas e implementa medidas de seguridad preventivas mediante SCP. Control Tower y Organizations funcionan bien juntos. Puede usar Control Tower para configurar su entorno y definir medidas de seguridad preventivas, luego, mediante AWS Organizations puede crear políticas personalizadas (como etiquetas, copias de seguridad o SCP) que controlen de manera centralizada el uso de servicios de AWS y recursos entre varias cuentas de AWS.

Las medidas de seguridad preventivas son reglas de gobernanza SCP y AWS Config integradas para seguridad, operaciones y cumplimiento que los clientes pueden seleccionar y aplicar en toda la compañía o a grupos de cuentas específicos. Una medida de seguridad preventiva se expresa en inglés sencillo e implanta una política de gobernanza específica para su entorno AWS que se puede habilitar en una unidad organizativa (OU).

AWS Control Tower es para aquellos clientes que deseen crear o administrar sus entornos AWS de varias cuentas con prácticas recomendadas integradas. Ofrece una guía normativa para controlar el entorno de AWS en escala y le da control sobre su entorno sin la necesidad de sacrificar la velocidad y la agilidad que AWS proporciona a los creadores. Podrá beneficiarse con AWS Control Tower ya sea que esté creando un nuevo entorno de AWS, dando sus primeros pasos en AWS, comenzando una nueva iniciativa en la nube, si es completamente nuevo en AWS o si ya cuenta con un entorno de AWS de varias cuentas.

Conceptos básicos

Una organización es un conjunto de cuentas de AWS que puede organizar de manera jerárquica y administrar a nivel central.

Una cuenta de AWS es un contenedor de todos sus recursos de AWS. Puede crear y administrar sus recursos de AWS en una cuenta de AWS, y esta cuenta proporcionará capacidades administrativas de acceso y facturación.

El uso de varias cuentas de AWS es una práctica recomendada para escalar su entorno, ya que proporciona un límite natural en la facturación para los costos, aísla recursos para seguridad, proporciona flexibilidad para las personas y los equipos, además de ser adaptable a nuevos procesos empresariales.

Una cuenta de administración es la cuenta de AWS que utiliza para crear su organización. Desde la cuenta de administración, puede crear otras cuentas en su organización, invitar a otras cuentas a unirse a su organización y administrar las invitaciones, y eliminar cuentas de su organización. También puede asignar políticas a entidades, como raíces administrativas, unidades organizativas (OU) o cuentas de su organización. La cuenta de administración es el máximo propietario de la organización, y tiene el control final sobre la seguridad, la infraestructura y las políticas financieras. Esta cuenta cumple la función de cuenta del pagador y es responsable de todos los cargos incurridos por las cuentas de su organización. No es posible cambiar la cuenta de administración de la organización.

Una cuenta de miembro es una cuenta de AWS que forma parte de una organización y no es la cuenta de administración. Si usted es el administrador de una organización, puede crear cuentas de miembro en la organización e invitar a cuentas existentes a que se unan a la organización. También puede aplicar políticas a cuentas de miembros. Una cuenta de miembro no puede pertenecer a más de una organización a la vez.

Una raíz administrativa está contenida en la cuenta de administración y es el punto de partida para organizar sus cuentas de AWS. La raíz administrativa es el contenedor superior en la jerarquía de su organización. Bajo esta raíz, puede crear OU para agrupar sus cuentas de manera lógica y organizar las OU en la jerarquía que satisfaga mejor las necesidades de su empresa.

Una unidad organizativa (OU) es un grupo de cuentas de AWS en una organización. Una OU también puede contener otras OU, lo que le permite establecer una jerarquía. Por ejemplo, puede agrupar todas las cuentas que pertenezcan al mismo departamento en una OU departamental. De la misma manera, puede agrupar todas las cuentas que ejecuten servicios de seguridad en una OU de seguridad. Las OU resultan útiles cuando es necesario aplicar los mismos controles a un subconjunto de cuentas de su organización. Anidar las OU permite disponer de unidades más pequeñas de administración. Por ejemplo, puede crear OU para cada carga de trabajo, luego crear dos OU anidadas en cada OU de carga de trabajo para dividir las cargas de trabajo de producción a partir de la preproducción. Estas OU heredan las políticas de la OU madre, así como cualquier control asignado directamente a la OU de nivel de equipo.

