Establecer su entorno de acuerdo a las prácticas recomendadas de AWS
¿Por qué debo establecer un entorno de AWS de varias cuentas?
AWS le permite experimentar, innovar y escalar con más rapidez, todo ello a la vez que le brinda el entorno en la nube más flexible y seguro. Un medio importante a través del cual AWS garantiza la seguridad de sus aplicaciones es la cuenta de AWS. Una cuenta de AWS brinda seguridad natural, acceso y límites de facturación para sus recursos de AWS, y le permite lograr la independencia y el aislamiento de los recursos. Por ejemplos, los usuarios ajenos a su cuenta no tienen acceso a sus recursos de forma predeterminada. De manera similar, el costo de los recursos de AWS que consume está asignado a su cuenta. Aunque puede comenzar su viaje con AWS desde una sola cuenta, AWS le recomienda que configure varias cuentas a medida que sus cargas de trabajo aumentan de tamaño y complejidad. Utilizar un entorno de varias cuentas es una práctica recomendada por AWS que ofrece diferentes beneficios:
- Innovación rápida con diferentes requisitos: Puede asignar cuentas de AWS a diferentes equipos, proyectos o productos dentro de su compañía de manera que asegura que todos pueden innovar con rapidez a la vez que se tienen en cuenta sus propios requisitos de seguridad.
- Facturación simplificada: El uso de varias cuentas de AWS simplifica la asignación de su costo de AWS puesto que ayuda a identificar que línea de productos o servicios es la responsable de un cargo de AWS.
- Controles de seguridad flexibles: Puede utilizar varios cuentas de AWS para aislar cargas de trabajo o aplicaciones con requisitos de seguridad específicos, o que necesitan cumplir con normativas estrictas de conformidad, como HIPAA o PCI.
- Fácil adaptación a procesos empresariales: Puede organizar con facilidad varias cuentas de AWS de la manera que mejor refleje las diversas necesidades de los procesos empresariales de su compañía que cuentan con diferentes requisitos operativos, normativos y de presupuesto.
En definitiva, un entorno de AWS con varias cuentas le permite utilizar la nube para moverse con más rapidez y crear productos y servicios diferenciados, todo ello de manera segura, escalable y resiliente. Sin embargo, ¿cómo debería crear su entorno de AWS con varias cuentas? Es posible que se haga preguntas como qué estructura de cuentas utilizar, qué políticas y barreras de protección deberían implementarse o cómo configurar su entorno para auditorías.
El resto de esta guía le orientará a través de los elementos que implican la creación de un entorno de AWS con varias cuentas seguro y productivo, a menudo denominado “zona de aterrizaje”, de acuerdo con las recomendaciones de AWS. De este modo, se siguen las prácticas recomendadas utilizadas para crear un marco inicial y lograr flexibilidad mientras sus cargas de trabajo de AWS aumentan con el tiempo.
Prácticas recomendadas para configurar su entorno de AWS con varias cuentas
La base de un entorno de AWS con varias cuentas con buena arquitectura es AWS Organizations, un servicio de AWS que le permite administrar y controlar de manera central varias cuentas. Antes de comenzar, vamos a familiarizarnos con unos cuantos términos. Una unidad organizativa (OU) es un grupo lógico de cuentas dentro de su AWS Organization. Las OU le permiten organizar sus cuentas según una jerarquía, de modo que le resulte más fácil aplicar controles de administración. Las políticas de AWS Organizations le sirven para aplicar dichos controles. Una política de control de servicio (SCP) es una política que define las acciones de servicio de AWS, como la ejecución de una instancia de Amazon EC2, que las cuentas de su organización pueden realizar.
Primero, considere qué agrupaciones de cuentas u OU debería crear. Sus OU deben basarse en una función o conjunto común de controles en lugar de reflejar la estructura informativa de su compañía. AWS le recomienda que empiece con la seguridad y la infraestructura en mente. La mayoría de empresas cuentan con equipos centralizados que asisten a toda la organización para cubrir esas necesidades. En ese caso, le recomendamos crear un conjunto de OU básicas para esas funciones específicas:
- Infraestructura: Se utiliza para servicios de infraestructura compartidos como redes y servicios de TI. Cree cuentas para todos los tipos de servicios de infraestructura necesarios.
- Seguridad: Se utiliza para servicios de seguridad. Cree cuentas para archivos de registro, acceso de solo lectura de seguridad, herramientas de seguridad y ruptura de vidrio.
