Prácticas recomendadas para administrar unidades organizativas con AWS Organizations - AWS Organizations
Descripción de AWS OrganizationsUnidades organizativas recomendadasUnidades organizativas adicionales recomendadasConclusión

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para administrar unidades organizativas con AWS Organizations

Siga estas recomendaciones como ayuda para configurar y administrar un entorno de varias cuentas en AWS Organizations con unidades organizativas.

Descripción de AWS Organizations

La base de un entorno de AWS de varias cuentas bien diseñado es AWS Organizations, que le permite administrar y gobernar varias cuentas de forma centralizada. Una unidad organizativa (OU) es una agrupación lógica de cuentas de una organización. Las unidades organizativas le permiten organizar sus cuentas en una jerarquía y ayudan a aplicar los controles de administración. Las políticas de Organizations definen los controles que puede aplicar a un grupo de Cuentas de AWS. Por ejemplo, una política de control de servicios (SCP) es una política que define las acciones del Servicio de AWS, como el procesamiento de instancias de Amazon EC2, que pueden llevar a cabo las cuentas de su organización.

Si bien puede comenzar su proceso en AWS con una sola cuenta, AWS recomienda configurar varias cuentas a medida que sus cargas de trabajo aumenten de tamaño y complejidad. El uso de un entorno de varias cuentas es una práctica recomendada de AWS que puede ofrecer varios beneficios:

  • Innovación rápida con diferentes requisitos: puede asignar Cuentas de AWS a diferentes equipos, proyectos o productos de su empresa para garantizar que cada uno de ellos pueda innovar rápidamente y, al mismo tiempo, tener en cuenta sus propios requisitos de seguridad.

  • Facturación simplificada: el uso de varias Cuentas de AWS puede simplificar la forma de asignar los costos de AWS, ya que ayuda a identificar qué línea de productos o servicios es responsable de un cargo de AWS.

  • Controles de seguridad flexibles: puede usar varias Cuentas de AWS para aislar las cargas de trabajo o las aplicaciones que tienen requisitos de seguridad específicos, o que deben cumplir con normas estrictas, como la HIPAA o la PCI.

  • Adaptación a los procesos empresariales: puede organizar varias Cuentas de AWS de la forma que mejor refleje las diversas necesidades de los procesos comerciales de su empresa, cada uno con sus diferentes requisitos operativos, normativos y presupuestarios.

Unidad organizativa fundamental recomendada

La unidad organizativa (OU) debe basarse en la función o en un conjunto común de controles, en lugar de reproducir la estructura de informes de la empresa. AWS recomienda empezar teniendo en cuenta la seguridad y la infraestructura. La mayoría de las empresas tienen equipos centralizados que abordan las necesidades de toda la organización. Recomendamos crear un conjunto de unidades organizativas fundamentales para estas funciones específicas:

  • Seguridad: se utiliza para los servicios de seguridad. Cree cuentas para los archivos de registro, el acceso de seguridad de solo lectura, las herramientas de seguridad y el acceso de emergencia.

  • Infraestructura: se utiliza para servicios de infraestructura compartida, como servicios de redes y de TI. Cree cuentas para cada tipo de servicio de infraestructura que necesite.

Dado que la mayoría de las empresas tienen diferentes requisitos en materia de políticas para las cargas de trabajo de producción, la infraestructura y la seguridad pueden disponer de unidades organizativas anidadas para los entornos de no producción (SDLC) y de producción (Prod). Las cuentas de la unidad organizativa del entorno SDLC alojan cargas de trabajo que no son de producción y no deberían tener dependencias de producción con otras cuentas. Si hay variaciones en las políticas de unidades organizativas entre las distintas etapas del ciclo de vida, el entorno SDLC se puede dividir en varias unidades organizativas (por ejemplo, las de desarrollo y las de preproducción). Las cuentas de la unidad organizativa de Prod alojan las cargas de trabajo de producción.

Aplique políticas de OU para regular el entorno de Prod y SDLC de acuerdo con sus requisitos. En general, aplicar políticas a una OU es una práctica más recomendada que aplicarlas a cuentas individuales, ya que simplifica la gestión de las políticas y cualquier posible solución de problemas.

El siguiente diagrama muestra las OU fundamentales (Prod y SDLC) para la seguridad y la infraestructura:

Esta imagen muestra las OU fundamentales (Prod y SDLC) para la seguridad y la infraestructura.

