Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descripción general
Trabajamos con una farmacéutica multinacional para llevar a cabo actividades de prueba de concepto (PoC) en AWS a fin de explorar cómo podían migrar sus aplicaciones desde su entorno en las instalaciones a la Nube de AWS. A medida que empezaron a escalar y acelerar su flujo de trabajo de migración para incluir cargas de trabajo de producción, se hizo evidente que, para lograr su objetivo, necesitaban una zona de aterrizaje de AWS regulada y que cumpliera con las normas. Usamos AWS Control Tower para diseñar e implementar una nueva zona de aterrizaje de AWS.
Un aspecto importante de una nueva zona de aterrizaje de AWS y de su organización es la estructura de sus unidades organizativas (UO). Una UO es una agrupación lógica de Cuentas de AWS que se ha creado con AWS Organizations. Puede utilizar las UO para organizar las Cuentas de AWS en una jerarquía y aplicar los controles de administración y gobernanza de forma coherente y sencilla.
Puede asociar controles basados en políticas a una UO y a las Cuentas de AWS. Las UO secundarias de una UO heredan esos controles de forma automática. Por lo tanto, las UO desempeñan un papel fundamental en la administración de la seguridad y la gobernanza en AWS Organizations.
Una política es un documento JSON que incluye una o más instrucciones que definen los controles que se desean aplicar a un grupo de Cuentas de AWS. En este momento, AWS Organizations admite cuatro tipos de políticas, también llamadas políticas de control de servicio (SCP). Una SCP define los Servicios de AWS y las acciones que están disponibles para su uso en diferentes Cuentas de AWS. Por ejemplo, puede usar una SCP para exigir que las inicializaciones de instancias de Amazon Elastic Compute Cloud (Amazon EC2) usen un tipo de instancia específico.
Tipos de políticas
A continuación, se indican los tipos de políticas SCP:
-
Las listas de permitidos y las listas de denegación son estrategias complementarias para cuando se aplican políticas SCP para filtrar los permisos que están disponibles para las cuentas.
-
Las políticas de etiquetas lo ayudan a mantener la coherencia de las etiquetas, incluido el tratamiento de casos preferentes de valores y claves de etiquetas entre cuentas.
-
Las políticas de copia de seguridad configuran las copias de seguridad de los tipos de recursos compatibles, como la ventana de tiempo de los almacenes de copia de seguridad y de destino para las copias de seguridad de todas las Regiones de AWS.
-
Las políticas de exclusión de los servicios de IA activan o desactivan la mejora continua de los servicios de inteligencia artificial (IA) de AWS a nivel mundial.
Comportamiento de herencia de políticas: cuando asocia una política a una UO específica, las cuentas que pertenecen directamente a esa UO o a cualquier UO secundaria heredan la política. Cuando se asocia una política a una cuenta específica, solo afecta a esa cuenta. Para sobrescribir las políticas heredadas, introduzca políticas de excepción. La herencia permite explícitamente que todos los permisos fluyan desde el elemento raíz (UO) a cada Cuenta de AWS de esa UO y UO secundaria, a menos que deniegue un permiso explícitamente. Para denegar un permiso, debe crear una política adicional y asociarla a la UO o a la Cuenta de AWS correspondiente. Para obtener más información sobre la herencia y las excepciones de las políticas, consulte la documentación de AWS Organizations.
AWS Control Tower también proporciona su propio conjunto de controles de prevención y detección (también llamados barreras de protección) mediante la estructura de UO. Los controles de prevención de AWS Control Tower previenen las acciones mediante las SCP de AWS Organizations. Los controles de detección informan sobre las desviaciones en las configuraciones respecto al control mediante AWS Config. Para obtener más información sobre estos controles, consulte la documentación de AWS Control Tower.
También puede activar AWS Security Hub CSPM para automatizar las comprobaciones según las prácticas recomendadas en materia de seguridad, agrupar las alertas de seguridad en un único lugar y formato y comprender la postura general de seguridad en todas las Cuentas de AWS.
