Estrategia de varias cuentas de AWS para su zona de aterrizaje de AWS Control Tower
Los clientes de AWS Control Tower suelen buscar orientación sobre cómo configurar su entorno y cuentas de AWS para obtener los mejores resultados. AWS ha creado un conjunto unificado de recomendaciones, denominado estrategia de varias cuentas, para ayudarle a aprovechar al máximo sus recursos de AWS, incluida su zona de aterrizaje de AWS Control Tower.
Básicamente, AWS Control Tower actúa como una capa de orquestación que funciona con otros servicios de AWS, lo que le ayuda a implementar las recomendaciones de varias cuentas de AWS para cuentas de AWS y AWS Organizations. Una vez configurada su zona de aterrizaje, AWS Control Tower seguirá ayudándole a mantener sus políticas corporativas y prácticas de seguridad en varias cuentas y cargas de trabajo.
La mayoría de las zonas de aterrizaje se desarrollan con el tiempo. A medida que aumente el número de unidades organizativas (OU) y cuentas en la zona de aterrizaje de AWS Control Tower, podrá ampliar la implementación de AWS Control Tower de manera que le ayude a organizar las cargas de trabajo de forma eficaz. En este capítulo se proporcionan recomendaciones acerca de cómo planificar y configurar su zona de aterrizaje de AWS Control Tower, en consonancia con la estrategia de varias cuentas de AWS, y ampliarla a lo largo del tiempo.
Para obtener información general sobre las prácticas recomendadas para las unidades organizativas, consulte Best Practices for Organizational Units with AWS Organizations
Estrategia de varias cuentas de AWS: guía de prácticas recomendadas
Las prácticas recomendadas de AWS para un entorno bien diseñado recomiendan separar los recursos y las cargas de trabajo en varias cuentas de AWS Puede pensar en las cuentas de AWS como contenedores de recursos aislados: permiten categorizar las cargas de trabajo y reducen el alcance del impacto cuando las cosas van mal.
- Definición de una cuenta de AWS
-
Una cuenta de AWS actúa como contenedor de recursos y límite de aislamiento de recursos.
nota
Una cuenta de AWS no es lo mismo que una cuenta de usuario, que se configura mediante la federación o AWS Identity and Access Management (IAM).
Más información sobre las cuentas de AWS
Una cuenta de AWS ofrece la posibilidad de aislar los recursos y contener las amenazas de seguridad para las cargas de trabajo de AWS. Una cuenta también proporciona un mecanismo para la facturación y la gobernanza de un entorno de carga de trabajo.
La cuenta de AWS es el principal mecanismo de implementación que proporciona un contenedor de recursos para las cargas de trabajo. Si el entorno está bien diseñado, puede administrar varias cuentas de AWS de forma eficaz y, por lo tanto, administrar varias cargas de trabajo y entornos.
AWS Control Tower configura un entorno bien diseñado. Se basa en cuentas de AWS, junto con AWS Organizations, que ayudan a gobernar los cambios en el entorno, que pueden ampliarse a varias cuentas.
- Definición de un entorno bien diseñado
-
AWS define un entorno bien diseñado como aquel que comienza con una zona de aterrizaje.
AWS Control Tower ofrece una zona de aterrizaje que se configura automáticamente. Aplica controles para garantizar el cumplimiento de las directrices corporativas en varias cuentas de su entorno.
- Definición de zona de aterrizaje
-
La zona de aterrizaje es un entorno de nube que ofrece un punto de partida recomendado, que incluye cuentas predeterminadas, estructura de cuentas, diseños de red y seguridad, etc. Desde una zona de aterrizaje, puede implementar cargas de trabajo que utilicen sus soluciones y aplicaciones.
Directrices para configurar un entorno bien diseñado
Los tres componentes clave de un entorno bien diseñado, que se explican en las siguientes secciones, son:
-
Varias cuentas de AWS
-
Varias unidades organizativas (OU)
-
Una estructura bien planificada
Uso de varias cuentas de AWS
Una cuenta no es suficiente para configurar un entorno bien diseñado. Al utilizar varias cuentas, puede apoyar mejor sus objetivos de seguridad y sus procesos empresariales. A continuación presentamos algunas de las ventajas de utilizar un enfoque de varias cuentas:
-
Controles de seguridad: las aplicaciones tienen diferentes perfiles de seguridad, de modo que requieren políticas y mecanismos de control diferentes. Por ejemplo, es mucho más fácil hablar con un auditor y seleccionar una única cuenta que aloje la carga de trabajo de la industria de tarjetas de pago (PCI).
