Gestionando múltiples cuentas en AWS

La gestión eficiente de múltiples cuentas de AWS se ha convertido en una necesidad crítica para organizaciones en crecimiento. Ya sea por adquisiciones, segregación de proyectos o separación de ambientes, contar con una estrategia sólida desde el principio evitará dolores de cabeza futuros. AWS ofrece herramientas poderosas para enfrentar este desafío, permitiéndote mantener el control mientras escalas tu infraestructura en la nube.

¿Cuáles son los desafíos de administrar múltiples cuentas de AWS?

Cuando nos enfrentamos a la administración de múltiples cuentas de AWS, surgen varios desafíos que debemos considerar. Estos pueden aparecer por diferentes motivos:

• Adquisición de organizaciones que ya cuentan con sus propias cuentas de AWS
• Segregación de proyectos (Proyecto A, Proyecto B)
• Separación de ambientes (producción, desarrollo, pruebas)

Lo fundamental es establecer una estrategia temprana para evitar que nuestro ambiente crezca de forma desordenada, lo que complicaría su administración en el futuro. Afortunadamente, AWS nos ofrece soluciones específicas para este escenario: AWS Organizations y AWS Control Tower.

¿Cómo funciona AWS Organizations?

AWS Organizations es un servicio que permite administrar de forma centralizada un ambiente de múltiples cuentas. Este servicio cuenta con varios elementos clave:

Estructura jerárquica

• Raíz de la organización: Es el nivel superior de la jerarquía
• Unidades organizativas (OU): Contenedores que agrupan cuentas miembro
• Cuentas miembro: Las cuentas individuales de AWS que forman parte de la organización

La estructura jerárquica permite organizar las cuentas de manera lógica. Por ejemplo, podríamos tener unidades organizativas para diferentes departamentos (Finanzas, Ventas, Ingeniería) o para diferentes ambientes (Producción, Desarrollo). Lo interesante es que podemos anidar unidades organizativas, creando una estructura que refleje la organización de nuestra empresa.

Políticas de control de servicio (SCP)

Las Service Control Policies (SCP) son uno de los elementos más poderosos de AWS Organizations. Estas políticas:

• Utilizan la misma sintaxis JSON que las políticas de IAM
• Actúan como un filtro de permisos (no otorgan permisos por sí mismas)
• Pueden aplicarse a nivel de raíz, unidad organizativa o cuenta individual

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": ["service:Action"],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": ["region-name"]
        }
      }
    }
  ]
}

Lo más potente de las SCP es su capacidad de herencia. Si aplicamos una política a la raíz de la organización, todas las unidades organizativas y cuentas miembro heredarán esa política. Si la aplicamos a una unidad organizativa, todas las cuentas y unidades organizativas anidadas dentro de ella heredarán la política.

¿Cuándo utilizar AWS Control Tower?

AWS Control Tower es un servicio que complementa a AWS Organizations, permitiendo automatizar la creación de ambientes multicuenta siguiendo las mejores prácticas recomendadas por AWS. Mientras que Organizations nos da control manual, Control Tower nos ofrece automatización.

Componentes principales de Control Tower

• Landing Zone: Proporciona un entorno preconfigurado y seguro para alojar las cuentas
• Account Factory: Automatiza la creación de nuevas cuentas con las mejores prácticas
• Guard Rails: Implementa controles de seguridad preventivos, detectivos y proactivos

Control Tower integra varios servicios de AWS subyacentes:

• AWS Organizations
• AWS Service Catalog
• AWS IAM Identity Center
• AWS Config
• AWS CloudFormation
• Y otros servicios complementarios

Mecanismos de seguridad

Control Tower implementa diferentes tipos de controles de seguridad:

• Controles preventivos: Utilizan SCP y hooks de CloudFormation
• Controles detectivos: Implementados mediante reglas de AWS Config
• Controles proactivos: Proporcionan recomendaciones de seguridad

Además, Control Tower ofrece un panel de control centralizado que proporciona visibilidad sobre el estado de cumplimiento y seguridad de todas las cuentas, facilitando la supervisión del entorno.

¿Cuál es la mejor opción para gestionar un gran número de cuentas?

En un escenario donde hemos adquirido una organización con más de 200 cuentas y ya contamos con aproximadamente 100 cuentas propias, la elección entre AWS Organizations y Control Tower dependerá de varios factores:

• Si buscamos automatización y mejores prácticas: Control Tower sería la opción ideal, ya que proporciona plantillas predefinidas y automatización para la gestión de cuentas.

• Si necesitamos mayor control manual: AWS Organizations podría ser más adecuado, especialmente si tenemos requisitos específicos que no se ajustan a las plantillas estándar de Control Tower.

• Si la seguridad es prioritaria: Control Tower ofrece controles de seguridad más completos con sus guard rails preventivos, detectivos y proactivos.

En la mayoría de los casos con un gran volumen de cuentas, Control Tower proporciona ventajas significativas al automatizar la configuración y aplicar las mejores prácticas de seguridad, reduciendo la carga operativa y minimizando los errores humanos.

La gestión eficiente de múltiples cuentas de AWS es fundamental para mantener la seguridad, el control y la visibilidad en entornos complejos. Tanto AWS Organizations como Control Tower ofrecen herramientas poderosas para enfrentar este desafío, permitiéndote elegir entre un enfoque más manual o uno más automatizado según tus necesidades específicas. ¿Qué enfoque utilizarías tú para gestionar un ambiente con cientos de cuentas de AWS? Comparte tu experiencia en los comentarios.