Administración de operaciones

Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de servicios

Explicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.

約 9 分で読めます

Descripción general de AWS Organizations

AWS Organizations es un servicio para gestionar centralizadamente múltiples cuentas AWS, hasta miles de cuentas. Ejecutar todos los entornos en una sola cuenta difumina los límites de seguridad y dificulta la separación de facturación. Al separar cuentas con Organizations y agruparlas en jerarquías de OU, se logran límites de seguridad y separación de facturación por entorno. Las OU (Organizational Units) se crean bajo la raíz de la organización y las cuentas se colocan dentro de las OU en una estructura de árbol. La cuenta de gestión (anteriormente cuenta maestra) gobierna toda la organización y no está sujeta a restricciones de SCP. En entornos on-premises, lograr un aislamiento similar requiere segmentación de red o separación física de servidores con alto costo, mientras que en AWS la creación de cuentas se completa con una sola llamada API sin costo de infraestructura adicional.

SCP y facturación consolidada

Las SCP son políticas de control de acceso aplicadas a OU o cuentas que establecen límites superiores para las políticas IAM. Por ejemplo, aplicar una SCP que "prohíbe el uso de regiones distintas a las especificadas" a una OU de producción significa que las cuentas bajo ella no pueden crear recursos en regiones restringidas, incluso si las políticas IAM lo permiten. Las SCP pueden escribirse en formato de lista de permitidos o lista de denegados, siendo la lista de denegados operativamente más simple y recomendada. Las SCP se heredan hacia abajo en la jerarquía de OU, por lo que la SCP de una OU padre se aplica a todas las OU hijas y sus cuentas. Con la facturación consolidada, el uso de todas las cuentas de la organización se agrega y se aplican descuentos por volumen de S3 y EC2. Los RI y Savings Plans también se comparten dentro de la organización, aplicando descuentos a cuentas distintas de la que compra. Combinado con AWS Cost Explorer para análisis de costos por OU y cuenta, y AWS Budgets para alertas de presupuesto por cuenta, se pueden prevenir proactivamente los sobrecostos.

Diseño de OU y estrategia de cuentas

El diseño de OU es la base para los límites de seguridad y la gobernanza. La estructura de OU recomendada incluye: OU de Seguridad (archivo de logs, auditoría de seguridad), OU de Infraestructura (redes, servicios compartidos), OU de Cargas de trabajo (producción, desarrollo, staging) y OU de Sandbox (experimentación). Las SCP se aplican a las OU y son heredadas por todas las cuentas inferiores. La función de administrador delegado delega la gestión de servicios de seguridad (GuardDuty, Security Hub, Config) a una cuenta de seguridad, manteniendo las operaciones en la cuenta de gestión al mínimo. Los trails organizacionales de CloudTrail agregan operaciones API de todas las cuentas en una cuenta central de archivo de logs, optimizando auditorías de seguridad y cumplimiento. Las políticas de etiquetas estandarizan las etiquetas de recursos en todas las cuentas, mejorando la precisión de la asignación de costos. Para aprender Organizations desde lo básico hasta lo avanzado, libros técnicos (Amazon) son útiles como referencia.

Compartición de recursos entre cuentas con RAM

AWS RAM (Resource Access Manager) permite compartir recursos de forma segura entre cuentas AWS. Soporta la compartición de subnets VPC, Transit Gateways, reglas de Route 53 Resolver, políticas de Network Firewall y muchos otros tipos de recursos. Al integrarse con Organizations, la compartición de recursos se automatiza a nivel de OU: las nuevas cuentas añadidas a una OU obtienen automáticamente acceso a los recursos compartidos. Compartir subnets VPC gestionadas por una cuenta de red central con las cuentas de carga de trabajo permite una gestión eficiente del espacio de direcciones IP y un control centralizado de políticas de red. La propiedad del recurso permanece en la cuenta que comparte, manteniendo la seguridad y gobernanza mientras se permite una utilización eficiente de recursos.

Elección entre Organizations y Control Tower

Organizations es el servicio base para la estructura organizacional, mientras que Control Tower es un servicio de automatización de mejores prácticas construido sobre Organizations. Al usar Organizations solo, es necesario configurar manualmente el diseño de OU, la creación de SCP y la agregación de logs. Al habilitar Control Tower, se proporciona una Landing Zone con estructura de OU recomendada, más de 400 guardrails predefinidos (SCP más reglas de Config compatibles con CIS Benchmark y NIST 800-53) y Account Factory para el aprovisionamiento automatizado de nuevas cuentas. Para configuraciones simples con pocas cuentas (alrededor de 5), Organizations solo es suficiente, pero para entornos que se espera crezcan más allá de 10 cuentas, se recomienda adoptar Control Tower. Control Tower abarca todas las funciones de Organizations, por lo que habilitarlo después preserva las estructuras de OU existentes.

Errores de diseño y consideraciones

Un error común en la operación de Organizations es ejecutar cargas de trabajo en la cuenta de gestión. Dado que la cuenta de gestión está exenta de restricciones SCP, los guardrails de seguridad no se aplican. Use la cuenta de gestión solo para gestión organizacional y facturación, y siempre coloque las cargas de trabajo en cuentas miembro. En el diseño de SCP, usar listas de permitidos crea carga operativa ya que cada lanzamiento de nuevo servicio requiere actualizaciones de SCP, por lo que las listas de denegados que solo declaran acciones prohibidas son más prácticas. La profundidad de anidamiento de OU está limitada a 5 niveles, pero la profundidad excesiva hace compleja la herencia de SCP y dificulta rastrear qué políticas se aplican a qué cuentas. Mantenerlo en 2-3 niveles es una mejor práctica operacional. Cada cuenta mantiene un límite IAM independiente, por lo que un incidente de seguridad en una cuenta impacta mínimamente a las demás, esta es la mayor ventaja de la estrategia multi-cuenta.

