Terminología - AWS Control Tower

Terminología

A continuación, se ofrece un breve resumen de algunos términos que aparecen en la documentación de AWS Control Tower.

En primer lugar, es bueno saber que AWS Control Tower comparte gran parte de la terminología con el servicio de AWS Organizations, incluidos los términos organización y unidad organizativa (OU), que aparecen en este documento.

  • Para obtener más información sobre organizaciones y OU, consulte AWS Organizations terminology and concepts. Si es la primera vez que utiliza AWS Control Tower, esa terminología es un buen punto de partida.

  •  AWS Organizations es un servicio de AWS que le ayuda a controlar su entorno de forma centralizada a medida que crece y escala sus cargas de trabajo en AWS. AWS Control Tower se basa en AWS Organizations para crear cuentas, aplicar controles preventivos en la unidad organizativa y proporcionar una facturación centralizada.

  • Una cuenta del generador de cuentas de AWS es una cuenta de AWS aprovisionada mediante el generador de cuentas en AWS Control Tower. A veces, el generador de cuentas se denomina informalmente “máquina expendedora” de cuentas.

  • La región de origen de AWS Control Tower es la región de AWS en la que se implementó la zona de aterrizaje de AWS Control Tower. Puede ver la región de origen en la configuración de la zona de aterrizaje.

  • AWS Service Catalog le permite administrar de forma centralizada los servicios de TI que se implementan habitualmente. En el contexto de este documento, el generador de cuentas utiliza AWS Service Catalog para aprovisionar nuevas cuentas de AWS, incluidas las cuentas de esquemas personalizados.

  • AWS CloudFormation StackSets son un tipo de recurso que amplía la funcionalidad de las pilas para que pueda crear, actualizar o eliminar pilas de varias cuentas y regiones con una sola operación y una sola plantilla de CloudFormation.

  • Una instancia de pila es una referencia a una pila en una cuenta de destino dentro de una región.

  • Una pila es una colección de recursos de AWS, que puede administrar como una única unidad.

  • Un agregador es un tipo de recurso de AWS Config que recopila datos de configuración y conformidad de AWS Config de varias cuentas y regiones de la organización, lo que le permite ver y consultar estos datos de conformidad en una única cuenta.

  • Un paquete de conformidad es un conjunto de reglas y acciones de corrección de AWS Config que se puede implementar como una única entidad en una cuenta y una región o en toda una organización de AWS Organizations. Puede utilizar un paquete de conformidad para ayudar a personalizar el entorno de AWS Control Tower. Para ver blogs técnicos que ofrecen información más detallada, consulte Related information.

  • Una base de referencia en AWS Control Tower es un grupo de recursos y configuraciones específicas que se puede aplicar a un objetivo. El objetivo más habitual de una base de referencia puede ser una unidad organizativa (OU). Por ejemplo, la base de referencia denominada AWSControlTowerBaseline está disponible para ayudarle a registrar las OU en AWS Control Tower. Durante la configuración y actualización de la zona de aterrizaje, el objetivo de la base de referencia puede ser una cuenta compartida o una configuración específica para la zona de aterrizaje en su conjunto.

  • Esquema: un esquema es un artefacto que encapsula algunos metadatos, que describen los componentes de la infraestructura que se implementan en una cuenta. Por ejemplo, una plantilla de CloudFormation puede servir como modelo para una cuenta de AWS Control Tower.

  • Desviación: cambio en un recurso instalado y configurado por AWS Control Tower. Los recursos sin desviaciones permiten que AWS Control Tower funcione correctamente.

  • Recurso no conforme: recurso que infringe una regla de AWS Config que define un control de detección en particular.

  • Cuenta compartida: una de las tres cuentas que AWS Control Tower crea automáticamente cuando configura la zona de aterrizaje: la cuenta de administración, la cuenta de archivo de registros y la cuenta de auditoría. Durante la configuración, puede elegir nombres personalizados para la cuenta de archivo de registros y la cuenta de auditoría.

  • Cuenta de miembro: una cuenta de miembro pertenece a la organización de AWS Control Tower. Es posible inscribir o anular la inscripción de la cuenta de miembro en AWS Control Tower. Cuando una OU registrada contiene una combinación de cuentas inscritas y no inscritas:

    • Los controles preventivos habilitados en la UO (o heredados de esta) se aplican a todas las cuentas dentro de ella, incluidas las no inscritas. Esto es así porque los controles preventivos se aplican con SCP, RCP o políticas declarativas en el nivel de la UO, no en el de cuenta. Para obtener más información, consulte Inheritance for service control policies en la documentación de AWS Organizations.

