Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administrar cuentas en una organización con AWS Organizations
An *Cuenta de AWS*es un contenedor para sus AWS recursos. Usted crea y administra sus AWS recursos en un Cuenta de AWS.
En este tema se describe cómo administrar las cuentas de AWS Organizations.
**Topics**
+ [Cuenta de administración](orgs-manage_accounts_management.md)
+ [Cuentas de miembros](orgs-manage_accounts_members.md)
+ [Invitaciones de cuentas](orgs_manage_accounts_invites.md)
+ [Migre a una cuenta](orgs_account_migration.md)
+ [Ver detalles de una cuenta](orgs_view_account.md)
+ [Exportar detalles de las cuentas](orgs_manage_accounts_export.md)
+ [Supervise los estados de las cuentas](orgs_manage_accounts_account_state.md)
+ [Actualizar contactos alternativos de una cuenta](orgs_manage_accounts_update_contacts.md)
+ [Actualizar el contacto principal de una cuenta](orgs_manage_accounts_update_contacts_primary.md)
+ [Actualización Regiones de AWS de una cuenta](orgs_manage_accounts_update_enabled_regions.md)
# Administrar la cuenta de administración con AWS Organizations
*Una cuenta de administración* es la Cuenta de AWS que se utiliza para crear la organización.
La cuenta de administración es el propietario final de la organización y tiene el control final de las políticas de seguridad, infraestructura y finanzas. Esta cuenta tiene el rol de cuenta pagadora y es responsable de todos los cargos acumulados por las cuentas de su organización.
En este tema se describe cómo administrar la cuenta de administración con AWS Organizations.
**Topics**
+ [Prácticas recomendadas para la cuenta de administración](orgs_best-practices_mgmt-acct.md)
+ [Cierre de una cuenta de administración](orgs_manage_accounts_close_management.md)
# Prácticas recomendadas para la cuenta de administración
Siga estas recomendaciones para ayudar a proteger la seguridad de la cuenta de administración en AWS Organizations. Estas recomendaciones suponen que también se adhiere a las [Prácticas recomendadas de utilizar el usuario raíz exclusivamente para aquellas tareas que realmente lo requieran](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).
**Topics**
+ [Limitar quién tiene acceso a la cuenta de administración](#bp_mgmt-acct_limit-access)
+ [Revisar quién tiene acceso y realizar un seguimiento](#bp_mgmt-acct_review-access)
+ [Utilice la cuenta de administración solo para tareas que ***requieren*** la cuenta de administración](#bp_mgmt-acct_use-mgmt)
+ [Evitar la implementación de cargas de trabajo en la cuenta de administración de la organización](#bp_mgmt-acct_avoid-deploying)
+ [Delegar responsabilidades fuera de la cuenta de administración para la descentralización](#bp_mgmt-acct_)
## Limitar quién tiene acceso a la cuenta de administración
La cuenta de administración es clave para todas las tareas administrativas mencionadas, como la administración de cuentas, las políticas, la integración con otros AWS servicios, la facturación unificada, etc. Por lo tanto, debe restringir y limitar el acceso a la cuenta de administración solo a los usuarios administradores que necesiten derechos para realizar cambios en la organización.
## Revisar quién tiene acceso y realizar un seguimiento
Para asegurarse de mantener el acceso a la cuenta de administración, revise periódicamente el personal de su empresa que tiene acceso a la dirección de correo electrónico, contraseña, MFA y número de teléfono asociados a ella. Alinee su revisión con los procedimientos comerciales existentes. Agregue una revisión mensual o trimestral de esta información para asegurarse de que solo las personas correctas tengan acceso. Asegúrese de que el proceso para recuperar o restablecer el acceso a las credenciales del usuario raíz no dependa de que se complete ninguna persona específica. Todos los procesos deben abordar la posibilidad de que las personas no estén disponibles.
## Utilice la cuenta de administración solo para tareas que ***requieren*** la cuenta de administración
Se recomienda que utilice la cuenta de administración y sus usuarios y roles para tareas que solo puede realizar esa cuenta. Almacene todos sus AWS recursos Cuentas de AWS en otras partes de la organización y manténgalos fuera de la cuenta de administración. Una razón importante para mantener los recursos en otras cuentas es que las políticas de control de servicios de SCPs Organizations () no sirven para restringir ningún usuario o rol en la cuenta de administración. Separar los recursos de la cuenta de administración también lo ayudará a comprender los cargos de sus facturas.
Para obtener una lista de las tareas a las que se debe llamar desde la cuenta de administración, consulte [Operations you can call from only the organization's management account](https://docs.aws.amazon.com/organizations/latest/APIReference/action-reference.html#actions-management-account).
## Evitar la implementación de cargas de trabajo en la cuenta de administración de la organización
Las operaciones privilegiadas se pueden realizar dentro de la cuenta de administración de una organización y SCPs no se aplican a la cuenta de administración. Por eso, debe limitar los recursos y datos de la nube que contenga la cuenta de administración únicamente a los que deben administrarse en esta cuenta.
## Delegar responsabilidades fuera de la cuenta de administración para la descentralización
Siempre que sea posible, se recomienda delegar responsabilidades y servicios fuera de la cuenta de administración. Proporcione a sus equipos permisos en sus propias cuentas para administrar las necesidades de la organización sin necesidad de acceder a la cuenta de administración. Además, puede registrar varios administradores delegados para los servicios que admiten esta funcionalidad, por ejemplo, AWS Service Catalog para compartir software en toda la organización o CloudFormation StackSets para crear e implementar paquetes.
Para obtener más información, consulte [Arquitectura de referencia de seguridad](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html), [Organización del AWS entorno mediante varias cuentas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) y sugerencias sobre cómo registrar las cuentas de los miembros como administradores delegados [Servicios de AWS que puedes usar con AWS Organizations](orgs_integrate_services_list.md) para varios servicios. AWS
Para obtener más información sobre la configuración de administradores delegados, consulte [Enabling a delegated admin account for AWS Account Management](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs-delegated-admin.html) and [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
# Cierre de una cuenta de administración de la organización
Para cerrar la cuenta de administración de la organización, primero debe [quitar](orgs_manage_accounts_close.md) o [eliminar](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account) todas las cuentas de miembro de la organización. Al cerrar la cuenta de administración, también se eliminan la instancia de AWS Organizations y las políticas que haya creado dentro de esa organización una vez transcurrido el [periodo posterior al cierre](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period).
## Cierre de la cuenta de administración
Utilice el siguiente procedimiento para cerrar una cuenta de administración.
**importante**
Antes de cerrar la cuenta de administración, le recomendamos encarecidamente que revise las consideraciones y comprenda el impacto de cerrar una cuenta. Para obtener más información, consulte [What you need to know before closing your account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) y [What to expect after you close your account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) en la *Guía de administración de cuentas de AWS *.
------
#### [ AWS Management Console ]
**Para cerrar una cuenta de administración desde la página Cuentas**
**nota**
No puede cerrar una cuenta de administración directamente desde la consola de AWS Organizations .
1. [Inicie sesión Consola de administración de AWS como usuario raíz de](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) la cuenta de administración que desee cerrar. Si inicia sesión como un rol o usuario de IAM, no puede cerrar una cuenta.
1. Compruebe que no queden cuentas de miembro activas en su organización. Para ello, diríjase a la [consola de AWS Organizations](https://console.aws.amazon.com/organizations). Si tiene una cuenta de miembro que sigue activa, tendrá que seguir las instrucciones en [Cerrar una cuenta de miembro en una organización con AWS Organizations](orgs_manage_accounts_close.md) o [Eliminación de una cuenta de miembro de su organización](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account) antes de pasar al siguiente paso.
1. En la barra de navegación situada en la esquina superior derecha, elija el nombre o número de cuenta y, a continuación, elija **Cuenta**.
1. En la página de la [https://console.aws.amazon.com/billing/home#/account](https://console.aws.amazon.com/billing/home#/account), seleccione el botón **Cerrar cuenta**. Lea y asegúrese de comprender la guía para el cierre de la cuenta.
1. Pulse el botón **Cerrar cuenta** para iniciar el proceso de cierre de cuenta.
1. En unos minutos, recibirá un correo electrónico de confirmación de que su cuenta se ha cerrado.
------
#### [ AWS CLI & AWS SDKs ]
Esta tarea no es compatible con ninguna operación de API de ninguna de las AWS SDKs. AWS CLI Solo puede realizar esta tarea mediante Consola de administración de AWS.
------
# Administrar las cuentas de los miembros con AWS Organizations
Una *cuenta de miembro* es una Cuenta de AWS, distinta de la cuenta de administración, que forma parte de una organización.
En este tema se describe cómo administrar las cuentas de los miembros con AWS Organizations.
**Topics**
+ [Prácticas recomendadas para cuentas de miembros](orgs_best-practices_member-acct.md)
+ [Creación de una cuenta de miembro](orgs_manage_accounts_create.md)
+ [Acceso a las cuentas de miembro](orgs_manage_accounts_access.md)
+ [Cerrar una cuenta de miembro](orgs_manage_accounts_close.md)
+ [Protección de cuentas de miembro contra el cierre](orgs_account_close_policy.md)
+ [Eliminación de una cuenta de miembro](orgs_manage_accounts_remove.md)
+ [Abandono de una organización desde una cuenta de miembro](orgs_manage_accounts_leave-as-member.md)
+ [Actualización del nombre de una cuenta de miembro](orgs_manage_accounts_update_name.md)
+ [Actualización del correo electrónico del usuario raíz para una cuenta de miembro](orgs_manage_accounts_update_primary_email.md)
# Prácticas recomendadas para cuentas de miembros
Siga estas recomendaciones para proteger la seguridad de las cuentas de los miembros de su organización. Estas recomendaciones suponen que también se adhiere a las [Prácticas recomendadas de utilizar el usuario raíz exclusivamente para aquellas tareas que realmente lo requieran](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).
**Topics**
+ [Definir el nombre y los atributos de la cuenta](#bp_member-acct_define-acct)
+ [Ampliar el entorno y el uso de la cuenta de manera eficiente](#bp_member-acct_efficiently-scale)
+ [Habilite la administración del acceso raíz para facilitar la administración de las credenciales de usuario raíz de las cuentas de miembros](#bp_member-acct_root-access-management)
## Definir el nombre y los atributos de la cuenta
En el caso de las cuentas de los miembros, utilice una estructura de nombres y una dirección de correo electrónico que reflejen el uso de la cuenta. Por ejemplo, `Workloads+fooA+dev@domain.com` para `WorkloadsFooADev`, `Workloads+fooB+dev@domain.com` para `WorkloadsFooBDev`. Si ha definido etiquetas personalizadas para su organización, se recomienda que asigne esas etiquetas a las cuentas que reflejen el uso de la cuenta, el centro de costos, el entorno y el proyecto. Esto facilita la identificación, organización y búsqueda de las cuentas.
## Ampliar el entorno y el uso de la cuenta de manera eficiente
A medida que vaya escalando, antes de crear cuentas nuevas, asegúrese de que no existan ya cuentas para necesidades similares, a fin de evitar duplicaciones innecesarias. Cuentas de AWS debe basarse en requisitos de acceso comunes. Si tiene previsto volver a utilizar las cuentas, como una cuenta de entorno aislado o una cuenta equivalente, se recomienda que elimine las cargas de trabajo o los recursos innecesarios de las cuentas, pero que guarde las cuentas para utilizarlas en el futuro.
Antes de cerrar cuentas, tenga en cuenta que están sujetas a los límites de cuota de cierre de cuentas. Para obtener más información, consulte [Cuotas y límites de servicio para AWS Organizations](orgs_reference_limits.md). Considere la posibilidad de implementar un proceso de limpieza para reutilizar las cuentas en lugar de cerrarlas y crear otras nuevas cuando sea posible. De esta forma, evitará incurrir en costes derivados de la gestión de los recursos y de alcanzar los límites de las [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html).
## Habilite la administración del acceso raíz para facilitar la administración de las credenciales de usuario raíz de las cuentas de miembros
Recomendamos habilitar la administración del acceso raíz para ayudarlo a supervisar y eliminar las credenciales de los usuarios raíz de las cuentas de miembros. La administración del acceso raíz impide la recuperación de las credenciales de los usuarios raíz, lo que mejora la seguridad de las cuentas en su organización.
+ Elimine las credenciales del usuario raíz de las cuentas de miembros para impedir iniciar sesión en la cuenta de usuario raíz. Esto también impide la recuperación de las cuentas de miembro del usuario raíz.
+ Suponga que tiene una sesión privilegiada para realizar las siguientes tareas en las cuentas de miembros:
+ Elimine una política de bucket mal configurada que impida a todas las entidades principales acceder a un bucket de Amazon S3.
+ Elimine una política basada en recursos de Amazon Simple Queue Service que impida a todas las entidades principales acceder a una cola de Amazon SQS.
+ Permita que la cuenta de miembro recupere sus credenciales de usuario raíz. La persona que tenga acceso a la bandeja de entrada del correo del usuario raíz de la cuenta de miembro podrá entonces seguir los pasos para restablecer la contraseña del usuario raíz e iniciar sesión como el usuario raíz de la cuenta de miembro.
Una vez que se habilita la administración del acceso raíz, las cuentas de los secure-by-default miembros recién creadas no tienen credenciales de usuario raíz, lo que elimina la necesidad de seguridad adicional, como el MFA después del aprovisionamiento.
Para obtener más información, consulte [Centralizar el acceso raíz a las cuentas de miembros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management) en la *Guía del usuario de AWS Identity and Access Management *.
### Utilice una SCP para restringir lo que puede hacer el usuario raíz en tus cuentas de miembro
Se recomienda crear una política de control de servicios (SCP) en la organización y adjuntarla al nodo raíz de la organización para que se aplique a todas las cuentas de miembros. Para obtener más información, consulte [Proteja las credenciales de usuario raíz de su cuenta de Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations).
