"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
# Administre los conjuntos de AWS permisos de forma dinámica mediante Terraform
*Vinicius Elias y Marcos Vinicius Pinto Jordao, Amazon Web Services*
## Resumen
AWS IAM Identity Center mejora AWS Identity and Access Management (IAM) al proporcionar un centro centralizado para administrar el acceso de inicio de sesión único a las aplicaciones en la nube Cuentas de AWS y las aplicaciones en la nube. Sin embargo, la administración manual de los [conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) de IAM Identity Center puede resultar cada vez más compleja y propensa a errores a medida que su organización crece. Esta complejidad puede provocar posibles brechas de seguridad y sobrecarga administrativa.
Esta solución le permite administrar los conjuntos de permisos mediante la infraestructura como código (IaC) con una canalización de integración y entrega continuas (CI/CD) creada con Servicios de AWS nativos. Permite una integración perfecta del mecanismo de asignación de conjuntos de permisos con los eventos AWS Control Tower del ciclo de vida o con un entorno de [Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html). Este enfoque proporciona configuraciones de identidad dinámicas tanto para las nuevas como para las existentes Cuentas de AWS.
EventBridge Las reglas de Amazon supervisan Cuenta de AWS la creación y las actualizaciones, lo que ayuda a que las configuraciones de identidad permanezcan sincronizadas con la estructura de la organización. Tras crear o actualizar las cuentas en AWS Control Tower o en AFT, se activa la canalización. Evalúa un conjunto de archivos JSON con definiciones de conjuntos de permisos y reglas de asignación. Luego, la canalización aplica y sincroniza la configuración en todas las cuentas.
A continuación, se enumeran las ventajas de este enfoque:
+ **Coherencia**: elimina las desviaciones de configuración manual en toda AWS la organización
+ **Auditabilidad**: mantiene un historial completo de todos los cambios en la administración de identidades.
+ **Escalabilidad**: aplica automáticamente las configuraciones a medida que su AWS entorno crece
+ **Seguridad**: reduce los errores humanos en la asignación de permisos.
+ **Conformidad**: facilita el cumplimiento de los requisitos reglamentarios mediante cambios documentados y reglas de asignación.
## Requisitos previos y limitaciones
+ Un entorno de múltiples cuentas con AWS Control Tower y AWS Organizations configuración. Opcionalmente, puede usar AFT con AWS Control Tower.
+ Un administrador delegado del IAM Identity Center Cuenta de AWS para recibir la solución. Para obtener más información, consulte [Delegated administration](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html) en la documentación de IAM Identity Center.
+ Un repositorio del sistema de control de versiones (VCS) para gestionar el código principal. [Para ver un ejemplo, consulte el repositorio de la GitHub solución.](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic)
+ AWS Recursos necesarios para la administración del backend de Terraform, como un bucket de Amazon Simple Storage Service (Amazon S3) y una tabla de Amazon DynamoDB.
**Limitaciones**
+ La canalización utiliza recursos AWS nativos y Terraform de código abierto. La canalización no está preparada para hacer llamadas a ecosistemas de terceros.
+ Algunos Servicios de AWS no están disponibles en todos Regiones de AWS. Para obtener información sobre la disponibilidad en regiones, consulte [AWS Services by Region](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Para ver los puntos de conexión específicos, consulte [Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) y elija el enlace del servicio.
## Arquitectura
En el siguiente diagrama se muestran los componentes y el flujo de trabajo de este patrón.
![\[Componentes y flujo de trabajo para administrar los conjuntos de permisos de AWS mediante Terraform.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/69dc79c7-b4cd-4ad0-b0d2-d58cf0c7adaa/images/649e299c-1142-405a-8982-4a6b2e595d53.png)
**AWS Control Tower los eventos fluyen**
La solución comienza con la integración de los eventos que provienen de AFT AWS Control Tower o de AFT. La elección entre un servicio u otro se lleva a cabo en el momento de la implementación mediante la definición de variables. Independientemente del método utilizado, la canalización se activa cada vez que se crea o actualiza una cuenta. La canalización reconcilia las políticas almacenadas en el repositorio de administración de conjuntos de permisos.
Los siguientes son los eventos AWS Control Tower del ciclo de vida:
+ `CreateManagedAccount`: cuando se crea una cuenta nueva.
+ `UpdateManagedAccount`: cuando se actualiza una cuenta existente.
