Despliegue Multi Cuenta con AWS CloudFormation y DynamoDB

Clase 13 de 38 • Curso de Infraestructura Como Código en AWS

Resumen

¿Cómo hacer un despliegue multicuentas con Stax Edit?

Los entornos de infraestructura para aplicaciones grandes requieren un manejo especializado de la seguridad y la administración de múltiples cuentas. En este artículo, vamos a detallar cómo realizar un despliegue multicuentas utilizando Stax Edit, dentro de una infraestructura de Amazon Web Services (AWS). Este proceso es especialmente relevante para empresas grandes que manejan aplicaciones complejas y necesitan un alto nivel de seguridad.

¿Qué considerar antes de comenzar?

Antes de iniciar con el despliegue multicuentas, es esencial tener un conjunto de cuentas bien estructuradas e interconectadas. Aquí están los pasos preliminares:

Estructurar las cuentas: Define las cuentas necesarias, como servicios compartidos, desarrollo (Dev), testing (QA), preproducción y producción.
Configurar permisos y roles: Asegúrate de que las cuentas están correctamente configuradas con roles específicos para administración y permisos de ejecución.
Entrega de plantillas: Decide si utilizarás plantillas desde un Amazon S3 o si cargarás una plantilla personalizada desde tu equipo.

¿Qué es AWS Landing Zone?

AWS Landing Zone es un servicio que permite agrupar diferentes cuentas y ofrecer un acceso común utilizando Active Directory. Esto facilita la administración centralizada de diversas cuentas, lo que es clave para el éxito del despliegue multicuentas.

¿Cuáles son los pasos para crear un nuevo stack?

Para crear un nuevo stack y realizar el despliegue, sigue las siguientes instrucciones:

Cargar la plantilla: Ve a la consola de administración de tu cuenta de servicios compartidos y selecciona la plantilla desde donde quieras cargarla.

# Ejemplo de YAML para DynamoDB
Resources:
  MyDynamoDBTable:
    Type: "AWS::DynamoDB::Table"
    Properties:
      TableName: "Platzi"
      AttributeDefinitions:
        - AttributeName: "ID"
          AttributeType: "S"
      KeySchema:
        - AttributeName: "ID"
          KeyType: "HASH"

Especificar roles: Determina los roles de administración y ejecución necesarios para el despliegue.

¿Cómo definir las cuentas y regiones para el despliegue?

Debes especificar las cuentas y la región en la cual se encuentra tu infraestructura. Para esto necesitas:

Identificar tus cuentas con su número único.
Elegir una región compatible (por ejemplo, Virginia para el caso de Estados Unidos).

¿Qué configuración adicional se debe tener en cuenta?

Al realizar el despliegue, es crucial establecer:

Cantidad de cuentas concurrentes: Define cuántas cuentas se desplegarán al mismo tiempo.
Condiciones de fallo: Configura si el despliegue se detendrá si una cuenta falla.

¿Cómo se verifica el estado del despliegue?

Una vez iniciado el despliegue, se deben realizar revisiones:

Estado en la consola: Accede a la consola de AWS y verifica el estado del despliegue para cada cuenta involucrada.
Revisión de la tabla DynamoDB: Confirma que la tabla se ha creado correctamente en cada cuenta.

¿Cuáles son los beneficios de usar Stax Edit para despliegues multicuentas?

El despliegue multicuentas con Stax Edit ofrece varias ventajas:

Centralización: Permite centralizar el control de recursos en múltiples cuentas, optimizando la administración.
Seguridad: Mejora la seguridad al separar los ambientes y asignar roles específicos.
Escalabilidad: Facilita el crecimiento de la infraestructura, permitiendo agregar recursos y cuentas con flexibilidad.

Con estos pasos, podrás gestionar despliegues de aplicaciones de gran escala en entornos seguros y organizados, lo que es fundamental para el éxito continuo de las aplicaciones empresariales. ¡Adelante, y sigue aprendiendo para mejorar tus habilidades en la gestión de infraestructuras en la nube!

Andres Alberto Ariza Mantilla

student•

El curso esta interesante, lastima es que NUNCA RESPONDEN LAS PREGUNTAS

Oscar Rodrigo Leon Mojica

student•

el curso ya tiene un par de años y creo q por esa razón no responden, en mi experiencia con platzi, las preguntas se responden durante los primeros 6 a 12 meses después del lanzamiento del curso

Diego Alexander Leon Duarte

student•

Estaría bueno agregar una clase previa a esta clase donde se adecúen las cuentas o permisos para la realización del laboratorio.

Luis Zabala

student•

En el minuto 4:52 se ven el numero de las cuentas de AWS, creo que deberían editar el video y difuminar esa información

Brezhnev Ramiro Gutiérrez Ayala

student•

se ve interesante, pero el detalle esta en hacerlo... desafio tener varias cuentas. salu2

Andres Alberto Ariza Mantilla

student•

en el minuto 3:40 hablas sobre los roles de administración y ejecución, dices que ya deben estar previamente configurados pero no se muestra como hacer esto, razón por la cual no pude completar el taller, podrías indicarme como se configuran estos roles por favor?

Ivan Acosta

student•

Hola @Andres. En efecto, dependerá de la creación de la cuenta corporativa y las demás cuentas asociadas (Unidades Organizativas). Quizás este recurso te pueda ayudar a dar claridad https://aws.amazon.com/es/about-aws/whats-new/2018/06/introducing-aws-landing-zone/

Espero sea de ayuda.