Puesto que la mayor parte de compañías disponen de diferentes requisitos de políticas para cargas de trabajo de producción, infraestructura y seguridad pueden contar con OU anidadas para producción (Prod) y para ciclo de vida de desarrollo de software (SDLC). Las cuentas de la OU de SDLC alojan cargas de trabajo que no son de producción y, por lo tanto, no deben contar con dependencias de producción respecto a otras cuentas. Si hay variaciones en políticas de OU en las fases de ciclo de vida, la OU de SDLC se puede dividir en varias OU (por ejemplo, desarrollo y preproducción). Las cuentas en la OU de Prod alojan las cargas de trabajo de producción.
Aplique políticas a nivel de OU para controlar el entorno de Prod y SDLC según sus requisitos. En general, aplicar políticas en el nivel de OU es mejor práctica que aplicarlas a nivel de cuenta individual ya que simplifica la administración de políticas y la resolución de cualquier problema potencial.
Una vez que los servicios centrales están en su lugar, le recomendamos crear OU que se relacionen directamente con la creación o ejecución de sus productos o servicios. Muchos clientes de AWS crean estas OU después de establecer las OU básicas.
- Entorno de pruebas: Contiene cuentas de AWS que los desarrolladores individuales pueden utilizar para experimentar con servicios de AWS. Asegúrese de que estas cuentas se pueden desconectar de redes internas y configurar un proceso para limitar el gasto y evitar un uso excesivo.
- Cargas de trabajo: Contiene cuentas de AWS que alojan sus servicios de aplicaciones externas. Debe estructurar OU respecto a entornos de SDLC y Prod (de manera similar a las OU básicas) para aislar y controlar de manera estricta las cargas de trabajo de producción.
Ahora que se han establecido tanto las OU básicas como aquellas orientadas a la producción, le recomendamos agregar OU para mantenimiento y expansión continuada según sus necesidades específicas. A continuación, se muestran algunos de los temas comunes para OU según prácticas de clientes de AWS existentes:
- Ensayo de políticas: Contiene cuentas de AWS en las que puede probar cambios de políticas propuestos antes de aplicarlos a toda la organización. Comience implementando cambios en el nivel de cuenta en la OU prevista, y extiéndalos lentamente a otras cuentas, OU y luego al resto de la organización.
- Suspendidas: Contiene cuentas de AWS que han sido cerradas y están esperando a que la organización las elimine. Adjunte una SCP a esta OU que deniegue todas las acciones. Asegúrese de que las cuentas están etiquetadas con detalles sobre rastreabilidad por si es necesario restaurarlas.
- Usuarios empresariales individuales: Una OU de acceso limitado que contiene cuentas de AWS para usuarios empresariales (no desarrolladores) que pueden necesitar crear aplicaciones relacionadas con productividad empresarial, como la configuración de un bucket de S3 para compartir informes o archivos con un socio.
- Excepciones: Contiene cuentas de AWS utilizadas para casos de uso empresariales que cuentan con requisitos de seguridad o auditoría muy personalizados, diferentes de aquellos definidos en las OU de cargas de trabajo. Por ejemplo, la configuración de una cuenta de AWS de manera específica para una nueva aplicación o característica confidencial. Utilice SCP en el nivel de cuenta para cumplir necesidades personalizadas. Considere configurar un sistema de detección y reacción mediante CloudWatch Events y reglas de AWS Config.
- Implementaciones: Contiene cuentas de AWS diseñadas para implementaciones de CI/CD. Puede crear esta OU si cuenta con un modelo de gobernanza y operaciones para implementaciones de CI/CD diferente en comparación con las cuentas de las OU de cargas de trabajo (Prod y SDLC). La distribución de CI/CD ayuda a reducir la dependencia organizativa en un entorno de CI/CD compartido que opera un equipo central. Para cada conjunto de cuentas de AWS de SDLC/Prod para una aplicación en la OU Cargas de trabajo, cree una cuenta para CI/CD en la OU Implementaciones.
- Transitoria: Se utiliza como zona de espera temporal para cuentas y cargas de trabajo existentes antes de trasladarlas a zonas estándar de su organización. Esto puede tener sentido si hay cuentas que son parte de una adquisición, y anteriormente las administraba un tercero, o en caso de cuentas heredadas de una estructura organizativa antigua.
Conclusión
Una estrategia de varias cuentas con buena arquitectura le ayuda a innovar más rápido en AWS, a la vez que asegura que cumple con sus necesidades en seguridad y escalabilidad. El marco descrito en esta página representa las prácticas recomendadas de AWS que debe utilizar como punto de inicio en su andadura con AWS.
Para comenzar, consulte la Guía de introducción de AWS Organizations para crear su propio entorno de AWS con varias cuentas. Si lo prefiere, también puede utilizar AWS Control Tower para establecer y asegurar con rapidez un entorno de AWS inicial con tan solo unos clics.