Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Planificación de la implementación
En esta sección se describen la región, el [costo](cost.md), la [seguridad](aws-well-architected-design-considerations.md#security) y otras consideraciones antes de implementar la solución.
## Regiones de AWS admitidas
Esta solución utiliza el servicio Amazon Cognito, que actualmente no está disponible en todas las regiones de AWS. Para obtener la disponibilidad más reciente de los servicios de AWS por región, consulte la [lista de servicios regionales de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
La detección de cargas de trabajo en AWS está disponible en las siguientes regiones de AWS:
| Nombre de la región | |
| --- | --- |
| Este de EE. UU. (Norte de Virginia) | Canadá (centro) |
| Este de EE. UU. (Ohio) | Europa (Londres) |
| Oeste de EE. UU. (Oregón) | Europa (Fráncfort) |
| Asia-Pacífico (Bombay) | Europa (Irlanda) |
| Asia-Pacífico (Seúl) | Europa (París) |
| Asia-Pacífico (Singapur) | Europa (Estocolmo) |
| Asia-Pacífico (Sídney) | América del Sur (São Paulo) |
| Asia-Pacífico (Tokio) | |
La detección de cargas de trabajo en AWS no está disponible en las siguientes regiones de AWS:
| Nombre de la región | Servicio no disponible |
| --- | --- |
| AWS GovCloud (EE. UU. Este) | AWS AppSync |
| AWS GovCloud (EE. UU. Oeste) | AWS AppSync |
| China (Pekín) | Amazon Cognito |
| China (Ningxia) | Amazon Cognito |
# Costo
Usted es responsable del coste de los servicios de AWS aprovisionados durante la ejecución de esta solución. A partir de esta revisión, el coste de ejecutar esta solución mediante la opción de implementación de una sola instancia en la región de EE. UU. del Este (Virginia del Norte) es de aproximadamente **0,58\$1 por hora o 425,19** **\$1** al mes.
**nota**
El costo de ejecutar Workload Discovery en AWS en la nube de AWS depende de la configuración de implementación que elija. Los siguientes ejemplos proporcionan un desglose de los costos de las configuraciones de implementación de una o varias instancias en la región EE.UU. Este (Virginia del Norte). Los servicios de AWS que se muestran en las tablas de ejemplo siguientes se facturan mensualmente.
Recomendamos crear un [presupuesto](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) a través de [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) para ayudar a administrar los costos. Los precios están sujetos a cambios. Para obtener más información, consulte la página web de precios de cada servicio de AWS utilizado en esta solución.
## Ejemplos de tablas de costos
### Opción 1: implementación en una sola instancia (predeterminada)
Al implementar esta solución mediante una CloudFormation plantilla de AWS, se modifica el **OpensearchMultiAz**parámetro para `No` implementar una sola instancia para el dominio de OpenSearch servicio y se modifica el **CreateNeptuneReplica**parámetro para `No` implementar una sola instancia para el almacén de datos de Neptune. La opción de implementación en una sola instancia tiene un costo menor, pero reduce la disponibilidad de Workload Discovery en AWS en caso de que se produzca un error en la zona de disponibilidad.
| Servicio de AWS | Tipo de instancia | Coste por hora [USD] | Coste mensual [USD] |
| --- | --- | --- | --- |
| Amazon Neptune | `db.r5.large` | 0,348\$1 | 254,04 DÓLARES |
| OpenSearch Servicio Amazon | `m6g.large.search` | 0,128\$1 | 93,44 DÓLARES |
| Amazon VPC (puerta de enlace NAT) | N/A | 0,090 USD | 65,7 DÓLARES |
| AWS Config | N/A | 0,003\$1 por recurso | 0,003\$1 por recurso |
| Amazon ECS (tarea de AWS Fargate) | N/A | 0,02\$1 | 12,01 DÓLARES |
| Total | | **0,586\$1** | **425,19 DÓLARES** |
### Opción 2: implementación en varias instancias
Al implementar esta solución mediante una CloudFormation plantilla de AWS, modifique el **OpensearchMultiAz**parámetro para implementar `Yes` dos instancias en dos zonas de disponibilidad para el dominio de OpenSearch servicio y modifique el **CreateNeptuneReplica**parámetro para `Yes` implementar dos instancias en dos zonas de disponibilidad para el almacén de datos de Neptune. La opción de implementación en varias instancias costará más, pero aumentará la disponibilidad de Workload Discovery en AWS en caso de que se produzca un error en la zona de disponibilidad.