Puede denegar todas las acciones raíz, excepto una acción específica exclusiva para usuarios raíz que debe realizar en su cuenta de miembro. Por ejemplo, el siguiente SCP impide que el usuario root de cualquier cuenta de miembro realice llamadas a la API de AWS servicio, excepto «actualizar una política de bucket de S3 mal configurada y que deniega el acceso a todos los principales» (una de las acciones que requiere credenciales root). Para obtener más información, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html) en la *Guía del usuario de IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"NotAction":[
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:DeleteBucketPolicy"
],
"Resource": "*",
"Condition": {
"ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
}
}
]
}
```
------
En la mayoría de las circunstancias, un rol de AWS Identity and Access Management (IAM) puede realizar cualquier tarea administrativa en la cuenta de miembro que tiene permisos de administrador pertinentes. Cualquiera de estos roles debe tener controles adecuados implementados que limiten, registren y supervisen la actividad.
# Crear una cuenta de miembro en una organización con AWS Organizations
En este tema se describe cómo crear Cuentas de AWS dentro de su organización en AWS Organizations. Para obtener información sobre la creación de un single Cuenta de AWS, consulte el [Centro de recursos de introducción](https://aws.amazon.com/getting-started/).
## Consideraciones antes de crear una cuenta de miembro
**Organizations crea automáticamente el rol de IAM `OrganizationAccountAccessRole` para la cuenta de miembro**
Cuando se crea una cuenta de miembro en la organización, Organizations crea automáticamente el rol de IAM `OrganizationAccountAccessRole` en la cuenta de miembro, que permite que los usuarios y roles de la cuenta de administración puedan ejercer pleno control administrativo sobre la cuenta de miembro. Toda cuenta adicional asociada a la misma política administrada se actualizará automáticamente cada vez que se actualice la política. Esta función está sujeta a cualquier [política de control de servicios (SCPs)](orgs_manage_policies_scps.md) que se aplique a la cuenta del miembro.
**Organizations crea automáticamente el rol vinculado a servicios `AWSServiceRoleForOrganizations` para la cuenta de miembro**
Al crear una cuenta de miembro en su organización, Organizations crea automáticamente un rol vinculado al servicio `AWSServiceRoleForOrganizations` en la cuenta de miembro que permite la integración con servicios seleccionados AWS . Debe configurar los demás servicios para permitir la integración. Para obtener más información, consulte [AWS Organizations y funciones vinculadas al servicio](orgs_integrate_services.md#orgs_integrate_services-using_slrs).
**Las cuentas de miembro solo se pueden crear en la raíz de una organización**
Las cuentas de miembro en una organización solo se pueden crear en la raíz de una organización. Después de crear la raíz de una cuenta de miembro de una organización, puede moverla de una organización a otra. OUs Para obtener más información, consulte [Mover cuentas a una unidad organizativa (OU) o entre la raíz y OUs con AWS Organizations](move_account_to_ou.md).
**Las políticas asociadas al nodo raíz se aplican inmediatamente**
Si tiene política asociadas al nodo raíz del árbol de la OU, dichas políticas se aplican inmediatamente a todos los usuarios y roles de la cuenta creada.
Si has [activado la confianza de servicio para otro AWS servicio](orgs_integrate_services_list.md) de tu organización, ese servicio de confianza puede crear funciones vinculadas al servicio o realizar acciones en cualquier cuenta de miembro de la organización, incluida la cuenta que hayas creado.
**Las cuentas de miembro deben optar por recibir correos electrónicos de marketing**
Las cuentas de miembros que crees como parte de una organización no se suscriben automáticamente a AWS los correos electrónicos de marketing. Para suscribir sus cuentas para recibir correos electrónicos de marketing, consulte [https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences).
**Las cuentas de miembros de las organizaciones administradas por AWS Control Tower deben crearse en AWS Control Tower**
Si su organización está gestionada por AWS Control Tower, le recomendamos que cree sus cuentas de miembro utilizando la AWS Control Tower configuración de cuentas de la AWS Control Tower consola o utilizando el AWS Control Tower APIs.
Si creas una cuenta de miembro en Organizations cuando la organización está gestionada por la organización AWS Control Tower, la cuenta no se inscribirá en ella AWS Control Tower. Para obtener más información, consulte [Referencia del tipo de recurso fuera de AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources) en la *Guía del usuario AWS Control Tower *.
## Creación de una cuenta de miembro
Luego de iniciar sesión en la cuenta de administración de la organización, puede crear cuentas que se conviertan en cuentas de miembro de su organización.
Al crear una cuenta mediante el siguiente procedimiento, copia AWS Organizations automáticamente la siguiente información de **contacto principal** de la cuenta de administración a la nueva cuenta de miembro:
+ Número de teléfono
+ Nombre de la empresa
+ URL de sitio web
+ Dirección
Organizations también copia el idioma de comunicación y la información de Marketplace (en algunos casos, el proveedor de la cuenta Regiones de AWS) de la cuenta de administración.
**Permisos mínimos**
Para crear una cuenta de miembro en su organización, debe contar con los permisos siguientes:
`organizations:DescribeOrganization`: solo se requiere cuando se utiliza la consola de Organizations
`organizations:CreateAccount`
### Consola de administración de AWS
**Para crear una Cuenta de AWS que forme parte automáticamente de su organización**
1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.
1. En la página **[Cuentas de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, elija **Agregar un Cuenta de AWS**.
1. En la página **[Agregar una Cuenta de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, elija **Crear una Cuenta de AWS** (se elige de forma predeterminada).
1. En la página **[Crear una Cuenta de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, para **Nombre de Cuenta de AWS ** ingrese el nombre que desee asignar a la cuenta. Este nombre le ayuda a distinguir más adelante la cuenta de todas las demás cuentas de la organización y es independiente del alias de IAM o del nombre de correo electrónico del propietario.
1. Para **Dirección de correo electrónico del propietario de la cuenta**, ingrese la dirección de correo electrónico del propietario de la cuenta. Esta dirección de correo electrónico no puede estar asociada ya Cuenta de AWS a otra porque se convierte en la credencial del nombre de usuario del usuario raíz de la cuenta.
1. (Opcional) Especifique el nombre que va a asignar al rol de IAM que se crea automáticamente en la nueva cuenta. Este rol concede a la cuenta de administración de la organización el permiso para tener acceso a la cuenta de miembro que acaba de crear. Si no especifica un nombre, AWS Organizations asigna al rol un nombre predeterminado de`OrganizationAccountAccessRole`. Recomendamos que utilice el nombre predeterminado en todas sus cuentas para mayor coherencia.
**importante**
Recuerde este nombre de rol. Lo necesitará más adelante para conceder acceso a la nueva cuenta a los usuarios y roles de la cuenta de administración.
1. (Opcional) En la sección **Etiquetas**, agregue una o varias etiquetas con **Agregar etiqueta** y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es `null`. Puede asociar hasta 50 etiquetas a una cuenta.
1. Seleccione **Crear Cuenta de AWS**.
+ Si aparece un error que indica que ha superado la cuota de cuenta de la organización, consulte [Obtengo un mensaje de "cuota superada" cuando intento agregar una cuenta a mi organización](orgs_troubleshoot.md#troubleshoot_general_error-adding-account).
+ Si obtiene un error que indica que no puede añadir una cuenta porque la organización todavía se está inicializando, espere una hora y vuelva a intentarlo.
+ También puede consultar el AWS CloudTrail registro para obtener información sobre si la creación de la cuenta se ha realizado correctamente. Para obtener más información, consulte [Inicio de sesión y supervisión AWS Organizations](orgs_security_incident-response.md).
+ Si el error persiste, póngase en contacto con [AWS Support](https://console.aws.amazon.com/support/home#/).
La página **[Cuentas de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** aparece, con su cuenta nueva agregada a la lista.
1. Ahora que ya ha creado la cuenta y tiene un rol de IAM que concede acceso de administrador a los usuarios de la cuenta de administración, puede tener acceso a la cuenta siguiendo los pasos de [Acceder a las cuentas de los miembros de una organización con AWS Organizations](orgs_manage_accounts_access.md).
### AWS CLI & AWS SDKs
Los siguientes ejemplos de código muestran cómo utilizar `CreateAccount`.
------
#### [ .NET ]
**SDK para .NET**
Hay más información al respecto GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el [Repositorio de ejemplos de código de AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples).
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates a new AWS Organizations account.
///
public class CreateAccount
{
///
/// Initializes an Organizations client object and uses it to create
/// the new account with the name specified in accountName.
///
public static async Task Main()
{
IAmazonOrganizations client = new AmazonOrganizationsClient();
var accountName = "ExampleAccount";
var email = "someone@example.com";
var request = new CreateAccountRequest
{
AccountName = accountName,
Email = email,
};
var response = await client.CreateAccountAsync(request);
var status = response.CreateAccountStatus;
Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
}
}
```
+ Para obtener más información sobre la API, consulta [CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)la *Referencia AWS SDK para .NET de la API*.
------
#### [ CLI ]
**AWS CLI**
**Creación de una cuenta de miembro que forme parte automáticamente de la organización**
En el siguiente ejemplo se muestra cómo crear una cuenta de miembro en una organización. La cuenta de miembro se configura con el nombre Production Account y la dirección de correo electrónico susan@example.com. Organizations crea automáticamente un rol de IAM con el nombre predeterminado de OrganizationAccountAccessRole porque no se especifica el parámetro roleName. Además, la configuración que permite a los usuarios o roles de IAM con permisos suficientes acceder a los datos de facturación de la cuenta se establece en el valor predeterminado de ALLOW porque no se especifica el IamUserAccessToBilling parámetro. Organizations envía automáticamente a Susan un correo electrónico de AWS bienvenida a:
```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
La salida incluye un objeto de solicitud que muestra que el estado ahora es `IN_PROGRESS`:
```
{
"CreateAccountStatus": {
"State": "IN_PROGRESS",
"Id": "car-examplecreateaccountrequestid111"
}
}
```
Más adelante, puede consultar el estado actual de la solicitud proporcionando el valor de respuesta Id al describe-create-account-status comando como valor del create-account-request-id parámetro.
Para obtener más información, consulte Crear una AWS cuenta en su organización en la *Guía del AWS usuario de Organizations*.
+ Para obtener más información sobre la API, consulte [CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)la *Referencia de AWS CLI comandos*.
------
# Acceder a las cuentas de los miembros de una organización con AWS Organizations
Al crear una cuenta en la organización, además del usuario raíz,AWS Organizations crea automáticamente un rol de IAM con el nombre predeterminado `OrganizationAccountAccessRole`. Puedes especificar un nombre diferente al crearla, pero te recomendamos que le pongas un nombre uniforme en todas tus cuentas. AWS Organizations no crea ningún otro usuario o rol.
Para tener acceso a las cuentas de su organización, debe utilizar uno de los siguientes métodos:
**Permisos mínimos**
Para acceder y Cuenta de AWS desde cualquier otra cuenta de su organización, debe tener el siguiente permiso:
`sts:AssumeRole` - El elemento `Resource` debe estar establecido en un asterisco (\$1) o en el ID de la cuenta con el número de la cuenta con la que el usuario necesita obtener acceso a la nueva cuenta de miembro.
------
#### [ Using the root user (Not recommended for everyday tasks) ]
Al crear una cuenta de miembro nueva en su organización, la cuenta no tendrá credenciales de usuario raíz por defecto. Las cuentas de miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz a menos que la recuperación de cuentas esté habilitada.
Puede [centralizar el acceso raíz para las cuentas de miembros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html) para eliminar las credenciales de usuario raíz de las cuentas de miembros en Organizations. Al eliminar las credenciales del usuario raíz, se eliminan la contraseña del usuario raíz, las claves de acceso y los certificados de firma, y se desactiva la autenticación multifactor (MFA). Estas cuentas de miembros no tienen credenciales de usuario raíz, no pueden iniciar sesión como usuarios raíz y no pueden recuperar la contraseña del usuario raíz. Las cuentas nuevas que cree en Organizations no tienen credenciales de usuario raíz de forma predeterminada.
Póngase en contacto con el administrador si necesita realizar una tarea que requiera credenciales de usuario raíz en una cuenta de miembro donde no las hay.
Para obtener acceso a la cuenta de miembro como usuario raíz, debe seguir el proceso de recuperación de contraseña. Para más información, consulte [He olvidado la contraseña del usuario raíz de mi cuenta de Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password) en la *Guía del usuario de Inicio de sesión en AWS *.
Si debe acceder a una cuenta de miembro con el usuario raíz, siga estas prácticas recomendadas:
+ No utilice el usuario raíz para obtener acceso a su cuenta excepto para crear otros usuarios y funciones con permisos más limitados. A continuación, inicie sesión como uno de los usuarios o roles.
+ [Habilitar la autenticación multifactor (MFA) en el usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa). Restablezca la contraseña y [asigne un dispositivo MFA al usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html).
Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulta [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*. Para obtener recomendaciones de seguridad adicionales para el usuario raíz, consulte [Prácticas recomendadas para el usuario raíz para su Cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) en la *Guía de usuario de IAM*.
------
#### [ Using trusted access for IAM Identity Center ]
Utilice [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)y habilite el acceso confiable al IAM Identity Center con AWS Organizations. Esto permite a los usuarios iniciar sesión en el portal de AWS acceso con sus credenciales corporativas y acceder a los recursos de la cuenta de administración o las cuentas de los miembros que tengan asignadas.
Para obtener más información, consulte [Multi-account permissions](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html) (Permisos de varias cuentas) en la *Guía del usuario de AWS IAM Identity Center .* Para obtener más información acerca de cómo configurar el acceso de confianza para IAM Identity Center, consulte [AWS IAM Identity Center y AWS Organizations](services-that-can-integrate-sso.md).
