Blog de Amazon Web Services (AWS)

Mejora la gobernanza de tu entorno multicuentas con AWS Control Tower

Por Angel Zarramera, solutions architect at Amazon Web Services (AWS) y Inês, solutions architect for public sector customers in EMEA

La mejor forma de comenzar a trabajar en la nube es trabajar primero en una base sólida antes de desplegar las diferentes aplicaciones que nuestra organización necesita para operar. Una parte importante de esta base se conoce como Landing Zone (Zona de Aterrizaje o Zona de Almacenamiento).

Una Landing Zone en AWS es un entorno multi-cuenta, correctamente diseñado para que sea escalable y seguro, un punto de partida para poder desplegar aplicaciones de forma rápida y fiable.

¿Qué es AWS Control Tower?

AWS Control Tower es un servicio gestionado que crea de forma automática una Landing Zone fundacional en menos de 60 minutos, con los elementos básicos necesarios para comenzar a trabajar de forma segura y escalable dentro de la nube.

El servicio AWS Control Tower crea los siguientes recursos:

  • Entorno Multicuenta: Control Tower utiliza el servicio AWS Organizations para agrupar multiples cuentas, simplificando la gestión de facturas y costes. También permite aplicar, de forma centralizada, políticas de control de acceso y cumplimiento de manera consistente.AWS Control Tower crea de forma automática, una Unidad Organizativa raíz, donde se ubica la cuenta de Administración, y una Unidad Organizativa de Seguridad, donde crea 2 cuentas especializadas, evitando la necesidad de configuraciones manuales que pueden generar errores.Este entorno multi-cuenta queda por tanto formado por:
    • Dentro de la Unidad Organizativa Raíz o Root se encuentra la cuenta de Administración: es la cuenta donde se activa Control Tower, encargada de gestionar la organización, creación de cuentas adicionales, los costes y la creación de usuarios, aunque esto último se puede delegar a otra cuenta.
    • Dentro de la Unidad Organizativa de Seguridad se encuentran las cuentas de Archivo de Registros y Auditoría.En la cuenta de Archivo de Registros se almacenan los registros de actividad (logs) del resto de cuentas de la organización mediante el servicio AWS CloudTrail que permite obtener un histórico de las acciones ejecutadas en la cuenta de AWS y también los registros de AWS Config, que mantienen un histórico de los cambios de la configuración de los servicios de AWS. El principal objetivo es separar el acceso a los registros del acceso a las aplicaciones, evitando que usuarios que gestionan entornos desplegados en AWS sean capaces de borrar sus huellas del repositorio de registros.La cuenta de Auditoría está diseñada para ayudar a los equipos de seguridad a acceder al resto de cuentas con el uso de roles cross-account.

Diagrama de AWS Control Tower con cuentas de Administración, Seguridad (Archivo de Registros y Auditoría), y una unidad Sandbox.

  • Gestión de Usuarios: para facilitar la gestión de usuarios en un entorno multicuentas, AWS Control Tower puede utilizar el servicio AWS IAM Identity Center, un servicio que permite administrar de forma centralizada la creación de usuarios y la gestión de permisos para cada una de las cuentas de la organización. Este servicio puede integrarse con otros proveedores de identidad existentes, evitando la duplicación en la gestión de usuarios.
  • Controles: para asegurar el cumplimiento de las reglas de la organización, AWS Control Tower implementa Controles, que pueden ser activados a nivel de una unidad organizativa, afectando a todas las cuentas que se encuentran en la misma. Existen 3 tipos de controles:
    • Controles Preventivos: previenen una o varias acciones determinadas. AWS Control Tower los implementa utilizando las Políticas de control de servicios. Estas políticas permiten limitar las acciones que los usuarios pueden ejecutar, a nivel de cuenta.
    • Controles de Detección: detectan configuraciones que algún usuario ha realizado, generando una alarma en el Dashboard de AWS Control Tower y enviando notificaciones vía e-mail. Se implementan utilizando el servicio de AWS Config.
    • Controles Proactivos: comprueban si los recursos que se intentan desplegar utilizando una plantilla de AWS Cloudformation, (servicio que permite definir la infraestructura como código) cumplen con una regla determinada. En caso de que no se cumplan las normas, los recursos no se aprovisionan.
  • Account Factory: AWS Control Tower proporciona un mecanismo basado en el servicio AWS Service Catalog para la creación de cuentas dentro de la organización de forma ágil. Este servicio permite crear un catálogo de servicios predeterminados para ponerlos a disposición de los usuarios. Es posible incluso proporcionar accesos a esta máquina expendedora a diferentes usuarios para crear cuentas de forma ágil. La creación de cuentas puede ir acompañada de customizaciones, lo que permite predefinir qué recursos de AWS se deben desplegar de forma automática en cada cuenta al momento de su creación.

