Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Administrar las cuentas de los miembros con AWS Organizations
<a name="orgs-manage_accounts_members"></a>

Una *cuenta de miembro* es una Cuenta de AWS, distinta de la cuenta de administración, que forma parte de una organización.

En este tema se describe cómo administrar las cuentas de los miembros con AWS Organizations.

**Topics**
+ [Prácticas recomendadas para cuentas de miembros](orgs_best-practices_member-acct.md)
+ [Creación de una cuenta de miembro](orgs_manage_accounts_create.md)
+ [Acceso a las cuentas de miembro](orgs_manage_accounts_access.md)
+ [Cerrar una cuenta de miembro](orgs_manage_accounts_close.md)
+ [Protección de cuentas de miembro contra el cierre](orgs_account_close_policy.md)
+ [Eliminación de una cuenta de miembro](orgs_manage_accounts_remove.md)
+ [Abandono de una organización desde una cuenta de miembro](orgs_manage_accounts_leave-as-member.md)
+ [Actualización del nombre de una cuenta de miembro](orgs_manage_accounts_update_name.md)
+ [Actualización del correo electrónico del usuario raíz para una cuenta de miembro](orgs_manage_accounts_update_primary_email.md)

# Prácticas recomendadas para cuentas de miembros
<a name="orgs_best-practices_member-acct"></a>

Siga estas recomendaciones para proteger la seguridad de las cuentas de los miembros de su organización. Estas recomendaciones suponen que también se adhiere a las [Prácticas recomendadas de utilizar el usuario raíz exclusivamente para aquellas tareas que realmente lo requieran](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).

**Topics**
+ [Definir el nombre y los atributos de la cuenta](#bp_member-acct_define-acct)
+ [Ampliar el entorno y el uso de la cuenta de manera eficiente](#bp_member-acct_efficiently-scale)
+ [Habilite la administración del acceso raíz para facilitar la administración de las credenciales de usuario raíz de las cuentas de miembros](#bp_member-acct_root-access-management)

## Definir el nombre y los atributos de la cuenta
<a name="bp_member-acct_define-acct"></a>

En el caso de las cuentas de los miembros, utilice una estructura de nombres y una dirección de correo electrónico que reflejen el uso de la cuenta. Por ejemplo, `Workloads+fooA+dev@domain.com` para `WorkloadsFooADev`, `Workloads+fooB+dev@domain.com` para `WorkloadsFooBDev`. Si ha definido etiquetas personalizadas para su organización, se recomienda que asigne esas etiquetas a las cuentas que reflejen el uso de la cuenta, el centro de costos, el entorno y el proyecto. Esto facilita la identificación, organización y búsqueda de las cuentas. 

## Ampliar el entorno y el uso de la cuenta de manera eficiente
<a name="bp_member-acct_efficiently-scale"></a>

A medida que vaya escalando, antes de crear cuentas nuevas, asegúrese de que no existan ya cuentas para necesidades similares, a fin de evitar duplicaciones innecesarias. Cuentas de AWS debe basarse en requisitos de acceso comunes. Si tiene previsto volver a utilizar las cuentas, como una cuenta de entorno aislado o una cuenta equivalente, se recomienda que elimine las cargas de trabajo o los recursos innecesarios de las cuentas, pero que guarde las cuentas para utilizarlas en el futuro.

Antes de cerrar cuentas, tenga en cuenta que están sujetas a los límites de cuota de cierre de cuentas. Para obtener más información, consulte [Cuotas y límites de servicio para AWS Organizations](orgs_reference_limits.md). Considere la posibilidad de implementar un proceso de limpieza para reutilizar las cuentas en lugar de cerrarlas y crear otras nuevas cuando sea posible. De esta forma, evitará incurrir en costes derivados de la gestión de los recursos y de alcanzar los límites de las [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html). 

## Habilite la administración del acceso raíz para facilitar la administración de las credenciales de usuario raíz de las cuentas de miembros
<a name="bp_member-acct_root-access-management"></a>

Recomendamos habilitar la administración del acceso raíz para ayudarlo a supervisar y eliminar las credenciales de los usuarios raíz de las cuentas de miembros. La administración del acceso raíz impide la recuperación de las credenciales de los usuarios raíz, lo que mejora la seguridad de las cuentas en su organización.
+ Elimine las credenciales del usuario raíz de las cuentas de miembros para impedir iniciar sesión en la cuenta de usuario raíz. Esto también impide la recuperación de las cuentas de miembro del usuario raíz.
+ Suponga que tiene una sesión privilegiada para realizar las siguientes tareas en las cuentas de miembros:
  + Elimine una política de bucket mal configurada que impida a todas las entidades principales acceder a un bucket de Amazon S3.
  + Elimine una política basada en recursos de Amazon Simple Queue Service que impida a todas las entidades principales acceder a una cola de Amazon SQS.
  + Permita que la cuenta de miembro recupere sus credenciales de usuario raíz. La persona que tenga acceso a la bandeja de entrada del correo del usuario raíz de la cuenta de miembro podrá entonces seguir los pasos para restablecer la contraseña del usuario raíz e iniciar sesión como el usuario raíz de la cuenta de miembro.

Una vez que se habilita la administración del acceso raíz, las cuentas de los secure-by-default miembros recién creadas no tienen credenciales de usuario raíz, lo que elimina la necesidad de seguridad adicional, como el MFA después del aprovisionamiento.

Para obtener más información, consulte [Centralizar el acceso raíz a las cuentas de miembros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management) en la *Guía del usuario de AWS Identity and Access Management *. 

### Utilice una SCP para restringir lo que puede hacer el usuario raíz en tus cuentas de miembro
<a name="bp_member-acct_use-scp"></a>

Se recomienda crear una política de control de servicios (SCP) en la organización y adjuntarla al nodo raíz de la organización para que se aplique a todas las cuentas de miembros. Para obtener más información, consulte [Proteja las credenciales de usuario raíz de su cuenta de Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations).

Puede denegar todas las acciones raíz, excepto una acción específica exclusiva para usuarios raíz que debe realizar en su cuenta de miembro. Por ejemplo, el siguiente SCP impide que el usuario root de cualquier cuenta de miembro realice llamadas a la API de AWS servicio, excepto «actualizar una política de bucket de S3 mal configurada y que deniega el acceso a todos los principales» (una de las acciones que requiere credenciales root). Para obtener más información, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html) en la *Guía del usuario de IAM*.

------
#### [ JSON ]

****  

```
{
 "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "NotAction":[
            "s3:GetBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:DeleteBucketPolicy"
                 ],
            "Resource": "*",
            "Condition": {
 "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
            }
        }
    ]
 }
```

------

En la mayoría de las circunstancias, un rol de  AWS Identity and Access Management  (IAM) puede realizar cualquier tarea administrativa en la cuenta de miembro que tiene permisos de administrador pertinentes. Cualquiera de estos roles debe tener controles adecuados implementados que limiten, registren y supervisen la actividad.

# Crear una cuenta de miembro en una organización con AWS Organizations
<a name="orgs_manage_accounts_create"></a>

En este tema se describe cómo crear Cuentas de AWS dentro de su organización en AWS Organizations. Para obtener información sobre la creación de un single Cuenta de AWS, consulte el [Centro de recursos de introducción](https://aws.amazon.com/getting-started/).