------
#### [ Using the IAM role OrganizationAccountAccessRole ]
Si crea una cuenta con las herramientas que se proporcionan como parte de ella AWS Organizations, puede acceder a la cuenta mediante el rol preconfigurado denominado `OrganizationAccountAccessRole` que existe en todas las cuentas nuevas que cree de esta manera. Para obtener más información, consulte [Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Si invita a una cuenta existente a que se una a su organización y la cuenta acepta la invitación, puede elegir crear un rol de IAM que permita a la cuenta de administración tener acceso a la cuenta de miembro invitada. Se pretende que este rol sea idéntico al rol que se añade automáticamente a una cuenta que se crea con AWS Organizations.
Para crear esta función, consulte [Crear OrganizationAccountAccessRole una cuenta invitada con AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Después de crear la función, puede tener acceso a él siguiendo los pasos de [Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
------
**Topics**
+ [Creación de un rol de acceso de IAM](orgs_manage_accounts_create-cross-account-role.md)
+ [Uso del rol de acceso de IAM](orgs_manage_accounts_access-cross-account-role.md)
# Crear OrganizationAccountAccessRole una cuenta invitada con AWS Organizations
De forma predeterminada, si crea una cuenta de miembro como parte de su organización, AWS crea automáticamente un rol en la cuenta que concede permisos de administrador a los usuarios de IAM en la cuenta maestra. De forma predeterminada, este rol se denomina `OrganizationAccountAccessRole`. Para obtener más información, consulte [Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Sin embargo, a las cuentas de miembro a las que *invite* a unirse a su organización ***no*** se les crea automáticamente un rol de administrador. Tiene que hacerlo manualmente, tal y como se muestra en el siguiente procedimiento. Lo que este procedimiento hace básicamente es duplicar el rol configurado de forma automática para las cuentas creadas. Le recomendamos que utilice el mismo nombre, `OrganizationAccountAccessRole`, para los roles creados manualmente en aras de la coherencia y para que sea fácil de recordar.
------
#### [ Consola de administración de AWS ]
**Para crear un rol AWS Organizations de administrador en una cuenta de miembro**
1. Inicie sesión en la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de miembro. El usuario o el rol deben tener permiso para crear roles y políticas de IAM.
1. En la consola de IAM, vaya a **Roles** y, a continuación, seleccione **Crear rol**.
1. Elija y **Cuenta de AWS**, a continuación, seleccione **Otro Cuenta de AWS**.
1. Ingrese el número de ID de 12 dígitos de la cuenta maestra a la que desea conceder acceso de administrador. En **Opciones**, tenga en cuenta lo siguiente:
+ Para este rol, dado que las cuentas son internas a su empresa, **no** debe seleccionar **Require external ID**. Para obtener más información acerca de la opción de ID externo, consulte [¿Cuándo debería utilizar un ID externo?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) en la *Guía del usuario de IAM*.
+ Si ha habilitado y configurado MFA, puede elegir que se requiera autenticación mediante un dispositivo MFA. Para obtener más información sobre MFA, consulte [Uso de la autenticación multifactor (MFA) en AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) en la *Guía del usuario de IAM*.
1. Elija **Siguiente**.
1. En la página **Agregar permisos**, elija la política administrada por AWS denominada `AdministratorAccess` y, a continuación, seleccione **Siguiente**.
1. En la página **Asignar nombre, revisar y crear**, especifique un nombre del rol y una descripción opcional. Le recomendamos que utilice `OrganizationAccountAccessRole` para mantener la coherencia con el nombre predeterminado asignado al rol en las cuentas nuevas. Para confirmar los cambios, elija **Crear rol**.
1. Su nuevo rol aparecerá en la lista de roles disponibles. Seleccione el nombre del nuevo rol para ver los detalles y preste especial atención a la URL de enlace facilitada. Entregue esta URL a los usuarios de la cuenta de miembro que necesitan tener acceso al rol. Además, anote el **Role ARN** (ARN de rol), ya que lo necesitará en el paso 15.
1. Inicie sesión en la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Esta vez, inicie sesión como usuario de la cuenta de administración con permisos para crear políticas y asignarlas a los usuarios o grupos.
1. Vaya a **Políticas** y, a continuación, seleccione **Crear política**.
1. En **Service**, seleccione **STS**.
1. En **Actions (Acciones)**, comience a escribir **AssumeRole** en el cuadro **Filter (Filtro)** y marque la casilla cuando aparezca.
1. En **Recursos**, asegúrese de seleccionar **Específico** y, a continuación, elija **Agregar ARNs**.
1. Introduzca el número de ID de la cuenta del AWS miembro y, a continuación, el nombre del rol que creó anteriormente en los pasos 1 a 8. Elija **Añadir ARNs**.
1. Si está concediendo un permiso para asumir la función en varias cuentas de miembro, repita los pasos 14 y 15 para cada cuenta.
1. Elija **Siguiente**.
1. En la página **Revisar y crear**, ingrese un nombre para la nueva política y, a continuación, seleccione **Crear política** para guardar los cambios.
1. Elija **Grupos de usuarios** en el panel de navegación y, a continuación, elija el nombre del grupo (no la casilla) que desea utilizar para delegar la administración de la cuenta de miembro.
1. Elija la pestaña **Permisos**.
1. Elija **Agregar permisos**, luego **Asociar políticas** y, a continuación, seleccione la política que creó en los pasos 11-18.
------
Los usuarios que son miembros del grupo seleccionado ahora pueden usar el URLs que capturó en el paso 9 para acceder al rol de cada cuenta de miembro. Pueden obtener acceso a estas cuentas de miembro de la misma forma que lo harían si tuvieran acceso a una cuenta que usted haya creado en la organización. Para obtener más información sobre el uso del rol para administrar una cuenta de miembro, consulte [Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
# Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations
Al crear una cuenta de miembro mediante la AWS Organizations consola, AWS Organizations *se crea automáticamente* un rol de IAM con el nombre de `OrganizationAccountAccessRole` la cuenta. Este rol tiene permisos administrativos completos en la cuenta de miembro. El ámbito de acceso de este rol incluye todas las entidades principales de la cuenta de administración, de modo que el rol esté configurado para conceder ese acceso a la cuenta de administración de la organización.
Puede crear un rol idéntico para una cuenta de miembro invitada siguiendo los pasos que se indican en [Crear OrganizationAccountAccessRole una cuenta invitada con AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Para utilizar este rol para tener acceso a la cuenta de miembro, debe iniciar sesión como usuario de la cuenta de administración con permisos para asumir el rol. Para configurar estos permisos, siga este procedimiento. Le recomendamos que conceda permisos a los grupos en lugar de a los usuarios para simplificar el mantenimiento.
------
#### [ Consola de administración de AWS ]
**Para conceder permisos a los miembros de un grupo de IAM en la cuenta de administración para tener acceso al rol**
1. Inicie sesión en la consola de IAM [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)como usuario con permisos de administrador en la cuenta de administración. Esto es necesario para delegar permisos al grupo de IAM cuyos usuarios vayan a tener acceso al rol en la cuenta de miembro.
1. Comience creando la política administrada que necesitará más tarde en [Step 14](#step-choose-group).
En el panel de navegación, elija **Policies (Políticas)** y, a continuación, seleccione **Create policy (Crear política)**.
1. En la pestaña Editor visual, elija **Elegir un servicio**, ingrese **STS** en el cuadro de búsqueda para filtrar la lista y, a continuación, elija la opción **STS**.
1. En la sección **Acciones**, entre **assume** en el cuadro de búsqueda para filtrar la lista y, a continuación, elija la **AssumeRole**opción.
1. En la sección **Recursos**, elija **Específico** y, a continuación, seleccione **Agregar ARNs**
1. En la sección **Especificar ARN**, elija **Otra cuenta** para Recurso en.
1. Ingrese el ID de la cuenta de miembro que acaba de crear
1. En el campo **Nombre del rol de recurso con ruta**, ingrese el nombre del rol que creó en la sección anterior (se recomienda asignarle el nombre `OrganizationAccountAccessRole`).
1. Seleccione **Añadir ARNs** cuando el cuadro de diálogo muestre el ARN correcto.
1. (Opcional) Si desea requerir Multi-Factor Authentication (MFA) o restringir el acceso al rol desde un intervalo de direcciones IP especificado, expanda la sección Condiciones de solicitud y seleccione las opciones que desee aplicar.
1. Elija **Siguiente**.
1. En la página **Revisar y crear**, ingrese un nombre para la nueva política. Por ejemplo: **GrantAccessToOrganizationAccountAccessRole**. También puede agregar una descripción opcional.
1. Elija **Crear política** para guardar la nueva política administrada.
1. Ahora que tiene la política disponible, puede asociarla a un grupo.
En el panel de navegación, elija **Gropos de usuarios** y, a continuación, elija el nombre del grupo (no la casilla) cuyos miembros desea que asuman el rol en la cuenta de miembro. Si es necesario, puede crear un grupo nuevo.
1. Elija la pestaña **Permisos**, elija **Agregar permisos** y luego, **Asociar políticas**.
1. (Opcional) En el cuadro **Buscar** puede comenzar a escribir el nombre de la política para filtrar la lista hasta que pueda ver el nombre de la política que acaba de crear en [Step 2](#step-create-policy) mediante [Step 13](#step-end-policy). También puede filtrar todas las políticas administradas de AWS eligiendo **Todos los tipos** y, a continuación, eligiendo **Administrada por cliente**.
1. Marque la casilla situada junto a la política y, a continuación, elija **Asociar políticas**.
------
Los usuarios de IAM que son miembros del grupo ahora tienen permisos para cambiar al nuevo rol en la AWS Organizations consola mediante el siguiente procedimiento.
------
#### [ Consola de administración de AWS ]
**Para cambiar al rol de la cuenta de miembro**
Cuando se utilice el rol, el usuario tendrá permisos de administrador en la nueva cuenta de miembro. Indique a los usuarios de IAM que sean miembros del grupo que hagan lo siguiente para cambiar al nuevo rol.
1. **En la esquina superior derecha de la AWS Organizations consola, selecciona el enlace que contiene tu nombre de inicio de sesión actual y, a continuación, selecciona Cambiar rol.**
1. Escriba el número de ID de la cuenta y el nombre del rol proporcionados por el administrador.
1. En **Display Name (Nombre de visualización)**, escriba el texto que desee mostrar en la barra de navegación en la esquina superior derecha en lugar de su nombre de usuario mientras utiliza la función. Si lo desea, puede elegir un color.
1. Elija **Switch Role**. Ahora, todas las acciones que realice se harán con los permisos concedidos a la función a la que ha cambiado. Ya no tendrá los permisos asociados a su usuario de IAM original hasta que cambie otra vez a este rol.
1. Cuando haya terminado de realizar acciones que requieran los permisos del rol, puede volver a su usuario de IAM normal. **Elige el nombre del rol en la esquina superior derecha (el que hayas especificado como **nombre para mostrar**) y, a continuación, selecciona Volver a. *UserName***
------
# Cerrar una cuenta de miembro en una organización con AWS Organizations
Si ya no necesita una cuenta de miembro en su organización, puede cerrarla desde la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2) con las instrucciones de este tema. Solo puedes cerrar la cuenta de un miembro mediante la AWS Organizations consola si tu organización está en el modo [Todas las funciones](orgs_getting-started_concepts.md#feature-set-all).
También puedes cerrar una Cuenta de AWS directamente desde la [página de la **cuenta**](https://console.aws.amazon.com/billing/home#/account) Consola de administración de AWS después de iniciar sesión como usuario root. Para step-by-step obtener instrucciones, consulta [Cerrar un Cuenta de AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) en la *Guía de administración de AWS cuentas*.
Para cerrar una cuenta de administración, consulte [Cierre de una cuenta de administración de la organización](orgs_manage_accounts_close_management.md).
## Cierre de una cuenta de miembro
Cuando inicia sesión en la cuenta de administración de la organización, puede cerrar las cuentas de miembro que pertenecen a su organización. Para ello, siga los pasos que se describen a continuación.
**importante**
Antes de cerrar su cuenta de miembro, le recomendamos encarecidamente que revise las consideraciones y comprenda el impacto de cerrar una cuenta. Para obtener más información, consulte [What you need to know before closing your account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) y [What to expect after you close your account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) en la *Guía de administración de cuentas de AWS *.
------
#### [ AWS Management Console ]
**Para cerrar la cuenta de un miembro desde la AWS Organizations consola**
1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.
1. En la página **[Cuentas de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, busque y elija el nombre de la cuenta de miembro que desea cerrar. Puede navegar por la jerarquía de unidades organizativas o ver una lista plana de cuentas sin la estructura de unidad organizativa.
1. Elija **Close** (Cerrar) junto al nombre de la cuenta en la parte superior de la página. Esta opción solo está disponible cuando una organización de AWS está en el modo [Todas las características](orgs_getting-started_concepts.md#feature-set-all).
**nota**
Si su organización utiliza el modo [Facturación unificada](orgs_getting-started_concepts.md#feature-set-cb-only), no podrá ver el botón **Cerrar** de la consola. Para cerrar una cuenta en el modo de Facturación unificada, inicie sesión en la cuenta que desee cerrar como usuario raíz. En la página **Cuentas**, pulse el botón **Cerrar cuenta**, ingrese el ID de su cuenta y, a continuación, pulse el botón **Cerrar cuenta**.
1. Lea y asegúrese de comprender la guía para el cierre de la cuenta.
1. Ingrese el ID de la cuenta de miembro y, a continuación, elija **Cerrar cuenta**.
**nota**
Cualquier cuenta de miembro que cierre mostrará una etiqueta `CLOSED` junto al nombre de la cuenta en la consola de AWS Organizations hasta 90 días después de la fecha de cierre original. Transcurridos 90 días, la cuenta de miembro se cerrará permanentemente y dejará de mostrarse en la AWS Organizations consola. Ten en cuenta que, tras el cierre definitivo, es posible que la cuenta tarde unos días en eliminarse de la organización.