Aprende más sobre el funcionamiento de AWS Control Tower en este enlace: https://docs.thinkwithwp.com/es_es/controltower/latest/userguide/how-control-tower-works.html

Requisitos previos para activar AWS Control Tower

Se necesitará un mínimo de 4 direcciones de correo electrónico válidas, una para cada una de las siguientes cuentas de AWS:

  • Cuenta de Administración: La cuenta en la que está configurando AWS Control Tower. Puedes crear una cuenta de administrador siguiendo las instrucciones en este enlace.
  • Cuenta de Archivo de Registro: Donde se almacenan registros de seguridad y cumplimiento como AWS Config y AWS CloudTrail.
  • Cuenta de Auditoría (o herramientas de seguridad): Donde se pueden gestionar servicios como AWS Security Hub, GuardDuty y similares.
  • Cuenta de Sandbox (Opcional): Para la cuenta de Sandbox, creada a través de Account Factory.

El método más fácil para obtener el conjunto necesario de direcciones de correo electrónico es utilizar el subdireccionamiento (definido en RFC-5233). Esto significa que la dirección de correo electrónico usuario@ejemplo.com puede utilizar:

Todas las direcciones son únicas, válidas y se entregarían en el buzón asociado con usuario@ejemplo.com.

Advertencia: No todos los servicios de correo admiten esta extensión de forma predeterminada. Para comprobarlo, intenta enviar un mensaje a ti mismo usando este formato ‘usuario+hola@ejemplo.com‘. Si no recibes el mensaje o es rechazado, entonces tu servicio de correo no está habilitado con esta función. Si tu proveedor no admite el subdireccionamiento, es posible que tenga la opción de crear alias para su buzón y utilizarlos en su lugar.

Aprende más sobre los requisitos previos de AWS Control Tower aquí:
https://catalog.workshops.aws/control-tower/en-US/prerequisites/

Configurar la Landing Zone

Pantalla de inicio de AWS Control Tower, junto con un botón para configurar la zona de almacenamiento (o landing zone).

Primero, inicia sesión en la cuenta de Administración preparada en el paso anterior; luego, abre la consola de administración de AWS y ve al servicio de AWS Control Tower.

 En la esquina superior derecha selecciona la región donde deseas configurar la Landing Zone; en este caso, utilizaremos la región de España (eu-south-2). Esta región no viene activada por defecto, actívala siguiendo los pasos de este enlace.

Cuando se establece la Landing Zone, es crucial seleccionar la región más apropiada para tu organización. La ubicación geográfica de los recursos de AWS puede tener un impacto significativo en varios aspectos clave como latencia, cumplimiento normativo y disponibilidad de servicios.

Aprende más sobre como eligir una región para tus cargas de trabajo en AWS aquí:

https://thinkwithwp.com/blogs/architecture/what-to-consider-when-selecting-a-region-for-your-workloads/

Revisar los precios y seleccionar las Regiones que serán gobernadas por Control Tower

En la página de Configuración de la Landing Zone es necesario introducir varios datos y aceptaciones:

  1. AWS Control Tower para AWS Organizations existentes

Información sobre los permisos que AWS Control Tower tendrá en AWS Organizations para gestionar cuentas existentes.

Al configurar AWS Control Tower para organizaciones de AWS existentes, se espera que AWS Control Tower tenga permisos para controlar todas las Unidades Organizativas (OUs) y sus cuentas, sin ampliar la gobernanza a las OU y cuentas existentes. Además, AWS Control Tower publicará eventos en AWS CloudTrail.

  1. Precios

Información sobre los precios de AWS Control Tower.

AWS Control Tower configura y administra algunos servicios de AWS en la Landing Zone, esta guía explica cómo su uso afectará el consumo de servicios.

  1. Región principal

Información sobre la elección de una región principal en AWS Control Tower y detalles importantes a considerar al seleccionarla.

La región principal o región de origen, es la región donde se implementa el servicio AWS Control Tower. Los recursos clave, como el AWS IAM Identity Center y sus buckets S3 para registro consolidado, se implementarán en esta región. Una vez seleccionada una región de origen, no es posible cambiarla después de configurar la Landing Zone.

