DEV Community

Cover image for Cómo lograr un gobierno de múltiples cuentas a escala con AWS Control Tower - Parte 1
Gerardo Castro Arica for AWS Community Builders

Posted on • Updated on

Cómo lograr un gobierno de múltiples cuentas a escala con AWS Control Tower - Parte 1

Hoy en día, los clientes de las industrias reguladas enfrentan el desafío de definir y hacer cumplir los controles necesarios para cumplir con los requisitos de cumplimiento y seguridad, en la mayoría de casos, es posible que las organizaciones también deban cumplir con marcos y estándares como ISO 27001 y NIST 800-53.

Mantener la seguridad y la gobernabilidad en un modelo de múltiples cuentas podría ser un desafío para algunas organizaciones. Sin controles preventivos estructurados aplicados a escala (guardrails) y la aplicación de configuraciones básicas (Baseline), la solución de problemas y la mitigación de riesgos puede requerir un esfuerzo mayor al esperado.

¿Qué es una cuenta AWS?

Una cuenta AWS representa un límite de seguridad que aísla nuestros recursos y cargas de trabajo frente a las cargas de otros clientes de AWS, aunque hagamos uso de la misma región, la misma zona de disponibilidad e incluso el mismo centro de datos.

¿Qué estrategia me conviene usar: Cuenta única o Multi-Cuenta?

Si tu propósito es hacer uso de una cuenta con fines de aprendizaje, pruebas, sandbox, entonces te recomendaría solo tener una única cuenta AWS para que sea más sencilla de administrar.

Pero, si vas a utilizar la nube para tu empresa u organización, para alguna carga de trabajo productiva, se recomienda un esquema multi-cuentas, por las siguientes razones:

  • Para separar tu infraestructura en entornos como producción, testing y desarrollo.
  • Si desde un punto de vista temprano, sabes que vas a gestionar una infraestructura a escala, para separar las cargas de trabajo y que un despliegue de una unidad de negocio no afecte las cargas de otra unidad.
  • Para simplificar la separación de costos Unidades de negocio o proyecto, en cada cuenta.

Entonces, ¿Cómo podemos gestionar a escala consistentemente múltiples cuentas de AWS? Usando AWS Control Tower, el mismo que ya fué anunciado de manera global en 2019 para los clientes de AWS. Este servicio automatiza el aprovisionamiento de cuentas con una configuración básica consistente, simplifica la gobernanza, y el cumplimiento de múltiples cuentas con modelos prescriptivos y prácticas recomendadas.

Introducción

En este blog post, les mostraré cómo activar AWS Control Tower, asumiré que es la primera vez que usaras este servicio, iré paso a paso para que no te pierdas de nada. Si ya tienes el conocimiento básico o configuraste el servicio, te invito a ver la parte 2 de esta serie.

Descripción general del servicio:

AWS Control Tower configura tres cuentas de referencia (Management Account, Log Archive y Security Audit) que proporcionan entornos dedicados para funciones especializadas dentro de su organización.

Les dejo una breve descripción de cada cuenta de referencia:

  • Management Account contiene información de facturación para cada recurso en su landing zone.
  • Log Archive proporciona a su equipo el acceso a la información de registro (logs) de todas sus cuentas asociadas.
  • Security Audit proporciona a su equipo el acceso a la información de auditoría que AWS Control Tower pone a su disposición, principalmente por motivos de seguridad y cumplimiento.

Características adicionales:

  • Landing zone: Es el entorno general de las múltiples cuentas que AWS Control Tower configura por nosotros, a partir de una cuenta de AWS nueva.
  • Controls: Tambien conocido como guardrail, es una regla de alto nivel que proporciona un gobierno continuo para nuestro entorno general de AWS.
    • Existen tres tipos de controles:
      • preventivo
      • detectivo
      • proactivo
    • Se aplican tres categorías de orientación a los controles:
      • mandatorios
      • fuertemente recomendados
      • electivos.
  • Account Factory: es una plantilla de cuenta configurable que ayuda a estandarizar el aprovisionamiento de nuevas cuentas con configuraciones de cuenta preaprobadas.
  • Dashboard: ofrece una supervisión continua de su landing zone a su equipo de administradores de la nube central.

Cómo Activar AWS Control Tower:

Desde su cuenta root (o Management Account), ir al servicio de AWS Control Tower y dar clic en “Set Up Landing Zone”

Dashboard de AWS Control Tower

AWS Control Tower verificará ciertos requisitos como el no tener activado Cloudtrail y Config a nivel Organizacional para determinar si tu cuenta root esta lista para ser configurada. De no cumplir con algunos de estos requisitos, te aparecerá un mensaje así:

Mensaje de advertencia

Es importante corregir los requisitos fallidos para poder darle “Rechek”.

Paso 1: Revisión de precios y Selección de regiones

Paso 1 - AWS control Tower Setup

  • Home Region: Esta es la región predeterminada donde se aprovisionan los recursos de sus cuentas compartidas.

  • Deny Region Control: El control de denegación de región es único, porque se aplica a su landing zone como un todo, en lugar de a cualquier unidad organizativa específica. Si aún no tiene idea de que regiones denegar, puede dejar esta opción en “not enabled” ya que puede cambiarse después.

