Cómo funciona la Torre de Control de AWS - AWS Control Tower
Estructura de una zona de aterrizaje de la Torre de Control de AWSQué ocurre cuando configuras una landing zone¿Qué son las cuentas compartidas?Cómo funcionan los controlesCómo funciona AWS Control Tower con StackSets

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona la Torre de Control de AWS

En esta sección se describe en detalle cómo funciona la Torre de Control de AWS. Tu landing zone es un entorno multicuenta bien diseñado para todos tus recursos. AWS Puede utilizar este entorno para hacer cumplir las normas de conformidad en todas sus cuentas. AWS

Estructura de una zona de aterrizaje de la Torre de Control de AWS

La estructura de una landing zone en la Torre de Control de AWS es la siguiente:

  • Raíz: la matriz que contiene todas las demás unidades organizativas de tu landing zone.

  • OU de seguridad: esta OU contiene el archivo de registros y las cuentas de auditoría. Estas cuentas suelen denominarse cuentas compartidas. Cuando lance su landing zone, podrá elegir nombres personalizados para estas cuentas compartidas y tendrá la opción de incorporar las AWS cuentas existentes a AWS Control Tower para garantizar la seguridad y el registro. Sin embargo, no se les puede cambiar el nombre más adelante y las cuentas existentes no se pueden añadir por motivos de seguridad y registro tras el lanzamiento inicial.

  • Unidad organizativa Sandbox: la unidad organizativa Sandbox se crea cuando lanzas tu landing zone, si la activas. Esta y otras OU registradas contienen las cuentas inscritas con las que trabajan sus usuarios para realizar sus cargas de trabajo de AWS.

  • Directorio del centro de identidad de IAM: en este directorio se encuentran los usuarios del centro de identidad de IAM. Define el alcance de los permisos de cada usuario del IAM Identity Center.

  • Usuarios del IAM Identity Center: estas son las identidades que sus usuarios pueden asumir para realizar sus AWS cargas de trabajo en su landing zone.

Qué ocurre cuando configuras una landing zone

Cuando configura una landing zone, AWS Control Tower realiza las siguientes acciones en su cuenta de administración en su nombre:

  • Crea dos unidades AWS Organizations organizativas (OU): Seguridad y Sandbox (opcional), incluidas en la estructura raíz de la organización.

  • Crea o agrega dos cuentas compartidas en la unidad organizativa de seguridad: la cuenta Log Archive y la cuenta Audit.

  • Crea un directorio nativo de la nube en el Centro de Identidad de IAM, con grupos preconfigurados y acceso de inicio de sesión único, si elige la configuración predeterminada de la Torre de Control de AWS, o si le permite administrar automáticamente su proveedor de identidades.

  • Aplica todos los controles preventivos obligatorios para hacer cumplir las políticas.

  • Aplica todos los controles de detección obligatorios para detectar infracciones de configuración.

  • Los controles preventivos no se aplican a la cuenta de administración.

  • A excepción de la cuenta de administración, los controles se aplican a la organización en su conjunto.

Gestión segura de los recursos dentro de la zona de aterrizaje y las cuentas de la Torre de Control de AWS

  • Cuando creas tu landing zone, se crean varios AWS recursos. Para utilizar la Torre de Control de AWS, no debe modificar ni eliminar estos recursos gestionados por la Torre de Control de AWS fuera de los métodos compatibles que se describen en esta guía. Si eliminas o modificas estos recursos, tu landing zone pasará a un estado desconocido. Para obtener más información, consulte Guía para crear y modificar los recursos de la Torre de Control de AWS

  • Cuando habilita los controles opcionales (aquellos con orientación altamente recomendada o electiva), AWS Control Tower crea AWS recursos que administra en sus cuentas. No modifique ni elimine los recursos creados por AWS Control Tower. Si lo hace, puede provocar que los controles pasen a un estado desconocido.

¿Qué son las cuentas compartidas?

En AWS Control Tower, las cuentas compartidas de su landing zone se aprovisionan durante la configuración: la cuenta de administración, la cuenta de archivo de registros y la cuenta de auditoría.

¿Qué es la cuenta de administración?

Esta es la cuenta que has creado específicamente para tu landing zone. Esta cuenta se utiliza para facturar todo lo que hay en tu landing zone. También se utiliza para el aprovisionamiento de cuentas en Account Factory, así como para gestionar las unidades organizativas y los controles.

nota

No se recomienda ejecutar ningún tipo de carga de trabajo de producción desde una cuenta de administración de AWS Control Tower. Cree una cuenta de AWS Control Tower independiente para ejecutar sus cargas de trabajo.

Para obtener más información, consulte Cuenta de administración.

