View a markdown version of this page

Lecciones aprendidas y prácticas recomendadas - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Lecciones aprendidas y prácticas recomendadas

  • El diseño de la estructura de UO no es un esfuerzo de una sola vez. A medida que una empresa aumenta la adopción de la nube y migra más cargas de trabajo a la zona de aterrizaje de AWS, su diseño de UO (e implícitamente su concepto de las políticas) también evolucionará de forma natural.

  • No confunda las UO con carpetas; considérelas un destino para las políticas. Las UO y su jerarquía proporcionan el elemento estructurador de las Cuentas de AWS y siempre deben tratarse como contenedores de dichas políticas. Le recomendamos que coloque todas las Cuentas de AWS que requieran el mismo conjunto de políticas en la misma UO. Esta directriz también se aplica a las UO anidadas (las UO que están dentro de UO).

    Los entornos de AWS que necesitan una funcionalidad compartida de forma centralizada y capacidades de uso compartido de datos entre cargas de trabajo (que suelen encontrarse en las plataformas de datos empresariales) son más fáciles de acomodar en una estructura de UO que no se base en la clasificación de funciones según las líneas de negocio (LOB). Por ejemplo, en términos de políticas, en AWS Organizations no hay ninguna diferencia entre un entorno de producción para una aplicación de fabricación y un entorno de producción para una aplicación de análisis de ensayos clínicos.

  • Respete y use la herencia. Cuando asocia una política a una UO específica, las Cuentas de AWS que están directamente en esa UO o cualquier UO secundaria heredan la política. Cuando se asocia una política a una Cuenta de AWS específica, la política solo afecta a esa Cuenta de AWS.

    El esfuerzo de migración de una estructura de UO a otra depende de la complejidad de configuración de las políticas actuales a nivel de UO o Cuenta de AWS. Otro factor importante es el grado de herencia de políticas que se utilizó en la jerarquía de UO actual o si se infringió la herencia. La complejidad de la migración aumenta con la implementación de rutas de herencia irregulares o que se desvían. Por ejemplo, si aplica políticas a cada Cuenta de AWS o hace excepciones frecuentes a las políticas (lo que pone interrumpe la herencia), migrar esas políticas a una nueva estructura requerirá un esfuerzo considerablemente mayor. En estos casos de alta complejidad, le recomendamos que dedique tiempo a revisar y rediseñar la herencia de políticas cuando planifique la migración.

  • Preste atención tanto a las políticas de AWS Organizations como a los controles de AWS Control Tower. La estructura de UO se comparte entre AWS Control Tower y AWS Organizations. AWS Control Tower proporciona su propio conjunto de controles de prevención y detección. Estos controles se aplican a nivel de Cuenta de AWS o de UO. AWS Organizations organiza las políticas a nivel de UO. En una migración de UO, se recomienda migrar primero las políticas de AWS Organizations, ya que estas tienen más peso para el cumplimiento. Se recomienda que aplique los controles de AWS Control Tower a la nueva estructura de UO en el segundo paso de la migración.

  • La actualización de Cuentas de AWS lleva tiempo. Debe volver a inscribir las Cuentas de AWS existentes de forma individual en la nueva estructura de UO mediante AWS Control Tower. Esto lleva tiempo. Si tiene una gran cantidad de cuentas, le recomendamos que agilice este trabajo mediante la automatización para controlar y automatizar la ubicación de las Cuentas de AWS en las UO. A continuación, se muestran dos situaciones de ejemplo:

    • Cambio manual para una migración pequeña: el responsable de la migración reasigna cada Cuenta de AWS de la UO antigua a la nueva en la Consola de administración de AWS. Cuando se haya completado la reasignación de todas las Cuentas de AWS, el proceso de migración abrirá AWS Control Tower para cada Cuenta de AWS por separado o para todas las UO. Para volver a inscribir Cuentas de AWS en AWS Control Tower, se necesitan entre 10 y 15 minutos para cada Cuenta de AWS en función del número de Regiones de AWS que se usen en la cuenta. AWS Control Towerpermite ejecutar hasta cinco operaciones simultáneas de este tipo en paralelo.

    • Automatización de cambios personalizada: la automatización simplifica las tareas y ahorra esfuerzos. Por ejemplo, puede automatizar la administración del ciclo de vida de una Cuenta de AWS desde su creación hasta su migración y finalización. Puede usar el Generador de cuentas de AWS Control Tower para cambiar la asignación de una Cuenta de AWS a las UO y ejecutar el proceso de reinscripción. Esta automatización permite migrar cientos de Cuentas de AWS a gran escala.