Precios de Organizations

Organizations en sí no genera cargos adicionales. La facturación consolidada agrega el uso de las cuentas miembro, proporcionando beneficios de descuento por volumen. Habilitar el compartir RI y Savings Plans aplica descuentos a cuentas distintas de la compradora. A medida que crece el número de cuentas, los costos se acumulan por los servicios habilitados en cada cuenta (CloudTrail, Config, GuardDuty), por lo que gestionar qué servicios habilitar a nivel de OU es importante. Aplicar políticas de etiquetas a través de Organizations mantiene reglas de etiquetado consistentes en todas las cuentas, permitiendo una asignación de costos precisa.

Resumen

Organizations es un servicio que centraliza la gobernanza y gestión de costos para entornos multi-cuenta. Las jerarquías de OU y SCP establecen límites de seguridad, y la función de administrador delegado delega la gestión de servicios de seguridad a cuentas dedicadas. RAM simplifica el diseño de red mediante la compartición de recursos entre cuentas, mientras que la facturación consolidada aprovecha descuentos por volumen y compartir RI/Savings Plans. Las políticas de etiquetas estandarizan las etiquetas de recursos en toda la organización, y los trails organizacionales de CloudTrail proporcionan auditoría API unificada en todas las cuentas. Para entornos con 10 o más cuentas, combinar con Control Tower fortalece la automatización, y evitar la ejecución de cargas de trabajo en la cuenta de gestión es clave para mantener la seguridad.

Servicios relacionados

AWS OrganizationsServicio para gestionar centralmente múltiples cuentas de AWSAWS Control TowerUn servicio que automatiza la configuración y gobernanza de entornos multi-cuentaAWS ConfigUn servicio que registra y evalúa cambios de configuración de recursos AWS y monitorea el cumplimiento continuamente

Artículos relacionados

Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.Active Directory administrado con AWS Directory Service - Gestion de identidades en entornos hibridosDisene la construccion de AWS Managed Microsoft AD y la relacion de confianza con AD on-premises. Presentamos la gestion de identidades hibrida mediante integracion con WorkSpaces, RDS y FSx.

Más sobre este tema

El mecanismo de sincronización horaria interna de AWS - Amazon Time Sync Service y el diseño de smearing de segundos intercalaresExplicamos el mecanismo de Amazon Time Sync Service operado de forma independiente por AWS, la fuente de tiempo de alta precisión con GPS y relojes atómicos, la decisión de diseño de absorber los segundos intercalares mediante smearing y la importancia de la sincronización horaria en sistemas distribuidos.Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security LakeExplicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.Implementación de Feature Flags con AWS AppConfig - Despliegue seguro de configuración y rollbackDespliega cambios de configuración de forma independiente al código mediante estrategias Linear y Exponential. Garantiza la seguridad con rollback automático activado por alarmas de CloudWatch.Revisión de arquitectura - Evaluación sistemática de cargas de trabajo con AWS Well-Architected ToolExplica la revisión de arquitectura de cargas de trabajo usando AWS Well-Architected Tool. Presenta la evaluación basada en 6 pilares, la elaboración de planes de mejora y el uso de lentes personalizados.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Lecciones de sistemas distribuidos de los informes de incidentes (COE) de AWS - Principios de diseño que cambiaron las grandes interrupciones del pasadoA partir de los Correction of Errors (COE) e informes de incidentes publicados por AWS, explicamos las causas raíz de grandes incidentes pasados como la interrupción de S3, la interrupción de DNS en us-east-1 y la interrupción de Kinesis, y cómo cambiaron los principios de diseño de AWS.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Por qué existen las cuotas de servicio de AWS - Diseño multitenant que protege la infraestructura compartidaExplicamos que las cuotas de servicio de AWS (antes límites de servicio) no son simples restricciones sino un diseño para proteger a otros clientes en un entorno multitenant, desde el problema del vecino ruidoso, la diferencia entre límites soft y hard, y el trasfondo de las solicitudes de aumento.

Artículos y servicios similares

AWS OrganizationsServicio de gestión de cuentas que administra centralmente múltiples cuentas AWS como una organización, aplicando control mediante facturación consolidada y políticas de control de serviciosCapacidad de diseño de gobernanza multi-cuenta en AWS - Gobernanza organizacional con Organizations, Control Tower y SCPComparamos el mecanismo de gobernanza multi-cuenta centrado en AWS Organizations, Control Tower y SCP (Service Control Policies) con Azure Management Groups, explicando la diferencia en capacidad de diseño de gobernanza empresarial.AWS Control TowerServicio que automatiza la configuración y gobernanza de entornos AWS multi-cuenta, gestionando centralmente las líneas base de seguridad y complianceCompartición de recursos entre cuentas con AWS RAM - Subnets VPC y Transit Gateway compartidosComparte recursos AWS entre cuentas de la organización sin duplicarlos. Presentamos la compartición de subnets VPC, Transit Gateway, Route 53 Resolver Rules y otros recursos.