Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS estrategia de múltiples cuentas para su zona de aterrizaje de AWS Control Tower
Los clientes de AWS Control Tower suelen buscar orientación sobre cómo configurar su AWS entorno y sus cuentas para obtener los mejores resultados.AWS ha creado un conjunto unificado de recomendaciones, denominado estrategia de cuentas múltiples, para ayudarlo a aprovechar al máximo sus AWS recursos, incluida la zona de aterrizaje de su AWS Control Tower.
Básicamente, AWS Control Tower actúa como una capa de organización que funciona con otros AWS servicios, lo que le ayuda a implementar las recomendaciones de cuentas AWS múltiples para AWS cuentas y. AWS Organizations Una vez configurada su zona de aterrizaje, AWS Control Tower seguirá ayudándole a mantener sus políticas corporativas y prácticas de seguridad en varias cuentas y cargas de trabajo.
La mayoría de las zonas de aterrizaje se desarrollan con el tiempo. A medida que aumente el número de unidades organizativas (OU) y cuentas en la zona de aterrizaje de AWS Control Tower, podrá ampliar la implementación de AWS Control Tower de manera que le ayude a organizar las cargas de trabajo de forma eficaz. En este capítulo se proporcionan recomendaciones acerca de cómo planificar y configurar su zona de aterrizaje de AWS Control Tower, en consonancia con la estrategia de varias cuentas de AWS , y ampliarla a lo largo del tiempo.
Para obtener información general sobre las mejores prácticas para las unidades organizativas, consulte Best Practices for Organizational Units with
AWS estrategia multicuenta: guía de mejores prácticas
AWS Las mejores prácticas para un entorno bien diseñado recomiendan separar los recursos y las cargas de trabajo en varias cuentas. AWS Puede pensar en las cuentas de AWS como contenedores de recursos aislados: permiten categorizar las cargas de trabajo y reducen el alcance del impacto cuando las cosas van mal.
- Definición de una cuenta AWS
-
Una AWS cuenta actúa como contenedor de recursos y límite de aislamiento de recursos.
nota
Una AWS cuenta no es lo mismo que una cuenta de usuario, que se configura mediante la federación o AWS Identity and Access Management (IAM).
Más información sobre las cuentas AWS
Una AWS cuenta ofrece la posibilidad de aislar los recursos y contener las amenazas de seguridad para sus AWS cargas de trabajo. Una cuenta también proporciona un mecanismo para la facturación y la gobernanza de un entorno de carga de trabajo.
La AWS cuenta es el principal mecanismo de implementación que proporciona un contenedor de recursos para sus cargas de trabajo. Si su entorno está bien diseñado, puede administrar varias AWS cuentas de manera eficaz y, por lo tanto, administrar múltiples cargas de trabajo y entornos.
AWS Control Tower configura un entorno bien diseñado. Además, depende de AWS las cuentas AWS Organizations, que ayudan a controlar los cambios en su entorno, que pueden extenderse a varias cuentas.
- Definición de un entorno bien diseñado
-
AWS define un entorno bien diseñado como aquel que comienza con una landing zone.
AWS Control Tower ofrece una zona de aterrizaje que se configura automáticamente. Aplica controles para garantizar el cumplimiento de las directrices corporativas en varias cuentas de su entorno.
- Definición de zona de aterrizaje
-
La zona de aterrizaje es un entorno de nube que ofrece un punto de partida recomendado, que incluye cuentas predeterminadas, estructura de cuentas, diseños de red y seguridad, etc. Desde una zona de aterrizaje, puede implementar cargas de trabajo que utilicen sus soluciones y aplicaciones.
Directrices para configurar un entorno bien diseñado
Los tres componentes clave de un entorno bien diseñado, que se explican en las siguientes secciones, son:
-
Múltiples cuentas AWS
-
Varias unidades organizativas (OU)
-
Una estructura bien planificada
Uso de varias cuentas de AWS
Una cuenta no es suficiente para configurar un entorno bien diseñado. Al utilizar varias cuentas, puede apoyar mejor sus objetivos de seguridad y sus procesos empresariales. A continuación presentamos algunas de las ventajas de utilizar un enfoque de varias cuentas:
-
Controles de seguridad: las aplicaciones tienen diferentes perfiles de seguridad, de modo que requieren políticas y mecanismos de control diferentes. Por ejemplo, es mucho más fácil hablar con un auditor y seleccionar una única cuenta que aloje la carga de trabajo de la industria de tarjetas de pago (PCI).