**Enrutamiento de eventos**
EventBridge sirve como servicio central de procesamiento de eventos, capturando los eventos generados en la AWS Control Tower cuenta. Cuando se producen eventos, los dirige de EventBridge forma inteligente a un bus de eventos centralizado en la cuenta de la solución. AWS Control Tower los eventos del ciclo de vida siguen patrones de enrutamiento distintos. Si se define AFT como la fuente del evento, la cuenta de administración de AFT gestiona los eventos en lugar de la AWS Control Tower cuenta. Esta arquitectura basada en eventos permite respuestas automatizadas a los cambios organizativos sin intervención manual.
**Proceso de integración de AFT**
Cuando los eventos AWS Control Tower del ciclo de vida llegan a la cuenta de administración de la AFT, activan automáticamente varios procesos posteriores que son intrínsecos a la AFT. Una vez que se completa el flujo de trabajo de personalización de la cuenta de AFT, publica un mensaje en el tema dedicado de Amazon Simple Notification Service (Amazon SNS) `aft-notifications`. Ese tema activa la `aft-new-account-forward-event` AWS Lambda función que implementa esta solución. La función de Lambda envía el evento al bus de eventos de la cuenta de la solución, donde se utiliza para iniciar la canalización.
**Canalización de infraestructura como código**
La canalización de soluciones funciona como un mecanismo de implementación totalmente automatizado. El AWS CodePipeline servicio monitorea continuamente el repositorio para detectar cambios. Al detectar nuevas confirmaciones, inicia automáticamente el flujo de trabajo de implementación e inicia un proceso secuencial que incluye las fases de validación y ejecución. El sistema ejecuta `plan` las operaciones de Terraform para identificar los cambios propuestos, seguidas de los `apply` comandos de Terraform para implementar esos cambios en el AWS entorno. En particular, la canalización se ejecuta sin ninguna puerta de aprobación manual. Este enfoque permite implementar rápidamente los cambios en la infraestructura y, al mismo tiempo, mantener la auditabilidad mediante los registros de la canalización y los archivos de estado de Terraform.
La canalización se aprovecha AWS CodeBuild para ejecutar las operaciones de Terraform en un entorno controlado con los permisos adecuados. Mediante este enfoque de IaC, la canalización puede efectuar operaciones integrales de administración de permisos, tales como las siguientes:
+ Creación de conjuntos de permisos nuevos.
+ Actualización de conjuntos de permisos existentes.
+ Eliminación de conjuntos de permisos innecesarios.
+ Gestione la asignación de estos permisos entre las cuentas y los grupos de las AWS organizaciones.
Para mantener la coherencia de la infraestructura y evitar cambios conflictivos, la solución implementa el sistema de administración de estados del backend de Terraform mediante un bucket de Amazon S3 y una tabla dedicada de Amazon DynamoDB. Este enfoque proporciona una ubicación de almacenamiento persistente para los archivos de estado de Terraform y mecanismos de bloqueo de estado para evitar modificaciones simultáneas en los mismos recursos.
El código principal de Terraform usa el módulo oficial de AWS `permission-sets` Terraform. Este módulo puede administrar dinámicamente los conjuntos de permisos en IAM Identity Center basándose en plantillas de conjuntos de permisos.
**Administración de control de origen**
Las plantillas del conjunto de permisos (archivos JSON) residen en un sistema de control de versiones externo, por ejemplo GitHub, que proporciona un repositorio centralizado para las configuraciones de administración de identidades. Este enfoque establece una fuente única de información fiable para las definiciones de conjuntos de permisos y, al mismo tiempo, permite el desarrollo colaborativo mediante prácticas estándar de revisión del código. Los usuarios autorizados pueden confirmar cambios en estas plantillas siguiendo los procesos de administración de cambios organizativos. Estas confirmaciones son el principal desencadenante de la canalización de implementación automatizada, que inicia el proceso de actualización de la infraestructura.
Para ver un ejemplo de cómo configurar los conjuntos de permisos mediante el archivo JSON en el repositorio, consulte [Información adicional](#manage-aws-permission-sets-dynamically-by-using-terraform-additional).
## Tools (Herramientas)
**Servicios de AWS**
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html) es un servicio de compilación completamente administrado que le permite compilar código fuente, poner en marcha pruebas unitarias y producir artefactos listos para implementar.
