# Cómo compartir una AMI con organizaciones y unidades organizativas
<a name="share-amis-with-organizations-and-OUs"></a>

 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) es un servicio de administración de cuentas que le permite unificar varias Cuentas de AWS en una organización que crea y administra de forma centralizada. Puede compartir una AMI con una organización o una unidad organizativa (UO) de su creación, además de [compartirla con cuentas específicas](sharingamis-explicit.md).

Una organización es una entidad que se crea para consolidar y administrar las Cuentas de AWS de forma centralizada. Puede organizar las cuentas jerárquicamente en una estructura de árbol con un [nodo raíz](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#root) en la parte superior y [unidades organizativas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit) anidadas bajo la organización raíz. Cada cuenta puede añadirse directamente en el nodo raíz o colocarse en una de las UO de la jerarquía. Para obtener más información, consulte [Terminología y conceptos de AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) en la *Guía del usuario de AWS Organizations*.

Cuando comparte una AMI con una organización o una unidad organizativa, todas las cuentas secundarias obtienen acceso a la AMI. Por ejemplo, en el siguiente diagrama, la AMI se comparte con una unidad organizativa de nivel superior (indicada por la flecha en el número **1**). Todas las unidades organizativas y cuentas anidadas debajo de esa unidad organizativa de nivel superior (indicadas por la línea punteada en el número **2**) también tienen acceso a la AMI. Las cuentas de la organización y la unidad organizativa fuera de la línea punteada (indicadas por el número **3**) no tienen acceso a la AMI porque no dependen de la unidad organizativa con la que se comparte la AMI.

![\[La AMI se comparte con una unidad organizativa y todas las unidades organizativas y cuentas secundarias tienen acceso a la AMI.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/ami-share-with-orgs-and-ous.png)


**Topics**
+ [Consideraciones](#considerations-org-ou)
+ [Obtención del ARN de una organización o unidad organizativa](get-org-ou-ARN.md)
+ [Permitir que las organizaciones y unidades organizativas utilicen una clave de KMS](allow-org-ou-to-use-key.md)
+ [Administración del uso compartido de AMI con una organización o unidad organizativa](share-amis-org-ou-manage.md)

## Consideraciones
<a name="considerations-org-ou"></a>

Tenga en cuenta lo siguiente al compartir AMI con organizaciones o unidades organizativas específicas.
+ **Propiedad**: para compartir una AMI, su Cuenta de AWS debe ser la propietaria de esta.
+ **Límites del uso compartido**: el propietario de la AMI puede compartir una AMI con cualquier organización o unidad organizativa, incluidas organizaciones y unidades organizativas de las que no son miembros.

  Para conocer el número máximo de entidades con las que se puede compartir una AMI dentro de una región, consulte [Amazon EC2 service quotas](https://docs.aws.amazon.com//general/latest/gr/ec2-service.html#limits_ec2).
+ **Etiquetas**: no puede compartir etiquetas definidas por el usuario (etiquetas que se adjuntan a una AMI). Al compartir una AMI, las etiquetas definidas por el usuario no están disponibles para ninguna Cuenta de AWS de organización o unidad organizativa con la que se comparte la AMI.
+ **Formato ARN**: al especificar una organización o UO en un comando, asegúrese de utilizar el formato ARN correcto. Si especifica solo el ID se producirá un error, por ejemplo, si solo especifica `o-123example` o `ou-1234-5example`.

  Formatos de ARN adecuados:
  + ARN de la organización: `arn:aws:organizations::111122223333:organization/organization-id`
  + ARN de la unidad organizativa: `arn:aws:organizations::111122223333:ou/organization-id/ou-id`

  Donde:
  + *`111122223333`* es un ejemplo del ID de cuenta de 12 dígitos de la cuenta de administración. Si no conoce el número de cuenta de administración, puede describir la organización o la unidad organizativa para obtener el ARN, que incluye el número de cuenta de administración. Para obtener más información, consulte [Obtención del ARN de una organización o unidad organizativa](get-org-ou-ARN.md).
  + *`organization-id`* es el ID de la organización, por ejemplo, `o-123example`.
  + *`ou-id`* es el ID de la unidad organizativa, por ejemplo, `ou-1234-5example`.