## Consideraciones antes de crear una cuenta de miembro
<a name="orgs_manage_accounts_create-considerations"></a>

**Organizations crea automáticamente el rol de IAM `OrganizationAccountAccessRole` para la cuenta de miembro**

Cuando se crea una cuenta de miembro en la organización, Organizations crea automáticamente el rol de IAM `OrganizationAccountAccessRole` en la cuenta de miembro, que permite que los usuarios y roles de la cuenta de administración puedan ejercer pleno control administrativo sobre la cuenta de miembro. Toda cuenta adicional asociada a la misma política administrada se actualizará automáticamente cada vez que se actualice la política. Esta función está sujeta a cualquier [política de control de servicios (SCPs)](orgs_manage_policies_scps.md) que se aplique a la cuenta del miembro.

**Organizations crea automáticamente el rol vinculado a servicios `AWSServiceRoleForOrganizations` para la cuenta de miembro**

Al crear una cuenta de miembro en su organización, Organizations crea automáticamente un rol vinculado al servicio `AWSServiceRoleForOrganizations` en la cuenta de miembro que permite la integración con servicios seleccionados AWS . Debe configurar los demás servicios para permitir la integración. Para obtener más información, consulte [AWS Organizations y funciones vinculadas al servicio](orgs_integrate_services.md#orgs_integrate_services-using_slrs).

**Las cuentas de miembro solo se pueden crear en la raíz de una organización**

Las cuentas de miembro en una organización solo se pueden crear en la raíz de una organización. Después de crear la raíz de una cuenta de miembro de una organización, puede moverla de una organización a otra. OUs Para obtener más información, consulte [Mover cuentas a una unidad organizativa (OU) o entre la raíz y OUs con AWS Organizations](move_account_to_ou.md).

**Las políticas asociadas al nodo raíz se aplican inmediatamente**

Si tiene política asociadas al nodo raíz del árbol de la OU, dichas políticas se aplican inmediatamente a todos los usuarios y roles de la cuenta creada.

Si has [activado la confianza de servicio para otro AWS servicio](orgs_integrate_services_list.md) de tu organización, ese servicio de confianza puede crear funciones vinculadas al servicio o realizar acciones en cualquier cuenta de miembro de la organización, incluida la cuenta que hayas creado.

**Las cuentas de miembro deben optar por recibir correos electrónicos de marketing**

Las cuentas de miembros que crees como parte de una organización no se suscriben automáticamente a AWS los correos electrónicos de marketing. Para suscribir sus cuentas para recibir correos electrónicos de marketing, consulte [https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences).

**Las cuentas de miembros de las organizaciones administradas por AWS Control Tower deben crearse en AWS Control Tower**

Si su organización está gestionada por AWS Control Tower, le recomendamos que cree sus cuentas de miembro utilizando la AWS Control Tower configuración de cuentas de la AWS Control Tower consola o utilizando el AWS Control Tower APIs.

Si creas una cuenta de miembro en Organizations cuando la organización está gestionada por la organización AWS Control Tower, la cuenta no se inscribirá en ella AWS Control Tower. Para obtener más información, consulte [Referencia del tipo de recurso fuera de AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources) en la *Guía del usuario AWS Control Tower *.

## Creación de una cuenta de miembro
<a name="orgs_manage_accounts_create-new"></a>

Luego de iniciar sesión en la cuenta de administración de la organización, puede crear cuentas que se conviertan en cuentas de miembro de su organización.

Al crear una cuenta mediante el siguiente procedimiento, copia AWS Organizations automáticamente la siguiente información de **contacto principal** de la cuenta de administración a la nueva cuenta de miembro:
+ Número de teléfono
+ Nombre de la empresa
+ URL de sitio web
+ Dirección

Organizations también copia el idioma de comunicación y la información de Marketplace (en algunos casos, el proveedor de la cuenta Regiones de AWS) de la cuenta de administración.

**Permisos mínimos**  
Para crear una cuenta de miembro en su organización, debe contar con los permisos siguientes:  
`organizations:DescribeOrganization`: solo se requiere cuando se utiliza la consola de Organizations
`organizations:CreateAccount`

### Consola de administración de AWS
<a name="orgs_manage_accounts_create-new-console"></a>

**Para crear una Cuenta de AWS que forme parte automáticamente de su organización**

1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. En la página **[Cuentas de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, elija **Agregar un Cuenta de AWS**.

1. En la página **[Agregar una Cuenta de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, elija **Crear una Cuenta de AWS** (se elige de forma predeterminada). 

1. En la página **[Crear una Cuenta de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, para **Nombre de Cuenta de AWS ** ingrese el nombre que desee asignar a la cuenta. Este nombre le ayuda a distinguir más adelante la cuenta de todas las demás cuentas de la organización y es independiente del alias de IAM o del nombre de correo electrónico del propietario.

1. Para **Dirección de correo electrónico del propietario de la cuenta**, ingrese la dirección de correo electrónico del propietario de la cuenta. Esta dirección de correo electrónico no puede estar asociada ya Cuenta de AWS a otra porque se convierte en la credencial del nombre de usuario del usuario raíz de la cuenta.

1. (Opcional) Especifique el nombre que va a asignar al rol de IAM que se crea automáticamente en la nueva cuenta. Este rol concede a la cuenta de administración de la organización el permiso para tener acceso a la cuenta de miembro que acaba de crear. Si no especifica un nombre, AWS Organizations asigna al rol un nombre predeterminado de`OrganizationAccountAccessRole`. Recomendamos que utilice el nombre predeterminado en todas sus cuentas para mayor coherencia.
**importante**  
Recuerde este nombre de rol. Lo necesitará más adelante para conceder acceso a la nueva cuenta a los usuarios y roles de la cuenta de administración.

1. (Opcional) En la sección **Etiquetas**, agregue una o varias etiquetas con **Agregar etiqueta** y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es `null`. Puede asociar hasta 50 etiquetas a una cuenta.

1. Seleccione **Crear Cuenta de AWS**.
   + Si aparece un error que indica que ha superado la cuota de cuenta de la organización, consulte [Obtengo un mensaje de "cuota superada" cuando intento agregar una cuenta a mi organización](orgs_troubleshoot.md#troubleshoot_general_error-adding-account).
   + Si obtiene un error que indica que no puede añadir una cuenta porque la organización todavía se está inicializando, espere una hora y vuelva a intentarlo.
   + También puede consultar el AWS CloudTrail registro para obtener información sobre si la creación de la cuenta se ha realizado correctamente. Para obtener más información, consulte [Inicio de sesión y supervisión AWS Organizations](orgs_security_incident-response.md).
   + Si el error persiste, póngase en contacto con [AWS Support](https://console.aws.amazon.com/support/home#/).

   La página **[Cuentas de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** aparece, con su cuenta nueva agregada a la lista.

1. Ahora que ya ha creado la cuenta y tiene un rol de IAM que concede acceso de administrador a los usuarios de la cuenta de administración, puede tener acceso a la cuenta siguiendo los pasos de [Acceder a las cuentas de los miembros de una organización con AWS Organizations](orgs_manage_accounts_access.md).

### AWS CLI & AWS SDKs
<a name="orgs_manage_accounts_create-new-cli-sdk"></a>

Los siguientes ejemplos de código muestran cómo utilizar `CreateAccount`.

------
#### [ .NET ]

**SDK para .NET**  
 Hay más información al respecto GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el [Repositorio de ejemplos de código de AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples). 

```
    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }
```
+  Para obtener más información sobre la API, consulta [CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)la *Referencia AWS SDK para .NET de la API*. 

