9
Jun 2022
De forma predeterminada, la cuenta maestra en una organización de AWS tiene el poder y la autoridad para administrar cuentas de miembros en la organización. Debido a estos permisos adicionales, es importante ejercer los privilegios mínimos y controlar estrictamente el acceso a la cuenta maestra. El marco de mejores prácticas recomienda que las empresas creen una o más cuentas designadas específicamente para la seguridad de la organización, con controles adecuados y políticas de administración de acceso implementadas.
La administración delegada proporciona una manera conveniente para que los usuarios asignados en una cuenta de miembro registrada realicen la mayoría de las tareas administrativas de AWS SSO. Cuando habilita AWS SSO, su instancia de SSO se crea en la cuenta maestra en AWS Organizations de forma predeterminada. Esto se diseñó originalmente de esta manera para que AWS SSO pueda aprovisionar, desaprovisionar y actualizar roles en todas las cuentas miembro de su organización. Aunque su instancia de SSO siempre debe residir en la cuenta maestra, puede optar por delegar la administración de AWS SSO a una cuenta de miembro en AWS Organizations, lo que amplía la capacidad de administrar AWS SSO desde fuera de la cuenta maestra.
Casos de uso:
- Ha habilitado AWS SSO en la organización, pero desea permitir que el equipo de seguridad administre permisos para cuentas y roles en la organización.
- No quiere dar acceso al equipo de seguridad a la cuenta maestra
- Asegúrese de que el equipo de seguridad no pueda eliminar la configuración de AWS SSO
Beneficios:
- Minimiza la cantidad de personas que requieren acceso a la cuenta maestra para ayudar a mitigar los problemas de seguridad.
- Permite que determinados administradores asignen usuarios y grupos a las aplicaciones y a las cuentas de los miembros de su organización.
Consideraciones
La cuenta de administrador delegado no podrá realizar las siguientes acciones:
- Eliminar la configuración de AWS SSO.
- Delegar (a otras cuentas) la administración de AWS SSO.
- Administrar el acceso de usuarios o grupos a la cuenta maestra.
- Administrar los conjuntos de permisos que se aprovisionan (tienen un usuario o grupo asignado) en la cuenta de administración de la organización.
- Considere su ubicación de Active Directory: si planea usar Active Directory como su fuente de identidad de AWS SSO, ubique el directorio en la cuenta de miembro donde ha habilitado la función de administrador delegado de AWS SSO. Si decide cambiar la fuente de identidad de AWS SSO de cualquier otra fuente a Active Directory, o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir en (ser propiedad de) la cuenta miembro del administrador delegado de AWS SSO, si existe; de lo contrario, debe estar en la cuenta de gestión.
- Cancelar el registro de una cuenta de administrador delegado de AWS SSO no afectará ningún permiso o asignación en AWS SSO, pero eliminará la capacidad de los usuarios de la cuenta delegada de administrar AWS SSO desde esa cuenta.
Tareas que se pueden realizar en la cuenta SSO delegada
Mejores prácticas
Otorgar el privilegio mínimo a la cuenta maestra
Le recomendamos encarecidamente que restrinja el acceso a la cuenta maestra a la menor cantidad de personas posible.
Cree conjuntos de permisos para usar solo en la cuenta maestra
Esto facilita la administración de conjuntos de permisos personalizados solo para los usuarios que acceden a su cuenta de administración y ayuda a diferenciarlos de los conjuntos de permisos administrados por su cuenta de administrador delegado.
Considere su ubicación de Active Directory
Si planea usar Active Directory como su fuente de identidad de AWS SSO, ubique el directorio en la cuenta de miembro donde ha habilitado la función de administrador delegado de AWS SSO.
También te puede interesar
Competencias
Escala 24x7 reconocida por su labor de consultoría y equipo experto en AWS re:Invent 2025
Escala 24x7 es reconocida en AWS re:Invent 2025 por su liderazgo en certificaciones y su aporte estratégico como Consulting Partner en Latinoamérica.
Ver MásCompetencias
Escala 24x7 consolida su liderazgo en el ecosistema de Partners AWS según ISG Provider Lens™ 2025
Escala 24x7 es reconocida por ISG Provider Lens™ 2025 como líder en AWS Professional Services, Managed Services y Enterprise Data Modernization & AI Services. Conoce cómo este reconocimiento impulsa la innovación en la nube y genera valor tangible para las organizaciones en América Latina.
Ver MásInteligencia Artificial
Más allá del Prompt: Por qué Specification as Code Marca el Inicio de una Nueva Etapa en el Desarrollo de Inteligencia Artificial en las Grandes Empresas
Evita errores con prompts mal definidos. Descubre cómo Specification as Code mejora la gobernanza y precisión en proyectos de inteligencia artificial.
Ver Más
