Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso compartido de carteras
<a name="catalogs_portfolios_sharing_how-to-share"></a>

Para permitir que un AWS Service Catalog administrador de otra AWS cuenta distribuya sus productos a los usuarios finales, comparta su AWS Service Catalog cartera con ellos mediante el uso account-to-account compartido o AWS Organizations.

 Cuando compartes una cartera mediante account-to-account sharing u Organizations, compartes una *referencia* de esa cartera. Los productos y las restricciones de la cartera importada se mantienen sincronizados con los cambios realizados en la *cartera compartida*, es decir, la cartera original que se ha compartido. 

El destinatario no puede cambiar los productos o las restricciones, pero puede agregar acceso de AWS Identity and Access Management a los usuarios finales. 

**nota**  
 No puede compartir un recurso compartido. Esto incluye carteras que contienen un producto compartido. 

## Account-to-account compartir
<a name="portfolio-sharing-account"></a>

Para completar estos pasos, debe obtener el ID de cuenta de la AWS cuenta de destino. Puedes encontrar el ID en la página **Mi cuenta** Consola de administración de AWS de la cuenta de destino.

**Para compartir un portafolio con una AWS cuenta**

1. Abra la consola de Service Catalog en [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).

1. En el menú de navegación de la izquierda, seleccione **Carteras** y, a continuación, seleccione la cartera que desea compartir. En el menú **Acciones**, seleccione **Compartir**.

1. En **Introducir el ID** de cuenta, introduzca el ID de AWS cuenta de la cuenta con la que está compartiendo. (Opcional) Selecciona [TagOption Compartir](#tagoptions-share). A continuación, elija **Compartir**. 

1. Envía la URL al AWS Service Catalog administrador de la cuenta de destino. La dirección URL abre la página **Importar cartera** y proporciona automáticamente el ARN de la cartera compartida.

### Importación de una cartera
<a name="catalogs_portfolios_sharing_importing"></a>

Si el AWS Service Catalog administrador de otra AWS cuenta comparte una cartera con usted, impórtela a su cuenta para que pueda distribuir sus productos a sus usuarios finales.

No es necesario importar una cartera si la cartera se ha compartido a través de ella AWS Organizations.

Para importar la cartera, el administrador debe facilitarle una ID de cartera.

Para ver todas las carteras importadas, abra la AWS Service Catalog consola en [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/). En la página **Cartera**, seleccione la pestaña **Importadas**. Revise la tabla de **Carteras importadas**. 

## Compartir con AWS Organizations
<a name="portfolio-sharing-organizations"></a>

Puede compartir AWS Service Catalog carteras utilizando AWS Organizations. 

 En primer lugar, debe decidir si está compartiendo desde la cuenta de administración o desde una cuenta de administrador delegado. Si no desea compartir desde su cuenta de administración, registre una cuenta de administrador delegada y úsela para compartirla. Para obtener más información, consulte [Registrar un administrador delegado](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html) en la *Guía del usuario de CloudFormation *. 

 A continuación, debe decidir con quién compartir. Puede compartir con las siguientes entidades: 
+ Una cuenta de organización.
+ Una unidad organizativa (OU).
+ La propia organización. (Esto comparte con todas las cuentas de la organización.)

### Cómo compartir desde una cuenta de administración
<a name="sharing-from-master"></a>

Puede compartir una cartera con una organización cuando use su estructura organizativa o ingrese el ID de un nodo organizacional.

****Para compartir un portafolio con una organización mediante la estructura organizativa****

1. Abra la AWS Service Catalog consola en [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).

1. En la página **Carteras**, seleccione la cartera que desea compartir. En el menú **Acciones**, seleccione **Compartir**.

1. Seleccione **AWS Organizations** y filtre según su estructura organizativa. 

   Puede seleccionar el nodo raíz para compartir la cartera con toda la organización, una unidad organizativa (OU) principal, una OU secundaria o una AWS cuenta de su organización. 

   Al compartir con una unidad organizativa principal, se comparte la cartera con todas las cuentas y unidades organizativas secundarias de esa unidad organizativa principal. 

   Puede seleccionar **Ver solo AWS cuentas** para ver una lista de todas las AWS cuentas de su organización.

****Para compartir una cartera con una organización, introduzca el ID del nodo organizativo****

1. Abre la AWS Service Catalog consola en [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).

1. En la página **Carteras**, seleccione la cartera que desea compartir. En el menú **Acciones**, seleccione **Compartir**. 

1. Seleccione el **Nodo de la organización**. 

   Seleccione si desea compartir con toda la organización, una cuenta de AWS de su organización o una unidad organizativa. 

   Introduce el ID del nodo organizativo que has seleccionado, que encontrarás en la AWS Organizations consola en [ https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

### Compartir desde una cuenta de administrador delegado
<a name="delegated-admin"></a>

 La cuenta de administración de una organización puede registrar y anular el registro de otras cuentas como administradores delegados para la organización. 