------
#### [ CLI ]

**AWS CLI**  
**Creación de una cuenta de miembro que forme parte automáticamente de la organización**  
En el siguiente ejemplo se muestra cómo crear una cuenta de miembro en una organización. La cuenta de miembro se configura con el nombre Production Account y la dirección de correo electrónico susan@example.com. Organizations crea automáticamente un rol de IAM con el nombre predeterminado de OrganizationAccountAccessRole porque no se especifica el parámetro roleName. Además, la configuración que permite a los usuarios o roles de IAM con permisos suficientes acceder a los datos de facturación de la cuenta se establece en el valor predeterminado de ALLOW porque no se especifica el IamUserAccessToBilling parámetro. Organizations envía automáticamente a Susan un correo electrónico de AWS bienvenida a:  

```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
La salida incluye un objeto de solicitud que muestra que el estado ahora es `IN_PROGRESS`:  

```
{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}
```
Más adelante, puede consultar el estado actual de la solicitud proporcionando el valor de respuesta Id al describe-create-account-status comando como valor del create-account-request-id parámetro.  
Para obtener más información, consulte Crear una AWS cuenta en su organización en la *Guía del AWS usuario de Organizations*.  
+  Para obtener más información sobre la API, consulte [CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)la *Referencia de AWS CLI comandos*. 

------

# Acceder a las cuentas de los miembros de una organización con AWS Organizations
<a name="orgs_manage_accounts_access"></a>

Al crear una cuenta en la organización, además del usuario raíz,AWS Organizations crea automáticamente un rol de IAM con el nombre predeterminado `OrganizationAccountAccessRole`. Puedes especificar un nombre diferente al crearla, pero te recomendamos que le pongas un nombre uniforme en todas tus cuentas. AWS Organizations no crea ningún otro usuario o rol.

Para tener acceso a las cuentas de su organización, debe utilizar uno de los siguientes métodos:

**Permisos mínimos**  
Para acceder y Cuenta de AWS desde cualquier otra cuenta de su organización, debe tener el siguiente permiso:  
`sts:AssumeRole` - El elemento `Resource` debe estar establecido en un asterisco (\$1) o en el ID de la cuenta con el número de la cuenta con la que el usuario necesita obtener acceso a la nueva cuenta de miembro. 

------
#### [ Using the root user (Not recommended for everyday tasks) ]

Al crear una cuenta de miembro nueva en su organización, la cuenta no tendrá credenciales de usuario raíz por defecto. Las cuentas de miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz a menos que la recuperación de cuentas esté habilitada.

Puede [centralizar el acceso raíz para las cuentas de miembros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html) para eliminar las credenciales de usuario raíz de las cuentas de miembros en Organizations. Al eliminar las credenciales del usuario raíz, se eliminan la contraseña del usuario raíz, las claves de acceso y los certificados de firma, y se desactiva la autenticación multifactor (MFA). Estas cuentas de miembros no tienen credenciales de usuario raíz, no pueden iniciar sesión como usuarios raíz y no pueden recuperar la contraseña del usuario raíz. Las cuentas nuevas que cree en Organizations no tienen credenciales de usuario raíz de forma predeterminada.

Póngase en contacto con el administrador si necesita realizar una tarea que requiera credenciales de usuario raíz en una cuenta de miembro donde no las hay.

Para obtener acceso a la cuenta de miembro como usuario raíz, debe seguir el proceso de recuperación de contraseña. Para más información, consulte [He olvidado la contraseña del usuario raíz de mi cuenta de Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password) en la *Guía del usuario de Inicio de sesión en AWS *. 

Si debe acceder a una cuenta de miembro con el usuario raíz, siga estas prácticas recomendadas:
+ No utilice el usuario raíz para obtener acceso a su cuenta excepto para crear otros usuarios y funciones con permisos más limitados. A continuación, inicie sesión como uno de los usuarios o roles.
+ [Habilitar la autenticación multifactor (MFA) en el usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa). Restablezca la contraseña y [asigne un dispositivo MFA al usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html).

Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulta [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*. Para obtener recomendaciones de seguridad adicionales para el usuario raíz, consulte [Prácticas recomendadas para el usuario raíz para su Cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) en la *Guía de usuario de IAM*.

------
#### [ Using trusted access for IAM Identity Center ]

Utilice [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)y habilite el acceso confiable al IAM Identity Center con AWS Organizations. Esto permite a los usuarios iniciar sesión en el portal de AWS acceso con sus credenciales corporativas y acceder a los recursos de la cuenta de administración o las cuentas de los miembros que tengan asignadas.

Para obtener más información, consulte [Multi-account permissions](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html) (Permisos de varias cuentas) en la *Guía del usuario de AWS IAM Identity Center .* Para obtener más información acerca de cómo configurar el acceso de confianza para IAM Identity Center, consulte [AWS IAM Identity Center y AWS Organizations](services-that-can-integrate-sso.md).

------
#### [ Using the IAM role OrganizationAccountAccessRole ]

Si crea una cuenta con las herramientas que se proporcionan como parte de ella AWS Organizations, puede acceder a la cuenta mediante el rol preconfigurado denominado `OrganizationAccountAccessRole` que existe en todas las cuentas nuevas que cree de esta manera. Para obtener más información, consulte [Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).

Si invita a una cuenta existente a que se una a su organización y la cuenta acepta la invitación, puede elegir crear un rol de IAM que permita a la cuenta de administración tener acceso a la cuenta de miembro invitada. Se pretende que este rol sea idéntico al rol que se añade automáticamente a una cuenta que se crea con AWS Organizations.

Para crear esta función, consulte [Crear OrganizationAccountAccessRole una cuenta invitada con AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).

Después de crear la función, puede tener acceso a él siguiendo los pasos de [Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).

------

**Topics**
+ [Creación de un rol de acceso de IAM](orgs_manage_accounts_create-cross-account-role.md)
+ [Uso del rol de acceso de IAM](orgs_manage_accounts_access-cross-account-role.md)

# Crear OrganizationAccountAccessRole una cuenta invitada con AWS Organizations
<a name="orgs_manage_accounts_create-cross-account-role"></a>

De forma predeterminada, si crea una cuenta de miembro como parte de su organización, AWS crea automáticamente un rol en la cuenta que concede permisos de administrador a los usuarios de IAM en la cuenta maestra. De forma predeterminada, este rol se denomina `OrganizationAccountAccessRole`. Para obtener más información, consulte [Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).

Sin embargo, a las cuentas de miembro a las que *invite* a unirse a su organización ***no*** se les crea automáticamente un rol de administrador. Tiene que hacerlo manualmente, tal y como se muestra en el siguiente procedimiento. Lo que este procedimiento hace básicamente es duplicar el rol configurado de forma automática para las cuentas creadas. Le recomendamos que utilice el mismo nombre, `OrganizationAccountAccessRole`, para los roles creados manualmente en aras de la coherencia y para que sea fácil de recordar.

------
#### [ Consola de administración de AWS ]

**Para crear un rol AWS Organizations de administrador en una cuenta de miembro**

1. Inicie sesión en la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de miembro. El usuario o el rol deben tener permiso para crear roles y políticas de IAM.

1. En la consola de IAM, vaya a **Roles** y, a continuación, seleccione **Crear rol**.

1. Elija y **Cuenta de AWS**, a continuación, seleccione **Otro Cuenta de AWS**.

1. Ingrese el número de ID de 12 dígitos de la cuenta maestra a la que desea conceder acceso de administrador. En **Opciones**, tenga en cuenta lo siguiente:
   + Para este rol, dado que las cuentas son internas a su empresa, **no** debe seleccionar **Require external ID**. Para obtener más información acerca de la opción de ID externo, consulte [¿Cuándo debería utilizar un ID externo?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) en la *Guía del usuario de IAM*. 
   + Si ha habilitado y configurado MFA, puede elegir que se requiera autenticación mediante un dispositivo MFA. Para obtener más información sobre MFA, consulte [Uso de la autenticación multifactor (MFA) en AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) en la *Guía del usuario de IAM*. 

1. Elija **Siguiente**.

1. En la página **Agregar permisos**, elija la política administrada por AWS denominada `AdministratorAccess` y, a continuación, seleccione **Siguiente**.

1. En la página **Asignar nombre, revisar y crear**, especifique un nombre del rol y una descripción opcional. Le recomendamos que utilice `OrganizationAccountAccessRole` para mantener la coherencia con el nombre predeterminado asignado al rol en las cuentas nuevas. Para confirmar los cambios, elija **Crear rol**.

1. Su nuevo rol aparecerá en la lista de roles disponibles. Seleccione el nombre del nuevo rol para ver los detalles y preste especial atención a la URL de enlace facilitada. Entregue esta URL a los usuarios de la cuenta de miembro que necesitan tener acceso al rol. Además, anote el **Role ARN** (ARN de rol), ya que lo necesitará en el paso 15.

1. Inicie sesión en la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Esta vez, inicie sesión como usuario de la cuenta de administración con permisos para crear políticas y asignarlas a los usuarios o grupos.

1. Vaya a **Políticas** y, a continuación, seleccione **Crear política**.

1. En **Service**, seleccione **STS**.

1. En **Actions (Acciones)**, comience a escribir **AssumeRole** en el cuadro **Filter (Filtro)** y marque la casilla cuando aparezca.

1. En **Recursos**, asegúrese de seleccionar **Específico** y, a continuación, elija **Agregar ARNs**.

1. Introduzca el número de ID de la cuenta del AWS miembro y, a continuación, el nombre del rol que creó anteriormente en los pasos 1 a 8. Elija **Añadir ARNs**.

1. Si está concediendo un permiso para asumir la función en varias cuentas de miembro, repita los pasos 14 y 15 para cada cuenta.

