Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Administrador delegado para AWS Organizations
<a name="orgs_delegate_policies"></a>

Le recomendamos que utilice la cuenta AWS Organizations de administración y sus usuarios y funciones solo para las tareas que debe realizar esa cuenta. También le recomendamos que almacene sus recursos de AWS en otras cuentas de miembros de la organización y los mantenga fuera de la cuenta de administración. Esto se debe a que las funciones de seguridad, como las políticas de control de servicios de SCPs Organizations (), no restringen los usuarios ni las funciones de la cuenta de administración. 

Desde la cuenta de administración de la organización, puede delegar la administración de políticas para las organizaciones en cuentas de miembro especificadas para realizar acciones de políticas que, de forma predeterminada, solo están disponibles para la cuenta de administración.

Para ver ejemplos de políticas de delegación basadas en recursos, consulte [Ejemplos de políticas basadas en recursos para AWS Organizations](security_iam_resource-based-policy-examples.md).

**Topics**
+ [Creación de una política de delegación basada en recursos](orgs-policy-delegate.md)
+ [Actualización de una política de delegación basada en recursos](orgs-policy-delegate-update.md)
+ [Ver una política de delegación basada en recursos](view-delegated-resource-based-policy.md)
+ [Eliminar una política de delegación basada en recursos](delete-delegated-resource-based-policy.md)

# Cree una política de delegación basada en los recursos con AWS Organizations
<a name="orgs-policy-delegate"></a>

Desde la cuenta de administración, cree una política de delegación basada en recursos para su organización y agregue una declaración que especifique qué cuenta de miembro puede llevar a cabo las acciones en las políticas. Puede agregar varias declaraciones en la política para denotar distintos conjuntos de permisos para las cuentas de los miembros.

**Permisos mínimos**  
Para crear o actualizar una política de delegación basada en recursos, necesita permisos para poner en marcha las siguientes acciones:  
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy` 
Además, debe conceder a los roles y usuarios de la cuenta de administrador delegado los permisos de IAM correspondientes a las acciones requeridas. Sin los permisos de IAM, se supone que la persona principal que realiza la llamada no tiene los permisos necesarios para gestionar las políticas. AWS Organizations 

------
#### [ Consola de administración de AWS ]

Agregue declaraciones a la política de delegación basada en recursos en la Consola de administración de AWS utilizando uno de los siguientes métodos: 
+ **Política JSON**: pegue y personalice una política de delegación basada en recursos de ejemplo para usarla en su cuenta, o escriba su propio documento de política de JSON en el editor de JSON.
+ **Editor visual**: cree una nueva política de delegación en el editor visual, que le guiará en la creación de una política de delegación sin tener que escribir la sintaxis JSON.

**Uso del editor de políticas JSON para crear una política de delegación**

1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. Seleccione **Configuración**.

1. En la sección **Administrador delegado para  AWS Organizations**, elija **Delegar** para crear la política de delegación de las organizaciones.

1. Especifique un documento de política JSON. Para obtener más información sobre el lenguaje de la política de IAM, consulte Referencia de [políticas JSON de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html).

1. Resuelva cualquier [advertencia de seguridad, error o advertencia general](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) generada durante la validación de la política y, a continuación, elija **Create policy** (Crear política) para guardar su trabajo.

**Uso del editor visual para crear una política de delegación**

1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. Seleccione **Configuración**.

1. En la sección **Administrador delegado para  AWS Organizations**, elija **Delegar** para crear la política de delegación de las organizaciones.

1. En la página **Crear política de delegación**, elija **Add new statement** (Agregar nueva declaración).

1. Establezca **Effect** (Efecto) en `Allow`.

1. Agregue `Principal` para definir las cuentas de miembros en las que desea delegar.

1. En la lista de **Acciones**, elija las acciones que quiera delegar. Puede utilizar **Filtrar acciones** para limitar las opciones.

1. Para especificar si la cuenta del miembro delegado puede adjuntar políticas a la raíz de la organización o a las unidades organizativas (OUs), defina. `Resources` También debe seleccionar `policy` como tipo de recurso. Puede especificar recursos de las siguientes maneras:
   + Seleccione **Add a resource** (Agregar un recurso) y cree el Nombre de recurso de Amazon (ARN) siguiendo las instrucciones del cuadro de diálogo.
   + Enumere el recurso ARNs manualmente en el editor. Para obtener más información sobre la sintaxis del ARN, consulte [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) en la AWS Guía de referencia general. Para obtener información sobre el uso ARNs del elemento de recurso de una política, consulte [Elementos de la política JSON de IAM:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) recurso.

1. Elija **Add a condition** (Agregar una condición) para especificar otras condiciones, incluido el tipo de política que desea delegar. Elija la **Condition key** (Clave de condición), **Tag key** (Clave de etiqueta) **Qualifier** (Calificador) y **Operator** (Operador) de la condición y, a continuación, escriba un **Value**. Cuando haya terminado elija **Add condition** (Añadir condición). Para obtener más información sobre el elemento **Condición**, consulte [Elementos de política JSON de IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).

