Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# ¿Qué es AWS Control Tower?
AWS Control Tower ofrece una forma sencilla de configurar y gobernar un entorno de AWS varias cuentas, siguiendo las prácticas recomendadas prescriptivas. AWS Control Tower *organiza* las capacidades de varios otros [AWS servicios](https://docs.aws.amazon.com//controltower/latest/userguide/integrated-services.html), entre los que se incluyen AWS OrganizationsAWS Service Catalog, y AWS IAM Identity Center, crear una landing zone en menos de una hora. Los recursos se configuran y administran en su nombre.
La orquestación de AWS Control Tower amplía las capacidades de AWS Organizations. Para evitar que sus organizaciones y sus cuentas se *desvíen*, lo que supone una divergencia con respecto a las prácticas recomendadas, AWS Control Tower aplica controles (a veces denominados *barreras de protección*). Por ejemplo, puede implantar controles para ayudar a asegurar la creación de los permisos de acceso entre cuentas y registros de seguridad necesarios evitando posibles alteraciones.
Si aloja más de un puñado de cuentas, resulta beneficioso contar con una capa de orquestación que facilite la implementación y la gobernanza de las cuentas. Puede adoptar AWS Control Tower como su forma principal de aprovisionar cuentas e infraestructura. Con AWS Control Tower, puede cumplir con mayor facilidad los estándares corporativos, cumplir los requisitos normativos y seguir las prácticas recomendadas.
AWS Control Tower permite a los usuarios finales de sus equipos distribuidos aprovisionar nuevas AWS cuentas rápidamente mediante plantillas de cuentas configurables en Account Factory. Mientras tanto, sus administradores de la nube central pueden supervisar que todas las cuentas se ajustan a las políticas de conformidad, establecidas en toda la empresa.
En resumen, AWS Control Tower ofrece la forma más sencilla de configurar y gestionar un AWS entorno seguro, compatible y con múltiples cuentas, basándose en las prácticas recomendadas establecidas al trabajar con miles de empresas. Para obtener más información sobre cómo trabajar con AWS Control Tower y las prácticas recomendadas descritas en la estrategia de AWS cuentas múltiples, consulte[AWS estrategia multicuenta: guía de mejores prácticas](aws-multi-account-landing-zone.md#multi-account-guidance).
## Características
AWS Control Tower presenta las siguientes características:
+ **Zona de aterrizaje**: una zona de aterrizaje es un [entorno con varias cuentas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html#example-workloads-flat-structure) bien diseñado, que se basa en prácticas recomendadas de seguridad y cumplimiento. Es el contenedor para toda la empresa que contiene todas sus unidades organizativas (OUs), cuentas, usuarios y otros recursos que desee que estén sujetos a la normativa de conformidad. Una zona de aterrizaje puede escalarse para adaptarse a las necesidades de una empresa de cualquier tamaño.
+ **Controles**: un control (a veces denominado barrera*) es* una regla de alto nivel que proporciona un control continuo del entorno general.AWS Se expresa en lenguaje normal. Existen tres tipos de controles: *preventivos*, *de detección* y *proactivos*. Se aplican tres categorías de orientación a los controles: *obligatorias*, *altamente recomendadas* u *opcionales*. Para obtener más información sobre controles, consulte [Cómo funcionan los controles](how-controls-work.md).
+ **Generador de cuentas**: el generador de cuentas es una plantilla de cuenta configurable que ayuda a estandarizar el aprovisionamiento de cuentas nuevas con configuraciones de cuentas previamente aprobadas. AWS Control Tower ofrece un generador de cuentas integrado que ayuda a automatizar el flujo de trabajo de aprovisionamiento de cuentas en su organización. Para obtener más información, consulte [Aprovisionamiento y administración de cuentas con el generador de cuentas](account-factory.md).
+ **Panel de control**: el panel de control ofrece una supervisión continua de la zona de aterrizaje a tu equipo de administradores de nube centrales. Utilice el panel de control para ver las cuentas aprovisionadas en toda la empresa, los controles habilitados para la aplicación de políticas, los controles habilitados para la detección continua del incumplimiento de las políticas y los recursos no conformes organizados por cuentas y. OUs
## Cómo interactúa AWS Control Tower con otros servicios AWS
AWS Control Tower se basa en AWS servicios confiables y confiables que incluyen AWS Service CatalogAWS IAM Identity Center, y AWS Organizations. Para obtener más información, consulte [Servicios integrados](integrated-services.md).