  Para obtener más información acerca del formato de los ARN, consulte [Nombres de recursos de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) en la *Guía del usuario de IAM*.
+ **Cifrado y claves**: puede compartir AMI que cuentan con el respaldo de instantáneas sin cifrar y cifradas.
  + Las instantáneas cifradas deben estar cifradas con una clave administrada por el cliente. No pueden compartir las AMI que están respaldadas por instantáneas cifradas con la clave predeterminada administrada por AWS.
  + Si comparte una AMI respaldada por instantáneas cifradas, debe permitir que las organizaciones o unidades organizativas utilicen las claves administradas por el cliente que se utilizaron para cifrar las instantáneas. Para obtener más información, consulte [Permitir que las organizaciones y unidades organizativas utilicen una clave de KMS](allow-org-ou-to-use-key.md).
+ **Región**: las AMI son un recurso regional. Cuando comparte una AMI, solo está disponible en la región desde donde la compartió. Para hacer que una AMI esté disponible en una región distinta, copie la AMI en dicha región y, a continuación, compártala. Para obtener más información, consulte [Copia de una AMI de Amazon EC2](CopyingAMIs.md).
+ **Uso**: cuando comparte una AMI, los usuarios solo pueden iniciar instancias desde la AMI. No pueden eliminarla, compartirla ni modificarla. Sin embargo, después de iniciar una instancia mediante la AMI, pueden crear una AMI a partir de esa instancia.
+ **Facturación**: no se factura cuando otras Cuentas de AWS utilizan la AMI para iniciar instancias. Las cuentas que inician instancias mediante la AMI serán facturadas por las instancias iniciadas.

# Obtención del ARN de una organización o unidad organizativa
<a name="get-org-ou-ARN"></a>

La organización y los ARN de la unidad organizativa contienen el número de cuenta de administración de 12 dígitos. Si no conoce el número de cuenta de administración, puede describir la organización y la unidad organizativa para obtener el ARN de cada una. En los siguientes ejemplos, `123456789012` es el ID de la cuenta de administración.

**Permisos necesarios**  
Para poder obtener los ARN, debe tener permiso para describir organizaciones y unidades organizativas. La siguiente política de ejemplo proporciona el permiso necesario.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:Describe*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

------
#### [ AWS CLI ]

**Para obtener el ARN de una organización**  
Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html). Agregue la opción `--query` para devolver solo el ARN de la organización.

```
aws organizations describe-organization --query 'Organization.Arn'
```

A continuación, se muestra un ejemplo del resultado.

```
"arn:aws:organizations::123456789012:organization/o-1234567abc"
```

**Para obtener el ARN de una unidad organizativa**  
Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html). Use el parámetro `--query` para devolver solo el ARN de la unidad organizativa.

```
aws organizations describe-organizational-unit \
    --organizational-unit-id ou-a123-b4567890 \
    --query 'OrganizationalUnit.Arn'
```

A continuación, se muestra un ejemplo del resultado.

```
"arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890"
```

------
#### [ PowerShell ]

**Para obtener el ARN de una organización**  
Use el cmdlet [Get-ORGOrganization](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganization.html).

```
(Get-ORGOrganization).Arn
```

A continuación, se muestra un ejemplo del resultado.

```
arn:aws:organizations::123456789012:organization/o-1234567abc
```

**Para obtener el ARN de una unidad organizativa**  
Use el cmdlet [Get-ORGOrganizationalUnit](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganizationalUnit.html).

```
(Get-ORGOrganizationalUnit -OrganizationalUnitId "ou-a123-b4567890").Arn
```

A continuación, se muestra un ejemplo del resultado.

```
arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890
```

------

# Permitir que las organizaciones y unidades organizativas utilicen una clave de KMS
<a name="allow-org-ou-to-use-key"></a>

Si comparte una AMI respaldada por instantáneas cifradas, también debe permitir que las organizaciones o unidades organizativas (OU) utilicen las claves de KMS que se emplearon para cifrar las instantáneas.

**nota**  
Las instantáneas cifradas deben estar cifradas con una *clave administrada por el cliente*. No pueden compartir las AMI que están respaldadas por instantáneas cifradas con la clave predeterminada administrada por AWS.

Para controlar el acceso a la clave de KMS, en la [política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) puede usar las claves de condición [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) para permitir que solo determinadas entidades principales tengan permiso para las acciones especificadas. Una entidad principal puede ser un usuario, un rol de IAM, un usuario federado o usuario raíz de Cuenta de AWS.