1. Elija **Siguiente**.

1. En la página **Revisar y crear**, ingrese un nombre para la nueva política y, a continuación, seleccione **Crear política** para guardar los cambios.

1. Elija **Grupos de usuarios** en el panel de navegación y, a continuación, elija el nombre del grupo (no la casilla) que desea utilizar para delegar la administración de la cuenta de miembro.

1. Elija la pestaña **Permisos**.

1. Elija **Agregar permisos**, luego **Asociar políticas** y, a continuación, seleccione la política que creó en los pasos 11-18.

------

Los usuarios que son miembros del grupo seleccionado ahora pueden usar el URLs que capturó en el paso 9 para acceder al rol de cada cuenta de miembro. Pueden obtener acceso a estas cuentas de miembro de la misma forma que lo harían si tuvieran acceso a una cuenta que usted haya creado en la organización. Para obtener más información sobre el uso del rol para administrar una cuenta de miembro, consulte [Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md). 

# Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations
<a name="orgs_manage_accounts_access-cross-account-role"></a>

Al crear una cuenta de miembro mediante la AWS Organizations consola, AWS Organizations *se crea automáticamente* un rol de IAM con el nombre de `OrganizationAccountAccessRole` la cuenta. Este rol tiene permisos administrativos completos en la cuenta de miembro. El ámbito de acceso de este rol incluye todas las entidades principales de la cuenta de administración, de modo que el rol esté configurado para conceder ese acceso a la cuenta de administración de la organización.

Puede crear un rol idéntico para una cuenta de miembro invitada siguiendo los pasos que se indican en [Crear OrganizationAccountAccessRole una cuenta invitada con AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).

Para utilizar este rol para tener acceso a la cuenta de miembro, debe iniciar sesión como usuario de la cuenta de administración con permisos para asumir el rol. Para configurar estos permisos, siga este procedimiento. Le recomendamos que conceda permisos a los grupos en lugar de a los usuarios para simplificar el mantenimiento.

------
#### [ Consola de administración de AWS ]

**Para conceder permisos a los miembros de un grupo de IAM en la cuenta de administración para tener acceso al rol**

1. Inicie sesión en la consola de IAM [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)como usuario con permisos de administrador en la cuenta de administración. Esto es necesario para delegar permisos al grupo de IAM cuyos usuarios vayan a tener acceso al rol en la cuenta de miembro.

1. <a name="step-create-policy"></a>Comience creando la política administrada que necesitará más tarde en [Step 14](#step-choose-group). 

   En el panel de navegación, elija **Policies (Políticas)** y, a continuación, seleccione **Create policy (Crear política)**.

1. En la pestaña Editor visual, elija **Elegir un servicio**, ingrese **STS** en el cuadro de búsqueda para filtrar la lista y, a continuación, elija la opción **STS**.

1. En la sección **Acciones**, entre **assume** en el cuadro de búsqueda para filtrar la lista y, a continuación, elija la **AssumeRole**opción.

1. En la sección **Recursos**, elija **Específico** y, a continuación, seleccione **Agregar ARNs**

1. En la sección **Especificar ARN**, elija **Otra cuenta** para Recurso en.

1. Ingrese el ID de la cuenta de miembro que acaba de crear

1. En el campo **Nombre del rol de recurso con ruta**, ingrese el nombre del rol que creó en la sección anterior (se recomienda asignarle el nombre `OrganizationAccountAccessRole`).

1. Seleccione **Añadir ARNs** cuando el cuadro de diálogo muestre el ARN correcto.

1. (Opcional) Si desea requerir Multi-Factor Authentication (MFA) o restringir el acceso al rol desde un intervalo de direcciones IP especificado, expanda la sección Condiciones de solicitud y seleccione las opciones que desee aplicar.

1. Elija **Siguiente**.

1. En la página **Revisar y crear**, ingrese un nombre para la nueva política. Por ejemplo: **GrantAccessToOrganizationAccountAccessRole**. También puede agregar una descripción opcional. 

1. <a name="step-end-policy"></a>Elija **Crear política** para guardar la nueva política administrada.

1. <a name="step-choose-group"></a>Ahora que tiene la política disponible, puede asociarla a un grupo.

   En el panel de navegación, elija **Gropos de usuarios** y, a continuación, elija el nombre del grupo (no la casilla) cuyos miembros desea que asuman el rol en la cuenta de miembro. Si es necesario, puede crear un grupo nuevo.

1. Elija la pestaña **Permisos**, elija **Agregar permisos** y luego, **Asociar políticas**.

1. (Opcional) En el cuadro **Buscar** puede comenzar a escribir el nombre de la política para filtrar la lista hasta que pueda ver el nombre de la política que acaba de crear en [Step 2](#step-create-policy) mediante [Step 13](#step-end-policy). También puede filtrar todas las políticas administradas de AWS eligiendo **Todos los tipos** y, a continuación, eligiendo **Administrada por cliente**.

1. Marque la casilla situada junto a la política y, a continuación, elija **Asociar políticas**.

------

Los usuarios de IAM que son miembros del grupo ahora tienen permisos para cambiar al nuevo rol en la AWS Organizations consola mediante el siguiente procedimiento.

------
#### [ Consola de administración de AWS ]

**Para cambiar al rol de la cuenta de miembro**

Cuando se utilice el rol, el usuario tendrá permisos de administrador en la nueva cuenta de miembro. Indique a los usuarios de IAM que sean miembros del grupo que hagan lo siguiente para cambiar al nuevo rol. 

1. **En la esquina superior derecha de la AWS Organizations consola, selecciona el enlace que contiene tu nombre de inicio de sesión actual y, a continuación, selecciona Cambiar rol.**

1. Escriba el número de ID de la cuenta y el nombre del rol proporcionados por el administrador.

1. En **Display Name (Nombre de visualización)**, escriba el texto que desee mostrar en la barra de navegación en la esquina superior derecha en lugar de su nombre de usuario mientras utiliza la función. Si lo desea, puede elegir un color.

1. Elija **Switch Role**. Ahora, todas las acciones que realice se harán con los permisos concedidos a la función a la que ha cambiado. Ya no tendrá los permisos asociados a su usuario de IAM original hasta que cambie otra vez a este rol.

1. Cuando haya terminado de realizar acciones que requieran los permisos del rol, puede volver a su usuario de IAM normal. **Elige el nombre del rol en la esquina superior derecha (el que hayas especificado como **nombre para mostrar**) y, a continuación, selecciona Volver a. *UserName***

------

# Cerrar una cuenta de miembro en una organización con AWS Organizations
<a name="orgs_manage_accounts_close"></a>

Si ya no necesita una cuenta de miembro en su organización, puede cerrarla desde la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2) con las instrucciones de este tema. Solo puedes cerrar la cuenta de un miembro mediante la AWS Organizations consola si tu organización está en el modo [Todas las funciones](orgs_getting-started_concepts.md#feature-set-all).

También puedes cerrar una Cuenta de AWS directamente desde la [página de la **cuenta**](https://console.aws.amazon.com/billing/home#/account) Consola de administración de AWS después de iniciar sesión como usuario root. Para step-by-step obtener instrucciones, consulta [Cerrar un Cuenta de AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) en la *Guía de administración de AWS cuentas*. 

Para cerrar una cuenta de administración, consulte [Cierre de una cuenta de administración de la organización](orgs_manage_accounts_close_management.md).

## Cierre de una cuenta de miembro
<a name="orgs_account_close_proc"></a>

Cuando inicia sesión en la cuenta de administración de la organización, puede cerrar las cuentas de miembro que pertenecen a su organización. Para ello, siga los pasos que se describen a continuación.

**importante**  
Antes de cerrar su cuenta de miembro, le recomendamos encarecidamente que revise las consideraciones y comprenda el impacto de cerrar una cuenta. Para obtener más información, consulte [What you need to know before closing your account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) y [What to expect after you close your account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) en la *Guía de administración de cuentas de AWS *.

------
#### [ AWS Management Console ]

**Para cerrar la cuenta de un miembro desde la AWS Organizations consola**

1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. En la página **[Cuentas de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, busque y elija el nombre de la cuenta de miembro que desea cerrar. Puede navegar por la jerarquía de unidades organizativas o ver una lista plana de cuentas sin la estructura de unidad organizativa. 

1. Elija **Close** (Cerrar) junto al nombre de la cuenta en la parte superior de la página. Esta opción solo está disponible cuando una organización de AWS está en el modo [Todas las características](orgs_getting-started_concepts.md#feature-set-all).
**nota**  
Si su organización utiliza el modo [Facturación unificada](orgs_getting-started_concepts.md#feature-set-cb-only), no podrá ver el botón **Cerrar** de la consola. Para cerrar una cuenta en el modo de Facturación unificada, inicie sesión en la cuenta que desee cerrar como usuario raíz. En la página **Cuentas**, pulse el botón **Cerrar cuenta**, ingrese el ID de su cuenta y, a continuación, pulse el botón **Cerrar cuenta**.

1. Lea y asegúrese de comprender la guía para el cierre de la cuenta.

1. Ingrese el ID de la cuenta de miembro y, a continuación, elija **Cerrar cuenta**. 

**nota**  
Cualquier cuenta de miembro que cierre mostrará una etiqueta `CLOSED` junto al nombre de la cuenta en la consola de AWS Organizations hasta 90 días después de la fecha de cierre original. Transcurridos 90 días, la cuenta de miembro se cerrará permanentemente y dejará de mostrarse en la AWS Organizations consola. Ten en cuenta que, tras el cierre definitivo, es posible que la cuenta tarde unos días en eliminarse de la organización.

**Para cerrar una cuenta de miembro desde la página Cuentas**

Si lo desea, puede cerrar la cuenta de un AWS miembro directamente desde la página de **cuentas** del Consola de administración de AWS. Para obtener step-by-step orientación, sigue las instrucciones de [Cerrar y de Cuenta de AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) la *Guía de administración de AWS cuentas*.

------
#### [ AWS CLI & AWS SDKs ]

**Para cerrar una Cuenta de AWS**  
Puede utilizar uno de los siguientes comandos para cerrar una cuenta de AWS :
+ AWS CLI: [close-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/close-account.html)

