Administración delegada de AWS SSO

De forma predeterminada, la cuenta maestra en una organización de AWS tiene el poder y la autoridad para administrar cuentas de miembros en la organización. Debido a estos permisos adicionales, es importante ejercer los privilegios mínimos y controlar estrictamente el acceso a la cuenta maestra. El marco de mejores prácticas recomienda que las empresas creen una o más cuentas designadas específicamente para la seguridad de la organización, con controles adecuados y políticas de administración de acceso implementadas.

La administración delegada proporciona una manera conveniente para que los usuarios asignados en una cuenta de miembro registrada realicen la mayoría de las tareas administrativas de AWS SSO. Cuando habilita AWS SSO, su instancia de SSO se crea en la cuenta maestra en AWS Organizations de forma predeterminada. Esto se diseñó originalmente de esta manera para que AWS SSO pueda aprovisionar, desaprovisionar y actualizar roles en todas las cuentas miembro de su organización. Aunque su instancia de SSO siempre debe residir en la cuenta maestra, puede optar por delegar la administración de AWS SSO a una cuenta de miembro en AWS Organizations, lo que amplía la capacidad de administrar AWS SSO desde fuera de la cuenta maestra.

Casos de uso:

• Ha habilitado AWS SSO en la organización, pero desea permitir que el equipo de seguridad administre permisos para cuentas y roles en la organización.
• No quiere dar acceso al equipo de seguridad a la cuenta maestra
• Asegúrese de que el equipo de seguridad no pueda eliminar la configuración de AWS SSO

Beneficios:

• Minimiza la cantidad de personas que requieren acceso a la cuenta maestra para ayudar a mitigar los problemas de seguridad.
• Permite que determinados administradores asignen usuarios y grupos a las aplicaciones y a las cuentas de los miembros de su organización.

Consideraciones

La cuenta de administrador delegado no podrá realizar las siguientes acciones:

• Eliminar la configuración de AWS SSO.
• Delegar (a otras cuentas) la administración de AWS SSO.
• Administrar el acceso de usuarios o grupos a la cuenta maestra.
• Administrar los conjuntos de permisos que se aprovisionan (tienen un usuario o grupo asignado) en la cuenta de administración de la organización.
• Considere su ubicación de Active Directory: si planea usar Active Directory como su fuente de identidad de AWS SSO, ubique el directorio en la cuenta de miembro donde ha habilitado la función de administrador delegado de AWS SSO. Si decide cambiar la fuente de identidad de AWS SSO de cualquier otra fuente a Active Directory, o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir en (ser propiedad de) la cuenta miembro del administrador delegado de AWS SSO, si existe; de lo contrario, debe estar en la cuenta de gestión.
• Cancelar el registro de una cuenta de administrador delegado de AWS SSO no afectará ningún permiso o asignación en AWS SSO, pero eliminará la capacidad de los usuarios de la cuenta delegada de administrar AWS SSO desde esa cuenta.

Tareas que se pueden realizar en la cuenta SSO delegada

Mejores prácticas

Otorgar el privilegio mínimo a la cuenta maestra

Le recomendamos encarecidamente que restrinja el acceso a la cuenta maestra a la menor cantidad de personas posible.

Cree conjuntos de permisos para usar solo en la cuenta maestra

Esto facilita la administración de conjuntos de permisos personalizados solo para los usuarios que acceden a su cuenta de administración y ayuda a diferenciarlos de los conjuntos de permisos administrados por su cuenta de administrador delegado.

Considere su ubicación de Active Directory

Si planea usar Active Directory como su fuente de identidad de AWS SSO, ubique el directorio en la cuenta de miembro donde ha habilitado la función de administrador delegado de AWS SSO.

‍