  • Additional AWS Region: Permite seleccionar las regiones que estarán bajo el gobierno de AWS Control Tower adicional al “Home Region” seleccionado. Aún podrá aprovisionar sus recursos en las regiones no seleccionadas, pero debe tener en cuenta que no estarán bajo el gobierno de AWS Control Tower. También puede configurar esta opción más tarde.

Paso 2: Configurar unidades organizativas (OU)

Las mejores prácticas de AWS para un entorno bien diseñado recomiendan que debe separar sus recursos y cargas de trabajo en varias cuentas de AWS y que se agrupan (a menudo) en unidades organizativas (OU) con fines de gobierno y control.

AWS Control Tower configura automáticamente algunas de estas unidades organizativas:

Foundational OU: que contiene 3 cuentas compartidas: Management Account, Log Archive y Security Audit (también conocida como Audit).

Additional OU: para ayudar a configurar una estrategia multi-cuentas, es recomendable crear una OU secundaria al configurar la landing Zone. Esta OU se puede utilizar para almacenar cualquier cuenta de producción o desarrollo.

Paso 2 - AWS control Tower Setup

Paso 3: Configurar cuentas compartidas

AWS Control Tower requiere dos direcciones de correo electrónico únicas que aún no estén asociadas con una cuenta de AWS. Cada una de estas dos direcciones de correo electrónico se convierte en una bandeja de entrada colaborativa, lo que significa que cada una se convierte en una cuenta de correo electrónico compartida, a la que pueden acceder usuarios específicos de su empresa que realizan trabajos relacionados con AWS Control Tower.

Paso 3 - AWS control Tower Setup

Paso 4: Configurar CloudTrail y encriptación

AWS CloudTrail es un servicio que registra continuamente las actividades de su cuenta de AWS y está habilitado de forma predeterminada para los trails (rastreo) de CloudTrail a nivel de organización.

Los trails a nivel de organización agrega registros para todas las cuentas en la organización de AWS, incluidas las cuentas que no están gobernadas por AWS Control Tower. Puede cambiar esta configuración más adelante para evitar cargos adicionales de CloudTrail en las cuentas que no estén bajo el gobierno de AWS Control Tower.

Paso 4 - AWS control Tower Setup

De manera opcional, en la sección de “Log configuration for Amazon S3” puede configurar el tiempo de retención del bucket de archivos de registro de Amazon S3 y el tiempo de retención de los registros para acceder al depósito.

Log Configuration for S3

Y en la sección de "KMS Encryption" puede seleccionar una llave KMS existente o crear una nueva que cifre los registros almacenados en el bucket que AWS Control Tower crea para almacenar los registros de Cloudtrail a nivel Organizacional. Tenga en cuenta que esta llave deberá tener permisos sobre CloudTrail. Esta opción está deshabilitada de manera predeterminada y puede configurarse más adelante.

KMS encryption

Paso 5: Revisar y configurar la landing zone

Finalmente, después de toda la configuración de los pasos previos, deberás marcar la casilla de verificación y dar clic en “Set Up landing zone”

Paso 5 - AWS control Tower Setup

El proceso que toma esta configuración dura aproximadamente 1 hora (60 minutos).

Aprovisionamiento del Landing Zone

Pantallas o secciones adicionales:

La consola ofrece algunas acciones recomendadas:
recomended actions

En este punto, se pueden ver y habilitar los controles obligatorios, opcionales y fuertemente recomendados:
security controls

Puedo ver las unidades organizativas (OU) y las cuentas, y el estado de cumplimiento de cada una (con respecto a las medidas de seguridad):
compliance account

Hasta aquí, ya tenemos activado AWS Control Tower. En la parte 2 de este blog, te mostraré algunas tareas operacionales que puedes hacer para administrar de manera eficiente este servicio.

Te invito a compartir este blog, reaccionar y dejar un comentario de que te tan útil encuentras contenido como este. y te dejamos todas nuestras redes para que puedas seguirnos 🤝

🌎 CONTACTO:

🔥 MÁS CONTENIDO:

🚨 Si quieres estar enterado de todo nuestros contenidos, no olvides suscribirte, y ¡compartir!

⚠️ Si alguno de nuestros enlaces no funciona, no dudes en reportarlo.

Top comments (3)

Collapse
 
afcruzc profile image
Andres Cruz

Excelente material Gerardo, muchas gracias por compartir.

Collapse
 
gerardokaztro profile image
Gerardo Castro Arica

Gracias @afcruzc! me alegra que te haya gustado. Mañana estaré posteando la segunda parte :)

Collapse
 
fabianlobosbustos profile image
Fabian Lobos Bustos

Hola! Muy bueno tu material.

Recientemente me mandataron configurar un Control Tower para una empresa desde 0. Me solicitaron manejar 3 ambientes; QA, Desarrollo y Prod.

Tengo una duda respecto a las OUs, no se especificamente donde debería crear estas para seguir las buenas prácticas.

Se me ocurre que tendría la OU Sandbox, la cual a su vez tendría estás 3 OUs internamente. ¿Esto es así? O estoy muy perdido :c?

Gracias por aportar con esto, te juro que he tenido que asimilar mucha info de muchas partes :o