**Para cerrar una cuenta de miembro desde la página Cuentas**
Si lo desea, puede cerrar la cuenta de un AWS miembro directamente desde la página de **cuentas** del Consola de administración de AWS. Para obtener step-by-step orientación, sigue las instrucciones de [Cerrar y de Cuenta de AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) la *Guía de administración de AWS cuentas*.
------
#### [ AWS CLI & AWS SDKs ]
**Para cerrar una Cuenta de AWS**
Puede utilizar uno de los siguientes comandos para cerrar una cuenta de AWS :
+ AWS CLI: [close-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/close-account.html)
```
$ aws organizations close-account \
--account-id 123456789012
```
Este comando no genera ninguna salida si se realiza correctamente.
+ AWS SDKs: [CloseAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html)
------
# Proteger las cuentas de los miembros del cierre con AWS Organizations
Para proteger cuentas de miembros de un cierre accidental, cree una política de IAM que especifique las cuentas que estén exentas de cierre. Esta política impide el cierre de cuentas de miembros protegidas.
Cree una política de IAM para denegar el cierre de cuentas mediante uno de estos métodos:
+ Enumere explícitamente las cuentas protegidas en el `Resource` elemento de la política utilizando sus ARNs.
+ Etiquete las cuentas individuales y utilice la clave de condición global `aws:ResourceTag` para evitar el cierre de las cuentas etiquetadas.
**nota**
Las políticas de control de servicios (SCPs) no afectan a los directores de IAM de la cuenta de administración.
## Ejemplos de políticas de IAM que impiden los cierres de las cuentas de miembro
Los siguientes ejemplos de código muestran dos métodos diferentes que puede utilizar para impedir que las cuentas de miembro cierren sus cuentas.
------
#### [ Prevent member accounts with tags from getting closed ]
Puede adjuntar la siguiente política a una identidad en su cuenta de administración. Esta política impide que las entidades principales de la cuenta de administración cierren cualquier cuenta de miembro etiquetada con la clave de condición global de etiqueta `aws:ResourceTag`, la clave `AccountType` y el valor de etiqueta `Critical`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccountForTaggedAccts",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
}
}
]
}
```
------
#### [ Prevent member accounts listed in this policy from getting closed ]
Puede adjuntar la siguiente política a una identidad en su cuenta de administración. Esta política impide que las entidades principales de la cuenta de administración cierren las cuentas de miembro especificadas de forma explícita en el elemento `Resource`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccount",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": [
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
]
}
]
}
```
------
# Eliminar una cuenta de miembro de una organización con AWS Organizations
Al eliminar una cuenta de miembro, no se cierra la cuenta, sino que se elimina la cuenta de miembro de la organización. La cuenta de miembro anterior se convierte en una cuenta independiente Cuenta de AWS que ya no es administrada por AWS Organizations.
Posteriormente, la cuenta ya no estará sujeta a ninguna política y será responsable del pago de sus propias facturas. A la cuenta de administración de la organización ya no se le cobrará ningún gasto acumulado en la cuenta una vez que se haya retirado de la organización.
## Consideraciones
**Los roles de acceso de IAM creados por la cuenta de administración no se eliminan automáticamente**
Cuando elimina una cuenta de miembro de la organización, no se eliminan automáticamente los roles de IAM que se hayan creado para permitir el acceso de la cuenta de administración de la organización. Si desea eliminar este acceso desde la cuenta de administración anterior de la organización, debe eliminar manualmente el rol de IAM. Para obtener información acerca de cómo eliminar un rol, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.
**Puede eliminar una cuenta de la organización solo si la cuenta tiene la información que necesita para funcionar como cuenta independiente**
Puede eliminar una cuenta de la organización solo si la cuenta tiene la información que necesita para funcionar como cuenta independiente. Al crear una cuenta en una organización mediante la AWS Organizations consola, la API o los AWS CLI comandos, *no* se recopila automáticamente toda la información necesaria para las cuentas independientes.
Para cada cuenta que desee crear de forma independiente, debe elegir un plan de soporte, proporcionar y verificar la información de contacto requerida y proporcionar un método de pago actual. AWS utiliza el método de pago para cobrar por cualquier AWS actividad facturable (no de nivel AWS gratuito) que se produzca mientras la cuenta no esté vinculada a una organización. Para eliminar una cuenta que aún no cuenta con esta información, siga los pasos que se indican en[Salir de una organización desde una cuenta de miembro con AWS Organizations](orgs_manage_accounts_leave-as-member.md).
**Debe esperar al menos cuatro días después de que se cree la cuenta**
Para eliminar una cuenta que se creó en la organización, debe esperar al menos cuatro días después de su creación. Las cuentas invitadas no están sujetas a este período de espera.
**El propietario de la cuenta que abandona la organización pasa a ser responsable de todos los nuevos costos acumulados**
En el momento en que la cuenta abandone correctamente la organización, el propietario de la cuenta será responsable de todos los nuevos AWS costes acumulados y Cuenta de AWS se utilizará el método de pago de la cuenta. La cuenta de gestión de la organización ya no es responsable.
**La cuenta no puede ser una cuenta de administrador delegado para ningún AWS servicio habilitado para la organización**
La cuenta que desee eliminar no debe ser una cuenta de administrador delegado para ningún AWS servicio habilitado para su organización. Si la cuenta es un administrador delegado, primero debe cambiar la cuenta de administrador delegada a otra cuenta que quede en la organización. Para obtener más información sobre cómo deshabilitar o cambiar la cuenta de administrador delegado de un AWS servicio, consulte la documentación de ese servicio.
**La cuenta ya no tiene acceso a los datos de costo y uso**
Si una cuenta de miembro deja una organización, esa cuenta ya no tiene acceso a los datos de costo y uso del intervalo de tiempo en el que la cuenta era miembro de la organización. Sin embargo, la cuenta de administración de la organización puede seguir obteniendo acceso a los datos. Si la cuenta se vuelve a unir a la organización, la cuenta puede obtener de nuevo acceso a esos datos.
**Se eliminan las etiquetas adjuntas a la cuenta**
Cuando una cuenta de miembro abandona una organización, se eliminan todas las etiquetas asociadas a la cuenta.
**Las entidades principales de la cuenta ya no se verán afectadas por ninguna política de la organización**
Las entidades principales de la cuenta ya no se verán afectadas por ninguna [política](orgs_manage_policies.md) que se aplique en la organización. Esto significa que las restricciones impuestas por SCPs han desaparecido y es posible que los usuarios y roles de la cuenta tengan más permisos que antes. Otros tipos de políticas de la organización ya no se pueden aplicar ni procesar.
**La cuenta ya no está cubierta por los acuerdos de la organización**
Si una cuenta de miembro se elimina de una organización, dicha cuenta de miembro ya no estará cubierta por los acuerdos de la organización. Los administradores de cuentas de administración deben comunicar esto a las cuentas de miembro antes de eliminar las cuentas de miembro de la organización, para que dichas cuentas de miembro puedan formalizar nuevos acuerdos si es necesario. Puedes ver una lista de los acuerdos organizativos activos en la AWS Artifact consola de la página [Acuerdos AWS Artifact organizativos](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements).
**La integración con otros servicios podría estar deshabilitada**
La integración con otros servicios podría estar deshabilitada. Si eliminas una cuenta de una organización que tiene habilitada la integración con un AWS servicio, los usuarios de esa cuenta ya no podrán usar ese servicio.
## Eliminación de una cuenta de miembro de su organización
Cuando inicie sesión en la cuenta de administración de la organización, puede quitar las cuentas de miembro de la organización que ya no necesite. Para ello, complete el procedimiento siguiente. Este procedimiento se aplica únicamente a las cuentas de miembro. Para eliminar la cuenta de administración, debe [eliminar la organización](orgs_manage_org_delete.md).
**Permisos mínimos**
Para eliminar una o varias cuentas de miembro de la organización, debe iniciar sesión como usuario o rol en la cuenta de administración con los siguientes permisos:
`organizations:DescribeOrganization`: solo se requiere cuando se utiliza la consola de Organizations
`organizations:RemoveAccountFromOrganization`
Si decidió iniciar sesión como usuario o rol en una cuenta de miembro en el paso 5, ese usuario o rol debe tener los siguientes permisos:
`organizations:DescribeOrganization`: solo se requiere cuando se utiliza la consola de Organizations
`organizations:LeaveOrganization`; tenga en cuenta que el administrador de la organización puede aplicar una política a la cuenta que elimine este permiso, lo que le impedirá eliminar la cuenta de la organización.
Si inicia sesión como un usuario de IAM y la cuenta tiene información de pago faltante, el usuario debe tener permisos de `aws-portal:ModifyBilling` y de `aws-portal:ModifyPaymentMethods` (si la cuenta aún no ha migrado a permisos específicos) O permisos de `payments:CreatePaymentInstrument` y de `payments:UpdatePaymentPreferences` (si la cuenta ha migrado a permisos específicos). Además, la cuenta de miembro debe tener habilitado el acceso del usuario de IAM a la facturación. Si no está habilitado, consulte [Activación del acceso a la consola Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) en la *Guía del usuario de AWS Billing *.
------
#### [ Consola de administración de AWS ]
**Para eliminar una cuenta de miembro de su organización**
1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.
1. En la pestaña **[Cuentas de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, busque y marque la casilla ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/images/checkbox-selected.png) junto a cada cuenta de miembro que desea eliminar de su organización. Puede navegar por la jerarquía de unidades organizativas o habilitar **Ver Cuentas de AWS solo** para ver una lista plana de cuentas sin la estructura de unidades organizativas. Si tiene muchas cuentas, puede que tenga que elegir **Cargar más cuentas en '*Nombre de OU*'** en la parte inferior de la lista para encontrar todas las que desea mover.
En la página **[Cuentas de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, busque y elija el nombre de la cuenta de miembro que desea eliminar de su organización. Puede que tenga que expandirla OUs (elegir![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/images/console-expand.png)) para encontrar la cuenta que busca.
1. Seleccionar **Acciones** y, a continuación, en **Cuenta de AWS**, elija **Eliminar de la organización**.
1. En el ¿**Eliminar la cuenta «*nombre de la cuenta*» (\$1 *account-id-num*) de** la organización? cuadro de diálogo, seleccione **Eliminar** cuenta.
1. Si AWS Organizations no puedes eliminar una o más de las cuentas, normalmente se debe a que no has proporcionado toda la información necesaria para que la cuenta funcione como una cuenta independiente. Siga estos pasos:
1. Inicie sesión en la cuenta con errores. Le recomendamos que inicie sesión en la cuenta de miembro seleccionando **Copy link** y, a continuación, pegándolo en la barra de direcciones en una nueva ventana del navegador de incógnito. Si no ve el **enlace Copiar**, use [este enlace](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True) para ir a la página **Registrarse en AWS** y complete los pasos de registro que faltan. Si no utiliza una ventana de incógnito, se cerrará la sesión de la cuenta de administración y no podrá navegar para volver a este cuadro de diálogo.
1. El navegador le lleva directamente al proceso de registro para completar los pasos que falten para esta cuenta. Complete todos los pasos indicados. Esto podría incluir lo siguiente:
+ Proporcionar información de contacto
+ Proporcionar un método de pago válido
+ Verificar el número de teléfono
+ Seleccionar una opción de plan de soporte
1. Tras completar el último paso de registro, redirige AWS automáticamente el navegador a la AWS Organizations consola de la cuenta de miembro. Seleccione **Leave organization** y confirme su selección en el cuadro de diálogo de confirmación. Se le redirigirá a la página **Introducción** de la consola de AWS Organizations , donde podrá ver las invitaciones pendientes de su cuenta para unirse a otras organizaciones.
1. Elimine de la organización los roles de IAM que conceden acceso a su cuenta.
**importante**
Si la cuenta se creó en la organización, Organizations creó automáticamente un rol de IAM en la cuenta que habilitó el acceso de la cuenta de administración de la organización. Si la cuenta fue invitada a unirse, entonces Organizations no creó automáticamente dicho rol, pero usted u otro administrador podría haber creado uno para obtener los mismos beneficios. En cualquier caso, cuando quita la cuenta de la organización, dicho rol no se elimina automáticamente. Si desea terminar este acceso desde la cuenta de administración de la organización anterior, debe eliminar manualmente este rol de IAM. Para obtener información acerca de cómo eliminar un rol, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.
------
#### [ AWS CLI & AWS SDKs ]
**Para eliminar una cuenta de miembro de su organización**
Puede utilizar uno de los siguientes comandos para quitar una cuenta de miembro:
+ AWS CLI: [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)
```
$ aws organizations remove-account-from-organization \
--account-id 123456789012
```
Este comando no genera ninguna salida si se realiza correctamente.
+ AWS SDKs: [RemoveAccountFromOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)
Una vez que se haya eliminado de la organización la cuenta de miembro, asegúrese de eliminar de la organización los roles de IAM que dan acceso a su cuenta.
**importante**
Si la cuenta se creó en la organización, Organizations creó automáticamente un rol de IAM en la cuenta que habilitó el acceso de la cuenta de administración de la organización. Si la cuenta fue invitada a unirse, entonces Organizations no creó automáticamente dicho rol, pero usted u otro administrador podría haber creado uno para obtener los mismos beneficios. En cualquier caso, cuando quita la cuenta de la organización, dicho rol no se elimina automáticamente. Si desea terminar este acceso desde la cuenta de administración de la organización anterior, debe eliminar manualmente este rol de IAM. Para obtener información acerca de cómo eliminar un rol, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.
