Administración y separación de cuentas de AWS

Le recomendamos que organice cargas de trabajo en cuentas distintas y las agrupe según su función, requisitos de conformidad o un conjunto común de controles, en lugar de crear una réplica de la estructura de informes de la organización. En AWS, las cuentas tienen un límite bien definido. Por ejemplo, se recomienda encarecidamente la separación de nivel de cuenta para aislar cargas de trabajo de producción de las de desarrollo y prueba.

Administración centralizada de las cuentas: AWS Organizations automatiza la creación y la gestión de cuentas de AWS, así como el control de esas cuentas una vez creadas. Al crear una cuenta a través de AWS Organizations, es importante que tenga en cuenta la dirección de correo electrónico que utilice, ya que esta será el usuario raíz que permita el restablecimiento de la contraseña. Organizations le permite agrupar cuentas en unidades organizativas (OU), que pueden representar diferentes entornos en función de los requisitos y el propósito de la carga de trabajo.

Definición de controles centralizados: para controlar lo que pueden hacer las cuentas de AWS, permita únicamente servicios, regiones y acciones de servicios específicos en el nivel adecuado. AWS Organizations le permite utilizar políticas de control de servicio (SCP) para aplicar barreras de protección de permiso en la organización, unidad organizativa o nivel de cuenta, que se aplicarán a todos los usuarios y roles de AWS Identity and Access Management (IAM). Por ejemplo, puede aplicar una SCP que no permita a los usuarios iniciar recursos en regiones que no se hayan permitido explícitamente. AWS Control Tower ofrece una forma simplificada de configurar y controlar varias cuentas. Automatiza la configuración de las cuentas en su AWS Organization, automatiza el aprovisionamiento, aplica barreras de protección (que incluyen la prevención y la detección) y le proporciona un panel de control para mayor visibilidad.

Configuración de los servicios y los recursos centralizada: AWS Organizations le ayuda a configurar los servicios de AWS que se aplican a todas sus cuentas. Por ejemplo, puede configurar el registro central de todas las acciones hechas en la organización con AWS CloudTrail e impedir que las cuentas de los miembros desactiven los registros. También puede agregar datos de forma centralizada para las reglas que haya definido con AWS Config, lo que le permitirá auditar sus cargas de trabajo para comprobar su conformidad y reaccionar rápidamente ante los cambios. AWS CloudFormation StackSets le permite administrar de forma centralizada pilas de AWS CloudFormation en las cuentas y las OU de la organización. Esto le permite aprovisionar automáticamente una cuenta nueva para cumplir con los requisitos de seguridad.

Utilice la característica de administración delegada de los servicios de seguridad para separar las cuentas utilizadas para la administración de la cuenta de facturación (administración) de la organización. Algunos servicios de AWS, como GuardDuty, Security Hub y AWS Config, admiten integraciones con AWS Organizations, incluida la designación de una determinada cuenta para funciones administrativas.

Prácticas recomendadas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Gobernanza

SEC01-BP01 Separación de cargas de trabajo con cuentas