Puede incorporar AWS Control Tower con otros AWS servicios en una solución que le ayude a migrar sus cargas de trabajo existentes a AWS. Para obtener más información, consulte [Cómo aprovechar AWS Control Tower y CloudEndure migrar las cargas de trabajo a AWS](https://aws.amazon.com//blogs/mt/how-to-take-advantage-of-aws-control-tower-and-cloudendure-to-migrate-workloads-to-aws/).
**Configuración, gobernanza y extensibilidad**
+ *Configuración de cuentas automatizada:* AWS Control Tower automatiza la implementación y la inscripción de cuentas mediante un generador de cuentas (o “máquina expendedora”), que se crea como una abstracción sobre los productos aprovisionados en AWS Service Catalog. Account Factory puede crear e inscribir AWS cuentas, y automatiza el proceso de aplicar controles y políticas a esas cuentas. Para obtener más información acerca de cómo crear y aprovisionar cuentas, consulte [Métodos de aprovisionamiento](https://docs.aws.amazon.com//controltower/latest/userguide/methods-of-provisioning.html).
+ *Gobierno centralizado:* al emplear las capacidades de AWS Organizations, AWS Control Tower establece un marco que garantiza el cumplimiento y la gobernanza coherentes en todo su entorno de múltiples cuentas. El AWS Organizations servicio proporciona funciones esenciales para administrar un entorno de múltiples cuentas, incluidas la gobernanza y la administración centrales de las cuentas, la creación de cuentas a partir de AWS Organizations APIs las políticas de control de servicios (SCPs) y las políticas de control de recursos (RCPs).
+ *Extensibilidad:* puede crear o ampliar su propio entorno de AWS Control Tower trabajando directamente en AWS Organizations la consola de la Torre de Control de AWS o en ella. Puede ver los cambios reflejados en AWS Control Tower después de registrar sus organizaciones actuales e inscribir sus cuentas existentes en AWS Control Tower. Puede actualizar su zona de aterrizaje de AWS Control Tower para reflejar los cambios. Si sus cargas de trabajo requieren capacidades más avanzadas, puede aprovechar las soluciones de otros AWS socios junto con AWS Control Tower.
## ¿Es la primera vez que utiliza AWS Control Tower?
Si es un usuario nuevo de este servicio, le recomendamos que lea las siguientes secciones:
1. Si necesita más información sobre cómo planificar y organizar su zona de aterrizaje, consulte [Planificación de su zona de aterrizaje de AWS Control Tower](planning-your-deployment.md) y [AWS estrategia de múltiples cuentas para su zona de aterrizaje de AWS Control Tower](aws-multi-account-landing-zone.md).
1. Si lo tiene todo listo para crear su primera zona de aterrizaje, consulte [Introducción a AWS Control Tower](getting-started-with-control-tower.md).
1. Para obtener información acerca de la detección y prevención de desviaciones, consulte [Detección y resolución de desviaciones en AWS Control Tower](drift.md).
1. Para obtener más información sobre seguridad, consulte [Seguridad en AWS Control Tower](security.md).
1. Para obtener información acerca de cómo actualizar su zona de aterrizaje y las cuentas de miembros, consulte [Administración de actualizaciones de configuración en AWS Control Tower](configuration-updates.md).
# Funcionamiento de AWS Control Tower
En esta sección se describe de forma general cómo funciona AWS Control Tower. Tu landing zone es un entorno multicuenta bien diseñado para todos tus recursos. AWS Puede utilizar este entorno para hacer cumplir las normas de conformidad en todas sus cuentas. AWS
## Estructura de una zona de aterrizaje de AWS Control Tower
La estructura de una zona de aterrizaje de AWS Control Tower es la siguiente:
+ **Raíz: la raíz** principal que contiene a todas OUs las demás de tu landing zone.
+ **OU de seguridad**: esta OU contiene las cuentas de archivo de registro y auditoría. Estas cuentas suelen denominarse *cuentas compartidas*. Cuando lance su landing zone, podrá elegir nombres personalizados para estas cuentas compartidas y tendrá la opción de incorporar las AWS cuentas existentes a AWS Control Tower para garantizar la seguridad y el registro. Sin embargo, no se les puede cambiar el nombre más adelante y las cuentas existentes no se pueden añadir por motivos de seguridad y registro tras el lanzamiento inicial.
