Todos los que han trabajado con AWS conocen bien la existencia de cuentas - cuentas en las que, de hecho, se realiza el trabajo - asignación de recursos, diferenciación de derechos de acceso, etc. A menudo es necesario crear varias cuentas, ya sean cuentas separadas para diferentes departamentos de la empresa o cuentas separadas para proyectos o incluso para diferentes entornos de un proyecto (desarrollo, pruebas, operación). Para la administración de cuentas, AWS proporciona AWS Organizations, que le permite crear nuevas cuentas, asignar recursos, optimizar el pago de facturas al establecer un método de pago único para todas las cuentas, crear grupos de cuentas y aplicarles políticas para administrar los flujos de trabajo de manera eficiente.
Sin embargo, AWS Organizations por sí solo no es suficiente para administrar cuentas. Existe el deseo no solo de crear cuentas, sino de crearlas para que cumplan con las normas y políticas aceptadas en la empresa, poder rastrear el estado de las cuentas creadas, administrar políticas sin editar un documento JSON, pero de una manera más conveniente camino. Además, a medida que aumenta la cantidad de cuentas en una organización, la comprensión de que faltan las capacidades del servicio de AWS Organizations llega con la suficiente rapidez. Y para aquellos que se han embarcado en este camino, hay dos opciones: utilizar una herramienta de AWS, Control Tower o desarrollar sus propios scripts de control. El resto del artículo explica por qué elegimos la segunda opción.
¿Qué es AWS Control Tower?
Empiece por definir AWS Landing Zone, una solución que ayuda a los usuarios a configurar rápidamente un entorno seguro de AWS de varias cuentas según las mejores prácticas. Esto es lo que se encuentra en el corazón de AWS Control Tower. Como se desprende de la información oficial, esta solución sigue existiendo, pero sin mejoras futuras y se recomienda encarecidamente a los nuevos usuarios que utilicen AWS Control Tower para administrar un entorno de AWS con varias cuentas.
¿Qué es AWS Control Tower? Es un servicio administrado por AWS que automatiza la creación y administración de un entorno de múltiples cuentas de AWS. Configura automáticamente AWS Organizations como el servicio principal de AWS para el control de cuentas e implementa medidas preventivas y restricciones mediante las políticas de control de servicios (SCP). AWS Control Tower se puede utilizar para una variedad de escenarios: para crear un nuevo entorno o proyecto de AWS en la nube, o para trabajar en un entorno de AWS existente con varias cuentas.
Las principales características del servicio incluyen
- Landing Zone. AWS Organization , SSO ;
- . , ;
- Account Factory. , – VPC, . .;
- . . – , , .
?
Para comenzar, debe tener una cuenta de AWS y un usuario con derechos de administrador. Esta cuenta luego se utilizará como una cuenta maestra al crear una organización de AWS. También se debe mencionar que AWS Control Tower no es compatible con todas las regiones, por ejemplo, la región de California no es compatible en los EE. UU., Milán y París en Europa, y en Asia, de las siete regiones disponibles, solo dos son compatibles: Singapur y Sydney (información al momento de escribir este artículo) ...
El servicio se basa en un conjunto de plantillas de AWS CloudFormation, con la ayuda de las cuales se crea una zona de aterrizaje con los siguientes recursos:
- tres grupos de cuentas (unidad organizativa): raíz, núcleo y personalizado;
- dos cuentas en la unidad central de la organización: una cuenta de archivo de registro para almacenar todos los registros de la organización y una cuenta de auditoría para auditar;
- AWS SSO - ;
- 20 6 . , -. AWS CloudTrail, .
Las restricciones mencionadas son políticas de control de servicios listas para usar y reglas de AWS Config que lo ayudan a administrar la seguridad, el flujo de trabajo y el cumplimiento. Las restricciones preventivas prohíben acciones que violen las políticas de seguridad. Un ejemplo de tales restricciones puede ser la imposibilidad de eliminar archivos de registro o detener el proceso de registro para los usuarios de cuentas que forman parte de la organización. Las restricciones de detectives verifican el cumplimiento de la cuenta con las reglas de seguridad y, en caso de incumplimiento, envían notificaciones a la cuenta de auditoría. Un ejemplo sería la falta de cifrado de disco o la presencia de discos no utilizados en una cuenta.