  ```
  $ aws organizations close-account \
      --account-id 123456789012
  ```

  Este comando no genera ninguna salida si se realiza correctamente.
+ AWS SDKs: [CloseAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html)

------

# Proteger las cuentas de los miembros del cierre con AWS Organizations
<a name="orgs_account_close_policy"></a>

Para proteger cuentas de miembros de un cierre accidental, cree una política de IAM que especifique las cuentas que estén exentas de cierre. Esta política impide el cierre de cuentas de miembros protegidas.

Cree una política de IAM para denegar el cierre de cuentas mediante uno de estos métodos:
+ Enumere explícitamente las cuentas protegidas en el `Resource` elemento de la política utilizando sus ARNs.
+ Etiquete las cuentas individuales y utilice la clave de condición global `aws:ResourceTag` para evitar el cierre de las cuentas etiquetadas.

**nota**  
Las políticas de control de servicios (SCPs) no afectan a los directores de IAM de la cuenta de administración.

## Ejemplos de políticas de IAM que impiden los cierres de las cuentas de miembro
<a name="orgs_close_account_policy_examples"></a>

Los siguientes ejemplos de código muestran dos métodos diferentes que puede utilizar para impedir que las cuentas de miembro cierren sus cuentas.

------
#### [ Prevent member accounts with tags from getting closed  ]

Puede adjuntar la siguiente política a una identidad en su cuenta de administración. Esta política impide que las entidades principales de la cuenta de administración cierren cualquier cuenta de miembro etiquetada con la clave de condición global de etiqueta `aws:ResourceTag`, la clave `AccountType` y el valor de etiqueta `Critical`.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
```

------
#### [ Prevent member accounts listed in this policy from getting closed ]

