Construcción de una zona de aterrizaje - Recomendaciones de AWS
AWS Control TowerZona de aterrizaje hecha a medidaMétodo recomendado

Construcción de una zona de aterrizaje

Tiene varias opciones para crear su zona de aterrizaje en AWS. Puede elegir un servicio administrado para orquestar el entorno o trabajar con un socio para crear el suyo propio. AWS ofrece AWS Control Tower, un servicio administrado. Le recomendamos que todos los usuarios empiecen por AWS Control Tower. Sin embargo, es importante comprender las diferencias y las capacidades de cada enfoque para poder tomar la mejor decisión para la organización.

Opciones de zonas de aterrizaje en AWS:

  • AWS Control Tower

  • Zona de aterrizaje hecha a medida

Mecanismo de entrega:

Diferencias entre AWS Control Tower y una zona de aterrizaje personalizada.

Ventajas y desventajas de cada enfoque:

Solución Ventajas Compensación

AWS Control Tower

  • Servicio totalmente administrado.

  • Controles provistos por AWS y políticas de cumplimiento que se aplican de forma predeterminada

  • Provee panel central que muestra el estado de monitoreo y cumplimiento.

  • Provee Account Factory para el aprovisionamiento de nuevas cuentas

  • Algunas personalizaciones (como la elección de regiones y los controles opcionales) están disponibles en la consola.

AWS Organizations con una solución personalizada creada por un cliente o un socio

  • Solución hecha a medida.

  • El cliente o socio es propietario de todo el desarrollo y la codificación.

  • El cliente o socio es responsable de la integración y la implementación.

Todas las ofertas de entornos con varias cuentas operan con la tecnología de AWS Organizations. AWS Organizations proporciona la infraestructura y las capacidades subyacentes para que pueda crear y administrar el entorno de AWS. Con AWS Organizations, puede seguir la guía de estrategia de varias cuentas que le proporciona AWS, y personalizar el entorno usted mismo para que se adapte mejor a las necesidades de su empresa. Si ya es cliente y está satisfecho con la implementación de AWS Organizations actual, debe seguir utilizando su entorno actual de AWS.

AWS Control Tower

AWS Control Tower se ejecuta como un servicio administrado de AWS. Si busca una solución de entorno preconfigurada y lista para usar, puede utilizar AWS Control Tower como guía de recomendaciones para un entorno totalmente administrado. El servicio configura una zona de aterrizaje basada en las prácticas recomendadas para varias cuentas, centraliza la administración de identidades y accesos y establece reglas de gobernanza preconfiguradas para la seguridad y el cumplimiento.

Servicios de AWS incluidos en la configuración de AWS Control Tower.

AWS Control Tower automatiza la configuración de una nueva zona de aterrizaje con las prácticas recomendadas, los esquemas de identidad, acceso federado y de estructura de cuentas. Algunos de los esquemas implementados en AWS Control Tower son los siguientes:

  • Un entorno con varias cuentas que utiliza AWS Organizations

  • Auditorías de seguridad entre cuentas mediante AWS Identity and Access Management (IAM) y AWS IAM Identity Center

  • Administración de identidades mediante el directorio predeterminado de Identity Center

  • Registro centralizado de AWS CloudTrail y AWS Config almacenado en Amazon Simple Storage Service (Amazon S3)

Los controles son reglas de alto nivel que proporcionan gobernanza continua para el entorno general de AWS. Los controles pueden ser preventivos o de detección. Los controles preventivos se implementan mediante políticas de control de servicios (SCP), que forman parte de AWS Organizations. Los controles de detección se implementan mediante AWS Config. Algunos ejemplos de controles de AWS Control Tower son:

  • No permitir la creación de claves de acceso para el usuario raíz

  • No permitir la conexión a Internet a través de RDP

  • No permitir el acceso de escritura público a los buckets de S3

  • No permitir volúmenes de Amazon Elastic Block Store (Amazon EBS) que estén desvinculados de una instancia de Amazon Elastic Compute Cloud (Amazon EC2).

nota

AWS Control Tower es el punto de partida de una zona de aterrizaje. Debe determinar su estrategia de redes, administración de acceso y seguridad en función de los requisitos únicos a medida que construye su zona de aterrizaje.

Zona de aterrizaje hecha a medida

Puede elegir crear una solución propia de zona de aterrizaje personalizada. En este caso, implemente el entorno de referencia para empezar con la administración de identidades y accesos, la gobernanza, la seguridad de los datos, el diseño de redes y el registro. Le recomendamos este enfoque si desea crear todos los componentes del entorno desde cero, o si tiene requisitos que solo una solución personalizada puede satisfacer. Debe tener la experiencia suficiente con AWS para administrar, actualizar, mantener y operar la solución una vez que se haya implementado.

Recomendamos que comience con AWS Control Tower para construir las zonas de aterrizaje. AWS Control Tower lo ayuda a crear una configuración de la zona de aterrizaje inicial prescriptiva, a utilizar controles y esquemas listos para usar y a crear nuevas cuentas mediante Account Factory de AWS Control Tower.

Durante la configuración, puede personalizar la zona de aterrizaje desde la consola de AWS Control Tower. Para obtener más información, consulte la documentación de AWS Control Tower. Después de configurar la zona de aterrizaje fundamental, use una de estas opciones para mejorarla y personalizarla aún más:

  • Utilice Customizations for AWS Control Tower (CfCT), que ofrece amplias opciones de personalización a través de plantillas de CloudFormation y políticas de control de servicios (SCP). Para obtener más información, consulte la Documentación de AWS Control Tower.

  • Utilice el acelerador de zonas de aterrizaje (LZA) a fin de mejorar su zona de aterrizaje de manera que se ajuste a los marcos de cumplimiento. Para obtener más información, consulte la guía de implementación de LZA.