運用管理

AWS Control Tower

Servicio que automatiza la configuración y gobernanza de entornos AWS multi-cuenta, gestionando centralmente las líneas base de seguridad y compliance

Unos 5 min de lectura

Descripción general

AWS Control Tower es un servicio para configurar y gestionar entornos AWS multi-cuenta de forma segura y eficiente. Construye automáticamente una configuración multi-cuenta basada en mejores prácticas llamada Landing Zone, y aplica políticas de seguridad a toda la organización mediante guardrails (controles preventivos y detectivos). Account Factory permite crear nuevas cuentas como plantillas estandarizadas, manteniendo la gobernanza incluso cuando la organización crece.

Tipos de guardrails y estrategia de aplicación

Los guardrails de Control Tower son controles que aplican políticas de seguridad y compliance a toda la organización. Se clasifican en dos tipos: preventivos (impiden acciones no permitidas mediante SCPs de Organizations) y detectivos (detectan violaciones de configuración mediante reglas de AWS Config). Los guardrails obligatorios se aplican automáticamente al configurar la Landing Zone e incluyen controles fundamentales como prohibir la eliminación de logs de CloudTrail y requerir encriptación de buckets S3 de logs. Los guardrails fuertemente recomendados cubren mejores prácticas de seguridad como requerir MFA para el usuario root y prohibir el acceso público a buckets S3. Los guardrails electivos proporcionan controles adicionales que las organizaciones pueden habilitar según sus requisitos específicos. La estrategia de aplicación recomendada es comenzar con los guardrails obligatorios y fuertemente recomendados, y añadir guardrails electivos gradualmente según las necesidades de compliance de la organización. Los guardrails se aplican a nivel de OU (Organizational Unit), permitiendo diferentes niveles de restricción para diferentes entornos (producción más estricto, desarrollo más permisivo).

Diseño de estructura de OUs y Account Factory

Control Tower organiza las cuentas AWS en una estructura jerárquica de OUs que refleja la estructura organizacional y los requisitos de seguridad. La estructura recomendada incluye: Security OU (cuentas de auditoría y logs), Sandbox OU (cuentas de experimentación con restricciones mínimas), Workloads OU (cuentas de producción y desarrollo de aplicaciones) e Infrastructure OU (cuentas de servicios compartidos como redes y DNS). Account Factory permite crear nuevas cuentas de forma estandarizada, aplicando automáticamente los guardrails de la OU correspondiente, configurando la red base (VPC, subnets) y estableciendo el acceso mediante IAM Identity Center. Las plantillas de Account Factory se pueden personalizar para incluir configuraciones específicas de la organización como tags obligatorios, configuración de Config Rules adicionales y despliegue de herramientas de seguridad. La integración con Service Catalog permite que los equipos soliciten nuevas cuentas mediante un portal de autoservicio con aprobaciones automatizadas.

Introducción en entornos Organizations existentes y puntos de atención

Introducir Control Tower en un entorno Organizations existente requiere planificación cuidadosa. Control Tower puede registrar OUs y cuentas existentes, pero el proceso puede requerir ajustes en la configuración actual. Los puntos de atención incluyen: las cuentas existentes deben cumplir con los guardrails obligatorios antes de ser registradas (por ejemplo, CloudTrail debe estar habilitado), los SCPs existentes pueden entrar en conflicto con los guardrails de Control Tower, y la estructura de OUs existente puede necesitar reorganización para alinearse con las mejores prácticas. El proceso de registro de cuentas existentes (enrollment) aplica los guardrails y configuraciones base sin recrear la cuenta, pero puede fallar si hay conflictos de configuración. Se recomienda comenzar registrando cuentas de desarrollo o sandbox para validar el proceso antes de registrar cuentas de producción. La función de drift detection alerta cuando la configuración de la Landing Zone se desvía del estado esperado (por ejemplo, si alguien modifica manualmente un SCP gestionado por Control Tower). La resolución de drift puede requerir intervención manual o re-registro de la cuenta afectada.

共有するXB!

Términos relacionados

AWS IAMAWS ConfigAWS CloudTrailAmazon GuardDuty

Servicios relacionados

AWS OrganizationsAWS IAMAWS Config

Artículos relacionados

Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Monitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.

Términos y artículos similares

AWS Control TowerUn servicio que automatiza la configuración y gobernanza de entornos multi-cuentaCapacidad de diseño de gobernanza multi-cuenta en AWS - Gobernanza organizacional con Organizations, Control Tower y SCPComparamos el mecanismo de gobernanza multi-cuenta centrado en AWS Organizations, Control Tower y SCP (Service Control Policies) con Azure Management Groups, explicando la diferencia en capacidad de diseño de gobernanza empresarial.Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.AWS OrganizationsServicio para gestionar centralmente múltiples cuentas de AWSConstrucción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.