Puede adjuntar la siguiente política a una identidad en su cuenta de administración. Esta política impide que las entidades principales de la cuenta de administración cierren las cuentas de miembro especificadas de forma explícita en el elemento `Resource`. 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}
```

------

# Eliminar una cuenta de miembro de una organización con AWS Organizations
<a name="orgs_manage_accounts_remove"></a>

 Al eliminar una cuenta de miembro, no se cierra la cuenta, sino que se elimina la cuenta de miembro de la organización. La cuenta de miembro anterior se convierte en una cuenta independiente Cuenta de AWS que ya no es administrada por AWS Organizations.

Posteriormente, la cuenta ya no estará sujeta a ninguna política y será responsable del pago de sus propias facturas. A la cuenta de administración de la organización ya no se le cobrará ningún gasto acumulado en la cuenta una vez que se haya retirado de la organización.

## Consideraciones
<a name="orgs_manage_account-before-remove"></a>

**Los roles de acceso de IAM creados por la cuenta de administración no se eliminan automáticamente**

Cuando elimina una cuenta de miembro de la organización, no se eliminan automáticamente los roles de IAM que se hayan creado para permitir el acceso de la cuenta de administración de la organización. Si desea eliminar este acceso desde la cuenta de administración anterior de la organización, debe eliminar manualmente el rol de IAM. Para obtener información acerca de cómo eliminar un rol, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.

**Puede eliminar una cuenta de la organización solo si la cuenta tiene la información que necesita para funcionar como cuenta independiente**

Puede eliminar una cuenta de la organización solo si la cuenta tiene la información que necesita para funcionar como cuenta independiente. Al crear una cuenta en una organización mediante la AWS Organizations consola, la API o los AWS CLI comandos, *no* se recopila automáticamente toda la información necesaria para las cuentas independientes.

Para cada cuenta que desee crear de forma independiente, debe elegir un plan de soporte, proporcionar y verificar la información de contacto requerida y proporcionar un método de pago actual. AWS utiliza el método de pago para cobrar por cualquier AWS actividad facturable (no de nivel AWS gratuito) que se produzca mientras la cuenta no esté vinculada a una organización. Para eliminar una cuenta que aún no cuenta con esta información, siga los pasos que se indican en[Salir de una organización desde una cuenta de miembro con AWS Organizations](orgs_manage_accounts_leave-as-member.md).

**Debe esperar al menos cuatro días después de que se cree la cuenta**

Para eliminar una cuenta que se creó en la organización, debe esperar al menos cuatro días después de su creación. Las cuentas invitadas no están sujetas a este período de espera. 

**El propietario de la cuenta que abandona la organización pasa a ser responsable de todos los nuevos costos acumulados**

En el momento en que la cuenta abandone correctamente la organización, el propietario de la cuenta será responsable de todos los nuevos AWS costes acumulados y Cuenta de AWS se utilizará el método de pago de la cuenta. La cuenta de gestión de la organización ya no es responsable.

**La cuenta no puede ser una cuenta de administrador delegado para ningún AWS servicio habilitado para la organización**

La cuenta que desee eliminar no debe ser una cuenta de administrador delegado para ningún AWS servicio habilitado para su organización. Si la cuenta es un administrador delegado, primero debe cambiar la cuenta de administrador delegada a otra cuenta que quede en la organización. Para obtener más información sobre cómo deshabilitar o cambiar la cuenta de administrador delegado de un AWS servicio, consulte la documentación de ese servicio.

**La cuenta ya no tiene acceso a los datos de costo y uso**

Si una cuenta de miembro deja una organización, esa cuenta ya no tiene acceso a los datos de costo y uso del intervalo de tiempo en el que la cuenta era miembro de la organización. Sin embargo, la cuenta de administración de la organización puede seguir obteniendo acceso a los datos. Si la cuenta se vuelve a unir a la organización, la cuenta puede obtener de nuevo acceso a esos datos.

**Se eliminan las etiquetas adjuntas a la cuenta**

Cuando una cuenta de miembro abandona una organización, se eliminan todas las etiquetas asociadas a la cuenta.

**Las entidades principales de la cuenta ya no se verán afectadas por ninguna política de la organización**

Las entidades principales de la cuenta ya no se verán afectadas por ninguna [política](orgs_manage_policies.md) que se aplique en la organización. Esto significa que las restricciones impuestas por SCPs han desaparecido y es posible que los usuarios y roles de la cuenta tengan más permisos que antes. Otros tipos de políticas de la organización ya no se pueden aplicar ni procesar. 

**La cuenta ya no está cubierta por los acuerdos de la organización**

Si una cuenta de miembro se elimina de una organización, dicha cuenta de miembro ya no estará cubierta por los acuerdos de la organización. Los administradores de cuentas de administración deben comunicar esto a las cuentas de miembro antes de eliminar las cuentas de miembro de la organización, para que dichas cuentas de miembro puedan formalizar nuevos acuerdos si es necesario. Puedes ver una lista de los acuerdos organizativos activos en la AWS Artifact consola de la página [Acuerdos AWS Artifact organizativos](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements).

**La integración con otros servicios podría estar deshabilitada**

La integración con otros servicios podría estar deshabilitada. Si eliminas una cuenta de una organización que tiene habilitada la integración con un AWS servicio, los usuarios de esa cuenta ya no podrán usar ese servicio.

## Eliminación de una cuenta de miembro de su organización
<a name="orgs_manage_accounts_remove-member-account"></a>

Cuando inicie sesión en la cuenta de administración de la organización, puede quitar las cuentas de miembro de la organización que ya no necesite. Para ello, complete el procedimiento siguiente. Este procedimiento se aplica únicamente a las cuentas de miembro. Para eliminar la cuenta de administración, debe [eliminar la organización](orgs_manage_org_delete.md).

**Permisos mínimos**  
Para eliminar una o varias cuentas de miembro de la organización, debe iniciar sesión como usuario o rol en la cuenta de administración con los siguientes permisos:  
`organizations:DescribeOrganization`: solo se requiere cuando se utiliza la consola de Organizations
`organizations:RemoveAccountFromOrganization` 
Si decidió iniciar sesión como usuario o rol en una cuenta de miembro en el paso 5, ese usuario o rol debe tener los siguientes permisos:  
`organizations:DescribeOrganization`: solo se requiere cuando se utiliza la consola de Organizations
`organizations:LeaveOrganization`; tenga en cuenta que el administrador de la organización puede aplicar una política a la cuenta que elimine este permiso, lo que le impedirá eliminar la cuenta de la organización.
Si inicia sesión como un usuario de IAM y la cuenta tiene información de pago faltante, el usuario debe tener permisos de `aws-portal:ModifyBilling` y de `aws-portal:ModifyPaymentMethods` (si la cuenta aún no ha migrado a permisos específicos) O permisos de `payments:CreatePaymentInstrument` y de `payments:UpdatePaymentPreferences` (si la cuenta ha migrado a permisos específicos). Además, la cuenta de miembro debe tener habilitado el acceso del usuario de IAM a la facturación. Si no está habilitado, consulte [Activación del acceso a la consola Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) en la *Guía del usuario de AWS Billing *.

------
#### [ Consola de administración de AWS ]

**Para eliminar una cuenta de miembro de su organización**

1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. En la pestaña **[Cuentas de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, busque y marque la casilla ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/images/checkbox-selected.png) junto a cada cuenta de miembro que desea eliminar de su organización. Puede navegar por la jerarquía de unidades organizativas o habilitar **Ver Cuentas de AWS solo** para ver una lista plana de cuentas sin la estructura de unidades organizativas. Si tiene muchas cuentas, puede que tenga que elegir **Cargar más cuentas en '*Nombre de OU*'** en la parte inferior de la lista para encontrar todas las que desea mover.

   En la página **[Cuentas de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, busque y elija el nombre de la cuenta de miembro que desea eliminar de su organización. Puede que tenga que expandirla OUs (elegir![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/images/console-expand.png)) para encontrar la cuenta que busca.

1. Seleccionar **Acciones** y, a continuación, en **Cuenta de AWS**, elija **Eliminar de la organización**.

1. En el ¿**Eliminar la cuenta «*nombre de la cuenta*» (\$1 *account-id-num*) de** la organización? cuadro de diálogo, seleccione **Eliminar** cuenta.

1. Si AWS Organizations no puedes eliminar una o más de las cuentas, normalmente se debe a que no has proporcionado toda la información necesaria para que la cuenta funcione como una cuenta independiente. Siga estos pasos:

   1. Inicie sesión en la cuenta con errores. Le recomendamos que inicie sesión en la cuenta de miembro seleccionando **Copy link** y, a continuación, pegándolo en la barra de direcciones en una nueva ventana del navegador de incógnito. Si no ve el **enlace Copiar**, use [este enlace](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True) para ir a la página **Registrarse en AWS** y complete los pasos de registro que faltan. Si no utiliza una ventana de incógnito, se cerrará la sesión de la cuenta de administración y no podrá navegar para volver a este cuadro de diálogo.

   1. El navegador le lleva directamente al proceso de registro para completar los pasos que falten para esta cuenta. Complete todos los pasos indicados. Esto podría incluir lo siguiente:
      + Proporcionar información de contacto
      + Proporcionar un método de pago válido
      + Verificar el número de teléfono
      + Seleccionar una opción de plan de soporte

   1. Tras completar el último paso de registro, redirige AWS automáticamente el navegador a la AWS Organizations consola de la cuenta de miembro. Seleccione **Leave organization** y confirme su selección en el cuadro de diálogo de confirmación. Se le redirigirá a la página **Introducción** de la consola de AWS Organizations , donde podrá ver las invitaciones pendientes de su cuenta para unirse a otras organizaciones.

   1. Elimine de la organización los roles de IAM que conceden acceso a su cuenta.
**importante**  
Si la cuenta se creó en la organización, Organizations creó automáticamente un rol de IAM en la cuenta que habilitó el acceso de la cuenta de administración de la organización. Si la cuenta fue invitada a unirse, entonces Organizations no creó automáticamente dicho rol, pero usted u otro administrador podría haber creado uno para obtener los mismos beneficios. En cualquier caso, cuando quita la cuenta de la organización, dicho rol no se elimina automáticamente. Si desea terminar este acceso desde la cuenta de administración de la organización anterior, debe eliminar manualmente este rol de IAM. Para obtener información acerca de cómo eliminar un rol, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.

------
#### [ AWS CLI & AWS SDKs ]

**Para eliminar una cuenta de miembro de su organización**  
Puede utilizar uno de los siguientes comandos para quitar una cuenta de miembro:
+ AWS CLI: [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)