+ [AWS CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/welcome-connections.html)permite que AWS los recursos y servicios, por ejemplo CodePipeline, se conecten a repositorios de código externos, por ejemplo. GitHub
+ [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html) permite diseñar y configurar rápidamente las diferentes etapas de un proceso de lanzamiento de software y automatizar los pasos necesarios para lanzar los cambios en el software de manera continua.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) es una herramienta de código abierto que le ayuda a interactuar Servicios de AWS mediante comandos en el shell de la línea de comandos.
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)le ayuda a configurar y administrar un entorno de AWS múltiples cuentas, siguiendo las mejores prácticas prescriptivas.
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) es un servicio de base de datos de NoSQL completamente administrado que ofrece un rendimiento rápido, predecible y escalable.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) es un servicio de bus de eventos sin servidor que le ayuda a conectar sus aplicaciones con datos en tiempo real de diversas fuentes. Por ejemplo, AWS Lambda funciones, puntos de enlace de invocación HTTP que utilizan destinos de API o buses de eventos en otros. Cuentas de AWS
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos.
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)le ayuda a gestionar de forma centralizada el acceso mediante el inicio de sesión único (SSO) a todas sus aplicaciones y a las de la nube. Cuentas de AWS
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)es un servicio de administración de cuentas que le ayuda a consolidar múltiples cuentas Cuentas de AWS en una organización que puede crear y administrar de forma centralizada.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) le permite coordinar y administrar el intercambio de mensajes entre publicadores y clientes, incluidos los servidores web y las direcciones de correo electrónico. Permite las notificaciones push para los eventos de administración de cuentas, lo que garantiza que las partes pertinentes estén informadas de los cambios o acciones importantes que se produzcan en el sistema.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) es un servicio de almacenamiento de objetos basado en la nube que lo ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.
**Otras herramientas**
+ [Terraform](https://www.terraform.io/) es una herramienta de infraestructura como código (IaC) HashiCorp que le ayuda a crear y administrar recursos locales y en la nube.
**Repositorio de código**
[El código de este patrón está disponible en la organización AWS Samples y en el repositorio GitHub -sets-pipeline. sample-terraform-aws-permission](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline)
## Prácticas recomendadas
+ Fije siempre las versiones de los módulos y proveedores de Terraform que se utilizan para ejecutar el código en producción.
+ Utilice una herramienta de análisis de código estático, como [Checkov](https://www.checkov.io/), para analizar el código y, a continuación, resolver los problemas de seguridad.
+ Siga el principio de privilegio mínimo y conceda los permisos mínimos necesarios para llevar a cabo una tarea. Para obtener más información, consulte [Otorgar privilegio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) y [Prácticas recomendadas de seguridad](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la documentación de IAM.
## Epics
### Creación de los requisitos previos (opcional)
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Crear los recursos del backend de Terraform. | Si aún no ha creado sus AWS recursos de backend de Terraform, siga estos pasos para crear un bucket de Amazon S3 (`s3-tf-backend-{ACCOUNT_ID}`) y una tabla de DynamoDB (). `ddb-tf-backend`[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws s3api create-bucket --bucket s3-tf-backend-{ACCOUNT_ID}
aws s3api put-bucket-versioning --bucket s3-tf-backend-{ACCOUNT_ID} --versioning-configuration Status=Enabled
aws dynamodb create-table --table-name ddb-tf-backend --attribute-definitions AttributeName=LockID,AttributeType=S --key-schema AttributeName=LockID,KeyType=HASH --provisioned-throughput ReadCapacityUnits=1,WriteCapacityUnits=1 | Administrador de AWS |
| Cree un rol multicuenta. | Debe proporcionar una función de IAM multicuenta en la configuración del proveedor de `event-source-account` Terraform AWS . Si aún no ha creado este rol, siga estos pasos para crearlo:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam create-role \
--role-name CrossAccountRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{ACCOUNT_ID}:root"
},
"Action": "sts:AssumeRole"
}
]
}'
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam attach-role-policy \
--role-name CrossAccountRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
