¿Qué es una zona de aterrizaje? - Recomendaciones de AWS
El marco de varias cuentas

¿Qué es una zona de aterrizaje?

Una zona de aterrizaje es un entorno de AWS correctamente diseñado, con varias cuentas, que es escalable y seguro. Este es un punto de partida desde el cual las organizaciones pueden lanzar e implementar rápidamente cargas de trabajo y aplicaciones con confianza en el entorno de seguridad e infraestructura. La creación de una zona de aterrizaje implica la toma de decisiones técnicas y empresariales en relación con la estructura de la cuenta, las redes, la seguridad y la gestión del acceso, de acuerdo con los objetivos empresariales y de crecimiento de la organización para el futuro.

Cuando empiece a utilizar AWS a escala, puede recurrir a AWS para recibir recomendaciones y conocer un enfoque para establecer el entorno. Las prácticas recomendadas de AWS en este ámbito se centran en la necesidad de aislar los recursos y las cargas de trabajo en varias cuentas de AWS (contenedores de recursos) para aislarlos y reducir el impacto. En la siguiente sección, se explica por qué es recomendable usar varias cuentas.

El marco de varias cuentas

Si bien no existe un número estándar de cuentas de AWS que debe tener, le recomendamos que cree más de una cuenta de AWS. Tener varias cuentas ofrece el nivel más alto de aislamiento de recursos y seguridad. Considere la posibilidad de crear cuentas adicionales de AWSsi responde afirmativamente a alguna de las siguientes preguntas:

  • ¿Su empresa requiere el aislamiento administrativo entre las cargas de trabajo?

  • ¿Su empresa requiere una visibilidad y detectabilidad limitadas de las cargas de trabajo?

  • ¿Su empresa requiere el aislamiento para minimizar el alcance del impacto?

  • ¿Su empresa requiere un fuerte aislamiento de los datos de recuperación o de auditoría?

Estas son otras razones por las que una sola cuenta podría no ser suficiente:

  • Controles de seguridad: las diferentes aplicaciones podrían tener diferentes perfiles de seguridad que requieren políticas y mecanismos de control diferentes. Por ejemplo, es más fácil hablar con un auditor y seleccionar una única cuenta que aloje la carga de trabajo de la industria de tarjetas de pago (PCI).

  • Aislamiento: una cuenta es una unidad de protección de seguridad. Los posibles riesgos y amenazas a la seguridad deben estar contenidos dentro de una cuenta sin afectar a otras. Es posible que diferentes necesidades de seguridad lo obliguen a aislar una cuenta de otra, debido a la existencia de varios equipos o a un perfil de seguridad diferente.

  • Aislamiento de datos: aislar los almacenes de datos en una cuenta limita la cantidad de personas que pueden acceder a ese almacén de datos y administrarlo. Esto restringe la exposición a datos altamente privados y, por lo tanto, puede ayudar a cumplir con el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

  • Muchos equipos: los diferentes equipos tienen diferentes responsabilidades y necesidades de recursos. No deberían entorpecerse en la misma cuenta.

  • Proceso de negocio: las distintas unidades de negocio o productos pueden tener propósitos y procesos completamente diferentes. Debe establecer cuentas diferentes para satisfacer las necesidades específicas de la empresa.

  • Facturación: una cuenta es la única forma verdadera de separar los elementos a nivel de facturación, incluida la separación de cargos por transferencias. Las cuentas múltiples ayudan a separar los elementos a nivel de facturación entre unidades de negocio, equipos funcionales o usuarios individuales.

  • Asignación de límites: los límites se aplican por cuenta. Separar las cargas de trabajo en distintas cuentas evita que estas agoten los límites o supongan un posible exceso de aprovisionamiento de recursos y, por lo tanto, impidan que otras aplicaciones funcionen según lo previsto.