Construcción de una zona de aterrizaje

Tienes varias opciones para crear tu landing zone AWS. Puede elegir un servicio gestionado para organizar su entorno o trabajar con un socio para crear el suyo propio. AWS ofertas AWS Control Tower, un servicio gestionado. Recomendamos que todos los usuarios comiencen con AWS Control Tower. Sin embargo, es importante comprender las diferencias y las capacidades de cada enfoque para poder tomar la mejor decisión para la organización.

Opciones para las zonas de aterrizaje en AWS:

• AWS Control Tower

• Zona de aterrizaje hecha a medida

Mecanismo de entrega:

Ventajas y desventajas de cada enfoque:

Solución	Ventajas	Compensación
AWS Control Tower	Servicio totalmente gestionado. AWS-siempre que los controles y las políticas de cumplimiento se apliquen de forma predeterminada. Proporciona un panel central para el monitoreo y el estado de cumplimiento. Proporciona Account Factory para aprovisionar nuevas cuentas. Algunas personalizaciones (como la selección de regiones y los controles opcionales) están disponibles en la consola.	Customizations for AWS Control Tower (cFct) y Account Factory for Terraform () proporcionan capacidad de ampliación y personalización adicionales. AFT AWS Control Tower es compatible con AWS las regiones que se muestran en la lista de servicios regionales.AWS
AWS Organizations con una solución personalizada creada por un cliente o un socio	Solución personalizada.	El cliente o socio es propietario de todo el desarrollo y la codificación. El cliente o socio es responsable de la integración y la implementación.

Todas las ofertas de entornos de cuentas múltiples cuentan con la tecnología de. AWS Organizations AWS Organizations proporciona la infraestructura y las capacidades subyacentes para que pueda crear y administrar su AWS entorno. Con él AWS Organizations, puede seguir la guía de estrategia multicuenta que le proporciona AWS y personalizar su entorno usted mismo para que se adapte mejor a las necesidades de su empresa. Si ya es un cliente y está satisfecho con su AWS Organizations implementación actual, debe seguir utilizando su AWS entorno actual.

AWS Control Tower

AWS Control Tower se ejecuta como un servicio AWS gestionado. Si busca una solución de entorno preconfigurada y lista para usar, puede utilizarla como guía prescriptiva y AWS Control Tower para un entorno totalmente gestionado. El servicio configura una zona de aterrizaje basada en las prácticas recomendadas para varias cuentas, centraliza la administración de identidades y accesos y establece reglas de gobernanza preconfiguradas para la seguridad y el cumplimiento.

AWS Control Tower automatiza la configuración de una nueva landing zone mediante el uso de las mejores prácticas, esquemas de identidad, acceso federado y estructura de cuentas. Algunos de los esquemas implementados en AWS Control Tower son los siguientes:

• Un entorno de múltiples cuentas que utiliza AWS Organizations

• Auditorías de seguridad entre cuentas mediante AWS Identity and Access Management () IAM y AWS IAM Identity Center

• Administración de identidades mediante el directorio predeterminado de Identity Center

• Registro centralizado y AWS Config almacenado en Amazon Simple Storage Service (Amazon S3) AWS CloudTrail

Los controles son reglas de alto nivel que proporcionan una gobernanza continua del AWS entorno general. Los controles pueden ser preventivos o de detección. Los controles preventivos se implementan mediante políticas de control de servicios (SCPs), que forman parte de ellas AWS Organizations. Los controles de Detective se implementan mediante el uso de AWS Config. Algunos ejemplos de AWS Control Tower controles incluyen:

• No permitir la creación de claves de acceso para el usuario raíz

• No permitir la conexión a Internet a través de RDP

• No permitir el acceso de escritura público a los buckets de S3

• No permitir los volúmenes de Amazon Elastic Block Store (AmazonEBS) que no estén conectados a una instancia de Amazon Elastic Compute Cloud (AmazonEC2)

nota

AWS Control Tower es el punto de partida de una landing zone. Debe determinar su estrategia de redes, administración de acceso y seguridad en función de los requisitos únicos a medida que construye su zona de aterrizaje.

Zona de aterrizaje hecha a medida

Puede elegir crear una solución propia de zona de aterrizaje personalizada. En este caso, debe implementar el entorno básico para comenzar con la administración de identidades y accesos, la gobernanza, la seguridad de los datos, el diseño de redes y el registro. Le recomendamos este enfoque si desea crear todos los componentes del entorno desde cero, o si tiene requisitos que solo una solución personalizada puede satisfacer. Debe tener la experiencia suficiente AWS para administrar, actualizar, mantener y operar la solución una vez que se haya implementado.

Método recomendado

Te recomendamos que comiences AWS Control Tower por construir tu landing zone. AWS Control Tower te ayuda a crear una configuración inicial prescriptiva de landing zone, a utilizar out-of-the-box controles y planos y a crear nuevas cuentas mediante AWS Control Tower Account Factory.

Durante la configuración, puedes personalizar tu landing zone desde la AWS Control Tower consola. Para obtener más información, consulta la AWS Control Tower documentación. Después de configurar tu landing zone fundamental, usa una de estas opciones para mejorarla y personalizarla aún más:

• Utilice las personalizaciones para AWS Control Tower (cFCT), que ofrece amplias opciones de personalización mediante AWS CloudFormation plantillas y políticas de control de servicios (). SCPs Para obtener más información, consulte la Documentación de AWS Control Tower.

• Usa el Landing Zone Accelerator (LZA) para mejorar tu zona de aterrizaje y alinearla con los marcos de cumplimiento. Para obtener más información, consulte la guía de LZA implementación.