1. Para añadir más bloques de permisos, elija **Add new statement** (Añadir nueva declaración). Para cada bloque, repita los pasos 5 a 9.

1. Resuelva cualquier advertencia de seguridad, error o advertencia general generada durante la [validación de la política](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) y, a continuación, elija **Crear política** para guardar su trabajo.

------
#### [ AWS CLI & AWS SDKs ]

**Creación de una política de delegación**  
Puede utilizar el siguiente comando para crear una política de delegación: 
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)

  En el siguiente ejemplo se crea una política de delegación.

  ```
  $ aws organizations put-resource-policy --content
  {
      "Version": "2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "Fully_manage_backup_policies",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "135791357913"
              },
              "Action": [
                  "organizations:DescribeOrganization",
                  "organizations:ListAccounts",
                  "organizations:CreatePolicy",
                  "organizations:DescribePolicy",
                  "organizations:UpdatePolicy",
                  "organizations:DeletePolicy",
                  "organizations:AttachPolicy",
                  "organizations:DetachPolicy"
              ],
              "Resource": [
                  "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                  "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                  "arn:aws:organizations::246802468024:account/o-abcdef/*",
                  "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
              ],
              "Condition": {
                  "StringLikeIfExists": {
                      "organizations:PolicyType": [
                          "BACKUP_POLICY"
                      ]
                  }
              }
          }
      ]
  }
  ```
+ AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)

------

**Acciones de política de delegación admitidas**  
Se admiten las siguientes acciones para políticas de delegación: 
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`

**Claves de condición admitidas**  
Solo las claves de condición compatibles se AWS Organizations pueden usar para la política de delegación. Para obtener más información, consulte [Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) en la *Referencia de autorizaciones de servicio*.

# Actualice una política de delegación basada en los recursos con AWS Organizations
<a name="orgs-policy-delegate-update"></a>

Desde la cuenta de administración, actualice una política de delegación basada en recursos para su organización y agregue una declaración que especifique qué cuenta de miembro puede llevar a cabo las acciones en las políticas. Puede agregar varias declaraciones en la política para denotar distintos conjuntos de permisos para las cuentas de los miembros.

**Permisos mínimos**  
Para actualizar una política de delegación basada en recursos, necesita permisos para poner en marcha las siguientes acciones:  
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy` 
Además, debe conceder a los roles y usuarios de la cuenta de administrador delegado los permisos de IAM correspondientes a las acciones requeridas. Sin los permisos de IAM, se supone que la persona principal que realiza la llamada no tiene los permisos necesarios para gestionar las políticas. AWS Organizations 

------
#### [ Consola de administración de AWS ]

Agregue declaraciones a la política de delegación basada en recursos en la Consola de administración de AWS utilizando uno de los siguientes métodos: 
+ **Política JSON**: pegue y personalice una política de delegación basada en recursos de ejemplo para usarla en su cuenta, o escriba su propio documento de política de JSON en el editor de JSON.
+ **Editor visual**: cree una nueva política de delegación en el editor visual, que le guiará en la creación de una política de delegación sin tener que escribir la sintaxis JSON.

**Uso del editor de políticas JSON para actualizar una política de delegación**

1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. Seleccione **Configuración**.

1. En la sección **Administrador delegado para  AWS Organizations**, elija **Editar** para actualizar la política de delegación de Organizations.

1. Especifique un documento de política JSON. Para obtener más información sobre el lenguaje de la política de IAM, consulte Referencia de [políticas JSON de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html).

1. Resuelva las [advertencias de seguridad, errores o advertencias generales](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) generadas durante la validación de la política y luego elija **Crear política**.

**Uso del editor visual para actualizar una política de delegación**

1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. Seleccione **Configuración**.

1. En la sección **Administrador delegado para  AWS Organizations**, elija **Editar** para actualizar la política de delegación de Organizations.

1. En la página **Crear política de delegación**, elija **Add new statement** (Agregar nueva declaración).

1. Establezca **Effect** (Efecto) en `Allow`.

1. Agregue `Principal` para definir las cuentas de miembros en las que desea delegar.

1. En la lista de **Acciones**, elija las acciones que quiera delegar. Puede utilizar **Filtrar acciones** para limitar las opciones.

1. Para especificar si la cuenta del miembro delegado puede adjuntar políticas a la raíz de la organización o a las unidades organizativas (OUs), defina. `Resources` También debe seleccionar `policy` como tipo de recurso. Puede especificar recursos de las siguientes maneras:
   + Seleccione **Add a resource** (Agregar un recurso) y cree el Nombre de recurso de Amazon (ARN) siguiendo las instrucciones del cuadro de diálogo.
   + Enumere el recurso ARNs manualmente en el editor. Para obtener más información sobre la sintaxis del ARN, consulte [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) en la AWS Guía de referencia general. Para obtener información sobre el uso ARNs del elemento de recurso de una política, consulte [Elementos de la política JSON de IAM:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) recurso.

