Implemente y gestione los controles AWS de la Torre de Control mediante Terraform - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasPrácticas recomendadasEpicsResolución de problemasRecursos relacionadosInformación adicional

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Implemente y gestione los controles AWS de la Torre de Control mediante Terraform

Creada por Iker Reina Fuente (AWS) e Ivan Girardi () AWS

Repositorio de código: Implemente y gestione los controles de la Torre de AWS Control mediante Terraform

Entorno: producción

Tecnologías: seguridad, identidad, cumplimiento CloudNative; infraestructura; gestión y gobierno

Carga de trabajo: código abierto

AWSservicios: AWS Control Tower; AWS Organizations

Resumen

Este patrón describe cómo usar los controles de la Torre de AWS Control, HashiCorp Terraform y la infraestructura como código (IaC) para implementar y administrar controles de seguridad preventivos, de detección y proactivos. Un control (también conocido como barandilla) es una regla de alto nivel que proporciona una gobernanza continua para el entorno general de la Torre de AWS Control. Por ejemplo, puede usar controles para exigir el registro de sus AWS cuentas y, a continuación, configurar las notificaciones automáticas si se producen eventos específicos relacionados con la seguridad.

AWSControl Tower lo ayuda a implementar controles preventivos, de detección y proactivos que rigen sus AWS recursos y supervisan el cumplimiento en varias AWS cuentas. Cada control aplica una única regla. En este patrón, debe utilizar la plantilla de IaC proporcionada para especificar qué controles desea implementar en su entorno.

AWSLos controles de la Torre de Control se aplican a toda una unidad organizativa (OU) y afectan a todas las AWS cuentas de la OU. Por lo tanto, cuando los usuarios realicen cualquier acción en cualquier cuenta de su zona de aterrizaje, la acción queda sujeta a los controles que rigen la OU.

La implementación AWS de los controles de la Torre de Control ayuda a establecer una base de seguridad sólida para tu AWS landing zone. Al usar este patrón para implementar los controles como IaC a través de Terraform, puede estandarizar los controles en su zona de aterrizaje e implementarlos y administrarlos de manera más eficiente.

Para implementar los controles de la Torre de AWS Control como iAC, también puedes usar AWS Cloud Development Kit (AWSCDK) en lugar de Terraform. Para obtener más información, consulte Implementar y administrar los controles de la Torre de AWS Control mediante AWS CDK y AWS CloudFormation.

Público objetivo

Este patrón se recomienda para los usuarios que tengan experiencia con AWS Control Tower, Terraform y AWS Organizations.

Requisitos previos y limitaciones

Requisitos previos 

Versiones de producto

  • AWSControl Tower versión 3.0 o posterior

  • Terraform versión 1.5 o posterior

  • Terraform AWS Provider versión 4.67 o posterior

Arquitectura

Arquitectura de destino

En esta sección se ofrece información general sobre esta solución y la arquitectura establecida en el código de ejemplo. El siguiente diagrama muestra los controles implementados en las distintas cuentas de la OU.

Diagrama de arquitectura de los controles desplegados en todas las AWS cuentas de la unidad organizativa.

AWSLos controles de la Torre de Control se clasifican según su comportamiento y su orientación.

Existen tres tipos principales de comportamientos de control:

  1. Los controles preventivos están diseñados para evitar que se produzcan acciones. Se implementan con políticas de control de servicios (SCPs) en AWS Organizations. El estado de una medida de seguridad preventiva es uno de los siguientes: aplicado o no habilitado. Los controles preventivos son compatibles en todas AWS las regiones.

  2. Los controles de Detective están diseñados para detectar eventos específicos cuando se producen y registrar la acción CloudTrail. Se implementan con las reglas de AWS Config. El estado de una medida de seguridad de detección es uno de los siguientes: limpio, infraccióno no habilitado. Los controles de Detective solo se aplican en las AWS regiones compatibles con la Torre AWS de Control.

  3. Los controles proactivos analizan los recursos que aprovisionaría AWS CloudFormation y comprueban si cumplen con las políticas y los objetivos de su empresa. Los recursos que no sean conformes no se aprovisionarán. Estos se implementan mediante AWS CloudFormation ganchos. El estado de un control proactivo es PASSFAIL, o SKIP.

La guía de control es la práctica recomendada sobre cómo aplicar cada control a suOUs. AWSControl Tower ofrece tres categorías de orientación: obligatoria, muy recomendable y optativa. La directriz de un control es independiente de su comportamiento. Para obtener más información, consulte Directrices y comportamiento de control.

