Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS estrategia de múltiples cuentas para su zona de aterrizaje de AWS Control Tower
Los clientes de AWS Control Tower suelen buscar orientación sobre cómo configurar su AWS entorno y sus cuentas para obtener los mejores resultados.AWS ha creado un conjunto unificado de recomendaciones, denominado estrategia de cuentas múltiples, para ayudarlo a aprovechar al máximo sus AWS recursos, incluida la zona de aterrizaje de su AWS Control Tower.
Básicamente, AWS Control Tower actúa como una capa de organización que funciona con otros AWS servicios, lo que le ayuda a implementar las recomendaciones de cuentas AWS múltiples para AWS cuentas y. AWS Organizations Una vez configurada su zona de aterrizaje, AWS Control Tower seguirá ayudándole a mantener sus políticas corporativas y prácticas de seguridad en varias cuentas y cargas de trabajo.
La mayoría de las zonas de aterrizaje se desarrollan con el tiempo. A medida que aumente el número de unidades organizativas (OUs) y cuentas en la zona de aterrizaje de su AWS Control Tower, podrá ampliar su implementación de AWS Control Tower de forma que le ayude a organizar sus cargas de trabajo de forma eficaz. En este capítulo se proporcionan recomendaciones acerca de cómo planificar y configurar su zona de aterrizaje de AWS Control Tower, en consonancia con la estrategia de varias cuentas de AWS , y ampliarla a lo largo del tiempo.
Para obtener información general sobre las mejores prácticas para las unidades organizativas, consulte Best Practices for Organizational Units with AWS Organizations
AWS estrategia multicuenta: guía de mejores prácticas
AWS Las mejores prácticas para un entorno bien diseñado recomiendan separar los recursos y las cargas de trabajo en varias cuentas. AWS Puede pensar en las cuentas de AWS como contenedores de recursos aislados: permiten categorizar las cargas de trabajo y reducen el alcance del impacto cuando las cosas van mal.
- Definición de una cuenta AWS
-
Una AWS cuenta actúa como contenedor de recursos y límite de aislamiento de recursos.
nota
Una AWS cuenta no es lo mismo que una cuenta de usuario, que se configura mediante la federación o AWS Identity and Access Management (IAM).
Más información sobre las cuentas AWS
Una AWS cuenta ofrece la posibilidad de aislar los recursos y contener las amenazas de seguridad para sus AWS cargas de trabajo. Una cuenta también proporciona un mecanismo para la facturación y la gobernanza de un entorno de carga de trabajo.
La AWS cuenta es el principal mecanismo de implementación que proporciona un contenedor de recursos para sus cargas de trabajo. Si su entorno está bien diseñado, puede administrar varias AWS cuentas de manera eficaz y, por lo tanto, administrar múltiples cargas de trabajo y entornos.
AWS Control Tower configura un entorno bien diseñado. Además, depende de AWS las cuentas AWS Organizations, que ayudan a controlar los cambios en su entorno, que pueden extenderse a varias cuentas.
- Definición de un entorno bien diseñado
-
AWS define un entorno bien diseñado como aquel que comienza con una landing zone.
AWS Control Tower ofrece una zona de aterrizaje que se configura automáticamente. Aplica controles para garantizar el cumplimiento de las directrices corporativas en varias cuentas de su entorno.
- Definición de zona de aterrizaje
-
La zona de aterrizaje es un entorno de nube que ofrece un punto de partida recomendado, que incluye cuentas predeterminadas, estructura de cuentas, diseños de red y seguridad, etc. Desde una zona de aterrizaje, puede implementar cargas de trabajo que utilicen sus soluciones y aplicaciones.
Directrices para configurar un entorno bien diseñado
Los tres componentes clave de un entorno bien diseñado, que se explican en las siguientes secciones, son:
-
Múltiples cuentas AWS
-
Varias unidades organizativas (OUs)
-
Una estructura bien planificada
Uso de varias cuentas de AWS
Una cuenta no es suficiente para configurar un entorno bien diseñado. Al utilizar varias cuentas, puede apoyar mejor sus objetivos de seguridad y sus procesos empresariales. A continuación presentamos algunas de las ventajas de utilizar un enfoque de varias cuentas:
-
Controles de seguridad: las aplicaciones tienen diferentes perfiles de seguridad, de modo que requieren políticas y mecanismos de control diferentes. Por ejemplo, es mucho más fácil hablar con un auditor y seleccionar una única cuenta que aloje la carga de trabajo de la industria de tarjetas de pago (PCI).
