La gestión centralizada en AWS te permite administrar varias cuentas dentro de una misma organización para separar áreas, ambientes o equipos sin perder control sobre políticas, gastos y seguridad. Es clave para empresas que crecen y necesitan orden, gobernanza y trazabilidad en su infraestructura cloud.

Antes de entrar en organizaciones, vale la pena conocer una herramienta que te ahorra dolores de cabeza: el Policy Simulator de IAM. Esta utilidad te deja probar políticas antes de aplicarlas en producción y validar qué acciones y servicios permite cada una. Si la usas con la política donde un usuario pasante podía cambiarle la contraseña al admin, detectas el error antes de que cause problemas [01:00].

¿Qué es AWS Organizations y para qué sirve?

AWS Organizations es el servicio que te permite agrupar varias cuentas bajo una misma estructura jerárquica. La idea es simple: en lugar de mezclar todo en una sola cuenta, separas por estrategia.

Algunas estrategias comunes para dividir cuentas son:

• Por área: finanzas, desarrollo, pruebas.
• Por ambiente: producción, staging, pruebas.
• Por unidad de negocio o proyecto.

Tener cuentas separadas evita que recursos se superpongan y permite un control más estricto del gasto y los permisos dentro de cada área [02:30].

¿Cuáles son los componentes de una organización en AWS?

Una organización en AWS se construye sobre tres conceptos:

• Raíz de la organización: la cuenta principal de la que se desprenden todas las demás. Aquí defines políticas globales como exigir 2FA y centralizas el billing.
• Unidades organizativas (OU): agrupan cuentas según la estrategia que definas. Pueden contener cuentas y otras OUs anidadas.
• Cuentas miembro: las cuentas individuales que viven dentro de cada unidad.

La estructura es jerárquica, así que las políticas y configuraciones definidas arriba se heredan automáticamente hacia las cuentas hijas [04:00].

¿Qué son los SCP en AWS? Son Service Control Policies, políticas que aplicas a una organización completa, una OU o una cuenta. Usan la misma sintaxis que las políticas IAM tradicionales y se heredan hacia abajo en la jerarquía.

¿Cómo funciona AWS Control Tower?

Control Tower es la herramienta de AWS para crear gobernanza centralizada sobre múltiples cuentas. Te permite definir políticas centrales, detectar desviaciones y configurar una landing zone donde las cuentas nuevas nacen ya preconfiguradas con los estándares de tu organización [05:30].

Dentro de Control Tower puedes:

• Crear unidades organizativas fundacionales y nuevas.
• Configurar cuentas dedicadas a logs y auditoría.
• Definir reglas que se apliquen a todas las cuentas hijas.

Para empezar, basta con buscar Control Tower en la consola y crear una landing zone, ajustando pricing y regiones según necesites.

¿Cómo crear una organización paso a paso?

Desde la consola de AWS, busca Organizations y dale a Create organization. AWS crea automáticamente la cuenta raíz. Desde ahí tienes dos caminos para sumar cuentas:

• Crear una cuenta nueva: ideal para un equipo o ambiente que aún no existe.
• Invitar una cuenta existente: solo necesitas el ID de la cuenta y que el dueño acepte la invitación.

Así puedes integrar cuentas separadas, como la de Nexia Bank y la de un compañero, dentro de la misma organización [07:30].

¿Cómo guardar y rotar secretos en AWS?

Una buena práctica de seguridad es rotar credenciales y secretos cada 30 días. AWS ofrece dos servicios para esto: Secrets Manager y Parameter Store.

¿Qué es Secrets Manager y cómo se configura?

Secrets Manager guarda de forma segura y encriptada credenciales, tokens y otros secretos, y los rota automáticamente en todos los lugares donde vivan dentro de AWS [09:00].

Al crear un secreto puedes:

• Definir el tipo (por ejemplo credenciales tipo admin/admin).
• Elegir una llave de encripción de KMS, predeterminada o personalizada.
• Configurar rotación automática mediante una función Lambda, por ejemplo el primer lunes de cada mes a las 9:00 UTC.

La Lambda es la que define la lógica de rotación: puede generar un valor aleatorio, consultar un listado o aplicar la política que tu organización requiera.

¿Qué diferencia hay entre Parameter Store y Secrets Manager?

Parameter Store vive dentro de Systems Manager y también guarda valores, pero con un enfoque más simple.

¿Cuándo usar Parameter Store en lugar de Secrets Manager? Cuando necesitas guardar valores que no requieren rotación automática. Parameter Store es más económico, pero no soporta rotación vía Lambda. Secrets Manager sí.

En Parameter Store puedes elegir entre tipo estándar o avanzado (para parámetros largos) y entre formatos string, lista o secure string, este último encriptado con KMS [11:30].

¿Cómo agregar condiciones a las políticas IAM?

Las políticas IAM aceptan condiciones que las hacen más estrictas y seguras. En lugar de permitir una acción siempre, la permites solo si se cumple cierto parámetro.

Algunos ejemplos prácticos de condiciones:

• Permitir acciones sobre access keys solo desde un rango de IPs conocido, como la red de la oficina.
• Exigir que el usuario tenga 2FA activo para ejecutar la acción.
• Restringir acceso a archivos en S3 solo en horario laboral, por ejemplo entre 9:00 y 17:00.

Fuera de esos parámetros, el acceso queda bloqueado. Así conviertes una política básica en una capa de seguridad mucho más robusta [13:00].

¿Qué es una condición en una política IAM? Es una regla extra dentro del statement que define cuándo aplica el permiso, basada en variables como IP de origen, presencia de 2FA, hora del día o tags del recurso.

Cuéntame en los comentarios qué política con condiciones aplicarías para proteger un caso de uso real en tu organización.