Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS estrategia de múltiples cuentas para su zona de aterrizaje de AWS Control Tower
Los clientes de AWS Control Tower suelen buscar orientación sobre cómo configurar su AWS entorno y sus cuentas para obtener los mejores resultados.AWS ha creado un conjunto unificado de recomendaciones, denominado estrategia de cuentas múltiples, para ayudarlo a aprovechar al máximo sus AWS recursos, incluida la zona de aterrizaje de su AWS Control Tower.
Básicamente, AWS Control Tower actúa como una capa de organización que funciona con otros AWS servicios, lo que le ayuda a implementar las recomendaciones de cuentas AWS múltiples para AWS cuentas y. AWS OrganizationsUna vez configurada su landing zone, AWS Control Tower seguirá ayudándole a mantener sus políticas corporativas y prácticas de seguridad en varias cuentas y cargas de trabajo.
La mayoría de las zonas de aterrizaje se desarrollan con el tiempo. A medida que aumente el número de unidades organizativas (OU) y cuentas en la zona de aterrizaje de su AWS Control Tower, podrá ampliar su implementación de AWS Control Tower de forma que le ayude a organizar sus cargas de trabajo de forma eficaz. En este capítulo se proporciona una guía preceptiva sobre cómo planificar y configurar su zona de aterrizaje de AWS Control Tower, de acuerdo con la estrategia de AWS múltiples cuentas, y ampliarla con el tiempo.
Para obtener información general sobre las mejores prácticas para las unidades organizativas, consulte Best Practices for Organizational Units with
AWS estrategia multicuenta: guía de mejores prácticas
AWS Las mejores prácticas para un entorno bien diseñado recomiendan separar los recursos y las cargas de trabajo en varias cuentas. AWS Puede pensar en AWS las cuentas como contenedores de recursos aislados: permiten categorizar las cargas de trabajo y reducir el radio de impacto cuando las cosas van mal.
- Definición de una cuenta AWS
-
Una AWS cuenta actúa como contenedor de recursos y límite de aislamiento de recursos.
nota
Una AWS cuenta no es lo mismo que una cuenta de usuario, que se configura mediante la federación o AWS Identity and Access Management (IAM).
Más información sobre las cuentas AWS
Una AWS cuenta ofrece la posibilidad de aislar los recursos y contener las amenazas de seguridad para sus AWS cargas de trabajo. Una cuenta también proporciona un mecanismo para la facturación y la gobernanza de un entorno de carga de trabajo.
La AWS cuenta es el principal mecanismo de implementación que proporciona un contenedor de recursos para sus cargas de trabajo. Si su entorno está bien diseñado, puede administrar varias AWS cuentas de manera eficaz y, por lo tanto, administrar múltiples cargas de trabajo y entornos.
AWS Control Tower configura un entorno bien diseñado. Además, se basa en AWS las cuentas AWS Organizations, que ayudan a controlar los cambios en su entorno, que pueden extenderse a varias cuentas.
- Definición de un entorno bien diseñado
-
AWS define un entorno bien diseñado como aquel que comienza con una landing zone.
AWS Control Tower ofrece una landing zone que se configura automáticamente. Aplica controles para garantizar el cumplimiento de las directrices corporativas en varias cuentas de su entorno.
- Definición de landing zone
-
La landing zone es un entorno de nube que ofrece un punto de partida recomendado, que incluye cuentas predeterminadas, estructura de cuentas, diseños de red y seguridad, etc. Desde una landing zone, puede implementar cargas de trabajo que utilicen sus soluciones y aplicaciones.
Directrices para configurar un entorno bien diseñado
Los tres componentes clave de un entorno bien diseñado, que se explican en las siguientes secciones, son:
-
Cuentas múltiples AWS
-
Varias unidades organizativas (OU)
-
Una estructura bien planificada
Utilice varias cuentas de AWS
Una cuenta no es suficiente para configurar un entorno bien diseñado. Al utilizar varias cuentas, puede respaldar mejor sus objetivos de seguridad y sus procesos empresariales. Estas son algunas de las ventajas de utilizar un enfoque de cuentas múltiples:
-
Controles de seguridad: las aplicaciones tienen diferentes perfiles de seguridad, por lo que requieren políticas y mecanismos de control diferentes. Por ejemplo, es mucho más fácil hablar con un auditor y seleccionar una única cuenta que aloje la carga de trabajo del sector de las tarjetas de pago (PCI).
