Terminología y conceptos para AWS Organizations

Todas las funciones son el conjunto de funciones predeterminado disponible en AWS Organizations. Puede establecer políticas centrales y requisitos de configuración para toda la organización, crear capacidades o permisos personalizados dentro de la organización, administrar y organizar sus cuentas en una sola factura y delegar responsabilidades a otras cuentas en nombre de la organización. También puede utilizar las integraciones con otros Servicios de AWS para definir las configuraciones centrales, los mecanismos de seguridad, los requisitos de auditoría y el uso compartido de recursos entre todas las cuentas de miembro de su organización. Para obtener más información, consulte Uso AWS Organizations con otros Servicios de AWS.

El modo Todas las características proporciona todas las capacidades de facturación unificada junto con las capacidades administrativas.

La facturación unificada es el conjunto de funciones que proporciona la funcionalidad de facturación compartida, pero no incluye las funciones más avanzadas de AWS Organizations. Por ejemplo, no puedes permitir que otros AWS servicios se integren con tu organización para que funcionen en todas sus cuentas, ni usar políticas para restringir lo que pueden hacer los usuarios y los roles de las distintas cuentas.

Puede habilitar todas las características de una organización que originalmente solo admitía las características de facturación unificada. Para habilitar todas las características, todas las cuentas de miembro invitadas deben aprobar el cambio aceptando la invitación que se envía cuando la cuenta de administración inicia el proceso. Para obtener más información, consulte Habilitar todas las funciones de una organización con AWS Organizations.

Una organización es un conjunto de Cuentas de AWS que puede administrar de forma centralizada y organizar en una estructura jerárquica similar a un árbol, con un nodo raíz en la parte superior y unidades organizativas anidadas debajo de la raíz. Cada cuenta puede estar directamente en la raíz o colocarse en una de las OUs siguientes jerarquías.

Cada organización se compone de los siguientes elementos:

Una organización tiene la funcionalidad determinada por el conjunto de características habilitadas.

Hay un nodo raíz administrativo (raíz) en la cuenta de administración que actúa como el punto de partida para organizar Cuentas de AWS. El nodo raíz es el contenedor que corona la jerarquía de la organización. En esta raíz, puedes crear unidades organizativas (OUs) para agrupar tus cuentas de forma lógica y organizarlas OUs en la jerarquía que mejor se adapte a tus necesidades.

Si aplicas una política de administración a la raíz, se aplica a todas las unidades organizativas (OUs) y cuentas, incluida la cuenta de administración de la organización.

Si aplicas una política de autorización (por ejemplo, una política de control de servicios (SCP)) a la raíz, se aplicará a todas las unidades organizativas (OUs) y a las cuentas de los miembros de la organización. No se aplica a la cuenta de administración de la organización.

Una unidad organizativa (OU) es un grupo de Cuentas de AWS dentro de una organización. Una OU también puede contener otras OUs que le permitan crear una jerarquía. Por ejemplo, puede agrupar todas las cuentas que pertenezcan al mismo departamento en una OU departamental. Del mismo modo, puede agrupar todas las cuentas que ponen en marcha servicios de seguridad en una OU de seguridad.

OUsson útiles cuando necesita aplicar los mismos controles a un subconjunto de cuentas de su organización. El anidamiento OUs permite unidades de administración más pequeñas. Por ejemplo, puede crear OUs para cada carga de trabajo y, a continuación, crear dos anidadas OUs en cada unidad organizativa de carga de trabajo para dividir las cargas de trabajo de producción de las de preproducción. Estas OUs heredan las políticas de la unidad organizativa principal, además de cualquier control asignado directamente a la unidad organizativa a nivel de equipo. Si se incluye la raíz y Cuentas de AWS se crea en el nivel más bajoOUs, la jerarquía puede tener cinco niveles de profundidad.

An Cuenta de AWSes un contenedor para tus AWS recursos. Usted crea y administra sus AWS recursos en un Cuenta de AWS, y esto Cuenta de AWS proporciona capacidades administrativas de acceso y facturación.

El uso de varios Cuentas de AWS es una práctica recomendada para escalar su entorno, ya que proporciona un límite de facturación para los costos, aísla los recursos por motivos de seguridad, brinda flexibilidad a las personas y los equipos, además de poder adaptarse a los nuevos procesos.

Hay dos tipos de cuentas en una organización: una cuenta única que se denomina la cuenta de administración y una o más cuentas de miembro.

Una cuenta de administración es la Cuenta de AWS que se utiliza para crear la organización. Desde la cuenta de administración, puede hacer lo siguiente:

La cuenta de administración es el propietario final de la organización y tiene el control final de las políticas de seguridad, infraestructura y finanzas. Esta cuenta tiene el rol de cuenta pagadora y es responsable de todos los cargos acumulados por las cuentas de su organización.

Una cuenta de miembro es una Cuenta de AWS, distinta de la cuenta de administración, que forma parte de una organización. Si es un administrador de una organización, puede crear cuentas de miembro e invitar a cuentas existentes a unirse a la organización. También puede aplicar políticas a las cuentas de miembro.