-
Aislamiento: una cuenta es una unidad de protección de seguridad. Los posibles riesgos y amenazas a la seguridad pueden estar contenidos dentro de una cuenta sin afectar a otras. Por lo tanto, las necesidades de seguridad pueden requerir que aísle unas cuentas de otras. Por ejemplo, puede tener equipos con distintos perfiles de seguridad.
-
Muchos equipos: los equipos tienen diferentes responsabilidades y necesidades de recursos. Al configurar varias cuentas, los equipos no pueden interferir entre sí, como podría ocurrir cuando utilizan la misma cuenta.
-
Aislamiento de datos: aislar los almacenes de datos en una cuenta ayuda a limitar la cantidad de personas que tienen acceso a los datos y puedan administrar el almacén de datos. Este aislamiento ayuda a evitar la exposición no autorizada de datos altamente privados. Por ejemplo, el aislamiento de datos contribuye al cumplimiento del Reglamento General de Protección de Datos (RGPD).
-
Proceso de negocio: las unidades de negocio o productos suelen tener propósitos y procesos completamente diferentes. Se pueden establecer cuentas individuales para satisfacer las necesidades específicas de la empresa.
-
Facturación: una cuenta es la única forma de separar los elementos a nivel de facturación, incluidas cosas como cargos por transferencias, etc. La estrategia de varias cuentas ayuda a crear elementos facturables separados entre unidades de negocio, equipos funcionales o usuarios individuales.
-
Asignación de AWS cuotas: las cuotas se establecen por cuenta. Al separar las cargas de trabajo en diferentes cuentas, cada cuenta (por ejemplo, un proyecto) tiene una cuota individual bien definida.
Uso de varias unidades organizativas
AWS Control Tower y otros marcos de orquestación de cuentas pueden realizar cambios que traspasen los límites de las cuentas. Por lo tanto, las AWS mejores prácticas abordan los cambios entre cuentas, que pueden dañar un entorno o socavar su seguridad. En algunos casos, los cambios pueden afectar al entorno general, más allá de las políticas. Por ello, le recomendamos que configure al menos dos cuentas obligatorias: la de producción y la de puesta en escena.
Además, AWS las cuentas suelen agruparse en unidades organizativas (OU), con fines de gobernanza y control. Las OU están diseñadas para controlar la aplicación de políticas en varias cuentas.
Nuestra recomendación es que, como mínimo, cree un entorno de preproducción (o puesta en escena) que sea distinto del entorno de producción, con controles y políticas distintos. Los entornos de producción y puesta en escena se pueden crear y gobernar como OU independientes y facturarse como cuentas independientes. Además, es posible que desee configurar una OU de espacio aislado para probar el código.
Uso de una estructura bien planificada para las OU de su zona de aterrizaje
AWS Control Tower configura algunas OU automáticamente. A medida que sus cargas de trabajo y requisitos se expandan con el tiempo, puede ampliar la configuración original de la zona de aterrizaje para adaptarla a sus necesidades.
nota
Los nombres que figuran en los ejemplos siguen las convenciones de AWS nomenclatura sugeridas para configurar un AWS entorno de cuentas múltiples. Puede cambiar el nombre de sus OU después de configurar la zona de aterrizaje. Para ello, seleccione Editar en la página de detalles de la OU.
Recomendaciones
Una vez que AWS Control Tower haya configurado la primera OU que necesita (la OU de seguridad), le recomendamos que cree algunas OU adicionales en la zona de aterrizaje.
Le recomendamos que permita a AWS Control Tower crear al menos una OU adicional, denominada OU de espacio aislado. Esta OU es para sus entornos de desarrollo de software. AWS Control Tower puede configurar la OU de espacio aislado en su lugar durante la creación de la zona de aterrizaje, si la selecciona.