Aprende más sobre como funcionan las regiones con AWS Control Tower aquí:
https://docs.thinkwithwp.com/es_es/controltower/latest/userguide/region-how.html

  1. Seleccione regiones adicionales para la gobernanza

Información sobre la selección de regiones adicionales en AWS Control Tower y aspectos clave a considerar al elegirlas.

Selecciona qué regiones, además de la región principal, deseas colocar bajo el gobierno de AWS Control Tower.

AWS ofrece muchas más regiones de las que es probable que necesite un cliente. La mayoría de los clientes utilizan de 2 a 3 regiones, alineadas con las áreas en las que operan.

  1. Configuración de denegación de regiones

Información sobre la denegación de regiones en AWS Control Tower y las implicaciones de no permitir el acceso a ciertas regiones.
Al habilitar la configuración de denegación de región, puedes restringir a tus equipos a utilizar un conjunto específico de regiones. Cuando seleccionas Habilitado, AWS Control Tower aplica un control preventivo a través de Políticas de Control de Servicios (Service Control Policies, SCPs) a todas las unidades organizativas (OUs) registradas.

Configurar OUs

Una Unidad Organizativa (Organizational Unit, OU) es un contenedor que permite agrupar cuentas de forma lógica. Esto facilita la tarea de aplicar controles a un grupo de cuentas a la vez, evitando tener que hacerlo de forma individual.

  1. OU fundamental

Información sobre la configuración de la unidad organizativa fundamental en AWS Control Tower, cuyo nombre por defecto es 'Security'.

Seguridad es el nombre predeterminado de la OU para tus cuentas compartidas. Los nombres de OU deben ser únicos y se pueden editar después de configurar la Landing Zone. Esta OU contiene dos cuentas compartidas: la cuenta de Archivo de Registro y la cuenta de Auditoría de seguridad.

  1. OU adicional

Información sobre la unidad organizativa adicional opcional en AWS Control Tower, se puede optar por no crear, y su nombre nombre por defecto es 'Sandbox'.

Sandbox es el nombre predeterminado de la OU para su OU adicional. Los nombres de OU deben ser únicos y se pueden editar después de configurar la Landing Zone.

Configurar cuentas compartidas

  1. Cuenta de Archivo de Registro

Información sobre la cuenta de archivo de registro en AWS Control Tower, donde se puede crear una nueva cuenta o usar una existente. El nombre por defecto es 'Archivo de Registro'. Para crear una nueva cuenta, requiere ingresar un correo electrónico, que no debe estar asociado a una cuenta actual.

La cuenta de Archivo de Registro es un repositorio de registros (logs) de actividades de la API de AWS y configuraciones de recursos de todas las cuentas. Tienes la opción de crear una nueva cuenta o usar una cuenta existente como su Archivo de Registro.

  1. Cuenta de Auditoría

Información sobre la cuenta de auditoría en AWS Control Tower, donde se puede crear una nueva cuenta o usar una existente. El nombre por defecto es 'Auditoria'. Para crear una nueva cuenta, requiere ingresar un correo electrónico, que no debe estar asociado a una cuenta actual.

La cuenta de Auditoría es una cuenta restringida, donde los equipos de seguridad y cumplimiento pueden obtener acceso de lectura y escritura a todas las cuentas. Tienes la opción de crear una nueva cuenta o usar una cuenta existente como su cuenta de Auditoría.

Configuraciones adicionales

  1. Configuración de acceso a la cuenta de AWS

Información sobre cómo administrar el acceso a las cuentas de AWS mediante AWS IAM Identity Center o acceso autoadministrado.

Se recomienda utilizar AWS IAM Identity Center como un método escalable para proporcionar acceso a las cuentas de AWS dentro de la Landing Zone. Si estaba implementado en un entorno AWS existente y/o tienes una solución alternativa en su lugar, puedes optar por no activar esta función, seleccionando Acceso autoadministrado a la cuenta de AWS con IAM Identity Center u otro método.

  1. Configuración de AWS CloudTrail

Información sobre la opción de habilitar o deshabilitar AWS CloudTrail a nivel de organización en AWS Control Tower.

Existe la opción de hacer que AWS Control Tower cree un registro de AWS CloudTrail a nivel de la Organización de forma automática.

  1. Configuración de registros para Amazon S3 – opcional

Información sobre la retención de registros y registros de acceso en Amazon S3 y la duración.