En este ejemplo, se utiliza la política de IAM AWS gestionada. [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html) Si lo prefiere, puede utilizar una política más específica. | Administrador de AWS |
### Preparación del repositorio de conjuntos de permisos
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Crear un repositorio dedicado. | En esta tarea se presupone que está utilizando GitHub. Cree un repositorio dedicado para almacenar el código principal de Terraform y los archivos JSON de la plantilla del conjunto de permisos. | DevOps ingeniero |
| Preparar el código del conjunto de permisos. | Para obtener información sobre cómo estructurar los siguientes archivos, consulte el [código de ejemplo](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic) en el repositorio de soluciones:├── main.tf├── outputs.tf├── providers.jinja└── templatesCopie el contenido, conserve los valores de `providers.jinja` y haga los ajustes necesarios en los demás archivos. Por ejemplo, agregue archivos de plantillas de conjuntos de permisos a `templates` o fije la versión del módulo `aws-ia/permission-sets/aws` en el archivo `main.tf`. | DevOps ingeniero |
| Confirmar los cambios. | Confirme e inserte los cambios en el repositorio que creó anteriormente. Guarde el nombre del repositorio y su GitHub organización, por ejemplo,`myorg/aws-ps-pipeline`. | DevOps ingeniero |
### Preparación del código de implementación
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Descargar el contenido. | Descargue (clone) el contenido del [repositorio](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline) de soluciones. | DevOps ingeniero |
| Completar las variables. | Cree un archivo `terraform.tfvars` y agregue las siguientes variables necesarias:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)repository_name = "myorg/aws-ps-pipeline"
branch_name = "main"
vcs_provider = "github"
account_lifecycle_events_source = "CT"
Para obtener información sobre opciones de variables adicionales, consulta el archivo [variables.tf](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/blob/main/variables.tf) en el repositorio de este patrón. GitHub | DevOps ingeniero |
| Ajustar la configuración del backend de Terraform. | En el archivo `backend.tf`, sustituya los marcadores de posición por sus propios valores. Use el AWS Control Tower inicio Región de AWS y proporcione los nombres del bucket de Amazon S3 y la tabla de DynamoDB creados anteriormente.terraform {
required_version = ">=1.6"
backend "s3" {
region = "{region}"
bucket = "{bucket_name}"
key = "terraform.tfstate"
dynamodb_table = "{table_name}"
encrypt = "true"
}
}Si lo prefiere, puede usar su propia configuración de backend de Terraform. | DevOps ingeniero |
| Ajustar la configuración del proveedor de Terraform. | En el archivo `providers.tf`, sustituya los marcadores de posición por su propia información. Utilice la región de AWS Control Tower origen y proporcione el ARN del rol de IAM multicuenta creado anteriormente para el proveedor. `event-source-account`provider "aws" {
region = "{region}"
}
provider "aws" {
alias = "event-source-account"
region = "{region}"
assume_role {
role_arn = "{role_arn}"
}
}
| DevOps ingeniero |
### Implementación manual de la solución
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Seleccione el Cuenta de AWS. | Le recomendamos implementar la solución en la cuenta de administrador delegado de IAM Identity Center. Sin embargo, también puede implementarlo en la cuenta AWS Organizations de administración.Para iniciar sesión en la cuenta seleccionada en la misma región que la instancia de IAM Identity Center, utilice la AWS CLI. Asegúrese de que el rol de IAM que está utilizando tiene permiso para asumir el rol que se especificó para el proveedor `event-source-account` en los pasos anteriores. Además, este rol debe tener acceso a los AWS recursos que se utilizan en la configuración del backend de Terraform. | Administrador de AWS |
| Ejecutar Terraform manualmente. | Para inicializar, planificar y aplicar las configuraciones, ejecute los siguientes comandos de Terraform en el orden que aparecen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) | DevOps ingeniero |
| Compruebe los resultados de la implementación. | En la cuenta de administrador delegado de IAM Identity Center, compruebe que se haya creado la canalización de `aws-ps-pipeline`. Compruebe también que haya una AWS CodeConnections conexión con el estado **Pendiente**. | AWS DevOps |
| Finalice la CodeConnections configuración. | Para finalizar la CodeConnections configuración, siga los siguientes pasos:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)La canalización ahora debería tener acceso al repositorio de conjuntos de permisos.Para obtener instrucciones detalladas, consulte [Update a pending connection](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-update.html) en la documentación de la consola de herramientas para desarrolladores. | AWS DevOps |