Herramientas

AWSservicios

  • AWS CloudFormationle ayuda a configurar AWS los recursos, aprovisionarlos de forma rápida y coherente y administrarlos durante todo su ciclo de vida en todas las AWS cuentas y regiones.

  • AWSConfig proporciona una vista detallada de los recursos de tu AWS cuenta y de cómo están configurados. Le ayuda a identificar cómo se relacionan los recursos entre sí y cómo han cambiado sus configuraciones a lo largo del tiempo.

  • AWSControl Tower le ayuda a configurar y administrar un entorno de AWS múltiples cuentas, siguiendo las mejores prácticas prescriptivas.

  • AWSOrganizations es un servicio de administración de cuentas que le ayuda a consolidar varias AWS cuentas en una organización que usted crea y administra de forma centralizada.

Otras herramientas

  • HashiCorp Terraform es una herramienta de código abierto de infraestructura como código (IaC) que le ayuda a usar el código para aprovisionar y administrar la infraestructura y los recursos de la nube.

Repositorio de código

El código de este patrón está disponible en el repositorio de Terraform para GitHub implementar y administrar los controles de la Torre de AWS Control.

Prácticas recomendadas

Epics

TareaDescripciónHabilidades requeridas

Clonar el repositorio.

En un shell de bash, ingrese el siguiente comando: Esto clona los controles de Implementación y administración AWS de la Torre de Control mediante el repositorio Terraform de GitHub.

git clone https://github.com/aws-samples/aws-control-tower-controls-terraform.git
DevOps ingeniero

Edite el archivo de configuración del backend de Terraform.

  1. En el repositorio clonado, abra el archivo backend.tf.

  2. Edite el archivo para establecer la configuración del backend de Terraform. La configuración que defina en este archivo depende de su entorno. Para obtener más información, consulte la sección Configuración del backend (documentación de Terraform).

  3. Guarde y cierre el archivo backend.tf.

DevOps ingeniero, Terraform

Edite el archivo de configuración del proveedor de Terraform.

  1. En el repositorio clonado, abra el archivo provider.tf.

  2. Edite el archivo para establecer la configuración del proveedor de Terraform. Para obtener más información, consulte Configuración del proveedor (documentación de Terraform). Establece la AWS región como la región en la que API está disponible la Torre de AWS Control.

  3. Guarde y cierre el archivo provider.tf.

DevOps ingeniero, Terraform

Edite el archivo de configuración.

  1. En el repositorio clonado, abra el archivo variables.tfvars.

  2. En la controls sección, en el control_names parámetro, ingrese el API identificador de control. Cada control tiene un API identificador único para cada región en la que esté disponible la Torre de AWS Control. Para buscar el identificador del control, haga lo siguiente:

    1. En las Tablas de metadatos de los controles, localice el control que desee activar.

    2. En la columna APIIdentificadores de control, por región, localice el API identificador de la región en la que está realizando la API llamada, por ejemplo. arn:aws:controltower:us-east-1::control/AWS-GR_AUDIT_BUCKET_ENCRYPTION_ENABLED

    3. Extraiga el identificador de control del identificador regional, por ejemplo AWS-GR_AUDIT_BUCKET_ENCRYPTION_ENABLED.

  3. En la sección controls, en el parámetro organizational_unit_ids, introduzca el ID de la unidad organizativa en la que quiere habilitar el control, por ejemplo ou-1111-11111111. Introduzca el ID entre comillas dobles y separe los números múltiples IDs con comas. Para obtener más información sobre cómo recuperar una unidad organizativaIDs, consulte Visualización de los detalles de una unidad organizativa.

  4. Guarde y cierre el archivo variables.tfvars. Para ver un ejemplo de un archivo variables.tfvars actualizado, consulte la sección de información adicional de este patrón.

DevOps ingeniero, generalAWS, Terraform

Asume el IAM rol en la cuenta de administración.

En la cuenta de administración, asuma el IAM rol que tiene permisos para implementar el archivo de configuración de Terraform. Para obtener más información sobre los permisos necesarios y un ejemplo de política, consulte Permisos con privilegios mínimos para el IAM rol en la sección de información adicional. Para obtener más información sobre cómo asumir un IAM rol en el AWSCLI, consulte Usar un IAM rol en el AWS CLI.

