Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Acceder a las cuentas de los miembros de una organización con AWS Organizations
Al crear una cuenta en la organización, además del usuario raíz,AWS Organizations crea automáticamente un rol de IAM con el nombre predeterminado `OrganizationAccountAccessRole`. Puedes especificar un nombre diferente al crearla, pero te recomendamos que le pongas un nombre uniforme en todas tus cuentas. AWS Organizations no crea ningún otro usuario o rol.
Para tener acceso a las cuentas de su organización, debe utilizar uno de los siguientes métodos:
**Permisos mínimos**
Para acceder y Cuenta de AWS desde cualquier otra cuenta de su organización, debe tener el siguiente permiso:
`sts:AssumeRole` - El elemento `Resource` debe estar establecido en un asterisco (\$1) o en el ID de la cuenta con el número de la cuenta con la que el usuario necesita obtener acceso a la nueva cuenta de miembro.
------
#### [ Using the root user (Not recommended for everyday tasks) ]
Al crear una cuenta de miembro nueva en su organización, la cuenta no tendrá credenciales de usuario raíz por defecto. Las cuentas de miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz a menos que la recuperación de cuentas esté habilitada.
Puede [centralizar el acceso raíz para las cuentas de miembros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html) para eliminar las credenciales de usuario raíz de las cuentas de miembros en Organizations. Al eliminar las credenciales del usuario raíz, se eliminan la contraseña del usuario raíz, las claves de acceso y los certificados de firma, y se desactiva la autenticación multifactor (MFA). Estas cuentas de miembros no tienen credenciales de usuario raíz, no pueden iniciar sesión como usuarios raíz y no pueden recuperar la contraseña del usuario raíz. Las cuentas nuevas que cree en Organizations no tienen credenciales de usuario raíz de forma predeterminada.
Póngase en contacto con el administrador si necesita realizar una tarea que requiera credenciales de usuario raíz en una cuenta de miembro donde no las hay.
Para obtener acceso a la cuenta de miembro como usuario raíz, debe seguir el proceso de recuperación de contraseña. Para más información, consulte [He olvidado la contraseña del usuario raíz de mi cuenta de Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password) en la *Guía del usuario de Inicio de sesión en AWS *.
Si debe acceder a una cuenta de miembro con el usuario raíz, siga estas prácticas recomendadas:
+ No utilice el usuario raíz para obtener acceso a su cuenta excepto para crear otros usuarios y funciones con permisos más limitados. A continuación, inicie sesión como uno de los usuarios o roles.
+ [Habilitar la autenticación multifactor (MFA) en el usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa). Restablezca la contraseña y [asigne un dispositivo MFA al usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html).
Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulta [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*. Para obtener recomendaciones de seguridad adicionales para el usuario raíz, consulte [Prácticas recomendadas para el usuario raíz para su Cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) en la *Guía de usuario de IAM*.
------
#### [ Using trusted access for IAM Identity Center ]
Utilice [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)y habilite el acceso confiable al IAM Identity Center con AWS Organizations. Esto permite a los usuarios iniciar sesión en el portal de AWS acceso con sus credenciales corporativas y acceder a los recursos de la cuenta de administración o las cuentas de los miembros que tengan asignadas.
Para obtener más información, consulte [Multi-account permissions](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html) (Permisos de varias cuentas) en la *Guía del usuario de AWS IAM Identity Center .* Para obtener más información acerca de cómo configurar el acceso de confianza para IAM Identity Center, consulte [AWS IAM Identity Center y AWS Organizations](services-that-can-integrate-sso.md).
------
#### [ Using the IAM role OrganizationAccountAccessRole ]
Si crea una cuenta con las herramientas que se proporcionan como parte de ella AWS Organizations, puede acceder a la cuenta mediante el rol preconfigurado denominado `OrganizationAccountAccessRole` que existe en todas las cuentas nuevas que cree de esta manera. Para obtener más información, consulte [Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Si invita a una cuenta existente a que se una a su organización y la cuenta acepta la invitación, puede elegir crear un rol de IAM que permita a la cuenta de administración tener acceso a la cuenta de miembro invitada. Se pretende que este rol sea idéntico al rol que se añade automáticamente a una cuenta que se crea con AWS Organizations.
Para crear esta función, consulte [Crear OrganizationAccountAccessRole una cuenta invitada con AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Después de crear la función, puede tener acceso a él siguiendo los pasos de [Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
------
**Topics**
+ [Creación de un rol de acceso de IAM](orgs_manage_accounts_create-cross-account-role.md)
+ [Uso del rol de acceso de IAM](orgs_manage_accounts_access-cross-account-role.md)
# Crear OrganizationAccountAccessRole una cuenta invitada con AWS Organizations
De forma predeterminada, si crea una cuenta de miembro como parte de su organización, AWS crea automáticamente un rol en la cuenta que concede permisos de administrador a los usuarios de IAM en la cuenta maestra. De forma predeterminada, este rol se denomina `OrganizationAccountAccessRole`. Para obtener más información, consulte [Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Sin embargo, a las cuentas de miembro a las que *invite* a unirse a su organización ***no*** se les crea automáticamente un rol de administrador. Tiene que hacerlo manualmente, tal y como se muestra en el siguiente procedimiento. Lo que este procedimiento hace básicamente es duplicar el rol configurado de forma automática para las cuentas creadas. Le recomendamos que utilice el mismo nombre, `OrganizationAccountAccessRole`, para los roles creados manualmente en aras de la coherencia y para que sea fácil de recordar.