    • Los controles de detección habilitados en la OU no se aplican a las cuentas no inscritas.

    • Los enlaces de AWS CloudFormation implementan controles proactivos. Estos controles no se aplican a las cuentas no inscritas en una UO.

    Una cuenta no puede pertenecer a más de una organización a la vez y sus cargos se facturan a la cuenta de administración de esa organización. Una cuenta de miembro se puede mover al contenedor raíz de una organización.

  • Cuenta de AWS: una cuenta de AWS actúa como contenedor de recursos y límite de aislamiento de recursos. Una cuenta de AWS se puede asociar a la facturación y al pago. Una cuenta AWS es diferente de una cuenta de usuario (a veces denominada cuenta de usuario de IAM) en AWS Control Tower. Las cuentas creadas mediante el proceso de aprovisionamiento de Account Factory son cuentas de AWS. Las cuentas de AWS también se pueden añadir a AWS Control Tower mediante el proceso de inscripción de cuentas o de registro de UO.

  • Control: un control (también conocido como barrera de protección) es una regla de alto nivel que proporciona gobernanza continua para el entorno general de AWS Control Tower. Cada control aplica una única regla. Los controles preventivos se implementan con las SCP. Los controles de detección se implementan con reglas de AWS Config. Los controles proactivos se implementan con enlaces de CloudFormation. Para obtener más información, consulte Cómo funcionan los controles.

  • Control Catalog: el catálogo de controles de AWS Control Tower es el compendio de todos los controles que están disponibles a través de AWS Control Tower, en la consola y en las API. Anteriormente se llamaba Biblioteca de controles. Hemos alineado la terminología con el nombre del espacio de nombres, controlcatalog.

  • Zona de aterrizaje: una zona de aterrizaje es un entorno de nube que ofrece un punto de partida recomendado, que incluye cuentas predeterminadas, estructura de cuentas, diseños de red y seguridad, etc. Desde una zona de aterrizaje, puede implementar cargas de trabajo que utilicen sus soluciones y aplicaciones.

  • Marco: un marco es una norma reglamentaria específica o un requisito del sector. En la ontología de Control Catalog, un marco se representa mediante un control estándar. Para obtener más información, consulte la Descripción general de ontología de Control Catalog.

  • OU anidada: una OU anidada en AWS Control Tower es una OU que se encuentra dentro de otra. Una OU anidada puede tener uno y solo un nodo raíz y cada cuenta puede ser miembro de exactamente una unidad organizativa. Las OU anidadas crean una jerarquía. Cuando asocia una política a una de la OU de la jerarquía, esta se transmite y aplica a todas las OU y cuentas que se encuentran debajo. Una jerarquía de OU anidadas en AWS Control Tower puede tener un máximo de cinco niveles de profundidad.

  • OU principal: la OU inmediatamente superior a la OU actual en la jerarquía. Cada OU puede tener exactamente una OU principal.

  • OU secundaria: cualquier OU por debajo de la OU actual en la jerarquía. Una OU puede tener muchas OU secundarias.

  • Jerarquía de OU: en AWS Control Tower, la jerarquía de las OU anidadas puede tener hasta cinco niveles. El orden de anidación se denomina niveles. La parte superior de la jerarquía se designa como nivel 1.

  • OU de nivel superior: una OU de nivel superior es cualquier OU que se encuentre directamente debajo de la raíz, no la raíz en sí. La raíz no se considera una OU.

  • Gobernado: AWS Control Tower administra y controla una región gobernada en su entorno, de conformidad con las políticas de gobernanza establecidas por la organización. Estas Regiones de AWS se supervisan para cumplir con las prácticas recomendadas y las políticas de la organización. Los recursos en estas regiones están protegidos cuando habilita los controles de AWS Control Tower.

  • No gobernado: AWS Control Tower no controla ni supervisa las regiones que muestran el estado No gobernado. Por lo general, estas Regiones de AWS no cumplen las mismas políticas de gobernanza que aplica AWS Control Tower. Puede crear recursos en estas regiones, pero esos recursos no están protegidos por los controles de AWS Control Tower.

  • Denegado: AWS Control Tower bloquea específicamente una región denegada. Dentro del entorno de AWS Control Tower, no puede aprovisionar recursos en estas Regiones de AWS.