### Elección de un flujo de ejecución de canalizaciones para probar la solución
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Ejecute la canalización mediante AWS Control Tower las actualizaciones de AFT. | Una vez creada o modificada una cuenta mediante AWS Control Tower AFT (según el tipo de eventos del ciclo de vida que elijas), se inicia la canalización. | Administrador de AWS |
| Cambiar el código para ejecutar la canalización. | Tras cambiar el código y confirmarlo en la rama `main`, se inicia la canalización. | AWS DevOps |
| Ejecutar la canalización manualmente. | Para iniciar la canalización manualmente, utilice la función [de cambio de versión](https://docs.aws.amazon.com/codepipeline/latest/userguide/pipelines-rerun-manually.html) de AWS CodePipeline. | AWS DevOps |
## Resolución de problemas
| Problema | Solución |
| --- | --- |
| Acceso denegado | Compruebe que cuente con los permisos necesarios para implementar la solución. |
| CodeConnections problemas | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| Problemas de ejecución de las canalizaciones | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| Problemas de implementación de los conjuntos de permisos | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
## Recursos relacionados
**Servicio de AWS documentación**
+ [AWS IAM Identity Center Guía del usuario](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ [Administre Cuentas de AWS con conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) (documentación del IAM Identity Center)
**Otros recursos**
+ [AWS Módulo de conjuntos de permisos](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest) (Terraform)
## Información adicional
**Archivo JSON con un ejemplo de conjunto de permisos**
En el siguiente ejemplo se muestra cómo configurar un conjunto de permisos mediante el archivo JSON del repositorio:
```
{
"Name": "ps-billing", // Permission set identifier
"Comment": "Sample permission set for billing access", // Comment to document the purpose of the permission set
"Description": "Billing access in AWS", // Detailed description
"SessionDuration": "PT4H", // Session duration = 4 hours (ISO 8601 format)
"ManagedPolicies": [ // List of AWS IAM managed policies
"arn:aws:iam::aws:policy/job-function/Billing",
"arn:aws:iam::aws:policy/job-function/SupportUser",
"arn:aws:iam::aws:policy/AWSSupportAccess",
"arn:aws:iam::aws:policy/job-function/ViewOnlyAccess"
],
"CustomerPolicies": [], // References to IAM policies previously created
"CustomPolicy": {}, // Inline IAM policy defined directly in the permission set
"PermissionBoundary": { // AWS or customer managed IAM policy to be used as boundary
"ManagedPolicy": "",
"CustomerPolicy": ""
},
"Assignments": [ // Define the assignment rules
{
"all_accounts": true, // Apply to ALL active AWS accounts in organization
"principal": "G_BILLING_USERS", // Group/user name in Identity Center
"type": "GROUP", // Can be "GROUP" or "USER"
"account_id": [], // List of AWS account ID (empty since all_accounts=true)
"account_ou": [], // List of AWS Organizational Unit IDs with target AWS accounts
"account_tag": [] // List of tags (key:value) to match AWS Organization accounts tags
}
]
}
```
Para obtener más información, consulte el esquema JSON en la documentación del [módulo AWS Permission Sets](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest#json-file-templates) del sitio web de Terraform.
**Consejos**
+ Puede usar los [bloques de importación](https://developer.hashicorp.com/terraform/language/import) de Terraform para importar un conjunto de permisos existente a la solución.
+ Puede usar AFT para implementar la canalización del conjunto de AWS permisos en una cuenta delegada. Para obtener más información, consulte [AFT Blueprints](https://awslabs.github.io/aft-blueprints/index.html).
# Etiquete automáticamente las conexiones de puerta de enlace de tránsito con AWS Organizations
*Richard Milner-Watts, Haris Bin Ayub y John Capps, Amazon Web Services*
## Resumen
En Amazon Web Services (AWS), se puede utilizar [AWS Resource Access Manager](https://aws.amazon.com/ram/)para compartir a [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)través de Cuenta de AWS fronteras. Sin embargo, cuando crea conexiones de puerta de enlace de tránsito más allá de los límites de la cuenta, los archivos adjuntos se crean sin una etiqueta de nombre. Esto puede hacer que la identificación de los archivos adjuntos lleve mucho tiempo.
Esta solución proporciona un mecanismo automatizado para recopilar información sobre cada conexión de puerta de enlace de tránsito para las cuentas de una organización administrada por [AWS Organizations](https://aws.amazon.com/organizations/). El proceso incluye buscar el rango de [enrutamiento entre dominios sin clase](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing) (CIDR) en la tabla de enrutamiento de puerta de enlace de tránsito. Luego, la solución aplica una etiqueta con el nombre en forma de `-` a la conexión de la cuenta que contiene la puerta de enlace de tránsito.