Una política es un "documento" con una o más declaraciones que definen los controles que desea aplicar a un grupo de cuentas de AWS. AWS Organizations admite las siguientes políticas:

  • Políticas de respaldo: requiere respaldos de AWS en una cadence específica
  • Políticas de etiquetas: define claves de etiquetas y valores permitidos
  • Políticas optativas de servicios de IA: controla cómo los servicios de IA almacenan o usan el contenido
  • Políticas de control de servicios (SCP): define las acciones de servicio de AWS, como RunInstances de Amazon EC2, que están disponibles para su uso en distintas cuentas de una organización.

Organización de las cuentas de AWS

Todas las entidades de la organización están accesibles a nivel global, a excepción de las organizaciones administradas den China, de manera similar a cómo AWS Identity and Access Management (IAM) funciona hoy en día. No tiene que especificar una región de AWS cuando crea y administra su organización, pero tendrá que crear una organización independiente para las cuentas que se usan en China. Los usuarios de sus cuentas de AWS pueden usar los servicios de AWS de cualquier región geográfica en la que dichos servicios se encuentren disponibles.

No. No puede cambiar la cuenta de AWS que es la cuenta de administración. Por lo tanto, debería seleccionar la cuenta de administración con cuidado.

Para añadir una cuenta de AWS a su organización, utilice uno de los siguientes dos métodos:

Método 1: Invitar a una cuenta existente a que se una a su organización

1. Inicie sesión como administrador de la cuenta de administración y diríjase a la consola de AWS Organizations.

2. Elija la pestaña Accounts.

3. Seleccione Add account y, a continuación, Invite account.

4. Proporcione la dirección de correo electrónico de la cuenta a la que desea invitar o el ID de cuenta de AWS de esa cuenta.

Nota: Puede invitar a más de una cuenta de AWS si proporciona una lista separada con comas de direcciones de correo electrónico o ID de cuenta de AWS.

La cuenta de AWS especificada recibe un correo electrónico invitándola a que se una a su organización. Un administrador de la cuenta de AWS invitada debe aceptar o denegar la solicitud mediante la consola de AWS Organizations, la CLI de AWS o la API de Organizations. Si el administrador acepta su invitación, la cuenta podrá verse en la lista de cuentas de su organización. Cualquier política pertinente, como SCP, se aplicará automáticamente a la cuenta recién agregada. Por ejemplo, si su organización tiene una SCP asignada a la raíz de su organización, esta se aplicará directamente a las cuentas recién creadas.

Método 2: Crear una cuenta de AWS en su organización

1. Inicie sesión como administrador de la cuenta de administración y diríjase a la consola de AWS Organizations.

2. Elija la pestaña Accounts.

3. Seleccione Add account y, a continuación, Create account.

4. Proporcione un nombre para la cuenta y la dirección de correo electrónico de esta.

También puede crear una cuenta con el SDK de AWS o la CLI de AWS. Con ambos métodos, una vez que haya añadido la cuenta nueva, puede transferirla a una unidad organizativa (OU). La cuenta nueva heredará automáticamente las políticas aplicadas a la OU.

No. Una cuenta de AWS no puede pertenecer a más de una organización a la vez.

Al crear la cuenta, AWS Organizations crea un rol de IAM con permisos administrativos completos en la nueva cuenta. Los usuarios de IAM y las funciones de IAM con permisos adecuados en la cuenta maestra pueden adoptar esta función de IAM para obtener acceso a la cuenta recién creada.

No. Esta función no se admite en la actualidad.

Sí. Sin embargo, primero debe quitar la cuenta de su organización y lograr que sea una cuenta independiente (ver a continuación). Una vez que la cuenta sea independiente, se la puede invitar para que se una a otra organización.

Sí. Cuando crea una cuenta en una organización con la CLI, la API o la consola de AWS Organizations, AWS no recopila toda la información necesaria de las cuentas independientes. Para cada cuenta que desee independizar, debe actualizar la información, que puede incluir: suministrar información de contacto, ofrecer un método de pago válido y seleccionar una opción de plan de soporte. AWS utiliza el método de pago para cobrar cualquier actividad de AWS facturable (no la capa gratuita de AWS) que se produzca mientras la cuenta no esté vinculada a una organización. Para obtener más información, consulte Eliminación de una cuenta miembro de la organización.

Esto puede variar. Si necesita administrar cuentas adicionales, vaya al Centro de AWS Support y abra un caso de asistencia para solicitar un incremento.

Puede eliminar una cuenta de miembro usando uno de los siguientes dos métodos. Es posible que tenga que proporcionar información adicional para eliminar una cuenta creada con Organizations. Si no consigue eliminar la cuenta, vaya al Centro de AWS Support y solicite ayuda para eliminarla.