Santiago Roldan

student•

Los roles Adminsitrador y de ExecutionRole suelen ser roles ya creados por default en AWS, de cualquier forma, te dejo aca abajo la IAM policy para que los puedas generar por tu cuenta:

AdministratorRole:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AdministratorExamplePolicy",
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

AWSCloudFormationStackSetAdministrationRole:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole"
            ],
            "Effect": "Allow"
        }
    ]
}

El rol de ejecucion de CloudFormation tiene que tener este Trust Relationship:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Lo saque de esta documentacion

Ojala te sirva! mas vale tarde que nunca jaja

Pedro Porras

student•

Como se puede acceder a la herramienta que usas para manejar varias cuentas de AWS como lo muestras en el ejemplo?

Israel Enrique Rivero Martinez

student•

AWS Organization account

The AWS Landing Zone is deployed into an AWS Organizations account. This account is used to manage configuration and access to AWS Landing Zone managed accounts. The AWS Organizations account provides the ability to create and financially manage member accounts. It contains the AWS Landing Zone configuration Amazon Simple Storage Service (Amazon S3) bucket and pipeline, account configuration StackSets, AWS Organizations Service Control Policies (SCPs), and AWS Single Sign-On (SSO) configuration.

Mario Alexander Vargas Celis

student•

El despliegue multi cuenta con AWS CloudFormation y DynamoDB te permite provisionar tablas DynamoDB en múltiples cuentas y regiones de AWS de forma centralizada y automatizada. Esto es útil en organizaciones que gestionan varios entornos (desarrollo, QA, producción) o tienen estructuras de cuentas distribuidas.

✅ ¿Qué necesitas?

1. Una plantilla CloudFormation (YAML o JSON)

Define la tabla DynamoDB con sus atributos, claves, modo de facturación, etc.

2. StackSets en AWS CloudFormation

Permite desplegar esta plantilla en múltiples cuentas y/o regiones.

📘 Ejemplo de plantilla CloudFormation para DynamoDB

AWSTemplateFormatVersion: '2010-09-09' Description: Crear tabla DynamoDB multi cuenta

Parameters: TableName: Type: String PartitionKey: Type: String Default: id

Resources: DynamoTable: Type: AWS::DynamoDB::Table Properties: TableName: !Ref TableName AttributeDefinitions: - AttributeName: !Ref PartitionKey AttributeType: S KeySchema: - AttributeName: !Ref PartitionKey KeyType: HASH BillingMode: PAY_PER_REQUEST SSESpecification: SSEEnabled: true

Outputs: DynamoTableName: Value: !Ref DynamoTable

🛠️ ¿Cómo desplegarlo con StackSets?

A. Desde la Consola:

Ir a CloudFormation > StackSets
Click en Create StackSet
Subir tu plantilla YAML
Usa Service-managed permissions si tienes AWS Organizations
Selecciona las cuentas o unidades organizacionales (OU)
Elige las regiones (ej. us-east-1, us-west-2)
Ingresa los valores de parámetros (TableName, PartitionKey)

B. Desde la CLI:

aws cloudformation create-stack-set \ --stack-set-name DynamoMultiCuenta \ --template-body file://dynamo.yaml \ --parameters ParameterKey=TableName,ParameterValue=MiTabla \ --permission-model SERVICE_MANAGED \ --capabilities CAPABILITY_NAMED_IAM

Luego:

aws cloudformation create-stack-instances \ --stack-set-name DynamoMultiCuenta \ --deployment-targets OrganizationalUnitIds=ou-abc1-xyz123 \ --regions us-east-1 us-west-2

🔐 Permisos requeridos

Cuenta administradora (StackSet):

Permisos para crear recursos en CloudFormation.
Permisos para acceder a cuentas miembro.

Cuentas destino:

Se requiere confianza si se usa el modo self-managed (se configuran manualmente los roles de ejecución).

🚀 Beneficios del despliegue multi cuenta

Estandarización: misma configuración de DynamoDB en todas las cuentas.
Escalabilidad: añade nuevas cuentas fácilmente.
Seguridad: configuración de cifrado y control de acceso unificado.
Automatización: despliegue en múltiples regiones y cuentas desde una sola acción.

Javier Sepúlveda

student•

Supongo que esto es útil tambien para temas de DR y PR.

Andres Alberto Ariza Mantilla

student•

Yo intente hacer el taller, pero el entorno que me sale a mi es completamente diferente, hay alguna herramienta o sección especial por donde pueda realizar los mismos pasos que se ejecutan en el video?

ELKIN YESID MORENO VELEZ

student•

Tengo entendido que PR es Pull Request, que sería DR ?

gracias, saludos y éxitos.....

Diego Alexander Leon Duarte

student•

Les comparto el siguiente workshop para profundizar un poco más el tema de organizaciones y usuarios: https://catalog.workshops.aws/startup-security-baseline/en-US

Pedro Pablo Malambo Diaz

student•

El curso es bastante bueno, pero se me hace que esta incompleto. Por ejemplo toda la sintaxis esta en YAML, cuando desplegar infraestructura por código es mejor mediante JSON

Camilo Andres Urrego Acosta

student•

También existe esta opción:

https://aws.amazon.com/controltower/?control-blogs.sort-by=item.additionalFields.createdDate&control-blogs.sort-order=desc

Usuario anónimo

user•

a ver que tal funciona un despliegue.. :)

john ct

student•

que bien

john ct

student•

Account Number is important/ Kontonummern sind wichtig

john ct

student•

Langing zone is used for managing many accounts

Alexander Rua López

student•

Hola, si quieren conservar la privacidad de los id de las cuentas del laboratorio. Tener en cuenta que en varios momentos del video ser evidencian estos id y solo los ocultan en el momento de digitarlos, pero en el resumen y estado del despliegue del StackSet se muestran claramente.