En su lugar, las cuentas de los miembros pueden eliminarse a sí mismas con el comando [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html). Para obtener más información, consulte [Salir de una organización desde una cuenta de miembro con AWS Organizations](orgs_manage_accounts_leave-as-member.md).
------
# Salir de una organización desde una cuenta de miembro con AWS Organizations
Cuando inicia sesión en una cuenta de miembro, puede abandonar una organización. La cuenta de administración no puede abandonar la organización mediante esta técnica. Para eliminar la cuenta de administración, debe [eliminar la organización](orgs_manage_org_delete.md).
## Consideraciones
**El estado de una cuenta con una organización afecta a los datos de costo y uso visibles**
Las cuentas mantienen el acceso a todas las facturas anteriores que se les hayan entregado y a todos los datos de facturas que hayan generado, independientemente de los cambios de membresía de la organización. Sin embargo, la visibilidad de los datos de Cost Explorer está vinculada a la membresía actual de las organizaciones. La siguiente tabla muestra cómo tres transiciones de cuentas comunes afectan a la visibilidad de los datos:
****
| | Disponibilidad de las facturas | Disponibilidad de facturas (p. ej., página de facturas) | Disponibilidad de Cost Explorer |
| --- | --- | --- | --- |
| Escenario 1La cuenta de miembro abandona OrganizationA y pasa a ser una cuenta independiente | La cuenta mantiene el acceso a todas las facturas históricas que se le entreguen. | La cuenta mantiene el acceso a todos los datos históricos de facturas que generó como miembro de la Organización A. | La cuenta pierde el acceso a los datos históricos de costos y uso que generó como miembro de la Organización A. |
| Escenario 2La cuenta del miembro abandona la Organización A y se une a la Organización B. | La cuenta mantiene el acceso a todas las facturas históricas que se le entreguen. | La cuenta mantiene el acceso a todos los datos históricos de facturas que generó como miembro de la Organización A. | La cuenta pierde el acceso a los datos históricos de costos y uso que generó como miembro de la Organización A. |
| Escenario 3La cuenta vuelve a unirse a una organización a la que pertenecía anteriormente | La cuenta mantiene el acceso a todas las facturas históricas que se le entreguen. | La cuenta mantiene el acceso a todos los datos históricos de facturas que generó (independientemente de si se generó como una cuenta independiente o como miembro de otra organización). | La cuenta recupera el acceso a los datos de costos y uso durante todo el período en que fue miembro de la organización, pero pierde el acceso a todos los costos y usos históricos generados fuera de su organización actual. |
**La cuenta ya no estará cubierta por los acuerdos de la organización que la organización aceptó en su nombre**
Si abandona una organización, ya no estará cubierto por los acuerdos de la organización que la cuenta de administración de la organización aceptó en su nombre. Puede ver una lista de estos acuerdos organizativos en la AWS Artifact consola de la página [Acuerdos AWS Artifact organizativos](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements). Antes de abandonar la organización, debe determinar (con la ayuda de los equipos jurídicos, de privacidad o de conformidad, si procede) si es necesario formalizar nuevos acuerdos.
**Los límites de cuota de la cuenta pueden cambiar y tener repercusiones**
Dejar una organización como cuenta de miembro puede afectar a los límites de cuota de servicio disponibles para esa cuenta. Si tienes cargas de trabajo automatizadas que requieren límites más altos, vuelve a visitar tus cuotas en la consola de cuotas de servicio después de dejar la organización para garantizar una experiencia ininterrumpida. Póngase en contacto con [AWS Support el Centro](https://console.aws.amazon.com/support/home#/) después de dejar la organización para obtener ayuda.
## Abandono de una organización desde una cuenta de miembro
Para abandonar una organización, complete el procedimiento siguiente.
**Permisos mínimos**
Para abandonar una organización, debe disponer de los siguientes permisos:
`organizations:DescribeOrganization`: solo se requiere cuando se utiliza la consola de Organizations
`organizations:LeaveOrganization`; tenga en cuenta que el administrador de la organización puede aplicar una política a la cuenta que elimine este permiso, lo que le impedirá eliminar la cuenta de la organización.
Si inicia sesión como un usuario de IAM y la cuenta tiene información de pago faltante, el usuario debe tener permisos de `aws-portal:ModifyBilling` y de `aws-portal:ModifyPaymentMethods` (si la cuenta aún no ha migrado a permisos específicos) O permisos de `payments:CreatePaymentInstrument` y de `payments:UpdatePaymentPreferences` (si la cuenta ha migrado a permisos específicos). Además, la cuenta de miembro debe tener habilitado el acceso del usuario de IAM a la facturación. Si no está habilitado, consulte [Activación del acceso a la consola Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) en la *Guía del usuario de AWS Billing *.
------
#### [ Consola de administración de AWS ]
**Para abandonar una organización desde su cuenta de miembro**
1. Inicia sesión en la AWS Organizations consola desde la [AWS Organizations consola](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en una cuenta de miembro.
De forma predeterminada, no tienes acceso a la contraseña del usuario raíz de una cuenta de miembro que se creó con AWS Organizations. De ser necesario, recupere la contraseña del usuario raíz siguiendo los pasos que se indican en **Uso del usuario root (no se recomienda para las tareas diarias)** en [Acceder a las cuentas de los miembros de una organización con AWS Organizations](orgs_manage_accounts_access.md).
1. En la página **[Panel de Organizations](https://console.aws.amazon.com/organizations/v2/home/dashboard)**, seleccione **Abandonar esta organización**.
1. En el cuadro de diálogo **¿Confirmar el abandono de la organización?**, elija **Abandonar organización**. Cuando se le indique, confirme su elección para eliminar la cuenta. **Tras confirmarla, se te redirigirá a la página de introducción de la AWS Organizations consola, donde podrás ver las invitaciones pendientes de tu cuenta para unirte a otras organizaciones.**
Si aparece el mensaje **Todavía no puede abandonar la organización**, significa que su cuenta no tiene toda la información necesaria para funcionar como una cuenta independiente. En tal caso, continúe en el paso siguiente.
1. Si el cuadro de diálogo **¿Confirmar el abandono de la organización?** muestra el mensaje **Todavía no puede abandonar la organización**, seleccione el enlace **Completar los pasos de inscripción de la cuenta**.
Si no ve el enlace **Completar los pasos de inscripción de la cuenta**, utilice [este enlace](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True) para ir a la página **Registrarse en AWS** y completar los pasos de registro que faltan.
1. En la página **Inscribirse a AWS**, introduzca toda la información solicitada para que la cuenta se convierta en una cuenta independiente. Puede incluir los siguientes tipos de información:
+ Nombre y dirección de contacto
+ Método de pago válido
+ Verificación de número de teléfono
+ Opciones de planes de soporte
1. Cuando vea el cuadro de diálogo que le avisa de que el proceso de inscripción se ha completado, seleccione **Leave organization**.
Aparece un cuadro de diálogo de confirmación. Confirme su elección para eliminar la cuenta. **Se te redirigirá a la página de introducción de la AWS Organizations consola, donde podrás ver las invitaciones pendientes de tu cuenta para unirte a otras organizaciones.**
1. Elimine de la organización los roles de IAM que conceden acceso a su cuenta.
**importante**
Si la cuenta se creó en la organización, Organizations creó automáticamente un rol de IAM en la cuenta que habilitó el acceso de la cuenta de administración de la organización. Si la cuenta fue invitada a unirse, entonces Organizations no creó automáticamente dicho rol, pero usted u otro administrador podría haber creado uno para obtener los mismos beneficios. En cualquier caso, cuando quita la cuenta de la organización, dicho rol no se elimina automáticamente. Si desea terminar este acceso desde la cuenta de administración de la organización anterior, debe eliminar manualmente este rol de IAM. Para obtener información acerca de cómo eliminar un rol, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.
------
#### [ AWS CLI & AWS SDKs ]
**Para abandonar una organización como cuenta de miembro**
Puede utilizar uno de los siguientes comandos para abandonar una organización:
+ AWS CLI: [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)
El siguiente ejemplo hace que la cuenta cuyas credenciales se utilizan para ejecutar el comando abandone la organización.
```
$ aws organizations leave-organization
```
Este comando no genera ninguna salida si se realiza correctamente.
+ AWS SDKs: [LeaveOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html)
Una vez que la cuenta del miembro haya dejado la organización, asegúrese de eliminar de la organización los roles de IAM que dan acceso a su cuenta.
**importante**
Si la cuenta se creó en la organización, Organizations creó automáticamente un rol de IAM en la cuenta que habilitó el acceso de la cuenta de administración de la organización. Si la cuenta fue invitada a unirse, entonces Organizations no creó automáticamente dicho rol, pero usted u otro administrador podría haber creado uno para obtener los mismos beneficios. En cualquier caso, cuando quita la cuenta de la organización, dicho rol no se elimina automáticamente. Si desea terminar este acceso desde la cuenta de administración de la organización anterior, debe eliminar manualmente este rol de IAM. Para obtener información acerca de cómo eliminar un rol, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.
En su [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)lugar, un usuario de la cuenta de administración también puede eliminar las cuentas de los miembros. Para obtener más información, consulte [Eliminación de una cuenta de miembro de su organización](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account).
------
# Actualizar el nombre de la cuenta de un miembro con AWS Organizations
Cuando inicie sesión en la cuenta de administración de su organización, puede actualizar el nombre de una cuenta de miembro. Para obtener información sobre cómo actualizar el nombre de la cuenta de un miembro, sigue los pasos que se indican en [la *Guía de AWS Account Management referencia* sobre cómo actualizar el nombre de la cuenta de cualquier Cuenta de AWS miembro de tu organización](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs).
# Actualización de la dirección de correo electrónico del usuario raíz La dirección de de una cuenta de miembro con AWS Organizations
Para aumentar la seguridad y la resiliencia administrativa, las entidades principales de IAM de la cuenta de administración (que tienen los permisos de IAM necesarios) pueden actualizar de forma centralizada la dirección de correo electrónico de un usuario raíz (también denominada dirección de correo electrónico principal) para cualquiera de sus cuentas de miembro sin tener que iniciar sesión en cada cuenta de forma individual. De este modo, los administradores de la cuenta de administración (o de una cuenta de administrador delegado) tienen más control sobre las cuentas de miembro. También garantiza que las direcciones de correo electrónico de los usuarios raíz, de cualquier cuenta de miembro de la suya AWS Organizations puedan mantenerse actualizadas, incluso si ha perdido el acceso a la dirección de correo electrónico original del usuario raíz, la dirección de correo .
Cuando un administrador de la cuenta de administración cambia centralmente la dirección de correo electrónico del usuario raíz, tanto la contraseña como la configuración de MFA seguirán siendo las mismas que antes del cambio. Tenga en cuenta que un usuario puede omitir la MFA si controla la dirección de correo electrónico del usuario raíz y el número de teléfono de contacto principal de una cuenta.
Para actualizar la dirección de correo electrónico del usuario raíz, la de una cuenta de miembro de su organización, esta debe haber activado previamente el modo de [todas las funciones](orgs_getting-started_concepts.md#feature-set-all). AWS Organizations en el modo de facturación unificada o en cuentas que no forman parte de una organización, no pueden actualizar la dirección de correo electrónico de su usuario raíz, la dirección de correo de forma centralizada. Los usuarios que deseen cambiar la dirección de correo electrónico del usuario raíz de las cuentas que no son compatibles con la API deben seguir utilizando la consola de facturación para administrar la dirección de correo electrónico del usuario raíz.
Para step-by-step obtener instrucciones sobre cómo actualizar la dirección de correo electrónico del usuario raíz de su cuenta de miembro, la dirección de , consulte [Actualizar el correo electrónico del usuario raíz de para cualquier Cuenta de AWS miembro de su organización](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs) en la *Guía de AWS Account Management referencia*.
# Administrar las invitaciones a las cuentas con AWS Organizations
Después de [crear una organización](orgs_manage_org_create.md) y [comprobar que eres el propietario de la dirección de correo electrónico](about-email-verification.md) asociada a la cuenta de administración, puedes invitar a una persona existente Cuentas de AWS a unirse a tu organización. Usa la AWS Organizations consola para iniciar y administrar las invitaciones que envíes a otras cuentas. Solo puede enviar una invitación a otras cuentas desde la cuenta de administración de su organización.
Cuando invitas a una cuenta, AWS Organizations envía una invitación al propietario de la cuenta, quien puede decidir aceptarla o rechazarla.
Si eres el administrador de una organización Cuenta de AWS, también puedes aceptar o rechazar una invitación de una organización. Si la acepta, su cuenta se convierte en miembro de esa organización.
Para crear una cuenta que forme parte automáticamente de su organización, consulte [Crear una cuenta de miembro en una organización con AWS Organizations](orgs_manage_accounts_create.md).
**importante**
Todas las cuentas de una organización deben provenir de la misma AWS partición que la cuenta de administración. Las cuentas de la Regiones de AWS partición comercial no pueden estar en una organización con cuentas de la partición Regiones de China o cuentas de la partición AWS GovCloud (US) Regiones.
**Topics**
+ [Consideraciones](#impact_of_join)
+ [Envío de invitaciones](orgs_manage_accounts_invite-account.md)
+ [Administración de invitaciones pendientes](orgs_manage_accounts_manage-invites.md)
+ [Aceptar o rechazar invitaciones](orgs_manage_accounts_accept-decline-invite.md)
## Consideraciones
**Limitaciones en la cantidad de invitaciones que puede enviar por día**
Para ver el número de invitaciones que puede enviar por día, consulte [Valores mínimos y máximos](orgs_reference_limits.md#min-max-values). Las invitaciones aceptadas no se contabilizan en esta cuota. Tan pronto como se acepta una invitación, puede enviar otra invitación ese mismo día. Todas las invitaciones deben responderse en un plazo de 15 días o caducarán.
