Administración de operaciones

Aprovisionamiento de servicios IT - Infraestructura de autoservicio con AWS Service Catalog

Explicamos la catalogación de servicios IT aprobados con AWS Service Catalog y el aprovisionamiento de infraestructura de autoservicio mediante la integración con CloudFormation. Presentamos patrones operativos que aumentan la autonomía de los equipos de desarrollo manteniendo la gobernanza.

約 4 分で読めます

Desafíos del aprovisionamiento de servicios IT y Service Catalog

En entornos empresariales, es necesario que los equipos de desarrollo puedan utilizar rápidamente los recursos de infraestructura necesarios, al tiempo que se garantiza el cumplimiento de los estándares de seguridad y los requisitos de conformidad. El aprovisionamiento manual tradicional por parte del departamento de IT podía tardar de días a semanas desde la solicitud hasta la entrega, convirtiéndose en un cuello de botella para la velocidad de desarrollo. AWS Service Catalog permite a los administradores de IT catalogar configuraciones de recursos AWS aprobadas como productos, que los usuarios finales pueden aprovisionar por sí mismos. Esto mantiene la gobernanza mientras acelera la entrega de infraestructura.

Diseño de productos y portafolios

Los productos de Service Catalog se definen basándose en plantillas de CloudFormation, permitiendo mejoras graduales mediante el control de versiones. Por ejemplo, un producto llamado "Entorno de aplicación web segura" registra una plantilla de CloudFormation que incluye VPC, subnets, grupos de seguridad, ALB, grupo de Auto Scaling de EC2 e instancia RDS. Los productos se agrupan en portafolios y se comparten con usuarios o grupos de IAM específicos. Las restricciones de plantilla limitan los valores de parámetros que los usuarios pueden seleccionar, como tipos de instancia o regiones permitidas.

Integración con CloudFormation y garantía de gobernanza

Como Service Catalog utiliza CloudFormation como backend, se pueden aplicar directamente las mejores prácticas de Infrastructure as Code. Al incorporar reglas de AWS Config, logs de CloudTrail y configuraciones de cifrado en las plantillas, se garantiza que todos los recursos aprovisionados cumplan con los estándares de seguridad. Las restricciones de lanzamiento (Launch Constraints) permiten ejecutar el aprovisionamiento con un rol de IAM específico, de modo que los usuarios finales no necesitan permisos directos para crear recursos. Esto implementa el principio de mínimo privilegio mientras permite el autoservicio.

Integración con Organizations y despliegue multi-cuenta

Service Catalog se integra con AWS Organizations para compartir portafolios en toda la organización. Al compartir portafolios definidos en la cuenta de gestión por unidad organizativa (OU), se proporciona un catálogo de productos consistente en todas las cuentas. Cuando se agrega una nueva cuenta a una OU, se otorga automáticamente acceso al portafolio. La integración con AWS Control Tower permite incluir productos de Service Catalog en el proceso de Account Factory, proporcionando automáticamente recursos estándar al crear nuevas cuentas.

Precios de Service Catalog

Service Catalog en sí no tiene cargos adicionales. Los costos son solo los cargos de uso de los recursos AWS aprovisionados. Compartir portafolios con Organizations tampoco tiene cargos adicionales, lo que lo hace atractivo como base de gobernanza para toda la organización con bajo costo de implementación. Las restricciones de plantilla limitan los tipos de instancia, reduciendo el riesgo de que los usuarios finales creen accidentalmente recursos costosos.

Resumen - Realización del aprovisionamiento de infraestructura de autoservicio

AWS Service Catalog es una base de aprovisionamiento de infraestructura de autoservicio que aumenta la autonomía de los equipos de desarrollo manteniendo la gobernanza. Al combinar la estandarización de configuraciones aprobadas con plantillas de CloudFormation, el mantenimiento del mínimo privilegio con restricciones de lanzamiento y la automatización de la gestión de costos con opciones de etiquetas, se logra compatibilidad entre seguridad y agilidad. La integración con Organizations permite un despliegue consistente en entornos multi-cuenta.

Servicios relacionados

AWS Service CatalogServicio de catálogo que ofrece servicios de TI aprobados en autoservicio a toda la organizaciónAWS CloudFormationUn servicio de IaC que define y aprovisiona recursos AWS como código mediante plantillasAWS OrganizationsServicio para gestionar centralmente múltiples cuentas de AWS

Artículos relacionados

Gobernanza de TI con AWS Service Catalog - Estandarización de productos aprobados y habilitación del autoservicioExplicamos cómo catalogar plantillas CloudFormation aprobadas por TI y proporcionar de forma segura a los usuarios finales el aprovisionamiento de autoservicio con Service Catalog.Adquisición de software en AWS Marketplace - Suscripciones SaaS y ofertas privadasSe adquiere software de terceros en 3 formatos (AMI, contenedor, SaaS) y se integra en la facturación de AWS. Se explica la gobernanza organizacional con Private Marketplace y la automatización de la gestión de contratos.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.

Más sobre este tema

El mecanismo de sincronización horaria interna de AWS - Amazon Time Sync Service y el diseño de smearing de segundos intercalaresExplicamos el mecanismo de Amazon Time Sync Service operado de forma independiente por AWS, la fuente de tiempo de alta precisión con GPS y relojes atómicos, la decisión de diseño de absorber los segundos intercalares mediante smearing y la importancia de la sincronización horaria en sistemas distribuidos.Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security LakeExplicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.Implementación de Feature Flags con AWS AppConfig - Despliegue seguro de configuración y rollbackDespliega cambios de configuración de forma independiente al código mediante estrategias Linear y Exponential. Garantiza la seguridad con rollback automático activado por alarmas de CloudWatch.Revisión de arquitectura - Evaluación sistemática de cargas de trabajo con AWS Well-Architected ToolExplica la revisión de arquitectura de cargas de trabajo usando AWS Well-Architected Tool. Presenta la evaluación basada en 6 pilares, la elaboración de planes de mejora y el uso de lentes personalizados.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Lecciones de sistemas distribuidos de los informes de incidentes (COE) de AWS - Principios de diseño que cambiaron las grandes interrupciones del pasadoA partir de los Correction of Errors (COE) e informes de incidentes publicados por AWS, explicamos las causas raíz de grandes incidentes pasados como la interrupción de S3, la interrupción de DNS en us-east-1 y la interrupción de Kinesis, y cómo cambiaron los principios de diseño de AWS.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Por qué existen las cuotas de servicio de AWS - Diseño multitenant que protege la infraestructura compartidaExplicamos que las cuotas de servicio de AWS (antes límites de servicio) no son simples restricciones sino un diseño para proteger a otros clientes en un entorno multitenant, desde el problema del vecino ruidoso, la diferencia entre límites soft y hard, y el trasfondo de las solicitudes de aumento.

Artículos y servicios similares

Gobernanza de TI con AWS Service Catalog - Estandarización de productos aprobados y habilitación del autoservicioExplicamos cómo catalogar plantillas CloudFormation aprobadas por TI y proporcionar de forma segura a los usuarios finales el aprovisionamiento de autoservicio con Service Catalog.AWS Service CatalogServicio de gobernanza que gestiona plantillas de CloudFormation aprobadas por la organización como un catálogo y proporciona a los usuarios finales aprovisionamiento de recursos en autoservicioGestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.AWS Control TowerServicio que automatiza la configuración y gobernanza de entornos AWS multi-cuenta, gestionando centralmente las líneas base de seguridad y compliance