+ **OU de entorno de pruebas**: la OU de entorno de pruebas se crea cuando lanza la zona de aterrizaje, si la habilita. Esta y otras cuentas registradas OUs contienen las cuentas inscritas con las que trabajan sus usuarios para realizar sus AWS cargas de trabajo.
+ **Directorio de IAM Identity Center**: de forma predeterminada, este directorio contiene los usuarios de IAM Identity Center. Define el ámbito de los permisos para cada usuario de IAM Identity Center. Si lo desea, puede administrar automáticamente el control de identidad y acceso. Para obtener más información, consulte [Trabajar con AWS IAM Identity Center y AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/sso.html).
+ **Usuarios del IAM Identity Center**: estas son las identidades que sus usuarios pueden asumir para realizar sus AWS cargas de trabajo en su landing zone.
## Qué sucede cuando se configura una zona de aterrizaje
Al configurar una zona de aterrizaje, AWS Control Tower realiza en su nombre las siguientes acciones en su cuenta de administración:
+ Crea dos unidades AWS Organizations organizativas (OUs): Seguridad y Sandbox (opcional), incluidas en la estructura raíz de la organización.
+ Crea o agrega dos cuentas compartidas en la OU de seguridad: la cuenta del archivo de registro y la cuenta de auditoría.
+ Crea un directorio nativo en la nube en IAM Identity Center, con grupos preconfigurados y acceso de inicio de sesión único, si elige la configuración predeterminada de AWS Control Tower de AWS, o si le permite administrar automáticamente su proveedor de identidades.
+ Aplica todos los controles preventivos obligatorios para aplicar políticas.
+ Aplica todos los controles de detección obligatorios para detectar infracciones de la configuración.
+ *Los controles preventivos no se aplican a la cuenta de administración.*
+ Excepto en el caso de la cuenta de administración, los controles se aplican a la organización en su conjunto.
**Administración segura de los recursos en su zona de aterrizaje y sus cuentas de AWS Control Tower**
+ Cuando creas tu landing zone, se crean varios AWS recursos. Para utilizar AWS Control Tower, no debe modificar ni eliminar estos recursos administrados de AWS Control Tower fuera de los métodos admitidos descritos en esta guía. Eliminar o modificar estos recursos hará que su zona de aterrizaje entre en un estado desconocido. Para obtener más información, consulte [Guía para la creación y modificación de recursos de AWS Control Tower](getting-started-guidance.md)
+ Cuando habilita los controles opcionales (aquellos con orientación *altamente recomendada o electiva*), AWS Control Tower crea AWS recursos que administra en sus cuentas. No modifique ni elimine los recursos creados por AWS Control Tower. Si lo hace, puede provocar que los controles cambien a un estado desconocido.
# ¿Qué son las cuentas compartidas?
En AWS Control Tower, las tres cuentas compartidas en la zona de aterrizaje no están aprovisionadas durante la configuración: la cuenta de administración, la cuenta del archivo de registro y la cuenta de auditoría.
## ¿Qué es la cuenta de administración?
Esta es la cuenta creada específicamente para la zona de aterrizaje. Esta cuenta se utiliza para la facturación de todo en la zona de aterrizaje. También se usa para el aprovisionamiento de cuentas en Account Factory, así como para administrarlas OUs y controlarlas.
**nota**
No se recomienda ejecutar ningún tipo de cargas de trabajo de producción desde una cuenta de administración de AWS Control Tower. Cree una cuenta de AWS Control Tower independiente para ejecutar sus cargas de trabajo.
Para obtener más información, consulte [Cuenta de administración](special-accounts.md#mgmt-account).
## ¿Qué es la cuenta del archivo de registro?
Esta cuenta funciona como un repositorio de registros de actividades de la API y configuraciones de recursos de todas las cuentas de la zona de aterrizaje.
Para obtener más información, consulte [Cuenta del archivo de registro](special-accounts.md#log-archive-account).
## ¿Qué es la cuenta de auditoría?
La cuenta de auditoría es una cuenta restringida diseñada para proporcionar a los equipos de seguridad y conformidad acceso de lectura y escritura a todas las cuentas de su zona de aterrizaje. Desde la cuenta de auditoría, tiene acceso mediante programación para revisar las cuentas, por medio de un rol que solo se concede a las funciones Lambda. La cuenta de auditoría no le permite iniciar sesión en otras cuentas manualmente. Para obtener más información sobre las funciones y los roles de Lambda, consulte [Configuración de una función de Lambda para que asuma un rol en otra cuenta de Cuenta de AWS](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-assume-iam-role).
