Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Instancias de cuenta de IAM Identity Center
<a name="account-instances-identity-center"></a>

 Con una instancia de cuenta de IAM Identity Center, puede implementar aplicaciones AWS gestionadas compatibles y aplicaciones gestionadas por clientes basadas en el OIDC. Las instancias de cuentas permiten el despliegue aislado de aplicaciones en una sola aplicación Cuenta de AWS, aprovechando las funciones del portal de acceso e identidad de los empleados de IAM Identity Center. 

Las instancias de cuenta están vinculadas a una sola cuenta Cuenta de AWS y se utilizan únicamente para gestionar el acceso de usuarios y grupos a las aplicaciones compatibles de la misma cuenta y. Región de AWS Está limitado a una instancia de cuenta por Cuenta de AWS. Puedes crear una instancia de cuenta a partir de una de las siguientes opciones: una cuenta de miembro AWS Organizations o una cuenta independiente Cuenta de AWS que no esté gestionada por AWS Organizations.

Para obtener instrucciones sobre cómo habilitar una instancia de cuenta de IAM Identity Center, consulte [Para habilitar una instancia de cuenta de IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance) y seleccione la pestaña **Cuenta**.

## Cuándo usar la instancia de cuenta
<a name="when-to-use-account-instance"></a>

En la mayoría de los casos, se recomienda usar una [instancia de organización](organization-instances-identity-center.md). Use las instancias de cuenta solo si se da una de las siguientes situaciones:
+ Desea ejecutar una prueba temporal de una aplicación AWS gestionada compatible para determinar si la aplicación se adapta a las necesidades de su empresa.
+ No tiene previsto adoptar el IAM Identity Center en toda su organización, pero quiere dar soporte a una o más aplicaciones AWS gestionadas.
+ Tiene una instancia de organización de IAM Identity Center, pero desea implementar una aplicación administrada por AWS compatible en un conjunto aislado de usuarios que son distintos de los usuarios de la instancia de organización.
+ No controla la AWS organización en la que opera. Por ejemplo, un tercero controla la AWS organización que administra su Cuentas de AWS.

**importante**  
Si piensa utilizar IAM Identity Center para admitir aplicaciones en varias cuentas, cree una instancia de organización. Las instancias de cuentas no admiten este caso de uso.

## AWS aplicaciones administradas que admiten instancias de cuentas
<a name="supported-aws-applications"></a>

Consulte [AWS aplicaciones gestionadas que puede utilizar con IAM Identity Center](awsapps-that-work-with-identity-center.md) para saber qué aplicaciones AWS gestionadas son compatibles con las instancias de cuentas de IAM Identity Center. Compruebe la disponibilidad de la creación de instancias de cuentas con su aplicación AWS gestionada.

## Restricciones de disponibilidad de las cuentas de los miembros
<a name="account-instances-availability-contstraints"></a>

Para implementar instancias de cuentas del IAM Identity Center en las cuentas de AWS Organizations los miembros, debe cumplirse una de las siguientes condiciones:
+ No hay ninguna instancia de organización del IAM Identity Center en su organización de . 
+ Hay una instancia de organización de IAM Identity Center en su organización y el administrador de la instancia permite la creación de instancias de cuentas de IAM Identity Center (para las instancias de la organización creadas después del 15 de noviembre de 2023).
+ Hay una instancia de organización del IAM Identity Center en su organización de y el administrador de la instancia ha habilitado manualmente la creación de instancias de cuentas por parte de las cuentas de los miembros de la organización (en el caso de las instancias de la organización creadas antes del 15 de noviembre de 2023). Para obtener instrucciones, consulte [Permiso para la creación de instancias de cuentas en las cuentas de miembros](enable-account-instance-console.md). 

Cuando se cumpla una de las condiciones anteriores, todas las siguientes condiciones deben ser verdaderas:
+ El administrador no ha creado ninguna [política de control de servicio](control-account-instance.md) que impida a las cuentas de los miembros crear instancias de cuenta.
+ Independientemente de la Región de AWS, no tiene una instancia de IAM Identity Center en esta misma cuenta.
+ Trabaja en un Región de AWS lugar en el que el Centro de Identidad de IAM esté disponible. Para obtener información acerca de las regiones, consulte [Operaciones y almacenamiento de datos regionales de IAM Identity Center](regions.md).

## Consideraciones sobre las instancias de cuenta
<a name="about-account-instance"></a>

Una instancia de cuenta está diseñada para casos de uso especializados y ofrece un subconjunto de características disponibles para una instancia de organización. Tenga en cuenta lo siguiente antes de crear una instancia de cuenta:
+ Las instancias de cuenta no admiten conjuntos de permisos y, por lo tanto, no admiten el acceso a Cuentas de AWS.
+ No puede convertir ni fusionar una instancia de cuenta en una instancia de organización.
+ Solo determinadas [aplicaciones administradas por AWS](awsapps-that-work-with-identity-center.md) admiten las instancias de cuenta.
+ Utilice instancias de cuenta para usuarios aislados que utilizarán las aplicaciones en una sola cuenta y durante la vida útil de las aplicaciones utilizadas.
+ Las aplicaciones que están asociadas a una instancia de cuenta deben permanecer asociadas a la instancia de cuenta hasta que elimine la aplicación y sus recursos.
+ La instancia de una cuenta debe permanecer en el Cuenta de AWS lugar donde se creó.

