Servicios claves en la Cuenta Management AWS

La cuenta de management (también llamada «cuenta raíz de la organización») es el centro neurálgico para administrar una infraestructura multicuenta en AWS. Los servicios clave que mencionas son los pilares fundamentales, pero hay algunos componentes adicionales importantes.

Componentes Importantes

1. AWS Control Tower

  • Función: Automatiza la configuración inicial y el gobierno continuo de tu Landing Zone.
  • Gestiona:
    • Creación de cuentas.
    • Guardrails (políticas de seguridad y cumplimiento).
    • Monitoreo del estado de la organización.

2. AWS Organizations

  • Función: Estructura jerárquica de OUs y cuentas.
  • Gestiona:
    • Service Control Policies (SCPs).
    • Consolidación de facturación.
    • Integración con otros servicios (IAM Identity Center, Security Hub).

3. Service Catalog (Global)

  • Función: Centraliza y controla los productos de TI aprobados para su despliegue en cuentas miembro.
  • Ejemplo: Plantillas de CloudFormation preaprobadas para VPCs, buckets S3, etc.

4. IAM Identity Center (antes AWS SSO)

  • Función: Gestión centralizada de usuarios, grupos y accesos federados (Microsoft Entra ID, Active Directory).
  • Gestiona:
    • Permisos en cuentas miembro.
    • Autenticación SSO para la consola AWS y aplicaciones SaaS.

🔍 Componentes Adicionales Importantes

5. AWS CloudTrail (Organización-wide)

  • Función: Registro de actividad de API en todas las cuentas.
  • Se configura en la cuenta management para agregar logs de todas las cuentas en un bucket S3 central.

6. AWS Config (Aggregator)

  • Función: Monitoreo de cumplimiento de reglas en todas las cuentas.
  • Se habilita un agregador en la cuenta management para visualizar el estado global.

7. AWS Security Hub (Delegated Admin)

  • Función: Agregación de hallazgos de seguridad (GuardDuty, Inspector, etc.).
  • Se delega a la cuenta management para una vista consolidada.

8. AWS Resource Access Manager (RAM)

  • Función: Comparte recursos (VPCs, subnets, etc.) entre cuentas de la organización.

📌 Diagrama de la Arquitectura Centralizada

mermaid

Copy

graph TD
  Management[Cuenta Management] --> ControlTower[Control Tower]
  Management --> Organizations[AWS Organizations]
  Management --> IAMIdentityCenter[IAM Identity Center]
  Management --> ServiceCatalog[Service Catalog]
  Management --> CloudTrail[CloudTrail Org-wide]
  Management --> Config[AWS Config Aggregator]
  Management --> SecurityHub[Security Hub Delegated Admin]
  Organizations --> OU1[OU Producción]
  Organizations --> OU2[OU Desarrollo]

⚠️ ¿Qué NO debe gestionarse desde la cuenta management?

  • Workloads operativos: No ejecutes cargas de trabajo (EC2, RDS, etc.) en esta cuenta.
  • Data Lakes o Logs centralizados: Usa las cuentas dedicadas Log Archive y Audit creadas por Control Tower.

✅ Conclusión

Sí, tu enfoque es correcto: La gestión multicuenta se centraliza en la cuenta management mediante:

  1. Control Tower (gobernanza automatizada).
  2. Organizations (estructura jerárquica).
  3. IAM Identity Center (accesos federados).
  4. Service Catalog (productos preaprobados).

+ Servicios adicionales como CloudTrail, Config, Security Hub y RAM completan el esquema.

Funciona gracias a WordPress