  ```
  $ aws organizations remove-account-from-organization \
      --account-id 123456789012
  ```

  Este comando no genera ninguna salida si se realiza correctamente.
+ AWS SDKs: [RemoveAccountFromOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)

Una vez que se haya eliminado de la organización la cuenta de miembro, asegúrese de eliminar de la organización los roles de IAM que dan acceso a su cuenta.

**importante**  
Si la cuenta se creó en la organización, Organizations creó automáticamente un rol de IAM en la cuenta que habilitó el acceso de la cuenta de administración de la organización. Si la cuenta fue invitada a unirse, entonces Organizations no creó automáticamente dicho rol, pero usted u otro administrador podría haber creado uno para obtener los mismos beneficios. En cualquier caso, cuando quita la cuenta de la organización, dicho rol no se elimina automáticamente. Si desea terminar este acceso desde la cuenta de administración de la organización anterior, debe eliminar manualmente este rol de IAM. Para obtener información acerca de cómo eliminar un rol, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.

En su lugar, las cuentas de los miembros pueden eliminarse a sí mismas con el comando [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html). Para obtener más información, consulte [Salir de una organización desde una cuenta de miembro con AWS Organizations](orgs_manage_accounts_leave-as-member.md).

------

# Salir de una organización desde una cuenta de miembro con AWS Organizations
<a name="orgs_manage_accounts_leave-as-member"></a>

Cuando inicia sesión en una cuenta de miembro, puede abandonar una organización. La cuenta de administración no puede abandonar la organización mediante esta técnica. Para eliminar la cuenta de administración, debe [eliminar la organización](orgs_manage_org_delete.md).

## Consideraciones
<a name="orgs_manage_accounts_leave-as-member-considerations"></a>

**El estado de una cuenta con una organización afecta a los datos de costo y uso visibles**

Las cuentas mantienen el acceso a todas las facturas anteriores que se les hayan entregado y a todos los datos de facturas que hayan generado, independientemente de los cambios de membresía de la organización. Sin embargo, la visibilidad de los datos de Cost Explorer está vinculada a la membresía actual de las organizaciones. La siguiente tabla muestra cómo tres transiciones de cuentas comunes afectan a la visibilidad de los datos:


****  

|  | Disponibilidad de las facturas | Disponibilidad de facturas (p. ej., página de facturas) | Disponibilidad de Cost Explorer | 
| --- | --- | --- | --- | 
| Escenario 1La cuenta de miembro abandona OrganizationA y pasa a ser una cuenta independiente | La cuenta mantiene el acceso a todas las facturas históricas que se le entreguen. | La cuenta mantiene el acceso a todos los datos históricos de facturas que generó como miembro de la Organización A. | La cuenta pierde el acceso a los datos históricos de costos y uso que generó como miembro de la Organización A. | 
| Escenario 2La cuenta del miembro abandona la Organización A y se une a la Organización B. | La cuenta mantiene el acceso a todas las facturas históricas que se le entreguen. | La cuenta mantiene el acceso a todos los datos históricos de facturas que generó como miembro de la Organización A. | La cuenta pierde el acceso a los datos históricos de costos y uso que generó como miembro de la Organización A. | 
| Escenario 3La cuenta vuelve a unirse a una organización a la que pertenecía anteriormente | La cuenta mantiene el acceso a todas las facturas históricas que se le entreguen. | La cuenta mantiene el acceso a todos los datos históricos de facturas que generó (independientemente de si se generó como una cuenta independiente o como miembro de otra organización). | La cuenta recupera el acceso a los datos de costos y uso durante todo el período en que fue miembro de la organización, pero pierde el acceso a todos los costos y usos históricos generados fuera de su organización actual. | 

**La cuenta ya no estará cubierta por los acuerdos de la organización que la organización aceptó en su nombre**

Si abandona una organización, ya no estará cubierto por los acuerdos de la organización que la cuenta de administración de la organización aceptó en su nombre. Puede ver una lista de estos acuerdos organizativos en la AWS Artifact consola de la página [Acuerdos AWS Artifact organizativos](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements). Antes de abandonar la organización, debe determinar (con la ayuda de los equipos jurídicos, de privacidad o de conformidad, si procede) si es necesario formalizar nuevos acuerdos.

**Los límites de cuota de la cuenta pueden cambiar y tener repercusiones**

Dejar una organización como cuenta de miembro puede afectar a los límites de cuota de servicio disponibles para esa cuenta. Si tienes cargas de trabajo automatizadas que requieren límites más altos, vuelve a visitar tus cuotas en la consola de cuotas de servicio después de dejar la organización para garantizar una experiencia ininterrumpida. Póngase en contacto con [AWS Support el Centro](https://console.aws.amazon.com/support/home#/) después de dejar la organización para obtener ayuda.

## Abandono de una organización desde una cuenta de miembro
<a name="orgs_manage_accounts_leave-as-member-steps"></a>

Para abandonar una organización, complete el procedimiento siguiente.

**Permisos mínimos**  
Para abandonar una organización, debe disponer de los siguientes permisos:  
`organizations:DescribeOrganization`: solo se requiere cuando se utiliza la consola de Organizations
`organizations:LeaveOrganization`; tenga en cuenta que el administrador de la organización puede aplicar una política a la cuenta que elimine este permiso, lo que le impedirá eliminar la cuenta de la organización.
Si inicia sesión como un usuario de IAM y la cuenta tiene información de pago faltante, el usuario debe tener permisos de `aws-portal:ModifyBilling` y de `aws-portal:ModifyPaymentMethods` (si la cuenta aún no ha migrado a permisos específicos) O permisos de `payments:CreatePaymentInstrument` y de `payments:UpdatePaymentPreferences` (si la cuenta ha migrado a permisos específicos). Además, la cuenta de miembro debe tener habilitado el acceso del usuario de IAM a la facturación. Si no está habilitado, consulte [Activación del acceso a la consola Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) en la *Guía del usuario de AWS Billing *.

------
#### [ Consola de administración de AWS ]

**Para abandonar una organización desde su cuenta de miembro**

1. Inicia sesión en la AWS Organizations consola desde la [AWS Organizations consola](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en una cuenta de miembro.

   De forma predeterminada, no tienes acceso a la contraseña del usuario raíz de una cuenta de miembro que se creó con AWS Organizations. De ser necesario, recupere la contraseña del usuario raíz siguiendo los pasos que se indican en **Uso del usuario root (no se recomienda para las tareas diarias)** en [Acceder a las cuentas de los miembros de una organización con AWS Organizations](orgs_manage_accounts_access.md).

1. En la página **[Panel de Organizations](https://console.aws.amazon.com/organizations/v2/home/dashboard)**, seleccione **Abandonar esta organización**.

1. En el cuadro de diálogo **¿Confirmar el abandono de la organización?**, elija **Abandonar organización**. Cuando se le indique, confirme su elección para eliminar la cuenta. **Tras confirmarla, se te redirigirá a la página de introducción de la AWS Organizations consola, donde podrás ver las invitaciones pendientes de tu cuenta para unirte a otras organizaciones.**

   Si aparece el mensaje **Todavía no puede abandonar la organización**, significa que su cuenta no tiene toda la información necesaria para funcionar como una cuenta independiente. En tal caso, continúe en el paso siguiente.

1. Si el cuadro de diálogo **¿Confirmar el abandono de la organización?** muestra el mensaje **Todavía no puede abandonar la organización**, seleccione el enlace **Completar los pasos de inscripción de la cuenta**.

   Si no ve el enlace **Completar los pasos de inscripción de la cuenta**, utilice [este enlace](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True) para ir a la página **Registrarse en AWS** y completar los pasos de registro que faltan.

1. En la página **Inscribirse a  AWS**, introduzca toda la información solicitada para que la cuenta se convierta en una cuenta independiente. Puede incluir los siguientes tipos de información:
   + Nombre y dirección de contacto
   + Método de pago válido
   + Verificación de número de teléfono
   + Opciones de planes de soporte

1. Cuando vea el cuadro de diálogo que le avisa de que el proceso de inscripción se ha completado, seleccione **Leave organization**.

   Aparece un cuadro de diálogo de confirmación. Confirme su elección para eliminar la cuenta. **Se te redirigirá a la página de introducción de la AWS Organizations consola, donde podrás ver las invitaciones pendientes de tu cuenta para unirte a otras organizaciones.**

1. Elimine de la organización los roles de IAM que conceden acceso a su cuenta.
**importante**  
Si la cuenta se creó en la organización, Organizations creó automáticamente un rol de IAM en la cuenta que habilitó el acceso de la cuenta de administración de la organización. Si la cuenta fue invitada a unirse, entonces Organizations no creó automáticamente dicho rol, pero usted u otro administrador podría haber creado uno para obtener los mismos beneficios. En cualquier caso, cuando quita la cuenta de la organización, dicho rol no se elimina automáticamente. Si desea terminar este acceso desde la cuenta de administración de la organización anterior, debe eliminar manualmente este rol de IAM. Para obtener información acerca de cómo eliminar un rol, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.

------
#### [ AWS CLI & AWS SDKs ]

**Para abandonar una organización como cuenta de miembro**  
Puede utilizar uno de los siguientes comandos para abandonar una organización:
+ AWS CLI: [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)

  El siguiente ejemplo hace que la cuenta cuyas credenciales se utilizan para ejecutar el comando abandone la organización.