Las claves de condición se utilizan de la siguiente manera:
+ `aws:PrincipalOrgID`: permite que cualquier entidad principal que pertenezca a la organización esté representada por el ID especificado.
+ `aws:PrincipalOrgPaths`: permite que cualquier entidad principal que pertenezca a la unidad organizativa esté representada por las rutas especificadas.

Para conceder permiso a una organización (incluidas las unidades organizativas y las cuentas que pertenecen a esta) para utilizar una clave de KMS, agregue la siguiente instrucción a la política de claves.

```
{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}
```

Para conceder a determinadas unidades organizativas (y a las cuentas que pertenecen a estas) permiso para utilizar una clave de KMS, puede utilizar una política similar a la del siguiente ejemplo.

```
{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:CreateGrant"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}
```

Para ver más ejemplos de declaraciones de condiciones, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) en la *Guía del usuario de IAM*. 

Para obtener más información acerca del acceso entre cuentas, consulte [Cómo permitir a los usuarios de otras cuentas utilizar una clave de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) en la *Guía para desarrolladores de AWS Key Management Service*.

# Administración del uso compartido de AMI con una organización o unidad organizativa
<a name="share-amis-org-ou-manage"></a>

Puede administrar el uso compartido de AMI con organizaciones y unidades organizativas (OU) para controlar si pueden lanzar instancias de Amazon EC2.

## Ver las organizaciones y unidades organizativas con las que se comparte una AMI
<a name="decribe-ami-launch-permissions"></a>

Puede encontrar las organizaciones y unidades organizativas con las que compartió la AMI.

------
#### [ Console ]

**Para verificar con qué organizaciones y unidades organizativas compartió la AMI**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, seleccione **AMIs**.

1. Seleccione la AMI en la lista, elija la pestaña **Permisos** y desplácese hacia abajo hasta **Organizaciones/unidades organizativas compartidas**.

   Para encontrar las AMI compartidas con usted, consulte [Búsqueda de AMI compartidas para utilizarlas en las instancias de Amazon EC2](usingsharedamis-finding.md).

------
#### [ AWS CLI ]

**Para verificar con qué organizaciones y unidades organizativas compartió la AMI**  
Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html) con el atributo `launchPermission`.

```
aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission
```

A continuación, se muestra un ejemplo de respuesta.

```
{
    "ImageId": "ami-0abcdef1234567890",
    "LaunchPermissions": [
        {
            "OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
        }
    ]
}
```

------
#### [ PowerShell ]

**Para verificar con qué organizaciones y unidades organizativas compartió la AMI**  
Utilice el cmdlet [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html).

```
Get-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission
```

------

## Uso compartido de una AMI con una organización o unidad organizativa
<a name="share-amis-org-ou"></a>

Puede compartir una AMI con una organización o unidad organizativa.

**nota**  
No es necesario compartir las instantáneas de Amazon EBS a las que hace referencia una AMI para compartir dicha AMI. Solo es necesario compartir la AMI; para la inicialización, el sistema proporciona automáticamente a la instancia acceso a las instantáneas de EBS a las que se hace referencia. Sin embargo, es necesario compartir las claves de KMS que se utilizan para cifrar instantáneas a las que hace referencia la AMI. Para obtener más información, consulte [Permitir que las organizaciones y unidades organizativas utilicen una clave de KMS](allow-org-ou-to-use-key.md).

------
#### [ Console ]

**Para compartir una AMI con una organización o una unidad organizativa**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, seleccione **AMIs**.

1. Seleccione la AMI en la lista y, a continuación, elija **Acciones**, **Editar permisos de la AMI**.

1. En **Disponibilidad de AMI**, elija **Privada**.

1. Junto a **Organizaciones/unidades organizativas compartidas**, elija **Agregar ARN de organización/unidad organizativa**.

1. En **ARN de organización/unidad organizativa**, introduzca el ARN de la organización o de la unidad organizativa con el que desea compartir la AMI y, a continuación, elija **Compartir AMI**. Tenga en cuenta que debe especificar el ARN completo, no solo el ID.

   Para compartir esta AMI con varias organizaciones o unidades organizativas, repita este paso hasta que haya agregado todas las organizaciones o unidades organizativas necesarias.