Esta solución se puede utilizar junto con una solución como el [Serverless Transit Network Orchestrator](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/) de la biblioteca de AWS soluciones. El orquestador de redes de tránsito sin servidor permite la creación automatizada de conexiones de puerta de enlace de tránsito a escala.
## Requisitos previos y limitaciones
**Requisitos previos **
+ Un activo Cuenta de AWS
+ Una AWS Organizations organización que contiene todas las cuentas relacionadas
+ Acceda a la cuenta de administración de la organización, ubicada en la raíz de la organización, para crear el rol necesario AWS Identity and Access Management (IAM)
+ Una cuenta de miembro de una red compartida que contiene una o más puertas de enlace de tránsito que se comparten con la organización y tienen archivos adjuntos
## Arquitectura
La siguiente captura de pantalla Consola de administración de AWS muestra ejemplos de archivos adjuntos de Transit Gateway sin etiqueta de nombre asociada y dos archivos adjuntos de Transit Gateway con etiquetas de nombre generados por esta solución. La estructura de la etiqueta de nombre generada es `-`.
![\[La consola muestra los archivos adjuntos sin etiquetas de nombre y dos archivos adjuntos con etiquetas de nombre.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/7e7d4a47-f07a-4708-8022-a1d22855bb5d.png)
Esta solución se utiliza [AWS CloudFormation](https://aws.amazon.com/cloudformation/)para implementar un [AWS Step Functions](https://aws.amazon.com/step-functions/)flujo de trabajo que gestiona la creación de etiquetas de nombre de Transit Gateway en todas las configuraciones Regiones de AWS. El flujo de trabajo invoca las funciones de [AWS Lambda](https://aws.amazon.com/lambda/), que hacen las tareas subyacentes.
Una vez que la solución haya obtenido los nombres de las cuentas AWS Organizations, la máquina de estados Step Functions recibirá todos los archivos adjuntos de Transit Gateway IDs. La región las procesa en paralelo. Este procesamiento incluye la búsqueda del rango de CIDR para cada archivo adjunto. El rango CIDR se obtiene buscando en las tablas de enrutamiento de puerta de enlace de tránsito de la región un identificador de la conexión de puerta de enlace de tránsito coincidente. Si toda la información requerida está disponible, la solución aplica una etiqueta con el nombre al archivo adjunto. La solución no sobrescribirá ninguna etiqueta de nombre existente.
La solución se ejecuta según un cronograma controlado por un EventBridge evento de [Amazon](https://aws.amazon.com/eventbridge/). El evento inicia la solución todos los días a las 6:00 UTC.
**Pila de tecnología de destino**
+ Amazon EventBridge
+ AWS Lambda
+ AWS Organizations
+ AWS Transit Gateway
+ Amazon Virtual Private Cloud (Amazon VPC)
+ AWS X-Ray
**Arquitectura de destino**
La arquitectura de la solución y el flujo de trabajo se muestran en el siguiente diagrama.
![\[Proceso de nueve pasos para cuentas compartidas de administración de redes y organizaciones.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/873cc89f-c6e3-43cd-94ed-59b6ea2b8d49.png)
1. El evento programado inicia la regla.
1. La EventBridge regla inicia la máquina de estados Step Functions.
1. La máquina de estados invoca la función de Lambda `tgw-tagger-organizations-account-query`.
1. La función de Lambda `tgw-tagger-organizations-account-query` asume la función en la cuenta de administración de la organización.
1. La función `tgw-tagger-organizations-account-query` Lambda llama a la API de Organizations para devolver Cuenta de AWS los metadatos.
1. La máquina de estados invoca la función de Lambda `tgw-tagger-attachment-query`.
1. Para cada región, en paralelo, la máquina de estados invoca la función de Lambda `tgw-tagger-rtb-query` para leer el rango CIDR de cada adjunto.
1. Para cada región, en paralelo, la máquina de estados invoca la función de Lambda para `tgw-tagger-attachment-tagger`** **
1. Las etiquetas de nombre se crean para las conexiones de puerta de enlace de tránsito en la cuenta Shared Networking.
**Automatizar y escalar**
La solución procesa cada región en paralelo para reducir la duración total de la ejecución.