------
#### [ Consola de administración de AWS ]
**Para crear un rol AWS Organizations de administrador en una cuenta de miembro**
1. Inicie sesión en la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de miembro. El usuario o el rol deben tener permiso para crear roles y políticas de IAM.
1. En la consola de IAM, vaya a **Roles** y, a continuación, seleccione **Crear rol**.
1. Elija y **Cuenta de AWS**, a continuación, seleccione **Otro Cuenta de AWS**.
1. Ingrese el número de ID de 12 dígitos de la cuenta maestra a la que desea conceder acceso de administrador. En **Opciones**, tenga en cuenta lo siguiente:
+ Para este rol, dado que las cuentas son internas a su empresa, **no** debe seleccionar **Require external ID**. Para obtener más información acerca de la opción de ID externo, consulte [¿Cuándo debería utilizar un ID externo?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) en la *Guía del usuario de IAM*.
+ Si ha habilitado y configurado MFA, puede elegir que se requiera autenticación mediante un dispositivo MFA. Para obtener más información sobre MFA, consulte [Uso de la autenticación multifactor (MFA) en AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) en la *Guía del usuario de IAM*.
1. Elija **Siguiente**.
1. En la página **Agregar permisos**, elija la política administrada por AWS denominada `AdministratorAccess` y, a continuación, seleccione **Siguiente**.
1. En la página **Asignar nombre, revisar y crear**, especifique un nombre del rol y una descripción opcional. Le recomendamos que utilice `OrganizationAccountAccessRole` para mantener la coherencia con el nombre predeterminado asignado al rol en las cuentas nuevas. Para confirmar los cambios, elija **Crear rol**.
1. Su nuevo rol aparecerá en la lista de roles disponibles. Seleccione el nombre del nuevo rol para ver los detalles y preste especial atención a la URL de enlace facilitada. Entregue esta URL a los usuarios de la cuenta de miembro que necesitan tener acceso al rol. Además, anote el **Role ARN** (ARN de rol), ya que lo necesitará en el paso 15.
1. Inicie sesión en la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Esta vez, inicie sesión como usuario de la cuenta de administración con permisos para crear políticas y asignarlas a los usuarios o grupos.
1. Vaya a **Políticas** y, a continuación, seleccione **Crear política**.
1. En **Service**, seleccione **STS**.
1. En **Actions (Acciones)**, comience a escribir **AssumeRole** en el cuadro **Filter (Filtro)** y marque la casilla cuando aparezca.
1. En **Recursos**, asegúrese de seleccionar **Específico** y, a continuación, elija **Agregar ARNs**.
1. Introduzca el número de ID de la cuenta del AWS miembro y, a continuación, el nombre del rol que creó anteriormente en los pasos 1 a 8. Elija **Añadir ARNs**.
1. Si está concediendo un permiso para asumir la función en varias cuentas de miembro, repita los pasos 14 y 15 para cada cuenta.
1. Elija **Siguiente**.
1. En la página **Revisar y crear**, ingrese un nombre para la nueva política y, a continuación, seleccione **Crear política** para guardar los cambios.
1. Elija **Grupos de usuarios** en el panel de navegación y, a continuación, elija el nombre del grupo (no la casilla) que desea utilizar para delegar la administración de la cuenta de miembro.
1. Elija la pestaña **Permisos**.
1. Elija **Agregar permisos**, luego **Asociar políticas** y, a continuación, seleccione la política que creó en los pasos 11-18.
------
Los usuarios que son miembros del grupo seleccionado ahora pueden usar el URLs que capturó en el paso 9 para acceder al rol de cada cuenta de miembro. Pueden obtener acceso a estas cuentas de miembro de la misma forma que lo harían si tuvieran acceso a una cuenta que usted haya creado en la organización. Para obtener más información sobre el uso del rol para administrar una cuenta de miembro, consulte [Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
# Acceder a una cuenta de miembro que tiene OrganizationAccountAccessRole AWS Organizations
Al crear una cuenta de miembro mediante la AWS Organizations consola, AWS Organizations *se crea automáticamente* un rol de IAM con el nombre de `OrganizationAccountAccessRole` la cuenta. Este rol tiene permisos administrativos completos en la cuenta de miembro. El ámbito de acceso de este rol incluye todas las entidades principales de la cuenta de administración, de modo que el rol esté configurado para conceder ese acceso a la cuenta de administración de la organización.