Una vez implementados los servicios centrales, recomendamos crear unidades organizativas que se relacionen directamente con la creación o el funcionamiento de sus productos o servicios. Muchos clientes de AWS crean las siguientes unidades organizativas después de sentar las bases:

  • Entorno de pruebas: contiene Cuentas de AWS que los desarrolladores individuales pueden utilizar para experimentar con Servicios de AWS. Asegúrese de que estas cuentas se puedan separar de las redes internas.

  • Cargas de trabajo: contienen Cuentas de AWS que alojan los servicios de aplicaciones. Debe estructurar las unidades organizativas en entornos SDLC y Prod (similares a las unidades organizativas fundamentales) para aislar y controlar estrictamente las cargas de trabajo de producción.

También recomendamos agregar unidades organizativas adicionales para la expansión y el mantenimiento continuos, en función de sus necesidades específicas. Los siguientes son algunos temas comunes basados en las prácticas de los clientes de AWS:

  • Programación de políticas: incluye cuentas de AWS en las que puede probar los cambios en las políticas propuestos antes de aplicarlos ampliamente a la organización. Comience por implementar los cambios en una cuenta de la OU prevista y vaya avanzando poco a poco en otras cuentas, unidades organizativas y en el resto de la organización.

  • Suspendido: contiene Cuentas de AWS que se han cerrado y están a la espera de ser eliminadas de la organización. Adjunte una SCP a esta OU que deniegue todas las acciones. Asegúrese de que las cuentas estén etiquetadas con detalles para garantizar su trazabilidad en caso de que sea necesario restaurarlas.

  • Usuarios empresariales individuales: unidad organizativa de acceso limitado que contiene Cuentas de AWS destinadas a usuarios empresariales (no desarrolladores) que puedan necesitar crear aplicaciones relacionadas con la productividad empresarial, por ejemplo, configurar un bucket de S3 para compartir informes o archivos con un socio.

  • Excepciones: contiene Cuentas de AWS que se utilizan para casos de uso empresarial que tienen requisitos de seguridad o auditoría altamente personalizados, distintos de los definidos en la OU de cargas de trabajo. Por ejemplo, configurar una Cuenta de AWS para una nueva aplicación o característica confidencial. Utilice las SCP de cuenta para satisfacer sus necesidades personalizadas. Considere la posibilidad de configurar un sistema de detección y reacción con Amazon EventBridge y las reglas de AWS Config.

  • Implementaciones: contiene Cuentas de AWS diseñadas para la integración continua y la entrega/implementación continuas (implementaciones de CI/CD). Puede crear esta OU si tiene un modelo operativo y de gobernanza diferente para las implementaciones de CI/CD en comparación con las cuentas de las OU de cargas de trabajo (Prod y SDLC). La distribución de CI/CD ayuda a reducir la dependencia organizativa de un entorno de CI/CD compartido administrado por un equipo central. Para cada conjunto de Cuentas de AWS de SDLC/Prod para una aplicación de la OU de cargas de trabajo, cree una cuenta de CI/CD en la OU de implementaciones.

  • Transitorio: se utiliza como área de almacenamiento temporal para las cuentas y cargas de trabajo existentes antes de trasladarlas a las áreas estándar de la organización. Esto puede deberse a que las cuentas forman parte de una adquisición, fueron administradas anteriormente por un tercero, o a cuentas heredadas de una estructura organizativa antigua.

El siguiente diagrama muestra unidades organizativas adicionales para cuentas de entorno de pruebas, cargas de trabajo, implementación de políticas, usuarios empresariales individuales o suspendidos, excepciones, implementaciones y transitorias:

La imagen muestra unidades organizativas adicionales para cuentas de entorno de pruebas, cargas de trabajo, implementación de políticas, usuarios empresariales individuales o suspendidos, excepciones, implementaciones y transitorias.

Conclusión

Una estrategia de varias cuentas bien diseñada puede ser de ayuda para innovar en AWS y, al mismo tiempo, garantizar que cumple con sus necesidades de seguridad y escalabilidad. El marco descrito en este tema representa las prácticas recomendadas de AWS que debe utilizar como punto de partida para su proceso en AWS.

El siguiente diagrama muestra las unidades organizativas fundamentales recomendadas y las unidades organizativas adicionales:

Esta imagen muestra las unidades organizativas fundamentales recomendadas y las unidades organizativas adicionales.