Una invitación enviada a una cuenta se contabiliza para la cuota de cuentas de la organización. La cuenta se restaura si la cuenta invitada rechaza la invitación, la cuenta de administración cancela la invitación o la invitación vence.
**Una cuenta solo puede unirse a una organización**
Una cuenta solo puede unirse a una organización. Si recibe varias invitaciones, solo puede aceptar una.
**El historial y los informes de facturación permanecen en la cuenta de administración**
El historial y los informes de facturación de todas las cuentas permanecen en la cuenta del pagador de una organización. Antes de trasladar la cuenta a una nueva organización, exporte o haga una copia de seguridad de los historiales e informes de facturación de cualquier cuenta de miembro que desee conservar. Esto puede incluir [informes de costos y usos](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html), [informes de Explorador de costos](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html), [informes de Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr) y [cobertura y uso de instancias reservadas](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer).
**La cuenta de administración es responsable de pagar los cargos acumulados de todas las cuentas de miembro**
En el momento en que una cuenta acepta la invitación para unirse a una organización, la cuenta de administración de la organización se hace responsable de todos los cargos acumulados por la nueva cuenta de miembro. El método de pago asociado a la cuenta de miembro ya no se utiliza. En su lugar, el método de pago adjunto a la cuenta de gestión de la organización paga todos los cargos acumulados por la cuenta de miembro.
**Organizations crea automáticamente el rol vinculado al servicio `AWSServiceRoleForOrganizations`**
AWS Organizations crea un rol vinculado a un servicio llamado `AWSServiceRoleForOrganizations` para respaldar las integraciones entre AWS Organizations y otros servicios. AWS Para obtener más información, consulte [AWS Organizations y funciones vinculadas al servicio](orgs_integrate_services.md#orgs_integrate_services-using_slrs). La cuenta invitada debe tener este rol si su organización admite [todas las características](orgs_getting-started_concepts.md#feature-set-all). Puede eliminar este rol si la organización únicamente admite el conjunto de características de [facturación unificada](orgs_getting-started_concepts.md#feature-set-cb-only). Si elimina este rol y, posteriormente, habilita todas las funciones de su organización, AWS Organizations vuelve a crear este rol para la cuenta.
**Organizations no crea automáticamente el rol de IAM `OrganizationAccountAccessRole`**
En el caso de las cuentas de miembros invitados, AWS Organizations no crea automáticamente el rol de IAM. [`OrganizationAccountAccessRole`](orgs_manage_accounts_access-cross-account-role.md) Este rol otorga a los usuarios de la cuenta de administración acceso administrativo a la cuenta de miembro. Si desea habilitar ese nivel de control administrativo a la cuenta invitada, puede agregar manualmente el rol. Para obtener más información, consulte [Crear OrganizationAccountAccessRole una cuenta invitada con AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
**nota**
Cuando creas una cuenta en tu organización, en lugar de invitar a una cuenta existente a unirse, crea AWS Organizations automáticamente la función de IAM de forma `OrganizationAccountAccessRole` predeterminada.
**Las políticas asociadas al nodo raíz o a la OU que contienen la cuenta se aplican inmediatamente**
Si tiene política asociadas al nodo raíz o a la unidad organizativa (OU) que contiene la cuenta invitada, dichas políticas se aplican inmediatamente a todos los usuarios y roles de la cuenta invitada.
Puede [habilitar la confianza en el servicio para otro AWS servicio de](orgs_integrate_services_list.md) su organización. Tras ello, ese servicio de confianza puede crear roles vinculados a servicios o realizar acciones en cualquier cuenta de miembro de la organización, incluida una cuenta invitada.
**Las organizaciones que solo tienen el conjunto de características de facturación unificada pueden seguir invitando cuentas**
Puede invitar a una cuenta a unirse a una organización que solo tenga habilitadas las características de facturación unificada. Si posteriormente desea habilitar todas las características para la organización, las cuentas invitadas deben aprobar el cambio.
# Enviar invitaciones a cuentas con AWS Organizations
Para poder invitar a cuentas a su organización, primero debe verificar que es el propietario de la dirección de correo electrónico asociada a la cuenta de administración. Para obtener más información, consulte [Verificación de la dirección de correo electrónico con AWS Organizations](about-email-verification.md). Una vez que haya verificado la dirección de correo electrónico, siga los pasos que se describen a continuación para invitar a otras cuentas a que se unan a su organización.
**Permisos mínimos**
Para invitar a una Cuenta de AWS persona a unirse a tu organización, debes tener los siguientes permisos:
`organizations:DescribeOrganization` (solo consola)
`organizations:InviteAccountToOrganization`
------
#### [ Consola de administración de AWS ]
**Para invitar a otra cuenta a que se una a su organización**
1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.
1. Si ya has verificado tu dirección de correo electrónico con AWS, omite este paso.
Si la dirección de correo electrónico aún no se ha verificado, siga las instrucciones del [correo electrónico de verificación](about-email-verification.md) en un plazo de 24 horas después de crear la organización. Puede pasar algún tiempo hasta que reciba el correo electrónico de verificación. No puede invitar a una cuenta a unirse a su organización hasta que no verifique su dirección de correo electrónico.
1. Vaya a la página **[Cuentas de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** y elija **Agregar una cuenta AWS **.
1. En la página **[Agregar un Cuenta de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, elija **Invitar una cuenta AWS existente**.
1. En la AWS página **[Invitar a una cuenta existente](https://console.aws.amazon.com/organizations/v2/home/accounts/add/invite)**, en la **dirección de correo electrónico o ID de cuenta de la persona Cuenta de AWS a la que se va a invitar**, introduce la dirección de correo electrónico asociada a la cuenta a la que se va a invitar o su número de ID de cuenta.
1. (Opcional) Para **Mensaje a incluir en el mensaje de correo electrónico de invitación**, ingrese el texto que desee incluir en la invitación por correo electrónico al propietario de la cuenta invitada.
1. (Opcional) En la sección **Agregar etiquetas**, especifique una o más etiquetas que se apliquen automáticamente a la cuenta después de que su administrador acepte la invitación. Para ello, elija **Agregar etiqueta** y, a continuación, ingrese una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es `null`. Puede adjuntar hasta 50 etiquetas a una Cuenta de AWS.
1. Seleccione **Send invitation** (Enviar invitación).
**importante**
Si obtiene un mensaje en el que se indica que ha superado las cuotas de la organización o que no puede agregar una cuenta porque la organización aún se está inicializando, póngase en contacto con [AWS Support](https://console.aws.amazon.com/support/home#/).
1. La consola le redirige a la página de **[Invitaciones](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)** donde puede ver todas las invitaciones abiertas y aceptadas aquí. La invitación que acaba de crear aparece en la parte superior de la lista con el estado establecido en **OPEN**.
AWS Organizations envía una invitación a la dirección de correo electrónico del propietario de la cuenta que has invitado a la organización. Este mensaje de correo electrónico incluye un enlace a la AWS Organizations consola, donde el propietario de la cuenta puede ver los detalles y elegir si acepta o rechaza la invitación. Como alternativa, el propietario de la cuenta invitada puede omitir el mensaje de correo electrónico, ir directamente a la AWS Organizations consola, ver la invitación y aceptarla o rechazarla.
La invitación a esta cuenta se contabiliza de inmediato para el número máximo de cuentas que puede tener en su organización. AWS Organizations no espera hasta que la cuenta acepta la invitación. Si la cuenta invitada la rechaza, la cuenta de administración cancela la invitación. Si la cuenta invitada no responde en el periodo de tiempo especificado, la invitación caducará. En cualquier caso, la invitación ya no se contabiliza para la cuota.
------
#### [ AWS CLI & AWS SDKs ]
**Para invitar a otra cuenta a que se una a su organización**
Puede utilizar uno de los siguientes comandos para invitar a otra cuenta a unirse a su organización:
+ AWS CLI: [invite-account-to-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/invite-account-to-organization.html)
```
$ aws organizations invite-account-to-organization \
--target '{"Type": "EMAIL", "Id": "juan@example.com"}' \
--notes "This is a request for Juan's account to join Bill's organization."
{
"Handshake": {
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1481656459.257,
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "FULL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
}
],
"State": "OPEN"
}
}
```
+ AWS SDKs: [InviteAccountToOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_InviteAccountToOrganization.html)
------
# Gestiona las invitaciones de cuentas pendientes con AWS Organizations
Tras iniciar sesión en su cuenta de administración, puede ver todas las cuentas vinculadas de Cuentas de AWS de su organización y cancelar cualquier invitación pendiente (abierta). Para ello, siga los pasos que se describen a continuación.
**Permisos mínimos**
Para administrar las invitaciones pendientes de su organización, debe contar con los siguientes permisos:
`organizations:DescribeOrganization`: solo se requiere cuando se utiliza la consola de Organizations
`organizations:ListHandshakesForOrganization`
`organizations:CancelHandshake`
------
#### [ Consola de administración de AWS ]
**Para ver o cancelar las invitaciones que se envían desde su organización a otras cuentas**
1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.
1. Vaya a la página **[Invitaciones](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)**.
Esta página muestra todas las invitaciones que se envían desde su organización y su estado actual.
Si no puede ver una invitación, revise si la cuenta invitada es la cuenta de administración de otra organización. Solo las cuentas de miembro y las independientes pueden recibir invitaciones. Las cuentas de administración no pueden recibir invitaciones.
Como recomendación, si desea invitar a una cuenta de administración de otra organización, deberá convertir esa cuenta en una independiente.
**nota**
Las invitaciones aceptadas, canceladas y rechazadas siguen apareciendo en la lista durante 30 días. Posteriormente, se eliminan y ya no aparecen en la lista.
1. Elija el botón de opción ![\[Blue circular icon with a white checkmark symbol in the center.\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/images/radio-button-selected.png) junto a la invitación que desee cancelar y luego elija **Cancelar invitación**. Si el botón de opción está atenuado, entonces esa invitación no se puede cancelar.
El estado de la invitación cambia de **OPEN** a **CANCELED**.
AWS envía un mensaje de correo electrónico al propietario de la cuenta indicándole que has cancelado la invitación. La cuenta ya no puede unirse a la organización a menos que envíe una nueva invitación.
------
#### [ AWS CLI & AWS SDKs ]
**Para ver o cancelar las invitaciones que se envían desde su organización a otras cuentas**
Puede utilizar los siguientes comandos para ver o cancelar invitaciones:
+ AWS CLI: [list-handshakes-for-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-organization.html), [cancel-apretón](https://docs.aws.amazon.com/cli/latest/reference/organizations/cancel-handshake.html) de manos
+ En el ejemplo siguiente se muestran las invitaciones enviadas por esta organización a otras cuentas.
```
$ aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1481656459.257,
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "FULL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
},
{
"Type":"NOTES",
"Value":"This is an invitation to Juan's account to join Bill's organization."
}
],
"State": "OPEN"
},
{
"Action": "INVITE",
"State":"ACCEPTED",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1.471797437427E9,
"Id": "h-examplehandshakeid222",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "anika@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1.469205437427E9,
"Resources": [
{
"Resources": [
{
"Type":"MASTER_EMAIL",
"Value":"bill@example.com"
},
{
"Type":"MASTER_NAME",
"Value":"Management Account"
}
],
"Type":"ORGANIZATION",
"Value":"o-exampleorgid"
},
{
"Type":"EMAIL",
"Value":"anika@example.com"
},
{
"Type":"NOTES",
"Value":"This is an invitation to Anika's account to join Bill's organization."
}
]
}
]
}
```
En el ejemplo siguiente se muestra cómo cancelar una invitación a una cuenta.
```
$ aws organizations cancel-handshake --handshake-id h-examplehandshakeid111
{
"Handshake": {
"Id": "h-examplehandshakeid111",
"State":"CANCELED",
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "susan@example.com",
"Type": "EMAIL"
}
],
"Resources": [
{
"Type": "ORGANIZATION",
"Value": "o-exampleorgid",
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@example.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "CONSOLIDATED_BILLING"
}
]
},
{
"Type": "EMAIL",
"Value": "anika@example.com"
},
{
"Type": "NOTES",
"Value": "This is a request for Susan's account to join Bob's organization."
}
],
"RequestedTimestamp": 1.47008383521E9,
"ExpirationTimestamp": 1.47137983521E9
}
}
```
+ AWS SDKs: [ListHandshakesForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListHandshakesForOrganization.html), [CancelHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CancelHandshake.html)
------
# Aceptar o rechazar invitaciones a cuentas con AWS Organizations
Si le invitan a unirse a una organización en, puede aceptar o rechazar la invitación.
## Consideraciones
**El estado de una cuenta con una organización afecta a los datos de costo y uso visibles**
Si una cuenta de miembro deja una organización y pasa a ser una cuenta independiente, la cuenta ya no tiene acceso a los datos de costo y uso del intervalo de tiempo en el que la cuenta era miembro de la organización. La cuenta tiene acceso únicamente a los datos que se generan como cuenta independiente.
Si una cuenta de miembro deja una organización A para unirse a una organización B, la cuenta ya no tiene acceso a los datos de costo y uso del intervalo de tiempo en el que la cuenta era miembro de la organización A. La cuenta tiene acceso únicamente a los datos que se generan como miembro de la organización B.
Si una cuenta vuelve a unirse a una organización a la que pertenecía anteriormente, la cuenta vuelve a recuperar el acceso a sus datos históricos de costos y uso.
**Solo las cuentas de miembro y las cuentas independientes pueden aceptar o rechazar una invitación**
Solo las cuentas de miembros y las cuentas independientes pueden aceptar o rechazar una invitación para unirse a una organización. Si se envía una invitación a una cuenta de administración que ya forma parte de una organización, esa cuenta no podrá ver la invitación hasta que se [eliminen todas las cuentas de miembro de la organización](orgs_manage_accounts_remove.md) y se [elimine la organización](orgs_manage_org_delete.md).