Un administrador delegado puede compartir AWS Service Catalog los recursos de su organización del mismo modo que lo hace una cuenta de administración. Están autorizados para crear, eliminar y compartir carteras. 

Para registrar o anular el registro de un administrador delegado, debe usar la API o la CLI desde la cuenta de administración. Para obtener más información consulte [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html) y [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) en la *Referencia de la API de AWS Organizations *. 

**nota**  
Antes de poder designar a un delegado, el administrador debe llamar a [https://docs.aws.amazon.com/servicecatalog/latest/dg/API_EnableAWSOrganizationsAccess.html](https://docs.aws.amazon.com/servicecatalog/latest/dg/API_EnableAWSOrganizationsAccess.html).

El procedimiento para compartir una cartera desde una cuenta de administrador delegada es el mismo que compartir desde una cuenta maestra, como se ve anteriormente en [Cómo compartir desde una cuenta de administración](#sharing-from-master).

 Si se anula el registro de un miembro como administrador delegado, ocurre lo siguiente: 
+ Se eliminan las acciones de cartera creadas a partir de esa cuenta.
+ Ya no pueden crear nuevas acciones de cartera.

**nota**  
 Si la cartera y las acciones creadas por un administrador delegado no se eliminan después de anular el registro del administrador delegado, registre y anule el registro del administrador delegado de nuevo. Esto eliminará la cartera y las acciones creadas por esa cuenta. 

### Mover cuentas dentro de su organización
<a name="move-account"></a>

Si traslada una cuenta dentro de su organización, es posible que cambien AWS Service Catalog las carteras compartidas con la cuenta. 

Las cuentas solo tienen acceso a las carteras compartidas con la organización o unidad organizativa de destino. 

## Compartir TagOptions al compartir carteras
<a name="tagoptions-share"></a>

Como administrador, puede crear un recurso compartido para TagOptions incluirlo. TagOptions son pares clave-valor que permiten a los administradores:
+ Defina y aplique la taxonomía de las etiquetas.
+ Defina las opciones de etiquetas y asócielas a productos y carteras.
+ Comparta las opciones de etiquetas asociadas a carteras y productos con otras cuentas.

Al añadir o eliminar opciones de etiquetas en la cuenta principal, el cambio aparece automáticamente en las cuentas de los destinatarios. En las cuentas de los destinatarios, cuando un usuario final aprovisiona un producto TagOptions, debe elegir valores para las etiquetas que se convierten en etiquetas del producto aprovisionado. 

En las cuentas de destinatarios, los administradores pueden asociar productos locales adicionales TagOptions a su cartera importada para hacer cumplir las reglas de etiquetado específicas de cada cuenta.

**nota**  
Para compartir una cartera, necesitas el ID de AWS cuenta del consumidor. Busca el ID de la AWS cuenta en **Mi cuenta** en la consola.

**nota**  
Si a TagOption tiene un valor único, lo AWS aplica automáticamente durante el proceso de aprovisionamiento.

**Para compartir TagOptions al compartir carteras**

1. En el menú de navegación izquierdo, seleccione **Carteras**.

1. En **Carteras locales**, seleccione y abra una cartera.

1. Seleccione **Compartir** de la lista anterior y, a continuación, pulse el botón **Compartir**.

1. Elige compartir con otra AWS cuenta u organización.

1. Introduzca el número de identificación de la cuenta de 12 dígitos, seleccione **Habilitar** y, a continuación, seleccione **Compartir**.

   La cuenta que ha compartido aparece en la sección **Cuentas compartidas con**. Indica si están TagOptions habilitados.

También puede actualizar una acción de cartera para incluirla TagOptions. Todo lo TagOptions que pertenece a la cartera y al producto ahora se comparte en esta cuenta.

**Para actualizar una cartera, comparta para incluir TagOptions**

1. En el menú de navegación izquierdo, seleccione **Carteras**.

1. En **Cartera local**, seleccione y abra una cartera.

1. Seleccione **Compartir** de la lista anterior.

1. En **Cuentas compartidas con**, seleccione un ID de cuenta y, a continuación, seleccione **Acciones**.

1. Seleccione **Actualizar dejar de compartir** o **Dejar de compartir**.

   Al seleccionar **Actualizar dejar de compartir,** selecciona **Activar** para iniciar el uso compartido TagOptions. La cuenta que ha compartido aparece en la sección **Cuentas compartidas con**.

   Al seleccionar **Dejar de compartir**, confirma que ya no desea compartir la cuenta.