## Tools (Herramientas)
**Servicios de AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)proporciona una forma de modelar un conjunto de recursos relacionados AWS y de terceros, aprovisionarlos de forma rápida y coherente y gestionarlos a lo largo de sus ciclos de vida, tratando la infraestructura como código.
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) le CloudWatch ayuda a supervisar las métricas de sus recursos de AWS y las aplicaciones en las que se ejecuta AWS en tiempo real.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) es un servicio de bus de eventos sin servidor que puede utilizar para conectar sus aplicaciones con datos de diversas fuentes. EventBridge recibe un evento, un indicador de un cambio en el entorno, y aplica una regla para enrutar el evento a un objetivo. Las reglas hacen coincidir los eventos con los objetivos o bien en función de la estructura del evento, llamado un patrón de evento, o bien de una programación.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) es un servicio de computación que permite ejecutar código sin aprovisionar ni administrar servidores. Lambda ejecuta su código solo cuando es necesario y escala de manera automática, desde unas pocas solicitudes por día hasta miles por segundo. Solo paga por el tiempo de proceso que consume. No se aplican cargos cuando su código no se está ejecutando.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)le ayuda a administrar y gobernar su entorno de forma centralizada a medida que crece y escala sus AWS recursos. Con Organizations, puede crear recursos nuevos Cuentas de AWS y asignarlos mediante programación, agrupar cuentas para organizar sus flujos de trabajo, aplicar políticas a cuentas o grupos para la gobernanza y simplificar la facturación mediante el uso de un único método de pago para todas sus cuentas.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)es un servicio de flujo de trabajo visual de bajo código que se utiliza para organizar Servicios de AWS, automatizar los procesos empresariales y crear aplicaciones sin servidor. Los flujos de trabajo gestionan los errores, los reintentos, la paralelización, las integraciones de servicios y la observabilidad para que los desarrolladores puedan centrarse en una lógica empresarial de mayor valor.
+ [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)conecta VPCs y conecta redes locales a través de un hub central. Esto simplifica su red y pone fin a las complejas relaciones de interconexión. Actúa como un router en la nube, de modo que cada nueva conexión se realiza solo una vez.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) es un servicio para lanzar AWS recursos en una red virtual aislada de forma lógica que usted defina.
+ [AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html) recopila datos sobre las solicitudes que atiende la aplicación y proporciona herramientas que puede utilizar para consultar, filtrar y obtener información sobre dichos datos para identificar problemas y oportunidades de optimización.
**Código**
El código fuente de esta solución está disponible en el GitHub repositorio [Transit Gateway Attachment Tagger](https://github.com/aws-samples/tgw-attachment-tagger). El repositorio incluye los siguientes archivos:
+ `tgw-attachment-tagger-main-stack.yaml` crea todos los recursos necesarios para respaldar esta solución en la cuenta Shared Networking.
+ `tgw-attachment-tagger-organizations-stack.yaml`**** crea un rol en la cuenta de administración de la organización.
## Epics
### Implemente el conjunto principal de soluciones
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Reúna la información necesaria sobre los requisitos previos. | Para configurar el acceso entre cuentas desde la función Lambda a AWS Organizations la API, necesita el ID de cuenta de la cuenta de administración de la organización.****El orden en el que se crean las dos CloudFormation pilas es importante. Primero debe implementar los recursos en la cuenta de red compartida. El rol en la cuenta Shared Networking ya debe existir antes de implementar los recursos en la cuenta de administración de la organización. Para obtener más información, consulte la [Documentación de AWS](https://docs.amazonaws.cn/en_us/IAM/latest/UserGuide/id_roles_create_for-user.html). | DevOps ingeniero |
| Inicie la CloudFormation plantilla para la pila de soluciones principal. | La plantilla de la pila de soluciones principal implementará las funciones de IAM, el flujo de trabajo de Step Functions, las funciones de Lambda y el evento de Amazon CloudWatch .Abra la cuenta Consola de administración de AWS de red compartida y, a continuación, abra la consola: &CFN. Cree la pila con la plantilla `tgw-attachment-tagger-main-stack.yaml` y los siguientes valores: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)[Para obtener más información sobre cómo lanzar una CloudFormation pila, consulte la documentación.AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) | DevOps ingeniero |