-
Aislamiento: una cuenta es una unidad de protección de seguridad. Los posibles riesgos y amenazas a la seguridad pueden estar contenidos dentro de una cuenta sin afectar a otras. Por lo tanto, las necesidades de seguridad pueden requerir que aísle unas cuentas de otras. Por ejemplo, puede tener equipos con distintos perfiles de seguridad.
-
Muchos equipos: los equipos tienen diferentes responsabilidades y necesidades de recursos. Al configurar varias cuentas, los equipos no pueden interferir entre sí, como podría ocurrir cuando utilizan la misma cuenta.
-
Aislamiento de datos: aislar los almacenes de datos en una cuenta ayuda a limitar la cantidad de personas que tienen acceso a los datos y puedan administrar el almacén de datos. Este aislamiento ayuda a evitar la exposición no autorizada de datos altamente privados. Por ejemplo, el aislamiento de datos contribuye al cumplimiento del Reglamento General de Protección de Datos (RGPD).
-
Proceso de negocio: las unidades de negocio o productos suelen tener propósitos y procesos completamente diferentes. Se pueden establecer cuentas individuales para satisfacer las necesidades específicas de la empresa.
-
Facturación: una cuenta es la única forma de separar los elementos a nivel de facturación, incluidas cosas como cargos por transferencias, etc. La estrategia de varias cuentas ayuda a crear elementos facturables separados entre unidades de negocio, equipos funcionales o usuarios individuales.
-
Asignación de AWS cuotas: las cuotas se establecen por cuenta. Al separar las cargas de trabajo en diferentes cuentas, cada cuenta (por ejemplo, un proyecto) tiene una cuota individual bien definida.
Uso de varias unidades organizativas
AWS Control Tower y otros marcos de orquestación de cuentas pueden realizar cambios que traspasen los límites de las cuentas. Por lo tanto, las AWS mejores prácticas abordan los cambios entre cuentas, que pueden dañar un entorno o socavar su seguridad. En algunos casos, los cambios pueden afectar al entorno general, más allá de las políticas. Por ello, le recomendamos que configure al menos dos cuentas obligatorias: la de producción y la de puesta en escena.
Además, AWS las cuentas suelen agruparse en unidades organizativas (OUs), con fines de gobernanza y control. OUs están diseñadas para gestionar el cumplimiento de las políticas en varias cuentas.
Nuestra recomendación es que, como mínimo, cree un entorno de preproducción (o puesta en escena) que sea distinto del entorno de producción, con controles y políticas distintos. Los entornos de producción y puesta en escena se pueden crear y gobernar por separado OUs y facturarse como cuentas independientes. Además, es posible que desee configurar una OU de espacio aislado para probar el código.
Usa una estructura bien planificada para OUs tu landing zone
AWS Control Tower configura algunas OUs automáticamente. A medida que sus cargas de trabajo y requisitos se expandan con el tiempo, puede ampliar la configuración original de la zona de aterrizaje para adaptarla a sus necesidades.
nota
Los nombres que figuran en los ejemplos siguen las convenciones de AWS nomenclatura sugeridas para configurar un AWS entorno de varias cuentas. Puedes cambiarle el nombre OUs después de configurar tu landing zone seleccionando Editar en la página de detalles de la OU.
Recomendaciones
Una vez que AWS Control Tower haya configurado la primera unidad organizativa necesaria para usted (la unidad organizativa de seguridad), le recomendamos que cree alguna adicional OUs en su landing zone.
Le recomendamos que permita a AWS Control Tower crear al menos una OU adicional, denominada OU de espacio aislado. Esta OU es para sus entornos de desarrollo de software. AWS Control Tower puede configurar la OU de espacio aislado en su lugar durante la creación de la zona de aterrizaje, si la selecciona.