Puede crear un rol idéntico para una cuenta de miembro invitada siguiendo los pasos que se indican en [Crear OrganizationAccountAccessRole una cuenta invitada con AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Para utilizar este rol para tener acceso a la cuenta de miembro, debe iniciar sesión como usuario de la cuenta de administración con permisos para asumir el rol. Para configurar estos permisos, siga este procedimiento. Le recomendamos que conceda permisos a los grupos en lugar de a los usuarios para simplificar el mantenimiento.
------
#### [ Consola de administración de AWS ]
**Para conceder permisos a los miembros de un grupo de IAM en la cuenta de administración para tener acceso al rol**
1. Inicie sesión en la consola de IAM [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)como usuario con permisos de administrador en la cuenta de administración. Esto es necesario para delegar permisos al grupo de IAM cuyos usuarios vayan a tener acceso al rol en la cuenta de miembro.
1. Comience creando la política administrada que necesitará más tarde en [Step 14](#step-choose-group).
En el panel de navegación, elija **Policies (Políticas)** y, a continuación, seleccione **Create policy (Crear política)**.
1. En la pestaña Editor visual, elija **Elegir un servicio**, ingrese **STS** en el cuadro de búsqueda para filtrar la lista y, a continuación, elija la opción **STS**.
1. En la sección **Acciones**, entre **assume** en el cuadro de búsqueda para filtrar la lista y, a continuación, elija la **AssumeRole**opción.
1. En la sección **Recursos**, elija **Específico** y, a continuación, seleccione **Agregar ARNs**
1. En la sección **Especificar ARN**, elija **Otra cuenta** para Recurso en.
1. Ingrese el ID de la cuenta de miembro que acaba de crear
1. En el campo **Nombre del rol de recurso con ruta**, ingrese el nombre del rol que creó en la sección anterior (se recomienda asignarle el nombre `OrganizationAccountAccessRole`).
1. Seleccione **Añadir ARNs** cuando el cuadro de diálogo muestre el ARN correcto.
1. (Opcional) Si desea requerir Multi-Factor Authentication (MFA) o restringir el acceso al rol desde un intervalo de direcciones IP especificado, expanda la sección Condiciones de solicitud y seleccione las opciones que desee aplicar.
1. Elija **Siguiente**.
1. En la página **Revisar y crear**, ingrese un nombre para la nueva política. Por ejemplo: **GrantAccessToOrganizationAccountAccessRole**. También puede agregar una descripción opcional.
1. Elija **Crear política** para guardar la nueva política administrada.
1. Ahora que tiene la política disponible, puede asociarla a un grupo.
En el panel de navegación, elija **Gropos de usuarios** y, a continuación, elija el nombre del grupo (no la casilla) cuyos miembros desea que asuman el rol en la cuenta de miembro. Si es necesario, puede crear un grupo nuevo.
1. Elija la pestaña **Permisos**, elija **Agregar permisos** y luego, **Asociar políticas**.
1. (Opcional) En el cuadro **Buscar** puede comenzar a escribir el nombre de la política para filtrar la lista hasta que pueda ver el nombre de la política que acaba de crear en [Step 2](#step-create-policy) mediante [Step 13](#step-end-policy). También puede filtrar todas las políticas administradas de AWS eligiendo **Todos los tipos** y, a continuación, eligiendo **Administrada por cliente**.
1. Marque la casilla situada junto a la política y, a continuación, elija **Asociar políticas**.
------
Los usuarios de IAM que son miembros del grupo ahora tienen permisos para cambiar al nuevo rol en la AWS Organizations consola mediante el siguiente procedimiento.
------
#### [ Consola de administración de AWS ]
**Para cambiar al rol de la cuenta de miembro**
Cuando se utilice el rol, el usuario tendrá permisos de administrador en la nueva cuenta de miembro. Indique a los usuarios de IAM que sean miembros del grupo que hagan lo siguiente para cambiar al nuevo rol.
1. **En la esquina superior derecha de la AWS Organizations consola, selecciona el enlace que contiene tu nombre de inicio de sesión actual y, a continuación, selecciona Cambiar rol.**
1. Escriba el número de ID de la cuenta y el nombre del rol proporcionados por el administrador.
1. En **Display Name (Nombre de visualización)**, escriba el texto que desee mostrar en la barra de navegación en la esquina superior derecha en lugar de su nombre de usuario mientras utiliza la función. Si lo desea, puede elegir un color.
1. Elija **Switch Role**. Ahora, todas las acciones que realice se harán con los permisos concedidos a la función a la que ha cambiado. Ya no tendrá los permisos asociados a su usuario de IAM original hasta que cambie otra vez a este rol.
1. Cuando haya terminado de realizar acciones que requieran los permisos del rol, puede volver a su usuario de IAM normal. **Elige el nombre del rol en la esquina superior derecha (el que hayas especificado como **nombre para mostrar**) y, a continuación, selecciona Volver a. *UserName***
------