| Servicio de AWS | Tipo de instancia | Coste por hora | Coste mensual [USD] |
| --- | --- | --- | --- |
| Amazon Neptune | `db.r5.large` | 0,696\$1 | 508,08 DÓLARES |
| OpenSearch Servicio Amazon | `m6g.large.search` | 0,256\$1 | 186,88 DÓLARES |
| Amazon VPC (puerta de enlace NAT) | N/A | 0,090 USD | 65,7 DÓLARES |
| AWS Config | N/A | 0,003\$1 por recurso | 0,003\$1 por recurso |
| Amazon ECS (tarea de AWS Fargate) | N/A | 0,02\$1 | 12,01 DÓLARES |
| Total | | **1,062 DÓLARES** | **772,67 DÓLARES** |
+ El costo final depende de la cantidad de recursos que AWS Config detecte. Se incurrirá en 0,003 USD por elemento de recurso registrado, además del importe indicado en la tabla.
**importante**
El coste de Amazon Neptune y Amazon OpenSearch Service varía en función del tipo de instancia que seleccione.
# Seguridad
Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) reduce la carga operativa, ya que AWS opera, administra y controla los componentes, incluidos el sistema operativo anfitrión, la capa de virtualización y la seguridad física de las instalaciones en las que operan los servicios. Para obtener más información sobre la seguridad de AWS, visite el [Centro de seguridad de AWS](https://aws.amazon.com/security/).
## Acceso a recursos
### Roles de IAM
Las funciones de IAM permiten a los clientes asignar políticas y permisos de acceso detallados a los servicios y usuarios de la nube de AWS. Se requieren varios roles para ejecutar Workload Discovery en AWS y descubrir recursos en las cuentas de AWS.
### Amazon Cognito
Amazon Cognito se utiliza para autenticar el acceso con credenciales sólidas y de corta duración que permiten el acceso a los componentes que Workload Discovery necesita en AWS.
## Acceso a la red
### Amazon VPC
Workload Discovery en AWS se implementa en una VPC de Amazon y se configura de acuerdo con las prácticas recomendadas para ofrecer seguridad y alta disponibilidad. Para obtener más información, consulte las [prácticas recomendadas de seguridad para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html). Los puntos finales de VPC permiten el tránsito entre los servicios sin conexión a Internet y se configuran cuando están disponibles.
Los grupos de seguridad se utilizan para controlar y aislar el tráfico de red entre los componentes necesarios para ejecutar Workload Discovery en AWS.
Le recomendamos que revise los grupos de seguridad y restrinja aún más el acceso según sea necesario una vez que la implementación esté en marcha.
### Amazon CloudFront
Esta solución implementa una interfaz de usuario de consola web [alojada](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html) en un bucket de Amazon S3 distribuido por Amazon CloudFront. Al utilizar la función de identidad de acceso de origen, solo se puede acceder al contenido de este bucket de Amazon S3 a través de CloudFront. Para obtener más información, consulte [Restringir el acceso a un origen de Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) en la *Guía para CloudFront desarrolladores de Amazon*.
CloudFront activa medidas de seguridad adicionales para añadir encabezados de seguridad HTTP a cada respuesta del espectador. Para obtener más información, consulta [Añadir o eliminar encabezados HTTP](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-response-headers.html) en las respuestas. CloudFront
Esta solución usa el CloudFront certificado predeterminado, que tiene un protocolo de seguridad mínimo admitido de TLS v1.0. Para imponer el uso de TLS v1.2 o TLS v1.3, debe usar un certificado SSL personalizado en lugar del certificado predeterminado. CloudFront Para obtener más información, consulte [Cómo configuro mi CloudFront distribución para usar un certificado SSL/TLS](https://aws.amazon.com/premiumsupport/knowledge-center/install-ssl-cloudfront/).
## Configuración de aplicaciones
### AWS AppSync
[Workload Discovery on AWS GraphQL APIs solicita la validación proporcionada por AWS de AppSync acuerdo con la especificación de GraphQL.](https://spec.graphql.org/June2018/#sec-Validation) Además, la autenticación y la autorización se implementan mediante IAM y Amazon Cognito, que utilizan el JWT proporcionado por Amazon Cognito cuando un usuario se autentica correctamente en la interfaz de usuario web.
### AWS Lambda
De forma predeterminada, las funciones de Lambda se configuran con la versión estable más reciente del motor de ejecución del lenguaje. No se registran datos confidenciales ni secretos. Las interacciones de servicio se llevan a cabo con el mínimo de privilegios requerido. Los roles que definen estos privilegios no se comparten entre funciones.
### OpenSearch Servicio Amazon
Los dominios OpenSearch de Amazon Service están configurados con una política de acceso que restringe el acceso para detener cualquier solicitud no firmada realizada al clúster de OpenSearch servicios. Esto está restringido a una sola función Lambda.