-
Aislamiento: una cuenta es una unidad de protección de seguridad. Los posibles riesgos y amenazas a la seguridad pueden estar contenidos dentro de una cuenta sin afectar a otras. Por lo tanto, las necesidades de seguridad pueden requerir que aísle unas cuentas de otras. Por ejemplo, puede tener equipos con distintos perfiles de seguridad.
-
Muchos equipos: los equipos tienen diferentes responsabilidades y necesidades de recursos. Al configurar varias cuentas, los equipos no pueden interferir entre sí, como podría ocurrir cuando utilizan la misma cuenta.
-
Aislamiento de datos: aislar los almacenes de datos en una cuenta ayuda a limitar la cantidad de personas que tienen acceso a los datos y puedan administrar el almacén de datos. Este aislamiento ayuda a evitar la exposición no autorizada de datos altamente privados. Por ejemplo, el aislamiento de datos contribuye al cumplimiento del Reglamento General de Protección de Datos (RGPD).
-
Proceso de negocio: las unidades de negocio o productos suelen tener propósitos y procesos completamente diferentes. Se pueden establecer cuentas individuales para satisfacer las necesidades específicas de la empresa.
-
Facturación: una cuenta es la única forma de separar los elementos a nivel de facturación, incluidas cosas como cargos por transferencias, etc. La estrategia de varias cuentas ayuda a crear elementos facturables separados entre unidades de negocio, equipos funcionales o usuarios individuales.
-
Asignación de cuotas: las cuotas de AWS se configuran por cuenta. Al separar las cargas de trabajo en diferentes cuentas, cada cuenta (por ejemplo, un proyecto) tiene una cuota individual bien definida.
Uso de varias unidades organizativas
AWS Control Tower y otros marcos de orquestación de cuentas pueden realizar cambios que traspasen los límites de las cuentas. Por lo tanto, las prácticas recomendadas de AWS abordan los cambios entre cuentas, que pueden dañar un entorno o poner en riesgo su seguridad. En algunos casos, los cambios pueden afectar al entorno general, más allá de las políticas. Por ello, le recomendamos que configure al menos dos cuentas obligatorias: la de producción y la de puesta en escena.
Además, las cuentas de AWS suelen agruparse en unidades organizativas (OU), con fines de gobernanza y control. Las OU están diseñadas para controlar la aplicación de políticas en varias cuentas.
Nuestra recomendación es que, como mínimo, cree un entorno de preproducción (o puesta en escena) que sea distinto del entorno de producción, con controles y políticas distintos. Los entornos de producción y puesta en escena se pueden crear y gobernar como OU independientes y facturarse como cuentas independientes. Además, es posible que desee configurar una OU de espacio aislado para probar el código.
Uso de una estructura bien planificada para las OU de su zona de aterrizaje
AWS Control Tower configura algunas OU automáticamente. A medida que sus cargas de trabajo y requisitos se expandan con el tiempo, puede ampliar la configuración original de la zona de aterrizaje para adaptarla a sus necesidades.
nota
Los nombres que figuran en los ejemplos siguen las convenciones de nomenclatura de AWS sugeridas para configurar un entorno de AWS con varias cuentas. Puede cambiar el nombre de sus OU después de configurar la zona de aterrizaje. Para ello, seleccione Editar en la página de detalles de la OU.
Recomendaciones
Una vez que AWS Control Tower haya configurado la primera OU que necesita (la OU de seguridad), le recomendamos que cree algunas OU adicionales en la zona de aterrizaje.
Le recomendamos que permita a AWS Control Tower crear al menos una OU adicional, denominada OU de espacio aislado. Esta OU es para sus entornos de desarrollo de software. AWS Control Tower puede configurar la OU de espacio aislado en su lugar durante la creación de la zona de aterrizaje, si la selecciona.