Le recomendamos que utilice la cuenta de administración de y sus usuarios y roles únicamente para las tareas que deba realizar dicha cuenta. Almacene todos sus recursos de AWS en otras cuentas de miembros de la organización y manténgalos fuera de la cuenta de administración. Esto se debe a que las funciones de seguridad, como las políticas de control de servicios de Organizations (SCPs), no restringen ningún usuario o función en la cuenta de administración. Separar los recursos de su cuenta de administración también lo ayudará a comprender los cargos de sus facturas. Desde la cuenta de administración de la organización, puede designar una o más cuentas de miembros como cuentas de administrador delegado para ayudarlo a implementar esta recomendación. Hay dos tipos de administradores delegados:

Una invitación es el proceso de pedir a otra cuenta que se una a su organización. Únicamente la cuenta de administración de la organización puede emitir una invitación. La invitación se amplía al ID de la cuenta o a la dirección de correo electrónico asociada a la cuenta invitada. Una vez que la cuenta invitada acepta una invitación, pasa a ser una cuenta de miembro de la organización. También se pueden enviar invitaciones a todas las cuentas de miembro actuales cuando la organización necesita que todos los miembros aprueben el cambio de admitir únicamente las características de la facturación unificada a admitir todas las características de la organización. Las invitaciones funcionan mediante el intercambio de protocolos de enlace (handshakes) entre cuentas. Es posible que no vea protocolos de enlace cuando trabaja en la consola de AWS Organizations . Pero si usas el AWS CLI o AWS Organizations API, debes trabajar directamente con los apretones de manos.

Un establecimiento de comunicación es un proceso de varios pasos para intercambiar información entre dos partes. Uno de sus usos principales AWS Organizations es servir como implementación subyacente para las invitaciones. Los mensajes de protocolos de enlace se transfieren entre el iniciador del protocolo de enlace y el destinatario y los responden ellos mismos. Los mensajes se transfieren de una forma que ayuda a garantizar que ambas partes sepan cuál es el estado actual. Los protocolos de enlace se usan también cuando la organización cambia de admitir solo las características de facturación unificada a admitir todas las características que ofrece AWS Organizations . Por lo general, solo necesita interactuar directamente con los apretones de manos si trabaja con herramientas de línea de comandos como la AWS Organizations API. AWS CLI

Una política de control de servicios es un tipo de política que ofrece un control central sobre el máximo de permisos disponibles para IAM los usuarios y IAM las funciones de una organización.

Esto significa que hay que SCPs especificar los controles centrados en el principal. SCPscree una barrera de permisos o establezca límites a los permisos máximos disponibles para los directores en sus cuentas de miembros. Utiliza una SCP cuando quiere aplicar de forma centralizada controles de acceso coherentes a los directores de su organización.

Esto puede incluir especificar a qué servicios pueden acceder sus IAM usuarios y IAM funciones, a qué recursos pueden acceder o las condiciones en las que pueden realizar solicitudes (por ejemplo, desde regiones o redes específicas). Para obtener más información, consulte SCPs.

Una política de control de recursos es un tipo de política que ofrece un control central sobre el máximo de permisos disponibles para los recursos de una organización.

Esto significa que hay que RCPs especificar los controles centrados en los recursos. RCPscree una barrera de permisos o establezca límites a los permisos máximos disponibles para los recursos en sus cuentas de miembros. RCPUtilícela cuando desee aplicar de forma centralizada controles de acceso coherentes en todos los recursos de su organización.

Esto puede incluir restringir el acceso a sus recursos para que solo puedan acceder a ellos las identidades que pertenecen a su organización, o especificar las condiciones en las que las identidades externas a su organización pueden acceder a sus recursos. Para obtener más información, consulte RCPs.

Una política declarativa es un tipo de política que permite declarar y aplicar de forma centralizada las configuraciones deseadas para una determinada escala Servicio de AWS en toda la organización. Una vez adjunta, la configuración siempre se mantiene cuando el servicio agrega nuevas funciones o, para obtener más información, consulte la política declarativa APIs.

Una política de respaldo es un tipo de política que le permite administrar y aplicar planes de respaldo de manera centralizada a los AWS recursos de las cuentas de una organización. Para obtener más información, consulte la política de copias de seguridad.

Una política de etiquetas es un tipo de política que permite estandarizar las etiquetas adjuntas a los AWS recursos de las cuentas de una organización. Para obtener más información, consulte la política de etiquetas.

Una política de chatbot es un tipo de política que te permite controlar el acceso a las cuentas de una organización desde aplicaciones de chat como Slack y Microsoft Teams. Para obtener más información, consulta la política de Chatbot.

Una política de exclusión de los servicios de IA es un tipo de política que permite controlar la recopilación de datos para los servicios de AWS IA en todas las cuentas de una organización. Para obtener más información, consulta la política de exclusión de los servicios de IA.