Método 1: Eliminar una cuenta de miembro invitada iniciando sesión en la cuenta de administración

1. Inicie sesión como administrador de la cuenta maestra y diríjase a la consola de AWS Organizations.

2. En la parte izquierda, elija Cuentas.

3. Seleccione la cuenta que desea eliminar y, a continuación, elija Eliminar cuenta.

4. Si la cuenta no tiene un método de pago válido, debe proporcionar uno.

Método 2: Eliminar una cuenta de miembro invitada iniciando sesión en la cuenta de miembro

1. Inicie sesión como administrador de la cuenta de miembro que desea eliminar de la organización.

2. Diríjase a la consola de AWS Organizations.

3. Elija *Leave organization (Abandonar organización)*.

4. Si la cuenta no tiene un método de pago, debe proporcionar uno.

Para crear una OU, siga estos pasos:

1. Inicie sesión como administrador de la cuenta de administración y diríjase a la consola de AWS Organizations.

2. Elija la pestaña Organizar cuentas.

3. Diríjase en la jerarquía adonde desea crear la OU. Puede crearla directamente bajo la raíz, o dentro de otra OU.

4. Seleccione Crear unidad organizativa y proporcione un nombre para su OU. El nombre debe ser único en su organización.

Nota: Puede cambiar el nombre de la OU más adelante.

Ya puede agregar cuentas de AWS a su OU. También puede usar la CLI de AWS y las API de AWS para crear y administrar una OU.

Para agregar cuentas de miembro a una OU, siga estos pasos:

1. En la consola de AWS Organizations, elija la pestaña Organize accounts.

2. Seleccione la cuenta de AWS y, a continuación, Move account.

3. En el cuadro de diálogo, seleccione la OU a la que desea transferir la cuenta de AWS.

De manera alternativa, pude usar la CLI de AWS y las API de AWS para añadir cuentas de AWS a una OU.

No. Una cuenta de AWS no puede ser miembro de más de una OU a la vez.

No. Una OU no puede ser miembro de más de una OU a la vez.

Puede anidar sus OU en hasta cinco niveles. Incluidas la raíz y las cuentas de AWS creadas en las OU de nivel inferior, la jerarquía puede tener cinco niveles.

Administración del control

Puede adjuntar una política a la raíz de su organización (se aplicarán a todas las cuentas de su organización), unidades organizativas individuales (OU) (se aplicarán a todas las cuentas de la OU, incluidas OU anidadas) o cuentas individuales.

Puede asignar una política de una de dos maneras:

  • En la consola de AWS Organizations, vaya adonde desea asignar la política (una raíz, OU o cuenta) y, a continuación, elija Asociar política.
  • En la consola de Organizations, seleccione la pestaña Políticas y haga una de las siguientes acciones:
    Elija una política existente, seleccione Asociar política en el menú desplegable Acciones y, a continuación, seleccione la raíz, OU o cuenta a la que desea asociar la política.
  • Elija Crear política y, a continuación, como parte del flujo de trabajo de creación de la política, seleccione la raíz, OU o cuenta a la que desea asociar la nueva política.

Para obtener más información, consulte Administración de políticas.

Sí. Por ejemplo, supongamos que ha organizado sus cuentas de AWS en OU de acuerdo con las fases de desarrollo de su aplicación: DEV, TEST y PROD. La política P1 está adjunta a la raíz de la organización, la política P2 está adjunta a la OU DEV y la política P3 está adjunta a la cuenta de AWS A1 en la OU DEV. Con esta configuración, P1+P2+P3 se aplican a la cuenta A1.
Para obtener más información, consulte Acerca de las políticas de control de servicio.

Actualmente, AWS Organizations admite las siguientes políticas:

  • Políticas de respaldo: requiere respaldos en una cadence específica mediante el uso de AWS Backup
  • Políticas de etiquetas: define claves de etiquetas y valores permitidos
  • Políticas optativas de servicios de IA: controla cómo los servicios de IA almacenan o usan el contenido de la organización
  • Puede usar políticas de control de servicios (SCP) para definir e imponer las acciones que los usuarios, grupos y funciones de IAM pueden realizar en las cuentas a las que se ha aplicado la SCP.