# Permiso para la creación de instancias de cuentas en las cuentas de miembros
<a name="enable-account-instance-console"></a>

Si habilitó IAM Identity Center antes del 15 de noviembre de 2023, tiene una [instancia de organización](organization-instances-identity-center.md) de IAM Identity Center y la posibilidad de que las cuentas de miembro creen instancias de cuenta está deshabilitada de forma predeterminada. Puede elegir si las cuentas de miembros pueden crear instancias de cuenta mediante la habilitación de la característica de instancias de cuenta en la consola del IAM Identity Center. 

**Para habilitar la creación de instancias de cuentas por parte de las cuentas de miembros de su organización**
**importante**  
La habilitación de las instancias de cuenta de IAM Identity Center para las cuentas de los miembros es una operación de una sola vez. Esto significa que esta operación no se puede revertir. Una vez habilitada, puede limitar la creación de instancias de cuenta mediante la creación de una política de control de servicio (SCP). Para ver las instrucciones, consulte [Control de la creación de instancias de cuenta con políticas de control de servicio](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html).

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon)

1. Seleccione **Configuración** y, a continuación, seleccione la pestaña **Administración**.

1. En la sección **Instancias de cuenta de IAM Identity Center**, seleccione **Habilitar instancias de cuenta de IAM Identity Center**.

1. En el cuadro de diálogo **Habilitar instancias de cuenta de IAM Identity Center**, confirme que desea permitir que las cuentas de miembros de su organización creen instancias de cuenta; para ello, seleccione **Habilitar**.

# Uso de las políticas de control de servicios para controlar la creación de instancias de cuentas
<a name="control-account-instance"></a>

La capacidad de las cuentas de los miembros para crear instancias de cuentas depende de cuándo haya activado IAM Identity Center:
+ **Antes de noviembre de 2023**: debe [permitir la creación de instancias de cuentas en las cuentas de los miembros](enable-account-instance-console.md), lo cual es una acción que no se puede revertir.
+ **Después del 15 de noviembre de 2023**: las cuentas de los miembros pueden crear instancias de cuentas de forma predeterminada.

En cualquier caso, puedes usar las políticas de control de servicios (SCPs) para:
+ Impedir que todas las cuentas de los miembros creen instancias de cuentas.
+ Permitir que solo cuentas de miembros específicas creen instancias de cuentas.

## Cómo impedir las instancias de cuenta
<a name="prevent-account-instances"></a>

Utilice el procedimiento siguiente para generar una SCP que impida a las cuentas de los miembros crear instancias de cuenta de IAM Identity Center.

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon) 

1. En el **panel de control**, en la sección **Administración central**, seleccione el botón **Impedir instancias de cuentas**.

1. En el cuadro de diálogo **Asociar una SCP para impedir la creación de nuevas instancias de cuenta**, se le ofrecerá una SCP. Cópiela y pulse el botón **Ir al panel de control de SCP**. Se le indicará que vaya a la [AWS Organizations consola](https://console.aws.amazon.com/organizations/v2) para crear el SCP o adjuntarlo como una declaración a un SCP existente. SCPs son una característica de. AWS Organizations Para obtener instrucciones sobre cómo conectar una SCP, consulte [Asociar y desasociar políticas de control de servicios](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) en la *Guía del usuario de AWS Organizations *.

## Límite a las instancias de cuenta
<a name="limit-account-instances"></a>

En lugar de impedir la creación de todas las instancias de cuentas, esta política deniega cualquier intento de crear una instancia de cuenta de IAM Identity Center a todas, Cuentas de AWS excepto a las que se indican explícitamente en el *"<ALLOWED-ACCOUNT-ID>"* marcador de posición.

**Example : política de denegación que limita la creación de instancias de cuentas**    
****  

```
{

    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}
```
+ Sustituya [*"<ALLOWED-ACCOUNT-ID>"*] por los Cuenta de AWS ID reales que desee permitir para crear una instancia de cuenta del IAM Identity Center.
+ Puede enumerar varias cuentas permitidas IDs en el formato de matriz: [*"111122223333", "444455556666"*].
+ Adjunte esta política a la SCP de su organización para aplicar un control centralizado sobre la creación de instancias de cuentas de IAM Identity Center. 

  Para obtener instrucciones sobre cómo conectar una SCP, consulte [Asociar y desasociar políticas de control de servicios](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) en la *Guía del usuario de AWS Organizations *.