| Compruebe que la solución se haya lanzado correctamente. | Espere a que la CloudFormation pila alcance el estado **CREATE\$1COMPLETE**. Este proceso no debería tardar más de un minuto.Abra la consola Step Functions y compruebe que se ha creado una nueva máquina de estados con el nombre **tgw-attachment-tagger-state-machine**. | DevOps ingeniero |
### Implemente el paquete de AWS Organizations
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Reúna la información necesaria sobre los requisitos previos. | Para configurar el acceso entre cuentas desde la función de Lambda a la API de AWS Organizations, necesita el ID de cuenta de la cuenta Shared Networking. | DevOps ingeniero |
| Inicie la CloudFormation plantilla para la pila Organizations | En la plantilla de AWS Organizations stack, se implementará el rol de IAM en la cuenta de gestión de la organización. Acceda a la consola de AWS de la cuenta de administración de la organización y, a continuación, abra la CloudFormation consola. Cree la pila con la plantilla `tgw-attachment-tagger-organizations-stack.yaml` y los siguientes valores:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)Para las demás opciones de creación de pilas, usa los valores predeterminados. | DevOps ingeniero |
| Compruebe que la solución se haya lanzado correctamente. | Espere a que la CloudFormation pila alcance el estado **CREATE\$1COMPLETE**. Este proceso no debería tardar más de un minuto.**Abra la consola AWS Identity and Access Management (IAM) y compruebe que se ha creado un nuevo rol con el nombre -query-role. tgw-attachment-tagger-organization** | DevOps ingeniero |
### Verificación de la solución
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Ejecuta la máquina de estado. | Abra la consola Step Functions de la cuenta Shared Networking y elija **Equipos de estado** en el panel de navegación.Seleccione el estado machine **tgw-attachment-tagger-state-machine** y elija **Iniciar ejecución**. Como la solución no utiliza la entrada de esta máquina de estados, puede utilizar el valor predeterminado.{
"Comment": "Insert your JSON here"
}Seleccione **Iniciar ejecución**. | DevOps ingeniero |
| Vigile la máquina de estados hasta su finalización. | En la nueva página que se abre, puede ver cómo funciona la máquina de estados. La duración dependerá de la cantidad de conexiones de puerta de enlace de tránsito que se procesen.En esta página, puede examinar cada paso de la máquina de estados. Puede ver las distintas tareas de la máquina de estados y seguir los enlaces a los CloudWatch registros de las funciones de Lambda. Para las tareas que se ejecutan en paralelo dentro del mapa, puede usar la lista desplegable del **Índice** para ver las implementaciones específicas de cada región. | DevOps ingeniero |
| Compruebe las etiquetas de conexión de puerta de enlace de tránsito. | Abra la consola de VPC de la cuenta Shared Networking y elija **Conexiones de puerta de enlace de tránsito**. En la consola, se proporciona una etiqueta de nombre para los archivos adjuntos que cumplen los criterios (el archivo adjunto se propaga a una tabla de enrutamiento de puerta de enlace de tránsito y el propietario del recurso es miembro de la organización). | DevOps ingeniero |
| Verifique el inicio CloudWatch del evento. | Espere a que se inicie el CloudWatch evento. Está programado para las 06:00 UTC. Abra la consola Step Functions de la cuenta Shared Networking y elija **State machines** (Máquinas de estado) en el panel de navegación.Seleccione el estado machine **tgw-attachment-tagger-state-machine.** Compruebe que la solución se haya ejecutado a las 06:00 UTC. | DevOps ingeniero |
## Recursos relacionados
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [AWS Resource Access Manager](https://aws.amazon.com/ram/)
+ [Orquestador de redes de tránsito sin servidor](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/)
+ [Creación de roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)
+ [Crear una pila en la AWS CloudFormation consola](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
# Más patrones
**Topics**
+ [Automatice las asignaciones de CIDR, IPAM y IPv4 CIDR de Amazon VPC para nuevos mediante AFT Cuentas de AWS](automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.md)
+ [Control de los conjuntos de permisos para varias cuentas mediante Account Factory for Terraform](govern-permission-sets-aft.md)
+ [AWS Service Catalog Aprovisione productos en función de AWS CloudFormation plantillas mediante GitHub acciones](provision-aws-service-catalog-products-using-github-actions.md)
+ [Aprovisionamiento de roles de IAM con privilegio mínimo mediante la implementación de una solución de máquina expendedora de roles](provision-least-privilege-iam-roles-by-deploying-a-role-vending-machine-solution.md)