-
Aislamiento: una cuenta es una unidad de protección de seguridad. Una cuenta puede contener los posibles riesgos y amenazas a la seguridad sin afectar a las demás. Por lo tanto, las necesidades de seguridad pueden requerir que aísles las cuentas unas de otras. Por ejemplo, puede que tengas equipos con distintos perfiles de seguridad.
-
Muchos equipos: los equipos tienen diferentes responsabilidades y necesidades de recursos. Al configurar varias cuentas, los equipos no pueden interferir entre sí, como lo harían cuando usan la misma cuenta.
-
Aislamiento de datos: aislar los almacenes de datos en una cuenta ayuda a limitar la cantidad de personas que tienen acceso a los datos y pueden administrarlos. Este aislamiento ayuda a evitar la exposición no autorizada de datos altamente privados. Por ejemplo, el aislamiento de datos ayuda a respaldar el cumplimiento del Reglamento General de Protección de Datos (GDPR).
-
Proceso empresarial: las unidades de negocio o los productos suelen tener propósitos y procesos completamente diferentes. Se pueden establecer cuentas individuales para satisfacer las necesidades específicas de la empresa.
-
Facturación: una cuenta es la única forma de separar los elementos a nivel de facturación, incluidos los gastos de transferencia, etc. La estrategia de cuentas múltiples ayuda a crear partidas facturables independientes para todas las unidades de negocio, los equipos funcionales o los usuarios individuales.
-
Asignación de AWS cuotas: las cuotas se establecen por cuenta. Al separar las cargas de trabajo en diferentes cuentas, cada cuenta (por ejemplo, un proyecto) tiene una cuota individual bien definida.
Usa varias unidades organizativas
AWS Control Tower y otros marcos de organización de cuentas pueden realizar cambios que traspasen los límites de las cuentas. Por lo tanto, las AWS mejores prácticas abordan los cambios entre cuentas, que pueden dañar un entorno o socavar su seguridad. En algunos casos, los cambios pueden afectar al entorno general, más allá de las políticas. Por ello, te recomendamos que configures al menos dos cuentas obligatorias: la de producción y la de puesta en escena.
Además, AWS las cuentas suelen agruparse en unidades organizativas (OU), con fines de gobernanza y control. Las OU están diseñadas para gestionar el cumplimiento de las políticas en varias cuentas.
Nuestra recomendación es que, como mínimo, cree un entorno de preproducción (o ensayo) que sea distinto de su entorno de producción, con controles y políticas distintos. Los entornos de producción y puesta en escena se pueden crear y gobernar como unidades organizativas independientes y facturarse como cuentas independientes. Además, es posible que desee configurar una unidad organizativa Sandbox para las pruebas de código.
Utiliza una estructura bien planificada para las unidades organizativas de tu landing zone
AWS Control Tower configura algunas unidades organizativas automáticamente. A medida que tus cargas de trabajo y requisitos se expandan con el tiempo, puedes ampliar la configuración original de landing zone para adaptarla a tus necesidades.
nota
Los nombres que figuran en los ejemplos siguen las convenciones de AWS nomenclatura sugeridas para configurar un entorno de cuentas múltiples AWS . Puedes cambiar el nombre de tus OU después de configurar tu landing zone seleccionando Editar en la página de detalles de la OU.
Recomendaciones
Una vez que AWS Control Tower haya configurado la primera unidad organizativa necesaria para usted (la unidad organizativa de seguridad), le recomendamos que cree algunas unidades organizativas adicionales en su landing zone.
Le recomendamos que permita a AWS Control Tower crear al menos una unidad organizativa adicional, denominada unidad organizativa Sandbox. Esta OU es para sus entornos de desarrollo de software. AWS Control Tower puede configurar la unidad organizativa Sandbox por usted durante la creación de la zona de aterrizaje, si la selecciona.