DevOps ingeniero, general AWS

Implementación del archivo de configuración

  1. Ingrese el comando siguiente para inicializar Terraform.

    $ terraform init -upgrade

  2. Introduzca el comando siguiente para obtener una vista previa de los cambios en comparación con el estado actual.

    $ terraform plan -var-file="variables.tfvars"

  3. Revise los cambios de configuración en el plan de Terraform y confirme que desea implementar estos cambios en la organización.

  4. Ingrese el comando siguiente para implementar los recursos.

    $ terraform apply -var-file="variables.tfvars"
DevOps ingeniero, generalAWS, Terraform
TareaDescripciónHabilidades requeridas

Ejecute el comando de destrucción.

Ingrese el comando siguiente para eliminar los recursos implementados por este patrón.

$ terraform destroy -var-file="variables.tfvars"
DevOps ingeniero, general AWS de Terraform

Resolución de problemas

ProblemaSolución

Error de Error: creating ControlTower Control ValidationException: Guardrail <control ID> is already enabled on organizational unit <OU ID>

El control que intenta activar ya está activado en la unidad organizativa de destino. Este error puede producirse si un usuario habilitó el control manualmente a través de la Consola de AWS Administración, AWS Control Tower o AWS Organizations. Para implementar el archivo de configuración de Terraform, puede usar cualquiera de las siguientes opciones.

Opción 1: actualizar el archivo de estado actual de Terraform

Puede importar el recurso al archivo de estado actual de Terraform. Al volver a ejecutar el comando apply, Terraform omitirá este recurso. Haga lo siguiente para importar el recurso al estado actual de Terraform:

  1. En la cuenta de administración de la Torre de AWS Control Tower, ingresa el siguiente comando para recuperar una lista de los nombres de recursos de Amazon (ARNs) paraOUs, donde <root-ID> está la raíz de la organización. Para obtener más información sobre cómo recuperar este ID, consulte Visualización de los detalles de la raíz.

    aws organizations list-organizational-units-for-parent --parent-id <root-ID>

  2. Para cada unidad organizativa devuelta en el paso anterior, introduzca el siguiente comando, donde <OU-ARN> aparece ARN la unidad organizativa.

    aws controltower list-enabled-controls --target-identifier <OU-ARN>

  3. Copie ARNs y realice la importación de Terraform en el módulo requerido para que se incluya en el estado de Terraform. Para obtener instrucciones, consulte Importación (documentación de Terraform).

  4. Repita los pasos de Implementar la configuración en la sección Epics..

Opción 2: deshabilitar el control

Si trabaja en un entorno que no es de producción, puede deshabilitar el control en la consola. Vuelva a habilitarlo al repetir los pasos de Implementar la configuración en la sección Epics.. Este enfoque no se recomienda para entornos de producción porque hay un período de tiempo en el que el control estará deshabilitado. Si desea utilizar esta opción en un entorno de producción, puede implementar controles temporales, como aplicar temporalmente un SCP in AWS Organizations.

Recursos relacionados

AWSdocumentación

Otros recursos

Información adicional

Ejemplo de archivo variables.tfvars

A continuación se muestra un ejemplo de un archivo variables.tfvars actualizado.

controls = [
    {
        control_names = [
            "AWS-GR_ENCRYPTED_VOLUMES",
            ...
        ],
        organizational_unit_ids = ["ou-1111-11111111", "ou-2222-22222222"...],
    },
    {
        control_names = [
            "AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED",
            ...
        ],
        organizational_unit_ids = ["ou-1111-11111111"...],
    },
]

Permisos con privilegios mínimos para el rol IAM

Este APG patrón requiere que asuma un IAM rol en la cuenta de administración. La práctica recomendada es asumir un rol con permisos temporales y limitar los permisos según el principio del privilegio mínimo. El siguiente ejemplo de política permite realizar las acciones mínimas necesarias para activar o desactivar los controles de la Torre de AWS Control.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "controltower:EnableControl",
                "controltower:DisableControl",
                "controltower:GetControlOperation",
                "controltower:ListEnabledControls",
                "organizations:AttachPolicy",
                "organizations:CreatePolicy",
                "organizations:DeletePolicy",
                "organizations:DescribeOrganization",
                "organizations:DetachPolicy",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListPoliciesForTarget",
                "organizations:ListRoots",
                "organizations:UpdatePolicy"
            ],
            "Resource": "*"
        }
    ]
}