Se recomienda OUs configurar otras dos por su cuenta: la unidad organizativa de infraestructura, que contiene los servicios compartidos y las cuentas de red, y una unidad organizativa que contiene las cargas de trabajo de producción, denominada unidad organizativa de cargas de trabajo. Puede añadir más OUs en su landing zone a través de la consola de AWS Control Tower en la página de unidades organizativas.
Se recomiendan OUs además de las que se configuran automáticamente
-
OU de infraestructura: contiene sus servicios compartidos y sus cuentas de red.
nota
AWS Control Tower no configura la OU de infraestructura en su lugar.
-
OU de espacio aislado: una OU de desarrollo de software. Por ejemplo, es posible que tenga un límite de gasto fijo o que no esté conectada a la red de producción.
nota
AWS Control Tower recomienda configurar la OU de espacio aislado, pero es opcional. Se puede configurar automáticamente como parte de la configuración de la zona de aterrizaje.
-
OU de cargas de trabajo: contiene las cuentas que ejecutan sus cargas de trabajo.
nota
AWS Control Tower no configura la OU de cargas de trabajo en su lugar.
Para obtener más información, consulte Production starter organization with AWS Control Tower.
Ejemplo de AWS Control Tower con una estructura completa de OU con varias cuentas
AWS Control Tower admite una jerarquía de OU anidada, lo que significa que puede crear una estructura de OU jerárquica que cumpla con los requisitos de su organización. Puede crear un entorno de AWS Control Tower que se ajuste a la guía de estrategia de AWS cuentas múltiples.
También puede crear una estructura de OU más simple y plana que tenga un buen rendimiento y se ajuste a la guía de varias cuentas de AWS . El hecho de que pueda crear una estructura de OU jerárquica no significa que deba hacerlo.
-
Para ver un diagrama que muestra un conjunto de ejemplos de un entorno de OUs AWS Control Tower plano y expandido con orientación para AWS varias cuentas, consulte Ejemplo: cargas de trabajo en una estructura de unidad organizativa plana.
-
Para obtener más información sobre cómo funciona AWS Control Tower con estructuras organizativas anidadas, consulte Ubicado OUs en la Torre de AWS Control.
-
Para obtener más información sobre cómo AWS Control Tower se ajusta a las AWS directrices, consulte el documento AWS técnico Organizing Your AWS Environment Using Multiple Accounts.
El diagrama de la página enlazada muestra que se OUs han creado más Fundamentos OUs y más Adicionales. Estos OUs satisfacen las necesidades adicionales de una implementación más grande.
En la OUs columna fundamental, se OUs han agregado dos a la estructura básica:
-
OU de Security_Prod: proporciona un área de solo lectura para las políticas de seguridad, así como un área de auditoría de seguridad impecable (break-glass).
-
OU de infraestructura: es posible que desee separar la OU de infraestructura, recomendada anteriormente, en dos OUs: Infrastructure_Test (para la infraestructura de preproducción) e Infrastructure_Prod (para la infraestructura de producción).
En el OUs área adicional, se han agregado varias más a la estructura básica. OUs Las siguientes son las siguientes recomendaciones OUs para crear a medida que el entorno crezca:
-
Unidad organizativa de cargas de trabajo: la unidad organizativa de Workloads, que antes se recomendaba pero era opcional, se ha dividido en dos OUs: Workloads_Test (para cargas de trabajo de preproducción) y Workloads_Prod (para cargas de trabajo de producción).
-
PolicyStaging OU: permite a los administradores del sistema probar los cambios en los controles y las políticas antes de aplicarlos por completo.
-
OU suspendida: ofrece una ubicación para las cuentas que es posible que hayan estado inhabilitadas temporalmente.
Acerca de la raíz
La raíz no es una OU. Es un contenedor para la cuenta de administración y para todas las OUs cuentas de la organización. Conceptualmente, la raíz contiene todos los OUs. No se puede eliminar. No puede controlar las cuentas inscritas en el nivel raíz de AWS Control Tower. En su lugar, controle las cuentas inscritas dentro de su. OUs Para ver un diagrama útil, consulta la AWS Organizations documentación.