Se recomiendan otras dos OU que puede configurar por su cuenta: la OU de infraestructura, que contiene los servicios compartidos y las cuentas de red, y una OU que contiene las cargas de trabajo de producción, denominada OU de cargas de trabajo. Puede añadir OU adicionales en la zona de aterrizaje a través de la consola de AWS Control Tower en la página Unidades organizativas.
Unidades organizativas recomendadas además de las que se configuran automáticamente
-
OU de infraestructura: contiene sus servicios compartidos y sus cuentas de red.
nota
AWS Control Tower no configura la OU de infraestructura en su lugar.
-
OU de espacio aislado: una OU de desarrollo de software. Por ejemplo, es posible que tenga un límite de gasto fijo o que no esté conectada a la red de producción.
nota
AWS Control Tower recomienda configurar la OU de espacio aislado, pero es opcional. Se puede configurar automáticamente como parte de la configuración de la zona de aterrizaje.
-
OU de cargas de trabajo: contiene las cuentas que ejecutan sus cargas de trabajo.
nota
AWS Control Tower no configura la OU de cargas de trabajo en su lugar.
Para obtener más información, consulte Production starter organization with AWS Control Tower.
Ejemplo de AWS Control Tower con una estructura completa de OU con varias cuentas
AWS Control Tower admite una jerarquía de OU anidada, lo que significa que puede crear una estructura de OU jerárquica que cumpla con los requisitos de su organización. Puede crear un entorno de AWS Control Tower que se ajuste a la guía de estrategia de varias cuentas de AWS.
También puede crear una estructura de OU más simple y plana que tenga un buen rendimiento y se ajuste a la guía de varias cuentas de AWS. El hecho de que pueda crear una estructura de OU jerárquica no significa que deba hacerlo.
-
Para ver un diagrama que muestra un conjunto de OU de ejemplo en un entorno de AWS Control Tower expandido y plano con instrucciones para varias de cuentas de AWS, consulte Example: Workloads in a Flat OU Structure.
-
Para obtener más información sobre cómo funciona AWS Control Tower con estructuras organizativas anidadas, consulte OU anidadas en AWS Control Tower.
-
Para obtener más información sobre cómo AWS Control Tower se ajusta a las directrices de AWS, consulte el documento técnico de AWS, Organizing Your AWS Environment Using Multiple Accounts.
El diagrama de la página vinculada muestra que se han creado más OU fundamentales y más OU adicionales. Estas OU satisfacen las necesidades adicionales de una implementación más grande.
En la columna de OU fundamentales, se han añadido dos OU a la estructura básica:
-
OU de Security_Prod: proporciona un área de solo lectura para las políticas de seguridad, así como un área de auditoría de seguridad impecable (break-glass).
-
OU de infraestructura: es posible que quiera separar la OU de infraestructura, como se recomendaba anteriormente, en dos OU: Infrastructure_Test (para la infraestructura de preproducción) e Infrastructure_Prod (para la infraestructura de producción).
En el área de OU adicionales, se han añadido varias OU más a la estructura básica. A continuación se muestran las OU recomendadas para crear a medida que crezca el entorno:
-
OU de cargas de trabajo: la OU de cargas de trabajo, que antes se recomendaba pero era opcional, se ha dividido en dos OU: Workloads_Test (para cargas de trabajo de preproducción) y Workloads_Prod (para cargas de trabajo de producción).
-
OU de PolicyStaging: permite a los administradores de sistemas probar sus cambios en los controles y las políticas antes de aplicarlos por completo.
-
OU suspendida: ofrece una ubicación para las cuentas que es posible que hayan estado inhabilitadas temporalmente.
Acerca de la raíz
La raíz no es una OU. Se trata de un contenedor para la cuenta de administración y para todas las OU y cuentas de la organización. Conceptualmente, la raíz contiene todas las OU. No se puede eliminar. No puede controlar las cuentas inscritas en el nivel raíz de AWS Control Tower. En su lugar, controle las cuentas inscritas dentro de sus OU. Para ver un diagrama útil, consulte la documentación de AWS Organizations.