Es posible cambiar el tiempo de retención de los registros almacenados en S3. Estos son los registros almacenados en la cuenta de Archivo de Registros.

  1. Cifrado KMS – opcional

Información sobre la opción de configurar el cifrado KMS en AWS Control Tower o utilizar la configuración por defecto.

Para cifrar y descifrar los datos con una clave de cifrado de AWS KMS, seleccione la casilla. Es posible elegir claves existentes en la cuenta, y en caso de ser necesario, es posible generar una nueva clave, seleccionando la opción Crear una clave KMS y siguiendo las instrucciones. Puedes añadir o cambiar una clave KMS en cualquier momento al actualizar la configuración de la Landing Zone.

Revisar y configurar la Landing Zone

Revisar la configuración de la zona de almacenamiento (Landing Zone) en AWS Control Tower.

En la consola de AWS, después de seleccionar las opciones de configuración para AWS Control Tower, podrás revisar toda la información seleccionada en cada uno de los pasos anteriores.

Revisar los permisos de servicio en AWS Control Tower.
AWS Control Tower necesita ciertos permisos para administrar los recursos y aplicar reglas de forma automática. Esto incluye permisos que permiten a AWS Control Tower crear y gestionar recursos, políticas de seguridad, y configuraciones necesarias para implementar las mejores prácticas de gobernanza en tu cuenta de AWS.

Limpieza de recursos

El proceso de limpieza de todos los recursos creados por AWS Control Tower se denomina desmantelamiento de una Landing Zone. Si ya no deseas utilizar AWS Control Tower, la herramienta de desmantelamiento automatizada limpia la mayor parte de los recursos creados.

Advertencia: El proceso de retirada no se puede deshacer. Estas acciones pueden tener consecuencias importantes para la facturación. Por ejemplo, si no se eliminan todos los recursos, se pueden producir cargos inesperados.

Desmantelar una Landing Zone

Información sobre cómo desmantelar (o retirar) una zona de almacenamiento (Landing Zone) en AWS Control Tower.

Para desmantelar una Landing Zone, ve a la página de configuración de la Landing Zone en la consola de AWS Control Tower.

Elije Retirando Landing Zone y aparecerá un cuadro de diálogo explicando la acción con un proceso de confirmación requerido. Debes seleccionar todas las casillas y escribir la confirmación según se solicita para proceder. Una vez confirmado, serás redirigido a la página de inicio de AWS Control Tower mientras el proceso de desmantelamiento está en curso, el cual puede tardar hasta dos horas.

Información sobre las consecuencias de desmantelar la zona de almacenamiento (Landing Zone) en AWS Control Tower, que se deben aceptar antes de proceder.

Tareas de Limpieza Manual Posteriores al Desmantelamiento

Tras completarse el desmantelamiento, es necesario eliminar manualmente los recursos restantes, como buckets de Amazon S3, AWS Organizations, y grupos de registros de CloudWatch, antes de configurar una nueva Landing Zone desde la consola de AWS Control Tower.

Para obtener más información sobre el proceso de desmantelamiento, consulta el siguiente enlace: https://docs.thinkwithwp.com/es_es/controltower/latest/userguide/decommission-landing-zone.html

Conclusión

AWS Control Tower creará la Landing Zone fundacional, siguiendo las configuraciones seleccionadas. El proceso tarda alrededor de 60 minutos, mientras se crean las nuevas cuentas y se configuran los diferentes servicios.

El próximo paso, una vez finalizado el despliegue, es familiarizarse con las diferentes funcionalidades que AWS Control Tower ofrece. Para esto te recomendamos realizar el Workshop de Introducción a Control Tower.

A la hora de diseñar la estructura de cuentas, es importante tener en cuenta las buenas prácticas de AWS, recogidas en el whitepaper Organizing your AWS environment using multiple accounts.

También puedes ponerte en contacto con tu equipo de cuenta de AWS para descubrir los eventos relacionados a Gobernanza o estrategia multi-cuenta que se llevan a cabo regularmente.

Autores

Angel Zarramera

Angel Zarramera is a solutions architect at Amazon Web Services (AWS) working with public sector customers. His areas of interest are Cloud Governance, Networking and Security.

Inês Pina Fernandes

Inês is a solutions architect for public sector customers in EMEA. She works with customers to design and build solutions in the AWS Cloud. She joined AWS through a graduate program and her interests include AI/ML, public speaking and software development.