**CloudTrail el inicio de sesión se realiza en la cuenta que realiza la acción**
Si la cuenta de un miembro o una cuenta independiente acepta o rechaza una invitación a una cuenta, esa acción se registrará en el CloudTrail registro de la cuenta activa. Si la cuenta activa es una cuenta de miembro, esa acción no se registrará en los CloudTrail registros de la cuenta de administración. Esto es coherente con el inicio de CloudTrail sesión en escenarios relacionados (p. ej. La cuenta de miembro que abandona la organización se registrará en el registro de la cuenta de miembro, mientras que la cuenta de administración que elimine la cuenta de miembro se registrará en el registro de la cuenta de administración).
## Aceptar o rechazar una invitación
Para aceptar o rechazar la invitación, complete los pasos siguientes.
**Permisos mínimos**
Para aceptar o rechazar una invitación para unirse a una organización de , debe disponer de los siguientes permisos:
`organizations:ListHandshakesForAccount`— Necesario para ver la lista de invitaciones en la AWS Organizations consola.
`organizations:AcceptHandshake`.
`organizations:DeclineHandshake`.
`organizations:LeaveOrganization`— Necesario solo al aceptar una invitación cuando tu cuenta ya es miembro de una organización.
`iam:CreateServiceLinkedRole`: necesario solo cuando aceptamos la invitación; requiere crear un rol vinculado al servicio en la cuenta de miembro para facilitar la integración con otros Servicios de AWS. Para obtener más información, consulte [AWS Organizations y funciones vinculadas al servicio](orgs_integrate_services.md#orgs_integrate_services-using_slrs).
------
#### [ Consola de administración de AWS ]
**Para aceptar o rechazar una invitación**
1. Una invitación para unirse a una organización se envía a la dirección de correo electrónico del propietario de la cuenta. Si es el propietario de la cuenta y recibe un correo electrónico de invitación, siga las instrucciones indicadas en el correo electrónico de invitación o vaya a la [consola AWS Organizations](https://console.aws.amazon.com/organizations/v2) con el navegador y luego elija **Invitations** (Invitaciones), o vaya directo a la página de **[member account's Invitation](https://console.aws.amazon.com/organizations/v2/home/invitations)** (Invitación de la cuenta de miembro).
1. Si se le solicita, inicie sesión en la cuenta invitada como usuario de IAM, asuma un rol de IAM o inicie sesión como usuario raíz de la cuenta ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).
1. La página de **[Invitación de la cuenta de miembro](https://console.aws.amazon.com/organizations/v2/home/invitations)** muestra las invitaciones abiertas de su cuenta para unirse a organizaciones.
Elija **Aceptar** o **Rechazar invitación** según corresponda.
+ Si selecciona **Aceptar invitación** en el paso anterior, la consola le redirige a la página de [Información general de la organización](https://console.aws.amazon.com/organizations/v2/home/dashboard) con detalles sobre la organización de la que su cuenta es ahora miembro. Puede ver el ID de organización y la dirección de correo electrónico del propietario.
**nota**
Las invitaciones aceptadas siguen apareciendo en la lista durante 30 días. Posteriormente, se eliminan y ya no aparecen en la lista.
AWS Organizations crea automáticamente un rol vinculado al servicio en la cuenta del nuevo miembro para facilitar la integración entre AWS Organizations y otros. Servicios de AWS Para obtener más información, consulte [AWS Organizations y funciones vinculadas al servicio](orgs_integrate_services.md#orgs_integrate_services-using_slrs).
AWS envía un mensaje de correo electrónico al propietario de la cuenta de administración de la organización en el que se indica que has aceptado la invitación. También envía un correo electrónico al propietario de la cuenta de miembro para indicarle que la cuenta ahora es miembro de la organización.
+ Si elige **Rechazar** en el paso anterior, la cuenta permanece en la página **[Invitación de la cuenta de miembro](https://console.aws.amazon.com/organizations/v2/home/invitations)**, que muestra todas las demás invitaciones pendientes.
AWS envía un mensaje de correo electrónico al propietario de la cuenta de administración de la organización en el que se indica que has rechazado la invitación.
**nota**
Las invitaciones rechazadas siguen apareciendo en la lista durante 30 días. Posteriormente, se eliminan y ya no aparecen en la lista.
------
#### [ AWS CLI & AWS SDKs ]
**Para aceptar o rechazar una invitación**
Puede utilizar los siguientes comandos para aceptar o rechazar invitaciones:
+ AWS CLI: [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html), [decline-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/decline-handshake.html)
El siguiente ejemplo muestra cómo aceptar una invitación para unirse a una organización.
```
$ aws organizations accept-handshake --handshake-id h-examplehandshakeid111
{
"Handshake": {
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"RequestedTimestamp": 1481656459.257,
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "ALL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
}
],
"State": "ACCEPTED"
}
}
```
El siguiente ejemplo muestra cómo rechazar una invitación para unirse a una organización.
+ AWS SDKs: [AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html), [DeclineHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeclineHandshake.html)
------
# Migre una cuenta a otra organización con AWS Organizations
Puedes migrar y Cuenta de AWS de una organización a otra en cualquier momento. Por ejemplo, la migración de una cuenta puede resultar útil en el caso de una fusión o adquisición cuando se necesita consolidar una o más Cuentas de AWS de varias organizaciones en una sola.
Sea cual sea su caso de uso, la migración de una cuenta entre organizaciones requiere que envíe una invitación desde la cuenta de administración de la nueva organización y que utilice la cuenta invitada para aceptar la invitación de unirse a la nueva organización.
**nota**
**Las cuentas cerradas o suspendidas no se pueden migrar.**
No puede migrar una cuenta cerrada o suspendida. Para reactivar una cuenta, contacte con [Soporte](https://aws.amazon.com/contact-us/).
**Requisito de edad de cuatro días**
Para migrar una cuenta que creó en una organización, debe esperar al menos cuatro días después de que se creó la cuenta. Las cuentas invitadas no están sujetas a este período de espera.
**Replicación de datos entre cuentas**
La siguiente guía AWS prescriptiva proporciona información sobre las estrategias para replicar datos entre Cuentas de AWS: [replicación de recursos o migración de un recurso](https://docs.aws.amazon.com/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/resource-migration.html) a otro. Cuentas de AWS
## Lo que debe hacer antes de migrar una cuenta
Antes de migrar Cuenta de AWS de una organización a otra, asegúrese de haber completado los siguientes pasos.
### Paso 1: compruebe que tenga los permisos de IAM necesarios para migrar una cuenta
#### Paso 1
Asegúrese de haber aplicado los permisos necesarios para migrar una cuenta a las organizaciones respectivas.
**Para abandonar una organización, debe disponer de los siguientes permisos:**
+ `organizations:DescribeOrganization` (solo consola)
+ `organizations:LeaveOrganization`
Para obtener más información, consulte [Leave an organization from your member account](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_leave-as-member.html).
**Para invitar a un usuario Cuenta de AWS a unirse a una organización, debe tener los siguientes permisos:**
+ `organizations:DescribeOrganization` (solo consola)
+ `organizations:InviteAccountToOrganization`
Para obtener más información, consulte [Invitar a un Cuenta de AWS hombre a unirse a su organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).
**Para migrar una cuenta, no puede tener políticas de IAM o políticas de control de servicios que impidan la migración**
Si eres la cuenta de administración o un administrador delegado, puedes controlar el acceso a AWS los recursos adjuntando políticas de permisos a las identidades de IAM (usuarios, grupos y funciones) dentro de una organización. Para obtener más información, consulte [IAM policies for AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_iam-policies.html).
Antes de migrar una cuenta:
+ Compruebe que no haya políticas de IAM ni políticas de control de servicios (SCPs) que le impidan migrar la cuenta.
+ Identifique las políticas de IAM y las políticas de control de servicios (SCPs) existentes que necesita replicar en la organización a la que va a migrar la cuenta.
+ Identifique las políticas de IAM existentes que especifican el ID de su organización. Por ejemplo, [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid).
Para obtener más información, consulte [Gestión de las políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) en la *Guía del usuario de IAM* y en las Políticas de [control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (). SCPs
### Paso 2: compruebe que se hayan eliminado los permisos de IAM que permitían el acceso a la cuenta de administración anterior
#### Paso 2
Asegúrese de haber eliminado los permisos de IAM que permitían el acceso a la antigua cuenta de administración, por ejemplo, `OrganizationAccountAccessRole`.
Cuando elimina una cuenta de miembro de una organización, no se eliminan automáticamente los roles de IAM que se hayan creado para permitir el acceso de la cuenta de administración de la organización. Si desea eliminar este acceso desde la cuenta de administración anterior de la organización, debe eliminar manualmente el rol de IAM.
Para obtener información acerca de cómo eliminar un rol, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.
### Paso 3: Realice una copia de seguridad de todos los informes
#### Paso 3
Asegúrese de exportar o hacer copias de seguridad de los informes de la cuenta de administración, especialmente los informes de facturación. Los informes y el historial de la organización no se almacenan al migrar una cuenta. Se recomienda realizar una exportación completa de todo el historial de facturación. Puede acceder a los informes de la cuenta de miembro, como el historial de eventos de AWS CloudTrail y el historial de facturación de la cuenta.
**importante**
Todos los informes y el historial de la organización, como la información de facturación de la organización en la cuenta de administración, se eliminarán una vez que se elimine una cuenta de la organización.
Para obtener más información, consulte [Cost and Usage Reports](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html), [Cost Explorer Reports](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html), [Savings Plans Reports](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr) y [Reserved Instance (RI) utilization and coverage](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer).
### Paso 4: Compruebe las dependencias de la organización
#### Paso 4
Asegúrese de que la cuenta que se va a migrar no tenga ninguna dependencia relacionada con la organización.
**Dependencias que hay que comprobar:**
+ Si la cuenta es de un administrador delegado, debe anular los permisos de administrador delegado antes de migrar la cuenta. Para obtener más información, consulta [los servicios con AWS Organizations los que puedes usar](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
+ Si la cuenta es la cuenta de administración, debe eliminar todas las cuentas de miembro de la organización y eliminar la organización antes de llevar a cabo la migración. Una vez que haya eliminado la organización, su cuenta de administración funcionará como una cuenta independiente. Tras la migración, la cuenta de administración será una cuenta de miembro de la nueva organización. Para obtener más información, consulte [Deleting an organization](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_delete.html).
+ Si algún permiso de IAM depende de la cuenta, tendrá que ajustar los permisos de la organización anterior después de migrar la cuenta a la nueva organización para que la antigua funcione como antes. Para obtener más información, consulte [Managing access permissions for your organization](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html).
+ Si utiliza alguna etiqueta de cuenta o unidad organizativa (OU), tendrá que volver a crear las etiquetas en la nueva organización.
### (Opcional) Paso 5: Revisa la guía si utilizas AWS Control Tower
#### (Opcional) Paso 5
Si va a migrar una cuenta hacia o desde una organización gestionada por AWS Control Tower, consulte la siguiente AWS guía normativa: [Migre una cuenta de AWS miembro de a AWS Organizations](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html). AWS Control Tower
## Lo que debe hacer para migrar una cuenta
El proceso de migración requiere que la nueva organización envíe una invitación a la cuenta de migración y que esta última acepte la invitación de la nueva organización para unirse a la nueva organización.
**Para migrar una cuenta**
1. Envíe una invitación desde la cuenta de administración de la nueva organización a la cuenta de migración. Para obtener información sobre cómo invitar a cuentas, consulte [Invitar a un hombre Cuenta de AWS a unirse a su organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).
1. Acepte la invitación para unirse a la nueva organización. Para obtener más información, consulte [Accepting an invitation from an organization](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html#orgs_manage_accounts_accept-decline-invite). Las cuentas que se migren de una organización a otra se agregarán automáticamente a la raíz de la nueva organización. Antes de trasladar una cuenta a una unidad organizativa (OU) de la nueva organización, se recomienda comprobar que la cuenta que se está migrando tenga las políticas organizativas y los permisos de la OU adecuados.
1. Si desea migrar la cuenta de administración, debe [eliminar todas las cuentas de miembro](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) de la organización y [eliminar la organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_delete.html) antes de migrar la cuenta de administración a la nueva organización. Una vez que haya eliminado la organización anterior, su cuenta de administración funcionará como una cuenta independiente y podrá aceptar la invitación para unirse a la nueva organización. Si acepta la invitación, la cuenta de administración se convertirá en una cuenta de miembro de la nueva organización.
## Lo que debe hacer después de migrar una cuenta
Tras migrar su cuenta de una organización a otra, asegúrese de haber completado los siguientes pasos.
**Revisión posterior a la migración**
1. Evalúe todas las [configuraciones de las herramientas de facturación](https://docs.aws.amazon.com/whitepapers/latest/cost-optimization-laying-the-foundation/reporting-cost-optimization-tools.html) de la cuenta migrada, como las categorías de costos, los presupuestos y las alarmas de facturación.
1. Revise y actualice la siguiente información monetaria de cualquier cuenta que haya migrado de una organización a otra:
1. Si es necesario, [actualice la configuración fiscal](https://repost.aws/knowledge-center/update-tax-registration-number) de la cuenta.
1. Asegúrese de que el [plan de Soporte](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidatedbilling-support.html) de la cuenta que va a migrar coincida con la cuenta del pagador de la nueva organización.
1. Revise las posibles [exenciones fiscales](https://aws.amazon.com/tax-help/united-states/) que quiera aplicar a la cuenta que migró.
1. Valide y confirme las políticas de IAM y las políticas de control de servicios (SCPs) existentes para la cuenta migrada. Por ejemplo, quizás necesite actualizar el ID de la organización de algunas políticas de IAM para que reflejen la nueva organización.