## Compartir los nombres de entidad principal al compartir carteras
<a name="principal-name-share"></a>

Como administrador, puede crear una cartera compartida que incluya los nombres de entidad principales. Los nombres de entidad principales son nombres para grupos, funciones y usuarios que los administradores pueden especificar en una cartera y luego compartir con la cartera. Al compartir la cartera, AWS Service Catalog verifica si esos nombres principales ya existen. Si existen, asocia AWS Service Catalog automáticamente los directores de IAM coincidentes a la cartera compartida para conceder el acceso a los usuarios.

**nota**  
Al asociar una entidad principal a una cartera, puede producirse una posible escalada de privilegios cuando esa cartera se comparte con otras cuentas. En el caso de un usuario de una cuenta receptora que *no* sea AWS Service Catalog administrador, pero que aún pueda crear directores (usuarios/funciones), ese usuario puede crear un director de IAM que coincida con la asociación de nombres principales de la cartera. Aunque es posible que este usuario no sepa a qué nombres principales están asociados AWS Service Catalog, es posible que pueda adivinar quién es el usuario. Si esta posible ruta de escalación es motivo de preocupación, se AWS Service Catalog recomienda utilizarla `PrincipalType` como`IAM`. Con esta configuración, el `PrincipalARN` ya debe existir en la cuenta del destinatario antes de poder asociarla.

Al añadir o eliminar nombres principales en la cuenta principal, esos cambios se aplican AWS Service Catalog automáticamente a la cuenta del destinatario. Los usuarios de la cuenta destinataria pueden entonces realizar tareas en función de su rol:
+ Los **usuarios finales** pueden aprovisionar, actualizar y cancelar el producto de la cartera. 
+ Los **administradores** pueden asociar más entidades principales de IAM a su cartera importada para permitir el acceso a los usuarios finales específicos de esa cuenta. 

**nota**  
El uso compartido del nombre principal solo está disponible para AWS Organizations.

**Cómo compartir los nombres de entidad principal al compartir carteras**

1. En el menú de navegación izquierdo, seleccione **Carteras**. 

1. En **Carteras locales**, seleccione la cartera que desea compartir.

1. En el menú **Acciones**, elija **Compartir**.

1. Seleccione una organización en AWS Organizations.

1. Seleccione toda la **Raíz de la organización**, una **unidad organizativa (OU)** o un **miembro de la organización**.

1. En la configuración de **compartir**, habilite la opción de **compartir entidad principal**.

También puede actualizar una cartera compartida para incluir el nombre de entidad principal. Esto comparte todos los nombres de entidad principal que pertenecen a esa cartera con la cuenta del destinatario. 

**Cómo actualizar una cartera compartida para habilitar o deshabilitar los nombres de entidad principal**

1. En el menú de navegación izquierdo, seleccione **Carteras**. 

1. En **Cartera local**, seleccione la cartera que desea actualizar. 

1. Elija la pestaña **Compartir**. 

1. Seleccione el recurso compartido que desea actualizar y, a continuación, seleccione **Compartir**. 

1. Seleccione **Actualizar el recurso compartido** y, a continuación, seleccione **Activar** para iniciar el uso compartido principal. AWS Service Catalog a continuación, comparte los nombres principales en las cuentas de los destinatarios. 

**Deshabilitar** el uso compartido de la entidad principal si desea dejar de compartir los nombres de entidad principal con las cuentas de los destinatarios.

### Uso de caracteres comodín al compartir nombres de entidad principal
<a name="wildcards-principal-names"></a>

AWS Service Catalog permite conceder acceso a la cartera a los nombres de los principales (usuario, grupo o rol) de IAM con caracteres comodín, como «\$1» o «?». El uso de patrones comodín permite cubrir varios nombres de entidad principal de IAM a la vez. La ruta del ARN y el nombre de la entidad principal permiten caracteres comodín ilimitados. 

Ejemplos de un comodín de ARN **aceptable**:
+ **arn:aws:iam:::role/ResourceName\$1\$1**
+ **arn:aws:iam:::role/\$1/ResourceName\$1?**

Ejemplos de un comodín de ARN **inaceptable**:
+ **arn:aws:iam:::\$1/ResourceName**

En el formato ARN de entidad principal de IAM (**arn:partition:iam:::resource-type/resource-path/resource-name**), los valores válidos incluyen **usuario/**, **grupo/**, o **rol/**. Los caracteres “?” y “\$1” solo se permiten después del tipo de recurso en el segmento de identificador del recurso. Puede usar caracteres especiales en cualquier parte del identificador del recurso.

El carácter “\$1” también coincide con el carácter “/”, lo que permite que se formen rutas *dentro* del identificador del recurso. Por ejemplo:

**arn:aws:iam:::role/**\$1**/ResourceName\$1?** coincide tanto con **arn:aws:iam:::role/pathA/pathB/ResourceName\$11** como con **arn:aws:iam:::role/pathA/ResourceName\$11**.