Administración de operaciones

Gobernanza de TI con AWS Service Catalog - Estandarización de productos aprobados y habilitación del autoservicio

Explicamos cómo catalogar plantillas CloudFormation aprobadas por TI y proporcionar de forma segura a los usuarios finales el aprovisionamiento de autoservicio con Service Catalog.

約 7 分で読めます

Rol de Service Catalog

Service Catalog es un servicio que gestiona configuraciones de recursos AWS aprobadas por TI como un catalogo de hasta 5,000 productos, permitiendo a los usuarios finales aprovisionarlos mediante autoservicio. Cuando los usuarios finales crean recursos AWS libremente, surgen problemas como configuraciones de seguridad incorrectas, dificultades en la gestion de costos e inconsistencia arquitectonica. Con Service Catalog, los equipos de TI registran plantillas CloudFormation como productos y proporcionan solo configuraciones aprobadas a los usuarios finales. Los usuarios simplemente seleccionan un producto del catalogo e ingresan parametros, y los recursos estandarizados se aprovisionan automaticamente. Las plantillas Terraform tambien pueden registrarse como productos, permitiendo aprovechar activos IaC existentes.

Diseno de portafolios y restricciones

Un portafolio es una coleccion de productos que otorga acceso a principales IAM (usuarios, grupos, roles). Se pueden disenar portafolios como uno de equipo de desarrollo con EC2 y RDS de entorno dev, y uno de equipo de datos con Redshift y Glue. Las restricciones de lanzamiento especifican el rol IAM usado al aprovisionar un producto: los recursos se crean con los permisos del rol especificado, no con los permisos IAM propios del usuario final. Esto permite la creacion de recursos solo a traves del catalogo sin otorgar permisos directos de ejecucion de CloudFormation. Las restricciones de plantilla limitan los valores permitidos de parametros CloudFormation, habilitando controles como restringir tipos de instancia solo a t3.micro y t3.small. Configurar TagOptions impone etiquetas de asignacion de costos y propiedad durante el aprovisionamiento, previniendo dificultades de seguimiento de costos por etiquetas faltantes.

Uso en entornos multi-cuenta

La integracion con Organizations permite compartir portafolios creados en la cuenta de administracion con todas las cuentas u OUs especificas de la organizacion. Los usuarios finales de cada cuenta pueden usar productos de portafolios compartidos, aplicando patrones arquitectonicos unificados en toda la organizacion. La gestion de versiones de productos permite el despliegue gradual de actualizaciones de plantillas. Al publicar una nueva version, los productos ya aprovisionados no se actualizan automaticamente: los usuarios realizan la actualizacion explicitamente. Esto previene impactos inesperados por actualizaciones. Combinado con Control Tower, los productos de Service Catalog pueden garantizarse automaticamente conformes con las barreras de proteccion del Landing Zone. Para profundizar en la gobernanza de TI en la nube, libros especializados (Amazon) son una referencia util.

Mejores practicas de diseno y trampas

El aspecto mas critico del diseno de Service Catalog es la granularidad de productos. Incluir EC2 + RDS + VPC en un solo producto reduce la flexibilidad, creando recursos innecesarios para usuarios que solo necesitan EC2. Por el contrario, una granularidad demasiado fina aumenta la carga de aprovisionar multiples productos en el orden correcto. El patron recomendado es separar la infraestructura de red (VPC, subnets) como un producto, computo (EC2 + ALB) como otro y base de datos (RDS) como otro, conectandolos mediante referencias cross-stack de CloudFormation. Los roles IAM de restriccion de lanzamiento deben crearse con privilegios minimos por producto, sin reutilizar un rol administrativo comun en todos los productos. Un rol compartido significa que una vulnerabilidad en un producto puede propagar acceso a todos los recursos. Ademas, configurar cuentas de administrador delegado para compartir portafolios evita concentrar permisos en la cuenta de administracion.

Precios y limites de Service Catalog

Service Catalog en si no tiene cargos adicionales. Solo se pagan los recursos AWS aprovisionados (EC2, RDS, etc.). Sin embargo, al usar tipos de recursos de terceros en CloudFormation, se cobra por operacion de handler. Compartir portafolios via Organizations tampoco tiene cargos adicionales, siendo atractivo como base de gobernanza de bajo costo para toda la organizacion. Las restricciones de plantilla que limitan tipos de instancia tambien reducen el riesgo de que usuarios creen accidentalmente recursos costosos. En cuanto a limites, la cuota predeterminada es de 100 portafolios por region y 150 productos por portafolio. Las organizaciones grandes pueden necesitar solicitar aumentos de cuota. Las actualizaciones de productos aprovisionados se ejecutan como actualizaciones de stack CloudFormation, requiriendo atencion a la compatibilidad del change set.

