Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS Identity and Access Management y AWS Organizations
<a name="services-that-can-integrate-iam"></a>

AWS Identity and Access Management es un servicio web para controlar de forma segura el acceso a AWS los servicios. 

Puede utilizar los [datos del último acceso al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) de IAM para conocer mejor la actividad de AWS en su organización. Puede utilizar estos datos para crear y actualizar [las políticas de control de servicios (SCPs)](orgs_manage_policies_scps.md) que restringen el acceso únicamente a los AWS servicios que utilizan las cuentas de su organización. 

Para ver un ejemplo, consulte [Uso de datos para ajustar los permisos de una unidad organizativa](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs) en la *Guía del usuario de IAM*.

IAM permite administrar las credenciales de usuario raíz de manera centralizada y realizar tareas con privilegios en las cuentas de miembros. Una vez que habilite la administración del acceso raíz, que permite un acceso confiable a IAM AWS Organizations, podrá proteger de forma centralizada las credenciales de los usuarios raíz de las cuentas de los miembros. Las cuentas de miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz. La cuenta de administración o una cuenta de administrador delegado de IAM también pueden realizar algunas tareas con privilegios en las cuentas de miembros mediante el acceso raíz a corto plazo. Las sesiones con privilegios de corta duración le proporcionan credenciales temporales que puede utilizar para realizar acciones con privilegios en la cuenta de un miembro de su organización. 

Para obtener más información, consulte [Administrar de forma centralizada el acceso raíz de las cuentas de miembros](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management) en la *Guía del usuario de IAM*. 

Utilice la siguiente información para ayudarle a integrarse AWS Identity and Access Management con AWS Organizations. 

## Habilitación del acceso de confianza con IAM
<a name="integrate-enable-ta-iam"></a>

Al habilitar la administración del acceso raíz, se habilitará el acceso de confianza para IAM en AWS Organizations. 

## Deshabilitación del acceso de confianza con IAM
<a name="integrate-disable-ta-iam"></a>

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte [Permisos necesarios para deshabilitar el acceso de confianza](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Solo un administrador de la cuenta AWS Organizations de administración puede deshabilitar el acceso de confianza con AWS Identity and Access Management.

Solo puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza mediante la AWS Organizations consola, ejecutando un AWS CLI comando de Organizations o llamando a una operación de la API de Organizations en uno de los AWS SDKs.

------
#### [ Consola de administración de AWS ]

**Para deshabilitar el acceso de confianza mediante la consola de Organizations**

1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. En el panel de navegación, elija **Servicios**.

1. En la lista de servicios, elija **AWS Identity and Access Management**.

1. Seleccione **Deshabilitar el acceso de confianza**.

1. En el cuadro de diálogo **Deshabilitar el acceso de confianza para AWS Identity and Access Management**, escriba **deshabilitar** para confirmar y, a continuación, elija **Deshabilitar el acceso de confianza**.

1. Si es el administrador de Only AWS Organizations, dígale al administrador AWS Identity and Access Management que ahora puede deshabilitar el funcionamiento de ese servicio AWS Organizations mediante la consola de servicio o las herramientas.

------
#### [ AWS CLI, AWS API ]

**Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK**  
Puedes usar los siguientes AWS CLI comandos u operaciones de API para deshabilitar el acceso a un servicio confiable:
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Ejecute el siguiente comando para inhabilitarlo AWS Identity and Access Management como servicio de confianza con Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal iam.amazonaws.com
  ```

  Este comando no genera ninguna salida si se realiza correctamente.
+ AWS API: [deshabilita el AWSService acceso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Habilitar una cuenta de administrador delegado para IAM
<a name="integrate-enable-da-iam"></a>

Cuando designa una cuenta de miembro como administrador delegado para la organización, los usuarios y roles de esa cuenta pueden realizar tareas con privilegios en las cuentas de miembros, las cuales solo podrían realizarlas los usuarios o roles en la cuenta de administración de la organización. Para obtener más información, consulte [Realización de una tarea con privilegios en una cuenta de miembro de Organizations](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user-privileged-task.html) en la Guía del usuario de IAM.

Solo un administrador de la cuenta de administración de la organización puede configurar un administrador delegado para IAM.

Puede especificar una cuenta de administrador delegada desde la consola o la API de IAM, o utilizando la operación de la CLI o el SDK de Organizations. 

## Deshabilitación de un administrador delegado para IAM
<a name="integrate-disable-da-iam"></a>

Solo un administrador en la cuenta de administración de Organizations o en la cuenta de administrador delegado de IAM puede eliminar una cuenta de administrador delegado de la organización. Puede deshabilitar una administración delegada con la operación `DeregisterDelegatedAdministrator` de la CLI o el SDK de Organizations.