AWS Control Tower のアイコン

AWS Control Tower Popular2019年〜

Un servicio que automatiza la configuración y gobernanza de entornos multi-cuenta

Unos 3 min de lectura

Qué hace

AWS Control Tower es un servicio que automatiza la configuración de un entorno multi-cuenta seguro y bien gobernado, conocido como landing zone. Configura automáticamente AWS Organizations, cuentas de auditoría y logging, guardrails (controles preventivos y detectivos), y un catálogo de cuentas (Account Factory) para crear nuevas cuentas con configuraciones estandarizadas.

Casos de uso

Se utiliza para configurar entornos multi-cuenta con mejores prácticas desde el inicio, aplicar políticas de seguridad y cumplimiento de forma centralizada, crear nuevas cuentas AWS estandarizadas de forma self-service, detectar y prevenir configuraciones que violan las políticas organizacionales, y gestionar la gobernanza a escala.

Analogía cotidiana

Piensa en él como un urbanista que planifica una nueva ciudad. En lugar de que cada residente (equipo) construya su casa (cuenta AWS) como quiera, el urbanista (Control Tower) establece el plan maestro: zonas residenciales, comerciales e industriales (OUs), códigos de construcción (guardrails), y un proceso estandarizado para solicitar nuevos terrenos (Account Factory).

¿Qué es AWS Control Tower?

AWS Control Tower es un servicio que configura y gobierna entornos multi-cuenta de AWS. A medida que las organizaciones crecen, necesitan múltiples cuentas AWS para separar cargas de trabajo, equipos y entornos. Control Tower automatiza la configuración inicial (landing zone) y aplica controles continuos para mantener la seguridad y el cumplimiento.

Landing Zone y guardrails

La landing zone es el entorno multi-cuenta configurado por Control Tower, incluyendo la estructura de Organizations, cuentas compartidas (audit, log archive) y configuraciones de seguridad base. Los guardrails son controles que previenen o detectan acciones no deseadas: preventivos (SCPs que bloquean acciones) y detectivos (Config Rules que alertan sobre incumplimientos).

Account Factory

Account Factory permite crear nuevas cuentas AWS estandarizadas de forma self-service. Define plantillas de cuenta con configuraciones predeterminadas (VPC, subredes, roles IAM, guardrails) y los equipos pueden solicitar nuevas cuentas que se crean automáticamente con todas las configuraciones aplicadas. Para más información sobre Account Factory, los libros en Amazon son un buen recurso.

Cómo empezar

Abre la consola de Control Tower y lanza la configuración de la landing zone. Control Tower creará automáticamente la estructura de Organizations, cuentas compartidas y guardrails obligatorios. El proceso toma aproximadamente una hora. Después, usa Account Factory para crear cuentas adicionales y añade guardrails opcionales según tus requisitos de cumplimiento.

Aspectos a tener en cuenta

  • Control Tower のセットアップには約 60 分かかり、その間は他の操作を行わないこと。セットアップ中に中断すると環境が不整合な状態になる可能性がある
  • Control Tower は内部で Config、CloudTrail、Organizations などの複数サービスを利用するため、それらのサービスの料金が発生する
  • 既存の AWS Organizations 環境に Control Tower を導入する場合は、既存のアカウント構成との互換性を事前に確認すること
共有するXB!

Servicios relacionados

AWS Organizations iconoAWS OrganizationsServicio para gestionar centralmente múltiples cuentas de AWSAWS Config iconoAWS ConfigUn servicio que registra y evalúa cambios de configuración de recursos AWS y monitorea el cumplimiento continuamenteAWS CloudTrail iconoAWS CloudTrailUn servicio que registra y monitorea la actividad de API en cuentas AWSAWS IAM Identity Center iconoAWS IAM Identity CenterServicio que proporciona inicio de sesión único en múltiples cuentas de AWS y aplicaciones SaaS

Artículos relacionados

Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.

Más en esta categoría

AWS AppFabric iconoAWS AppFabric NewUn servicio que estandariza y agrega registros de auditoría de aplicaciones SaaSAWS AppConfig iconoAWS AppConfig SpecializedUn servicio para desplegar y gestionar de forma segura la configuración de aplicacionesAWS Chatbot iconoAWS Chatbot EspecializadoUn agente interactivo que envía notificaciones y permite operar recursos AWS desde Slack y Microsoft TeamsAWS CloudFormation iconoAWS CloudFormation ClásicoUn servicio de IaC que define y aprovisiona recursos AWS como código mediante plantillasAWS CloudTrail iconoAWS CloudTrail ClásicoUn servicio que registra y monitorea la actividad de API en cuentas AWSAmazon CloudWatch iconoAmazon CloudWatch ClásicoUn servicio que proporciona monitoreo, gestión de logs y alarmas para recursos AWS y aplicacionesAWS Config iconoAWS Config PopularUn servicio que registra y evalúa cambios de configuración de recursos AWS y monitorea el cumplimiento continuamenteAmazon CloudWatch RUM iconoAmazon CloudWatch RUM Nuevo servicioUn servicio de monitoreo de usuarios reales que recopila rendimiento del lado del cliente y errores de aplicaciones web

Artículos y servicios similares

AWS Control TowerServicio que automatiza la configuración y gobernanza de entornos AWS multi-cuenta, gestionando centralmente las líneas base de seguridad y complianceCapacidad de diseño de gobernanza multi-cuenta en AWS - Gobernanza organizacional con Organizations, Control Tower y SCPComparamos el mecanismo de gobernanza multi-cuenta centrado en AWS Organizations, Control Tower y SCP (Service Control Policies) con Azure Management Groups, explicando la diferencia en capacidad de diseño de gobernanza empresarial.Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.Gobernanza de TI con AWS Service Catalog - Estandarización de productos aprobados y habilitación del autoservicioExplicamos cómo catalogar plantillas CloudFormation aprobadas por TI y proporcionar de forma segura a los usuarios finales el aprovisionamiento de autoservicio con Service Catalog.