Comparacion con servicios relacionados

Servicios con propositos similares a Service Catalog incluyen AWS Proton y Control Tower. Proton apunta a ingenieria de plataformas, logrando estandarizacion de microservicios mediante una estructura de dos capas de plantillas de entorno y servicio. Mientras Service Catalog es adecuado para autoservicio de recursos de proposito general, Proton se especializa en pipelines de despliegue de aplicaciones contenedorizadas/serverless. Control Tower se centra en gobernanza de cuentas a nivel organizacional (guardrails, agregacion de logs, emision de cuentas), mientras Service Catalog se centra en estandarizar el aprovisionamiento individual de recursos. En la practica, el enfoque comun es usar Control Tower para establecer la base de cuentas y Service Catalog para estandarizar la provision de recursos dentro de las cuentas.

Resumen

Service Catalog es un servicio que equilibra la gobernanza de TI con el autoservicio de usuarios finales. Cataloga patrones arquitectonicos aprobados e impone aprovisionamiento seguro mediante restricciones de lanzamiento y plantilla. La integracion con Organizations habilita la estandarizacion en entornos multi-cuenta, y combinado con Control Tower construye gobernanza consistente en toda la organizacion.

Servicios relacionados

AWS Service CatalogServicio de catálogo que ofrece servicios de TI aprobados en autoservicio a toda la organizaciónAWS CloudFormationUn servicio de IaC que define y aprovisiona recursos AWS como código mediante plantillasAWS OrganizationsServicio para gestionar centralmente múltiples cuentas de AWS

Artículos relacionados

Notificaciones DevOps con AWS Chatbot - Integración de eventos AWS con Slack y TeamsAprenda cómo enviar notificaciones de alarmas CloudWatch y CodePipeline a Slack y Teams, y construir un entorno ChatOps donde puede operar AWS usando comandos @aws desde el chat.Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.Aprovisionamiento de servicios IT - Infraestructura de autoservicio con AWS Service CatalogExplicamos la catalogación de servicios IT aprobados con AWS Service Catalog y el aprovisionamiento de infraestructura de autoservicio mediante la integración con CloudFormation. Presentamos patrones operativos que aumentan la autonomía de los equipos de desarrollo manteniendo la gobernanza.

Más sobre este tema

El mecanismo de sincronización horaria interna de AWS - Amazon Time Sync Service y el diseño de smearing de segundos intercalaresExplicamos el mecanismo de Amazon Time Sync Service operado de forma independiente por AWS, la fuente de tiempo de alta precisión con GPS y relojes atómicos, la decisión de diseño de absorber los segundos intercalares mediante smearing y la importancia de la sincronización horaria en sistemas distribuidos.Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security LakeExplicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.Implementación de Feature Flags con AWS AppConfig - Despliegue seguro de configuración y rollbackDespliega cambios de configuración de forma independiente al código mediante estrategias Linear y Exponential. Garantiza la seguridad con rollback automático activado por alarmas de CloudWatch.Revisión de arquitectura - Evaluación sistemática de cargas de trabajo con AWS Well-Architected ToolExplica la revisión de arquitectura de cargas de trabajo usando AWS Well-Architected Tool. Presenta la evaluación basada en 6 pilares, la elaboración de planes de mejora y el uso de lentes personalizados.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Lecciones de sistemas distribuidos de los informes de incidentes (COE) de AWS - Principios de diseño que cambiaron las grandes interrupciones del pasadoA partir de los Correction of Errors (COE) e informes de incidentes publicados por AWS, explicamos las causas raíz de grandes incidentes pasados como la interrupción de S3, la interrupción de DNS en us-east-1 y la interrupción de Kinesis, y cómo cambiaron los principios de diseño de AWS.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Por qué existen las cuotas de servicio de AWS - Diseño multitenant que protege la infraestructura compartidaExplicamos que las cuotas de servicio de AWS (antes límites de servicio) no son simples restricciones sino un diseño para proteger a otros clientes en un entorno multitenant, desde el problema del vecino ruidoso, la diferencia entre límites soft y hard, y el trasfondo de las solicitudes de aumento.

Artículos y servicios similares

Aprovisionamiento de servicios IT - Infraestructura de autoservicio con AWS Service CatalogExplicamos la catalogación de servicios IT aprobados con AWS Service Catalog y el aprovisionamiento de infraestructura de autoservicio mediante la integración con CloudFormation. Presentamos patrones operativos que aumentan la autonomía de los equipos de desarrollo manteniendo la gobernanza.AWS Service CatalogServicio de gobernanza que gestiona plantillas de CloudFormation aprobadas por la organización como un catálogo y proporciona a los usuarios finales aprovisionamiento de recursos en autoservicioIngeniería de plataformas con AWS Proton - Provisión de autoservicio de plantillas de infraestructuraProton permite a los equipos de plataforma gestionar plantillas de infraestructura y a los desarrolladores aprovisionar entornos mediante autoservicio. Explicamos el versionado de plantillas y la automatización de pipelines.AWS ProtonServicio donde los equipos de plataforma proporcionan plantillas de infraestructura y los desarrolladores despliegan mediante autoservicio