1. Cuando haya terminado, elija **Guardar cambios**.

1. (Opcional) Para ver las organizaciones o unidades organizativas con las que ha compartido la AMI, seleccione la AMI en la lista, elija la pestaña **Permisos** y desplácese hacia abajo hasta **Organizaciones/unidades organizativas compartidas**. Para encontrar las AMI compartidas con usted, consulte [Búsqueda de AMI compartidas para utilizarlas en las instancias de Amazon EC2](usingsharedamis-finding.md).

------
#### [ AWS CLI ]

**Para compartir una AMI con una organización**  
Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) para conceder permisos de inicialización para la AMI especificada a la organización especificada.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
```

**Para compartir una AMI con una unidad organizativa**  
El comando [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) concede permisos de inicialización para la AMI especificada a la unidad organizativa determinada. Tenga en cuenta que debe especificar el ARN completo, no solo el ID.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
```

------
#### [ PowerShell ]

Utilice el comando [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html) (Herramientas para Windows PowerShell) para compartir una AMI tal y como se muestra en los siguientes ejemplos.

**Para compartir una AMI con una organización o una unidad organizativa**  
El siguiente comando concede permisos de inicialización para la AMI especificada a la organización determinada.

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType add `
    -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```

**Para dejar de compartir una AMI con una organización o unidad organizativa**  
El siguiente comando elimina permisos de inicialización para la AMI especificada de la organización determinada:

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType remove `
    -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```

**Para dejar de compartir una AMI con todas las organizaciones, unidades organizativas y Cuentas de AWS**  
El siguiente comando elimina todos los permisos de inicialización públicos y explícitos de la AMI especificada. Tenga en cuenta que el propietario de la AMI siempre tiene permisos de inicialización, por lo que este comando no le afecta.

```
Reset-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission
```

------

## Finalización del uso compartido de una AMI con una organización o unidad organizativa
<a name="stop-sharing-amis-org-ou"></a>

Puede dejar de compartir una AMI con una organización o unidad organizativa.

**nota**  
No puede dejar de compartir una AMI con una cuenta específica si se encuentra en una organización o unidad organizativa con la que se comparte una AMI. Si intenta dejar de compartir la AMI mediante la eliminación de los permisos de inicialización de la cuenta, Amazon EC2 devuelve el mensaje de que la operación se realizó correctamente. Sin embargo, la AMI sigue compartiéndose con la cuenta.

------
#### [ Console ]

**Para dejar de compartir una AMI con una organización o unidad organizativa**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, seleccione **AMIs**.

1. Seleccione la AMI en la lista y, a continuación, elija **Actions** (Acciones), **Edit AMI permissions** (Editar permisos de la AMI).

1. En **Organizaciones/unidades organizativas compartidas**, seleccione las organizaciones o unidades organizativas con las que desea dejar de compartir la AMI y, a continuación, elija **Eliminar la selección**.

1. Cuando haya terminado, elija **Guardar cambios**.

1. (Opcional) Para confirmar que dejó de compartir la AMI con las organizaciones o unidades organizativas, seleccione la AMI en la lista, elija la pestaña **Permisos** y desplácese hacia abajo hasta **Organizaciones/unidades organizativas compartidas**.

------
#### [ AWS CLI ]

**Para dejar de compartir una AMI con una organización o unidad organizativa**  
Utilice el comando [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html). En este ejemplo se eliminan los permisos de inicialización para la AMI especificada de la organización especificada.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
```

**Para dejar de compartir una AMI con todas las organizaciones, unidades organizativas y Cuentas de AWS**  
Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html). En este ejemplo se eliminan todos los permisos de inicialización públicos y explícitos de la AMI especificada. Tenga en cuenta que el propietario de la AMI siempre tiene permisos de inicialización, por lo que este comando no le afecta.

```
aws ec2 reset-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission
```

------
#### [ PowerShell ]

**Para dejar de compartir una AMI con una organización o unidad organizativa**  
Utilice el cmdlet [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html). En este ejemplo se eliminan los permisos de inicialización para la AMI especificada de la organización especificada.

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType remove `
    -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```

**Para dejar de compartir una AMI con todas las organizaciones, unidades organizativas y Cuentas de AWS**  
Utilice el cmdlet [Reset-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Reset-EC2ImageAttribute.html). En este ejemplo se eliminan todos los permisos de inicialización públicos y explícitos de la AMI especificada. Tenga en cuenta que el propietario de la AMI siempre tiene permisos de inicialización, por lo que este comando no le afecta.

```
Reset-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute LaunchPermission
```

------