1. Elija **Add a condition** (Agregar una condición) para especificar otras condiciones, incluido el tipo de política que desea delegar. Elija la **Condition key** (Clave de condición), **Tag key** (Clave de etiqueta) **Qualifier** (Calificador) y **Operator** (Operador) de la condición y, a continuación, escriba un **Value**. Cuando haya terminado elija **Add condition** (Añadir condición). Para obtener más información sobre el elemento **Condición**, consulte [Elementos de política JSON de IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).

1. Para añadir más bloques de permisos, elija **Add new statement** (Añadir nueva declaración). Para cada bloque, repita los pasos 5 a 9.

1. Resuelva las [advertencias de seguridad, errores o advertencias generales](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) generadas durante la validación de la política y luego elija **Guardar política**.

------
#### [ AWS CLI & AWS SDKs ]

**Creación o actualización de una política de delegación**  
Puede utilizar el siguiente comando para crear o actualizar una política de delegación: 
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)

  En el siguiente ejemplo se crea o actualiza la política de delegación.

  ```
  $ aws organizations put-resource-policy --content
  {
      "Version": "2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "Fully_manage_backup_policies",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "135791357913"
              },
              "Action": [
                  "organizations:DescribeOrganization",
                  "organizations:ListAccounts",
                  "organizations:CreatePolicy",
                  "organizations:DescribePolicy",
                  "organizations:UpdatePolicy",
                  "organizations:DeletePolicy",
                  "organizations:AttachPolicy",
                  "organizations:DetachPolicy"
              ],
              "Resource": [
                  "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                  "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                  "arn:aws:organizations::246802468024:account/o-abcdef/*",
                  "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
              ],
              "Condition": {
                  "StringLikeIfExists": {
                      "organizations:PolicyType": [
                          "BACKUP_POLICY"
                      ]
                  }
              }
          }
      ]
  }
  ```
+ AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)

------

**Acciones de política de delegación admitidas**  
Se admiten las siguientes acciones para políticas de delegación: 
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`

**Claves de condición admitidas**  
Solo las claves de condición compatibles se AWS Organizations pueden usar para la política de delegación. Para obtener más información, consulte [Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) en la *Referencia de autorizaciones de servicio*.

# Consulte una política de delegación basada en los recursos con AWS Organizations
<a name="view-delegated-resource-based-policy"></a>

Desde la cuenta de administración, vea la política de delegación basada en recursos de su organización para saber qué administradores delegados tienen acceso a la administración de qué tipos de políticas.

**Permisos mínimos**  
Para ver una política de delegación basada en recursos, necesita permisos para ejecutar la siguiente acción: `organizations:DescribeResourcePolicy`. 

------
#### [ Consola de administración de AWS ]

**Para ver una política de delegación**

1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. Seleccione **Configuración**.

1. En la sección **Administrador delegado para  AWS Organizations**, desplácese hacia abajo para ver la política de delegación completa.

------
#### [ AWS CLI & AWS SDKs ]

**Visualización de una política de delegación**  
Puede utilizar el siguiente comando para ver una política de delegación: 
+ AWS CLI: [describe-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-resource-policy.html)

  En el siguiente ejemplo se recupera la política.

  ```
  $ aws organizations describe-resource-policy
  ```
+ AWS SDK: [DescribeResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeResourcePolicy.html)

------

# Elimine una política de delegación basada en recursos con AWS Organizations
<a name="delete-delegated-resource-based-policy"></a>

Cuando ya no necesite delegar la administración de políticas en su organización, puede eliminar la política de delegación basada en recursos de la cuenta de administración de la organización.

**importante**  
Si elimina la política de delegación basada en recursos, no podrá recuperarla.

**Permisos mínimos**  
Para eliminar la política de delegación basada en recursos, necesita permisos para ejecutar la siguiente acción:`organizations:DeleteResourcePolicy`. 

------
#### [ Consola de administración de AWS ]

**Para eliminar una política de delegación**

1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. Seleccione **Configuración**.

1. En la sección **Administrador delegado para AWS Organizations**, elija **Eliminar**.

1. En el cuadro de diálogo de confirmación **Delete policy** (Eliminar política), escriba **delete**. A continuación, elija **Delete policy** (Eliminar política).

------
#### [ AWS CLI & AWS SDKs ]

**Eliminación de una política de delegación**  
Puede utilizar el siguiente comando para eliminar una política de delegación: 
+ AWS CLI: [delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/delete-resource-policy.html)

  En el siguiente ejemplo se elimina la política especificada.

  ```
  $ aws organizations delete-resource-policy
  ```
+ AWS SDK: [DeleteResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeleteResourcePolicy.html)

------