  ```
  $ aws organizations leave-organization
  ```

  Este comando no genera ninguna salida si se realiza correctamente.
+ AWS SDKs: [LeaveOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html)

Una vez que la cuenta del miembro haya dejado la organización, asegúrese de eliminar de la organización los roles de IAM que dan acceso a su cuenta.

**importante**  
Si la cuenta se creó en la organización, Organizations creó automáticamente un rol de IAM en la cuenta que habilitó el acceso de la cuenta de administración de la organización. Si la cuenta fue invitada a unirse, entonces Organizations no creó automáticamente dicho rol, pero usted u otro administrador podría haber creado uno para obtener los mismos beneficios. En cualquier caso, cuando quita la cuenta de la organización, dicho rol no se elimina automáticamente. Si desea terminar este acceso desde la cuenta de administración de la organización anterior, debe eliminar manualmente este rol de IAM. Para obtener información acerca de cómo eliminar un rol, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.

En su [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)lugar, un usuario de la cuenta de administración también puede eliminar las cuentas de los miembros. Para obtener más información, consulte [Eliminación de una cuenta de miembro de su organización](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account).

------

# Actualizar el nombre de la cuenta de un miembro con AWS Organizations
<a name="orgs_manage_accounts_update_name"></a>

Cuando inicie sesión en la cuenta de administración de su organización, puede actualizar el nombre de una cuenta de miembro. Para obtener información sobre cómo actualizar el nombre de la cuenta de un miembro, sigue los pasos que se indican en [la *Guía de AWS Account Management referencia* sobre cómo actualizar el nombre de la cuenta de cualquier Cuenta de AWS miembro de tu organización](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs).

# Actualización de la dirección de correo electrónico del usuario raíz La dirección de de una cuenta de miembro con AWS Organizations
<a name="orgs_manage_accounts_update_primary_email"></a>

Para aumentar la seguridad y la resiliencia administrativa, las entidades principales de IAM de la cuenta de administración (que tienen los permisos de IAM necesarios) pueden actualizar de forma centralizada la dirección de correo electrónico de un usuario raíz (también denominada dirección de correo electrónico principal) para cualquiera de sus cuentas de miembro sin tener que iniciar sesión en cada cuenta de forma individual. De este modo, los administradores de la cuenta de administración (o de una cuenta de administrador delegado) tienen más control sobre las cuentas de miembro. También garantiza que las direcciones de correo electrónico de los usuarios raíz, de cualquier cuenta de miembro de la suya AWS Organizations puedan mantenerse actualizadas, incluso si ha perdido el acceso a la dirección de correo electrónico original del usuario raíz, la dirección de correo .

Cuando un administrador de la cuenta de administración cambia centralmente la dirección de correo electrónico del usuario raíz, tanto la contraseña como la configuración de MFA seguirán siendo las mismas que antes del cambio. Tenga en cuenta que un usuario puede omitir la MFA si controla la dirección de correo electrónico del usuario raíz y el número de teléfono de contacto principal de una cuenta. 

Para actualizar la dirección de correo electrónico del usuario raíz, la de una cuenta de miembro de su organización, esta debe haber activado previamente el modo de [todas las funciones](orgs_getting-started_concepts.md#feature-set-all). AWS Organizations en el modo de facturación unificada o en cuentas que no forman parte de una organización, no pueden actualizar la dirección de correo electrónico de su usuario raíz, la dirección de correo de forma centralizada. Los usuarios que deseen cambiar la dirección de correo electrónico del usuario raíz de las cuentas que no son compatibles con la API deben seguir utilizando la consola de facturación para administrar la dirección de correo electrónico del usuario raíz.

Para step-by-step obtener instrucciones sobre cómo actualizar la dirección de correo electrónico del usuario raíz de su cuenta de miembro, la dirección de , consulte [Actualizar el correo electrónico del usuario raíz de para cualquier Cuenta de AWS miembro de su organización](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs) en la *Guía de AWS Account Management referencia*.