Para obtener más información, consulte [Cuenta de auditoría](special-accounts.md#audit-account).
# Cómo funcionan los controles
Un control es una regla de alto nivel que proporciona gobernanza continua para su entorno general de AWS . Cada control aplica una única regla y se expresa en lenguaje normal. Puede cambiar los controles opcionales o altamente recomendados que estén en vigor en cualquier momento desde la consola de la Torre de Control de AWS o la Torre de Control de AWS. APIs Los controles obligatorios siempre se aplican y no se pueden cambiar.
Los controles preventivos evitan que se produzcan acciones. Por ejemplo, el control opcional denominado **Prohibir cambios en la política de bucket para buckets de Amazon S3** (anteriormente denominado **Prohibir cambios en el archivo de registro relativos a las políticas** impide cualquier cambio de política de IAM dentro de la cuenta compartida del archivo de registro. Cualquier intento de realizar una acción preventiva se deniega y se registra en CloudTrail. El recurso también ha iniciado sesión AWS Config.
Los controles de Detección detectan eventos específicos cuando se producen y registran la acciónCloudTrail. Por ejemplo, el control altamente recomendado denominado **Detectar si el cifrado está habilitado para volúmenes de Amazon EBS asociados a instancias de Amazon EC2** detecta si un volumen de Amazon EBS no cifrado está asociado a una instancia EC2 de la zona de aterrizaje.
Los controles proactivos comprueban si los recursos cumplen con las políticas y los objetivos de la empresa antes de aprovisionarlos en las cuentas. Si los recursos no cumplen con las normas, no se aprovisionan. Los controles proactivos supervisan los recursos que se desplegarían en sus cuentas mediante CloudFormation plantillas.
*Para aquellos que estén familiarizados con AWS:* En AWS Control Tower, los controles preventivos se implementan con políticas de control de servicios (SCPs) y políticas de control de recursos (RCPs). Los controles de Detective se implementan con AWS Config reglas. Los controles proactivos se implementan con CloudFormation ganchos.
## Temas relacionados
+ [Detección y resolución de desviaciones en AWS Control Tower](drift.md)
## Cómo funciona AWS Control Tower con StackSets
AWS Control Tower se utiliza CloudFormation StackSets para configurar los recursos en sus cuentas, de forma predeterminada. Cada conjunto de pilas tiene StackInstances lo que corresponde a cuentas y a Regiones de AWS por cuenta. AWS Control Tower implementa una instancia de conjunto de pilas por cuenta y región.
AWS Control Tower aplica las actualizaciones a determinadas cuentas y de Regiones de AWS forma selectiva, en función de CloudFormation los parámetros. Cuando las actualizaciones se aplican a algunas instancias de la pila, otras instancias de la pila pueden quedar en estado **Outdated (Obsoleto)**. Este es el comportamiento esperado y normal.
Cuando una instancia de pila cambia al estado **Outdated (Obsoleto)**, normalmente significa que la pila correspondiente a esa instancia de pila no está alineada con la última plantilla del conjunto de pilas. La pila permanece en la plantilla más antigua, por lo que es posible que no incluya los últimos recursos o parámetros. La pila sigue siendo completamente utilizable.
A continuación se ofrece un rápido resumen del comportamiento que se puede esperar, basado en los parámetros de CloudFormation que se especifican durante una actualización:
Si la actualización del conjunto de pilas incluye cambios en la plantilla (es decir, si se especifican `TemplateURL` las propiedades `TemplateBody` o propiedades), o si se especifica la `Parameters` propiedad, CloudFormation marca todas las instancias de la pila con el estado **Anticuadas** antes de actualizar las instancias de la pila de las cuentas especificadas y Regiones de AWS. Si la actualización del conjunto de pilas no incluye cambios en la plantilla o los parámetros, CloudFormation actualiza las instancias de pila de las cuentas y regiones especificadas y deja las demás instancias de pila con el estado de instancia de pila existente. Para actualizar todas las instancias de pila asociadas a un conjunto de pilas, no especifique las propiedades `Accounts` ni `Regions`.
Para obtener más información, consulte [Actualizar su conjunto de pilas](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-update.html) en la Guía del CloudFormation usuario.