Se recomiendan otras dos OU que puede configurar por su cuenta: la OU de infraestructura, que contiene los servicios compartidos y las cuentas de red, y una OU que contiene las cargas de trabajo de producción, denominada OU de cargas de trabajo. Puede añadir OU adicionales en la zona de aterrizaje a través de la consola de AWS Control Tower en la página Unidades organizativas.
Unidades organizativas recomendadas además de las que se configuran automáticamente
-
OU de infraestructura: contiene sus servicios compartidos y sus cuentas de red.
nota
AWS Control Tower no configura la OU de infraestructura en su lugar.
-
OU de espacio aislado: una OU de desarrollo de software. Por ejemplo, es posible que tenga un límite de gasto fijo o que no esté conectada a la red de producción.
nota
AWS Control Tower recomienda configurar la OU de espacio aislado, pero es opcional. Se puede configurar automáticamente como parte de la configuración de la zona de aterrizaje.
-
OU de cargas de trabajo: contiene las cuentas que ejecutan sus cargas de trabajo.
nota
AWS Control Tower no configura la OU de cargas de trabajo en su lugar.
Para obtener más información, consulte Production starter organization with AWS Control Tower.
Ejemplo de AWS Control Tower con una estructura completa de OU con varias cuentas
AWS Control Tower admite una jerarquía de OU anidada, lo que significa que puede crear una estructura de OU jerárquica que cumpla con los requisitos de su organización. Puede crear un entorno de AWS Control Tower que se ajuste a la guía de estrategia de AWS cuentas múltiples.
También puede crear una estructura de OU más simple y plana que tenga un buen rendimiento y se ajuste a la guía de varias cuentas de AWS . El hecho de que pueda crear una estructura de OU jerárquica no significa que deba hacerlo.
-
Para ver un diagrama que muestra un ejemplo de conjunto de unidades organizativas en un entorno de AWS Control Tower expandido y plano con orientación para AWS varias cuentas, consulte Ejemplo: cargas de trabajo en una estructura de unidad organizativa plana.
-
Para obtener más información sobre cómo funciona AWS Control Tower con estructuras organizativas anidadas, consulte Anidado OUs en la Torre de Control de AWS.
-
Para obtener más información sobre cómo AWS Control Tower se ajusta a las AWS directrices, consulte el documento AWS técnico Organizing Your AWS Environment Using Multiple Accounts.
El diagrama de la página vinculada muestra que se han creado más OU fundamentales y más OU adicionales. Estas OU satisfacen las necesidades adicionales de una implementación más grande.
En la columna de OU fundamentales, se han añadido dos OU a la estructura básica:
-
Security_Prod OU: proporciona un área de solo lectura para las políticas de seguridad, así como un área de auditoría de seguridad impecable.
-
OU de infraestructura: es posible que desee separar la unidad organizativa de infraestructura, recomendada anteriormente, en dos unidades organizativas (para la infraestructura de preproducción) y Infrastructure_Test Infrastructure_Prod (para la infraestructura de producción).
En el área de OU adicionales, se han añadido varias OU más a la estructura básica. A continuación se muestran las OU recomendadas para crear a medida que crezca el entorno:
-
Unidad organizativa de cargas de trabajo: la unidad organizativa de cargas de trabajo, que antes se recomendaba pero era opcional, se ha dividido en dos unidades organizativas Workloads_Test (para las cargas de trabajo de preproducción) y Workloads_Prod (para las cargas de trabajo de producción).
-
PolicyStaging OU: permite a los administradores de sistemas probar los cambios en los controles y las políticas antes de aplicarlos por completo.
-
OU suspendida: ofrece una ubicación para las cuentas que es posible que hayan estado inhabilitadas temporalmente.
Acerca de la raíz
La raíz no es una OU. Se trata de un contenedor para la cuenta de administración y para todas las OU y cuentas de la organización. Conceptualmente, la raíz contiene todas las OU. No se puede eliminar. No puede controlar las cuentas inscritas en el nivel raíz de AWS Control Tower. En su lugar, controle las cuentas inscritas dentro de sus OU. Para obtener un diagrama útil, consulte la AWS Organizations documentación.
