Cuando una empresa adquiere otra organización con decenas o cientos de cuentas de AWS, la pregunta inevitable es cómo administrar ese entorno sin que se vuelva un caos. AWS Organizations y AWS Control Tower son los dos servicios clave para gestionar ambientes multicuenta con seguridad, gobernanza y mejores prácticas desde el inicio.

Esta guía es útil si te preparas para la certificación de Arquitecto de Soluciones o si lideras la integración de cuentas tras una fusión, una expansión por proyectos o la separación de ambientes de producción y desarrollo.

¿Por qué necesitas una estrategia multicuenta en AWS?

Dejar que el entorno crezca sin control hace que la administración se vuelva costosa y compleja. Una estrategia temprana te permite separar responsabilidades y aplicar políticas coherentes desde el día uno.

Los motivos más comunes para adoptar una arquitectura de múltiples cuentas son:

• Adquisición o fusión con otra organización que ya opera en AWS.
• Segregación por proyectos, por ejemplo proyecto tipo A y proyecto tipo B.
• Separación de ambientes de producción, staging y desarrollo.
• División por unidades de negocio como finanzas, ventas o ingeniería.

¿Cuándo conviene empezar a planear una estrategia multicuenta? Antes de que el entorno crezca. Si esperas a tener decenas de cuentas dispersas, la consolidación posterior es mucho más costosa que diseñar la estructura desde el principio.

¿Qué es AWS Organizations y cómo se estructura? [3:00]

AWS Organizations es el servicio que te permite administrar de forma centralizada un ambiente con múltiples cuentas. Su jerarquía es sencilla pero poderosa.

Elementos de la jerarquía de Organizations

En la parte superior está la raíz de la organización, que consolida la facturación y habilita funciones globales como las políticas de control de servicio. Debajo viven las unidades organizativas, conocidas como Organizational Units u OU, que funcionan como contenedores donde agrupas cuentas miembro.

Una OU puede contener cuentas directamente o anidar otras OU dentro de ella. Por ejemplo, podrías tener una OU para finanzas, otra para ingeniería, y dentro de ingeniería separar producción de desarrollo. Cada cuenta miembro vive dentro de una OU específica.

¿Qué son las Service Control Policies (SCP)?

Las Service Control Policies son políticas basadas en JSON que usan la misma sintaxis que las políticas de IAM. Incluyen versión, statement, efecto, acciones, recursos y condiciones para hacerlas más granulares.

Lo importante: las SCP no otorgan permisos, actúan como un filtro. Definen el límite máximo de lo que las cuentas pueden hacer, incluso si IAM les concede permisos más amplios.

¿Qué hace una Service Control Policy en AWS? Funciona como un filtro de permisos en Organizations. No entrega accesos, sino que limita qué acciones pueden ejecutar las cuentas miembro, sin importar lo que diga IAM.

¿Cómo se heredan las políticas en Organizations? [7:00]

Las SCP se pueden anclar en tres niveles, y la herencia define su alcance.

• Si la asocias a la raíz de la organización, la heredan todas las OU y cuentas debajo.
• Si la asocias a una unidad organizativa, solo afecta a esa OU y a lo que cuelgue de ella.
• Si la asocias a una cuenta miembro específica, solo aplica a esa cuenta.

Esta granularidad te permite, por ejemplo, bloquear el uso de regiones no autorizadas a nivel raíz, mientras permites servicios específicos en la OU de desarrollo y restringes acciones críticas solo en la cuenta de producción.

¿Cuándo usar AWS Control Tower en lugar de Organizations? [9:30]

AWS Control Tower automatiza la creación de un entorno multicuenta aplicando las mejores prácticas que AWS recomienda. La diferencia clave frente a Organizations es el nivel de control que quieres asumir.

Usa Organizations cuando quieres definir tú mismo la estructura, las políticas y la configuración. Usa Control Tower cuando prefieres que AWS automatice el despliegue inicial con plantillas seguras y gobernanza integrada.

Servicios subyacentes de Control Tower

Control Tower no es un servicio aislado: integra varios servicios de AWS para entregar su valor.

• AWS Organizations para la jerarquía de cuentas.
• Service Catalog para plantillas de aprovisionamiento.
• IAM Identity Center para gestión de identidades.
• AWS Config para reglas de cumplimiento.
• CloudFormation para automatización de infraestructura.

Componentes principales de Control Tower

Control Tower se apoya en tres piezas que trabajan juntas. La landing zone es el entorno preconfigurado y seguro donde alojas tus cuentas. El account factory automatiza la creación de nuevas cuentas siguiendo las mejores prácticas. Y los guardrails aplican controles preventivos, detectivos y proactivos usando hooks de CloudFormation, reglas de Config y Service Control Policies.

Además, entrega un panel centralizado con el estado de cumplimiento y seguridad de todas las cuentas, lo que facilita la supervisión del entorno.

¿Cuál es la diferencia entre AWS Organizations y Control Tower? Organizations te da el control manual de la estructura y las políticas. Control Tower automatiza la creación del entorno multicuenta con landing zones, guardrails y mejores prácticas listas para usar.

¿Qué elegir para gestionar más de 300 cuentas?

Imagina el escenario: tu banco tiene cerca de 100 cuentas y acaba de adquirir una organización con más de 200 cuentas adicionales. La pregunta es cuál servicio aplicar.

Los elementos a evaluar son la madurez del equipo de cloud, la urgencia de gobernanza unificada, la necesidad de plantillas estandarizadas y el presupuesto disponible para automatización. ¿Tú qué propondrías para ese escenario, Organizations o Control Tower? Cuéntame tu razonamiento en los comentarios.