Las políticas de control de servicio (SCP) le permiten controlar qué acciones de los servicios de AWS son accesibles a los agentes principales (raíz de la cuenta, usuarios de IAM y funciones de IAM) en las cuentas de su organización. Se requiere una SCP, pero no es el único control que determina qué agentes principales de una cuenta pueden acceder a recursos para conceder acceso a recursos a agentes principales. El permiso efectivo de un agente principal de una cuenta con una SCP adjunta es la intersección de lo que permite explícitamente la SCP y lo que permiten explícitamente los permisos adjuntos al agente principal. Por ejemplo, si una SCP aplicada a una cuenta establece que las únicas acciones permitidas son acciones de Amazon EC2 y los permisos de un agente principal de la misma cuenta de AWS permiten acciones de EC2 y de Amazon S3, el agente principal solamente podrá obtener acceso a las acciones de EC2.
Los agentes principales de una cuenta de miembro (incluido el usuario raíz de la cuenta de miembro) no pueden eliminar ni cambiar políticas SCP a esa cuenta.  

Las SCP siguen las mismas reglas y la gramática de las políticas IAM. Para más información sobre la sintaxis SCP, consulte Sintaxis de SCP. Para ejemplos de SCP, consulte Políticas de control de servicio de ejemplo.  

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action":["EC2:*","S3:*"], 

 "Resource":"*" 

 } 

 ] 

 }

Ejemplo de lista negra
La siguiente SCP permite el acceso a todas las acciones de servicios de AWS excepto la acción PutObject de S3. Todos los agentes principales (raíz de la cuenta, usuario de IAM y función de IAM) con permisos adecuados asignados directamente en una cuenta en la que se ha aplicado esta SCP pueden acceder a cualquier acción excepto PutObject de S3. 

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action": "*:*", 

 "Resource":"*" 

 }, 

 { 

 "Effect":"Deny", 

 "Action":"S3:PutObject", 

 "Resource":"*" 

 } 

 ] 

 }

Para ver más ejemplos, consulte Estrategias para usar SCP.

No. Las SCP se comportan del mismo modo que las políticas de IAM: una política de IAM vacía equivale a DENY de forma predeterminada. Aplicar una SCP vacía a una cuenta equivale a asignar una política que deniega explícitamente todas las acciones.

Los permisos efectivos concedidos a un agente principal (raíz de la cuenta, usuario de IAM y rol de IAM) de una cuenta de AWS con una SCP aplicada constituyen la intersección entre los permisos que concede la SCP y los que conceden las políticas de permiso de IAM al agente. Por ejemplo, si un usuario de IAM tiene "Allow": "ec2:* " y "Allow": "sqs:* ", y la SCP asignada a esa cuenta tiene "Allow": "ec2:* " y "Allow": "s3:* ", el permiso resultante para el usuario de IAM es "Allow": "ec2:* ". El agente principal no puede realizar ninguna acción de Amazon SQS (la SCP no lo permite) ni acción de S3 (la política de IAM no lo permite).

Sí, el simulador de políticas de IAM puede incluir los efectos de una SCP. Puede usar el simulador de políticas en una cuenta de miembro de su organización para comprender el efecto en agentes principales individuales de la cuenta. Un administrador de una cuenta de miembro con los permisos adecuados de AWS Organizations puede ver si una SCP influye en el acceso de los agentes principales (raíz de la cuenta, usuario de IAM y función de IAM) de su cuenta de miembro.
Para obtener más información, consulte Políticas de control de servicio.

Sí. Usted decide las políticas que desea imponer. Por ejemplo, puede crear una organización que aproveche solamente la funcionalidad de facturación consolidada. Eso le permite disponer de una cuenta con un solo pagador para todas las cuentas de su organización y recibir automáticamente beneficios de los precios por capas de manera predeterminada.

Facturación

AWS Organizations se ofrece sin cargo adicional.

El propietario de la cuenta de administración es responsable del uso, los datos y los recursos usados por las cuentas de la organización.

No. De momento, su factura no reflejará la estructura que ha definido en su organización. Puede usar etiquetas de asignación de costos en cuentas de AWS individuales para categorizar y supervisar sus costos de AWS. Esta asignación estará visible en la factura unificada de su organización.

Servicios de AWS integrados

Los servicios AWS se han integrado con AWS Organizations para brindar a los clientes configuración y manejo centralizados en todas las cuentas de su organización. Esto le permite manejar servicios en todas sus cuentas desde un solo lugar, simplificando así la implementación y las configuraciones.

Si desea consultar una lista completa de los servicios integrados con AWS Organizations, consulte Servicios de AWS que se pueden utilizar con AWS Organizations.

Para comenzar a usar un servicio AWS integrado con AWS Organization, navegue en al consola de administración de AWS hasta ese servicio y habilite la integración.