El clúster de OpenSearch servicios está creado con el node-to-node cifrado activado para añadir una capa adicional de protección de datos a las [funciones de seguridad](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/security.html) del OpenSearch servicio existentes.
# Cuotas
Las cuotas de servicio (que también se denominan límites) establecen el número máximo de recursos u operaciones de servicio para su cuenta de AWS.
## Cuotas para los servicios de AWS en esta solución
Asegúrese de tener una cuota suficiente para cada uno de los [servicios implementados en esta solución](aws-services-in-this-solution.md). Para obtener más información, consulte [Service Quotas de AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
Utilice los siguientes enlaces para ir a la página de ese servicio. Para ver las cuotas de servicio de todos los servicios de AWS en la documentación sin cambiar de página, consulte la información en la página de [puntos finales y cuotas del servicio](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information) en el PDF.
| | |
| --- |--- |
| [Amplify](https://docs.aws.amazon.com/general/latest/gr/amplify.html) | [Amazon ECR](https://docs.aws.amazon.com/general/latest/gr/ecr.html) |
| [Athena](https://docs.aws.amazon.com/general/latest/gr/athena.html) | [Lambda](https://docs.aws.amazon.com/general/latest/gr/lambda-service.html) |
| [CloudFront](https://docs.aws.amazon.com/general/latest/gr/cf_region.html) | [OpenSearch Servicio](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html) |
| [Cognito](https://docs.aws.amazon.com/general/latest/gr/cognito_identity.html) | [Neptune](https://docs.aws.amazon.com/general/latest/gr/neptune.html) |
| [Config](https://docs.aws.amazon.com/general/latest/gr/awsconfig.html) | [Amazon S3](https://docs.aws.amazon.com/general/latest/gr/s3.html) |
| [Amazon ECS](https://docs.aws.amazon.com/general/latest/gr/ecs-service.html) | |
## CloudFormation Cuotas de AWS
Su cuenta de AWS tiene CloudFormation cuotas de AWS que debe tener en cuenta al [lanzar la pila](launch-the-stack.md) de esta solución. Si comprende estas cuotas, puede evitar errores de limitación que le impidan implementar esta solución correctamente. Para obtener más información, consulte [ CloudFormation las cuotas de AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html) en la *Guía del CloudFormation usuario de AWS*.
## Cuotas de AWS Lambda
Su cuenta tiene una cuota de 1000 ejecuciones simultáneas de AWS Lambda. Si la solución se usa en una cuenta en la que hay otras cargas de trabajo en ejecución y que utilizan Lambda, establezca esta cuota en un valor adecuado. Este valor se puede ajustar; para obtener más información, consulte [las cuotas de AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-limits.html) en la Guía del usuario de *AWS Lambda*.
**nota**
Esta solución requiere 150 ejecuciones de la cuota de ejecución simultánea para que esté disponible en la cuenta en la que se va a implementar la solución. Si hay menos de 150 ejecuciones disponibles en esa cuenta, la CloudFormation implementación fallará.
## Cuotas de Amazon VPC
Su cuenta de AWS puede contener cinco VPCs y dos Elastic IPs (EIPs). Si la solución se usa en una cuenta con otro VPCs o EIPs, esto podría impedirle implementar la solución correctamente. Si corre el riesgo de alcanzar esta cuota, puede proporcionar su propia VPC para la implementación si la proporciona al seguir los pasos de la sección [Launch the Stack](launch-the-stack.md). Para obtener más información, consulte las [cuotas de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) en la Guía del usuario de Amazon *[VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)*.
# Elegir la cuenta de despliegue
Si va a implementar Workload Discovery en AWS en una organización de AWS, la solución debe estar instalada en una cuenta de administrador delegado en la que estén [StackSets](https://aws.amazon.com/blogs/mt/cloudformation-stacksets-delegated-administration/)habilitadas las capacidades [multirregionales de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/aggregated-register-delegated-administrator.html).
Si no utiliza AWS Organizations, le recomendamos que implemente Workload Discovery on AWS en una cuenta de AWS dedicada creada específicamente para esta solución. Este enfoque significa que Workload Discovery en AWS está aislado de sus cargas de trabajo existentes y proporciona una ubicación única para configurar la solución, por ejemplo, añadir usuarios e importar nuevas regiones. También es más fácil realizar un seguimiento de los costes incurridos al ejecutar la solución.
Después de implementar Workload Discovery en AWS, podrá importar regiones de cualquier cuenta que ya haya aprovisionado.