1. Actualice las [etiquetas de asignación de costos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) de la nueva organización a la que migró la cuenta. Deberá actualizar todas las etiquetas de asignación de costos anteriores recopiladas por la cuenta que ha migrado.
1. Todas las [instancias reservadas](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-behavior.html) y [Saving Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/what-is-savings-plans.html) se migrarán junto con la cuenta. Estos no se conservan en la organización anterior. Póngase en contacto con nosotros Soporte si es necesario transferirlas a la organización anterior.
# Ver detalles de una cuenta en AWS Organizations
Cuando inicia sesión en la cuenta de administración de la organización en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2), puede ver los detalles de las cuentas de miembros.
**Permisos mínimos**
Para ver los detalles de una Cuenta de AWS, debe tener los siguientes permisos:
`organizations:DescribeAccount`
`organizations:DescribeOrganization`: solo se requiere cuando se utiliza la consola de Organizations
`organizations:ListAccounts`: solo se requiere cuando se utiliza la consola de Organizations
------
#### [ Consola de administración de AWS ]
**Para ver los detalles de un Cuenta de AWS**
1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.
1. Vaya a la página **[Cuentas de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** y elija el nombre del nombre de la cuenta (no el botón de opción) que desea examinar. Si la cuenta que desea es secundaria de una OU, es posible que tenga que elegir el icono del triángulo ![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/images/console-expand.png) junto a una unidad organizativa para expandirla y ver a sus secundarias. Repetir hasta que encuentre la cuenta.
El cuadro **Detalles de la cuenta** muestra la información sobre la cuenta.
------
#### [ AWS CLI & AWS SDKs ]
**Para ver los detalles de un Cuenta de AWS**
Puede utilizar los siguientes comandos para ver detalles de una cuenta:
+ AWS CLI:
+ [list-accounts](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts.html) — enumera los detalles de *todas* las cuentas de la organización
+ [describe-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-account.html) — muestra los detalles de solo la cuenta especificada
Ambos comandos devuelven los mismos detalles para cada cuenta incluida en la respuesta.
El siguiente ejemplo muestra cómo recuperar los detalles sobre una cuenta especificada.
```
$ aws organizations describe-account --account-id 123456789012
{
"Account": {
"Id": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Email": "admin@example.com",
"Name": "Example.com Organization's Management Account",
"Status": "ACTIVE",
"JoinedMethod": "INVITED",
"JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
"Paths": [
"o-aa111bb222/r-a1b2/123456789012/"
]
}
}
```
+ AWS SDKs:
+ [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)
+ [DescribeAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/PI_DescribeAccount.html)
------
# Exportar detalles de todas las cuentas en AWS Organizations
Con ella AWS Organizations, los usuarios de las cuentas de administración y los administradores delegados de una organización pueden exportar un archivo.csv con todos los detalles de las cuentas de una organización. De este modo, los administradores de la organización pueden ver las cuentas fácilmente y filtrar por estado: `PENDING_ACTIVATION`, `ACTIVE`, `SUSPENDED`, `PENDING_CLOSURE` o `CLOSED`. Si su organización tiene muchas cuentas, la opción de descargar el archivo .csv ofrece una forma sencilla de ver y ordenar los detalles de las cuentas en una hoja de cálculo. Recomendamos generar nuevas exportaciones a CSV en lugar de utilizar las versiones que se guardaron anteriormente para mantener la información de la cuenta actual.
**importante**
Retiramos el `Status` parámetro de cuenta del `Accounts` objeto de la AWS Organizations consola el 9 de septiembre de 2025. El archivo de exportación de la cuenta ahora mostrará el parámetro `State` en lugar de `Status`. Todos los procesos posteriores que utilicen el archivo exportado `Organization_accounts_information.csv` se deben actualizar para utilizar el parámetro `State` en lugar de `Status`.
**nota**
Solo las entidades principales de la cuenta de administración pueden descargar la lista de cuentas.
## Exporte una lista de todos los Cuentas de AWS miembros de su organización
Cuando se inicia sesión en la cuenta de administración de la organización, se puede obtener una lista de todas las cuentas que forman parte de la organización en forma de archivo .csv. La lista contiene los detalles de las cuentas individuales; no obstante, no especifica a qué unidad organizativa (OU) pertenece cada cuenta.
El archivo .csv contiene la siguiente información sobre cada cuenta:
+ **Account ID** (ID de cuenta): identificador de cuenta numérico. Por ejemplo: 123456789012
+ **ARN** (ARN): nombre de recurso de Amazon de la cuenta. Por ejemplo: `arn:aws:organizations::123456789012account/o-o1gb0d1234/123456789012`
+ **Email** (Correo electrónico): dirección de correo electrónico asociada a la cuenta. Por ejemplo: marymajor@example.com
+ **Name** (Nombre): nombre de la cuenta proporcionado por el creador de la cuenta. Por ejemplo: cuenta de pruebas de fase
+ **Status** (Estado): estado de la cuenta dentro de la organización. El valor puede ser `PENDING`, `ACTIVE` o `SUSPENDED`.
+ **Estado**: Estado de la cuenta operativa dentro de la organización. El valor puede ser `PENDING_ACTIVATION`, `ACTIVE`, `SUSPENDED`, `PENDING_CLOSURE` o `CLOSED`.
+ **Joined method** (Método de unión): especifica cómo se creó la cuenta. El valor puede ser `INVITED`, o `CREATED`.
+ **Joined timestamp** (Marca de tiempo de unión): fecha y hora en que la cuenta se unió a la organización.
**Permisos mínimos**
Para exportar un archivo .csv con todas las cuentas de miembro de su organización, debe contar con los permisos siguientes:
`organizations:DescribeOrganization`
`organizations:ListAccounts`
------
#### [ Consola de administración de AWS ]
**Para exportar un archivo.csv para todos los miembros Cuentas de AWS de su organización**
1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.
1. Elija **Actions** (Accciones), y luego, para **Cuenta de AWS**, elija **Export account list** (Exportar lista de cuentas). El banner azul de la parte superior de la página indica "Export is in progress\$1" (La exportación está en curso)
1. Cuando el archivo esté listo, el banner se vuelve verde e indica "Download is ready\$1" (La descarga está lista) Elija **Download CSV** (Descargar CSV). El archivo `Organization_accounts_information.csv` se descarga en su dispositivo.
------
#### [ AWS CLI & AWS SDKs ]
La única forma de exportar el archivo .csv con los detalles de las cuenta es mediante la Consola de administración de AWS. No se puede exportar el archivo .csv de la lista de cuentas mediante la AWS CLI.
------
# Supervisa el estado de tu Cuentas de AWS
AWS Organizations proporciona una forma de evaluar rápidamente el estado operativo y de salud de todas las cuentas de su organización. Puede ver esta información en la columna **Estado** de la AWS Organizations consola o mediante programación. AWS Organizations APIs Esto le permite realizar un seguimiento de la ubicación de cada uno Cuenta de AWS de ellos en su ciclo de vida, desde su creación hasta su cierre.
El seguimiento continuo del estado de la cuenta ofrece los siguientes beneficios:
+ Identificación rápida de las cuentas que requieren atención o acción
+ Optimización de los procesos de administración de cuentas
+ Toma de decisiones informadas sobre la asignación de recursos y el control de acceso
+ Conservamiento de una mejor seguridad y conformidad general en su organización
La siguiente tabla indica los cinco posibles estados de la cuenta y sus implicaciones para sus Cuentas de AWS:
**Estados de cuenta**
| Estado | Description (Descripción) |
| --- | --- |
| PENDING ACTIVATION | La cuenta no se puede utilizar porque el proceso de registro de la cuenta se inició, pero nunca se completó. El titular de la cuenta debe completar los pasos de registro restantes, como la verificación telefónica o información de pago. Tras completar estos pasos, la cuenta pasa al estado ACTIVE (ACTIVO). |
| ACTIVE | Indica que la cuenta está en pleno funcionamiento y disponible. Los usuarios pueden acceder a AWS los servicios y recursos normalmente de acuerdo con los permisos de la cuenta y las políticas de la organización. En este estado, pueden producirse AWS actividades habituales, como lanzar recursos, administrar servicios e incurrir en cargos. |
| SUSPENDED | En este estado, la cuenta no se puede utilizar porque AWS tiene acceso restringido. El titular de la cuenta aún puede ver la información de facturación y el contacto Soporte, quien podrá explicar por qué se suspendió la cuenta. |
| PENDING CLOSURE | Este estado temporal indica que hay una solicitud activa para cerrar la cuenta, pero el proceso de cierre aún no se ha completado. La cuenta sigue funcionando y se puede seguir utilizando para acceder a AWS los servicios mientras se procesa la solicitud de cierre. Una vez AWS procesada la solicitud de cierre, la cuenta pasa al estado CERRADO. |
| CLOSED | Este estado indica que la cuenta se cerró a petición del titular de la cuenta o por iniciativa propia, AWS y se muestra junto al nombre de la cuenta en la AWS Organizations consola durante 90 días después de que se haya iniciado el cierre. Durante este período, no podrá acceder a AWS los servicios, pero podrá ponerse en contacto con usted Soporte para restablecer la cuenta o recuperar datos importantes. Una vez transcurrido el período de 90 días posterior al cierre, la cuenta se cerrará permanentemente y dejará de mostrarse en la consola. AWS Organizations |
## Vea el estado de una Cuenta de AWS
Puede ver la información del estado de la cuenta mediante la AWS Organizations consola o mediante programación mediante las teclas `DescribeAccount``ListAccounts`, y. `ListAccountsForParent` APIs
**importante**
El `Status` parámetro de cuenta se AWS Organizations retirará el 9 de septiembre de 2026. Aunque tanto la cuenta `State` como sus `Status` parámetros están disponibles actualmente en AWS Organizations APIs (`DescribeAccount`,,`ListAccountsForParent`)`ListAccounts`, te recomendamos que actualices tus scripts u otro código para usar el `State` parámetro en lugar de hacerlo `Status` antes del 9 de septiembre de 2026.
------
#### [ Consola de administración de AWS ]
**Para ver el estado de un Cuenta de AWS**
1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.
1. Diríjase a la página **[Cuentas de AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** y observe el valor en la columna **State** (Estado) junto a la cuenta de miembro que desee examinar. Si la cuenta que desea ver es secundaria de una unidad organizativa, tendrá que elegir el icono del triángulo ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/images/console-expand.png) junto a una unidad organizativa para expandirla y ver a sus secundarias. Repetir hasta que encuentre la cuenta.
**nota**
También puede ver el valor del campo **State** (Estado) en la página **Account details** (Detalles de la cuenta) de la consola de AWS Organizations .
------
#### [ AWS CLI & AWS SDKs ]
**Para ver el estado de un Cuenta de AWS**
Puede utilizar los siguientes comandos para ver el estado de una cuenta:
**nota**
Para ver los valores del estado de la cuenta en las respuestas de la API, usa la AWS CLI versión 2.29.0 o posterior, o una versión del SDK publicada después del 9 de septiembre de 2025. Te recomendamos que utilices la última versión AWS CLI o la versión del SDK como práctica recomendada. Para obtener más información, consulte el [ciclo de vida de la versión AWS SDKs y las herramientas](https://docs.aws.amazon.com/sdkref/latest/guide/version-support-matrix.html) en la *AWS SDKs Guía de referencia de las herramientas*.
+ AWS CLI:
+ [list-accounts](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts.html) — enumera los detalles de *todas* las cuentas de la organización
+ [list-accounts-for-parent](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts-for-parent.html)— muestra los detalles de *todas* las cuentas de la organización incluidas en la raíz o unidad organizativa (OU) de destino especificada
+ [describe-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-account.html) — muestra los detalles de solo la cuenta especificada
Dichos comandos devuelven los mismos detalles para cada cuenta incluida en la respuesta.
El siguiente ejemplo muestra cómo recuperar los detalles sobre una cuenta especificada, entre ellos, su valor de `State`.
```
$ aws organizations describe-account --account-id 123456789012
{
"Account": {
"Id": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Email": "admin@example.com",
"Name": "Example.com Organization's Management Account",
"State": "CLOSED",
"Status": "SUSPENDED",
"JoinedMethod": "INVITED",
"JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
"Paths": [
"o-aa111bb222/r-a1b2/123456789012/"
]
}
}
```
+ AWS SDKs:
+ [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)
+ [ListAccountsForParent](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccountsForParent.html)
+ [DescribeAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/PI_DescribeAccount.html)
------
# Actualizar los contactos alternativos de una cuenta en AWS Organizations
Puede actualizar los contactos alternativos de las cuentas de su organización mediante la consola de AWS Organizations o mediante programación mediante la AWS CLI o. AWS SDKs Para obtener información sobre cómo actualizar los contactos alternativos, consulte [Actualizar los contactos alternativos de cualquier parte de su organización Cuenta de AWS en](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-contact-alternate.html#manage-acct-update-contact-alternate-orgs.html) la Referencia sobre la *administración de AWS cuentas*.
# Actualizar la información de contacto principal de una cuenta en AWS Organizations
Puede actualizar la información de contacto principal de las cuentas de su organización mediante la consola AWS Organizations o mediante programación mediante la AWS CLI o. AWS SDKs Para obtener información sobre cómo actualizar la información de contacto principal, consulte [Actualizar el contacto principal de cualquier parte de su organización Cuenta de AWS en](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-contact-primary.html#manage-acct-update-contact-primary-orgs) la Referencia sobre la *administración de AWS cuentas*.
# Actualización Regiones de AWS para una cuenta en AWS Organizations
Puede activar la actualización Regiones de AWS para las cuentas de su organización mediante la AWS Organizations consola. Para obtener información sobre cómo activar o desactivar la actualización Regiones de AWS, consulta la [sección Habilitar o deshabilitar Regiones de AWS tu cuenta](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html) en la *Referencia sobre la administración de AWS cuentas*.