Se recomiendan otras dos unidades organizativas que puede configurar por su cuenta: la unidad organizativa de infraestructura, que contiene los servicios compartidos y las cuentas de red, y una unidad organizativa que contiene las cargas de trabajo de producción, denominada unidad organizativa de cargas de trabajo. Puede añadir unidades organizativas adicionales en su landing zone a través de la consola de AWS Control Tower en la página de unidades organizativas.
Unidades organizativas recomendadas además de las que se configuran automáticamente
-
OU de infraestructura: contiene sus servicios compartidos y sus cuentas de red.
nota
AWS Control Tower no configura la OU de infraestructura por usted.
-
Sandbox OU: una unidad organizativa de desarrollo de software. Por ejemplo, puede tener un límite de gasto fijo o puede que no esté conectada a la red de producción.
nota
AWS Control Tower recomienda configurar la unidad organizativa Sandbox, pero es opcional. Se puede configurar automáticamente como parte de la configuración de tu landing zone.
-
Workloads OU: contiene las cuentas que ejecutan sus cargas de trabajo.
nota
AWS Control Tower no configura la unidad organizativa Workloads por usted.
Para obtener más información, consulte Organización para iniciar la producción con AWS Control Tower.
Ejemplo de Torre de Control de AWS con una estructura completa de unidades organizativas de varias cuentas
AWS Control Tower admite una jerarquía de unidades organizativas anidada, lo que significa que puede crear una estructura jerárquica de unidades organizativas que cumpla con los requisitos de su organización. Puede crear un entorno de AWS Control Tower que se ajuste a la guía de estrategia de AWS cuentas múltiples.
También puede crear una estructura de unidad organizativa más simple y plana que tenga un buen rendimiento y se ajuste a las directrices sobre AWS múltiples cuentas. El hecho de que pueda crear una estructura organizativa jerárquica no significa que deba hacerlo.
-
Para ver un diagrama que muestra un ejemplo de conjunto de unidades organizativas en un entorno de AWS Control Tower expandido y plano con orientación para AWS varias cuentas, consulte Ejemplo: cargas de trabajo en una estructura de unidad organizativa plana.
-
Para obtener más información sobre cómo funciona AWS Control Tower con estructuras de unidades organizativas anidadas, consulteUnidades organizativas anidadas en la Torre de Control de AWS.
-
Para obtener más información sobre cómo AWS Control Tower se ajusta a las AWS directrices, consulte el documento AWS técnico Organizing Your AWS Environment Using Multiple Accounts.
El diagrama de la página enlazada muestra que se han creado más unidades organizativas fundamentales y más unidades organizativas adicionales. Estas unidades organizativas satisfacen las necesidades adicionales de una implementación más grande.
En la columna de unidades organizativas fundamentales, se han agregado dos unidades organizativas a la estructura básica:
-
Unidad organizativa Security_Prod: proporciona un área de solo lectura para las políticas de seguridad, así como un área de auditoría de seguridad impecable.
-
OU de infraestructura: tal vez desee separar la OU de infraestructura, como se recomendaba anteriormente, en dos unidades organizativas: Infrastructure_Test (para la infraestructura de preproducción) e Infrastructure_Prod (para la infraestructura de producción).
En el área de unidades organizativas adicionales, se han agregado varias unidades organizativas más a la estructura básica. Estas son las siguientes unidades organizativas recomendadas para crear a medida que el entorno crezca:
-
Unidad organizativa de cargas de trabajo: la unidad organizativa Workloads, que antes se recomendaba pero era opcional, se ha dividido en dos unidades organizativas: Workloads_Test (para cargas de trabajo de preproducción) y Workloads_Prod (para cargas de trabajo de producción).
-
PolicyStaging OU: permite a los administradores del sistema probar los cambios en los controles y las políticas antes de aplicarlos por completo.
-
OU suspendida: ofrece una ubicación para las cuentas que pueden haber estado inhabilitadas temporalmente.
Acerca de The Root
La raíz no es una unidad organizativa. Es un contenedor para la cuenta de administración y para todas las OU y cuentas de la organización. Conceptualmente, la raíz contiene todas las unidades organizativas. No se puede eliminar. No puede controlar las cuentas inscritas en el nivel raíz de AWS Control Tower. En su lugar, controle las cuentas inscritas dentro de sus unidades organizativas. Para ver un diagrama útil, consulte la AWS Organizations documentación.