También integración con algunos servicios de AWS para facilitar el proceso de creación y administración de cuentas en la organización. Por ejemplo, la integración con AWS Firewall Manager le permite crear políticas adicionales que operan a nivel de la organización, mientras que la integración con AWS Service Catalog facilita la creación de cuentas con propiedades predefinidas y un conjunto de recursos.
Beneficios de usar
Rápido, sencillo y seguro. Puede crear rápidamente una organización completa con unos pocos clics en la consola de administración. Como resultado, obtenemos una organización que cumple con los estándares de seguridad recomendados y un sistema de notificación sobre el estado de la organización. Todas las acciones para crear y configurar los recursos de la organización están ocultas para el usuario y, de hecho, hay bastantes de ellas. El procedimiento para administrar una organización también está bastante simplificado, no necesita pensar en qué política prescribir a qué servicio para que funcione según lo previsto. Además, un conjunto de restricciones existentes facilita mucho la vida, reduciendo la configuración de una organización a elegir restricciones de una lista, lo que es mucho más rápido que el propio desarrollo.
¿Por qué no usamos AWS Control Tower?
Una de las principales razones por las que no utilizamos AWS Control Tower es la falta de integración del servicio con Terraform, que se adoptó como un estándar de facto para trabajar con proveedores de nube. Quizás en el futuro aparezca esta integración y sea posible reconsiderar la decisión. Y ni siquiera se trata de crear la organización en sí usando Terraform, primero puede crear una organización en la consola y luego llenarla con recursos a través de Terraform. Pero quería administrar los recursos creados en el futuro: cambiar las políticas, tener acceso a los recursos creados, como VPC, grupos de seguridad, temas de SNS para su mayor personalización y expansión.
La segunda razón fue la presencia de una organización ya existente con un conjunto de cuentas y una lógica de trabajo específica. Diré de inmediato que AWS Control Tower le permite transferir la organización actual bajo su control. Sin embargo, surgieron algunos puntos que no se detenían exactamente, sino que causaban cierta preocupación. A saber:
- SCP . AWS Control Tower SCP . . SCP , — . , AWS Control Tower .
- SSO -. AWS Control Tower , . , – ;
Bueno, como una pequeña adición, quería alejarme de los estándares generalmente aceptados y organizar el trabajo con los registros de la organización en una cuenta, que incluiría almacenamiento, procesamiento, un sistema de notificación y un tablero. Permítame recordarle que en AWS Control Tower esto se divide en dos cuentas: registro y auditoría.
La tercera razón fue el deseo de personalizar las restricciones de AWS Control Tower antes mencionadas. Primero, expanda la lista de políticas, por ejemplo, prohibiendo la eliminación / modificación de ciertos recursos (ciertos roles relacionados con la administración de cuentas o recursos críticos). En segundo lugar, utilizar roles a nivel de una cuenta específica, y no un grupo de cuentas, como ahora se implementa en AWS Control Tower. Y en tercer lugar, para administrar todo esto sobre la marcha, por ejemplo, durante un tiempo, desconecte un cierto conjunto de restricciones para una cuenta específica y luego vuelva a conectarse.
Sin embargo, no se puede decir que no usemos AWS Control Tower en absoluto. Por supuesto, se necesita mucho en la implementación de este servicio, y en el proceso de construir nuestra propia solución, usamos el conocimiento que obtuvimos al estudiar la AWS Control Tower.
Conclusión
AWS Control Tower o scripts personalizados, producto estándar o desarrollo personalizado. Como siempre, el producto terminado brinda velocidad en la implementación de la solución, costos de desarrollo reducidos y corrección de errores, pero a cambio perdemos flexibilidad.
AWS Control Tower es un servicio conveniente para administrar la organización de cuentas. Si acaba de llegar a la conclusión de que una cuenta no es suficiente para usted y necesita crear una organización, comience con AWS Control Tower. Si no sabe cómo crear políticas, cómo configurar el procesamiento de registros y los servicios de notificación y, al mismo tiempo, la seguridad es un requisito previo esencial para la existencia de su organización, comience con AWS Control Tower. Si está utilizando la consola de AWS para administrar su infraestructura en la nube, probablemente encontrará AWS Control Tower lo suficientemente atractiva.
Sin embargo, si su organización requiere un cierto nivel de personalización que va más allá del estándar, o sus cuentas deben regirse por reglas que cambian con frecuencia, es posible que necesite alguna otra solución.