¿Qué es la cuenta de archivo de registros?

Esta cuenta funciona como un repositorio de los registros de las actividades de la API y las configuraciones de recursos de todas las cuentas de la landing zone.

Para obtener más información, consulte Cuenta del archivo de registro.

¿Qué es la cuenta de auditoría?

La cuenta de auditoría es una cuenta restringida diseñada para que tus equipos de seguridad y cumplimiento tengan acceso de lectura y escritura a todas las cuentas de tu landing zone. Desde la cuenta de auditoría, tiene acceso mediante programación para revisar las cuentas, por medio de un rol que solo se concede a las funciones Lambda. La cuenta de auditoría no le permite iniciar sesión en otras cuentas manualmente. Para obtener más información sobre las funciones y roles de Lambda, consulte Configurar una función de Lambda para que asuma una función de otra. Cuenta de AWS

Para obtener más información, consulte Cuenta de auditoría.

Cómo funcionan los controles

Un control es una regla de alto nivel que proporciona un control continuo del AWS entorno general. Cada control aplica una sola regla y se expresa en un lenguaje sencillo. Puede cambiar los controles opcionales o muy recomendados que estén en vigor en cualquier momento desde la consola de la Torre de Control de AWS o desde las API de la Torre de Control de AWS. Los controles obligatorios se aplican siempre y no se pueden cambiar.

Los controles preventivos impiden que se lleven a cabo acciones. Por ejemplo, el control electivo denominado Disallow Changes to Bucket Policy for Amazon S3 Buckets (anteriormente denominado Disallow Policy Changes to Log Archive) impide cualquier cambio en la política de IAM en la cuenta compartida del archivo de registros. Se deniega cualquier intento de realizar una acción impedido y se inicia sesión. CloudTrail El recurso también ha iniciado sesión AWS Config.

Los controles de Detección detectan eventos específicos cuando se producen y registran la acciónCloudTrail. Por ejemplo, el control altamente recomendado denominado Detect if Enabled is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances detecta si un volumen de Amazon EBS no cifrado está adjunto a una instancia EC2 de su landing zone.

Los controles proactivos comprueban si los recursos cumplen con las políticas y los objetivos de su empresa antes de aprovisionarlos en sus cuentas. Si los recursos no cumplen con las normas, no se aprovisionan. Los controles proactivos supervisan los recursos que se desplegarían en sus cuentas mediante AWS CloudFormation plantillas.

Para aquellos que estén familiarizados con AWS: En AWS Control Tower, los controles preventivos se implementan mediante políticas de control de servicios (SCP). Los controles de Detective se implementan con AWS Config reglas. Los controles proactivos se implementan con AWS CloudFormation ganchos.

Cómo funciona AWS Control Tower con StackSets

AWS Control Tower se utiliza AWS CloudFormation StackSets para configurar los recursos en sus cuentas. Cada conjunto de pilas tiene StackInstances lo que corresponde a cuentas y a Regiones de AWS por cuenta. AWS Control Tower implementa una instancia de conjunto de pilas por cuenta y región.

AWS Control Tower aplica las actualizaciones a determinadas cuentas y de Regiones de AWS forma selectiva, en función de AWS CloudFormation los parámetros. Cuando las actualizaciones se aplican a algunas instancias de la pila, otras instancias de la pila pueden quedar en estado Outdated (Obsoleto). Este es el comportamiento esperado y normal.

Cuando una instancia de pila cambia al estado Outdated (Obsoleto), normalmente significa que la pila correspondiente a esa instancia de pila no está alineada con la última plantilla del conjunto de pilas. La pila permanece en la plantilla más antigua, por lo que es posible que no incluya los últimos recursos o parámetros. La pila sigue siendo completamente utilizable.

Este es un breve resumen del comportamiento que cabe esperar, en función de AWS CloudFormation los parámetros que se especifican durante una actualización:

Si la actualización del conjunto de pilas incluye cambios en la plantilla (es decir, si se especifican TemplateURL las propiedades TemplateBody o propiedades), o si se especifica la Parameters propiedad, AWS CloudFormation marca todas las instancias de la pila con el estado Anticuadas antes de actualizar las instancias de pila de las cuentas especificadas y Regiones de AWS. Si la actualización del conjunto de pilas no incluye cambios en la plantilla o los parámetros, AWS CloudFormation actualiza las instancias de pila de las cuentas y regiones especificadas y deja las demás instancias de pila con el estado de instancia de pila existente. Para actualizar todas las instancias de pila asociadas a un conjunto de pilas, no especifique las propiedades Accounts ni Regions.

Para obtener más información, consulte Actualizar su conjunto de pilas en la Guía del AWS CloudFormation usuario.