Uno de los desafíos más grandes a los que se enfrentan las empresas en la actualidad es gestionar múltiples equipos con volúmenes de trabajo diferentes y aun así garantizar el cumplimiento de las mejores prácticas de seguridad.
AWS Control Tower ayuda a las organizaciones a satisfacer las necesidades específicas de cada aplicación, equipo o conjunto de negocios. Esta estructura multicuenta puede administrar varias cuentas en diferentes unidades de la organización bajo una única root account.
El contexto
La cloud de automatización es una alternativa ideal para las empresas que necesitan crear cuentas para varios equipos con todas las medidas de seguridad y configuraciones necesarias. Las siguientes herramientas de AWS pueden ayudarte a alcanzar ese objetivo:
- AWS CLI
- AWS API
- Account Factory para Terraform
- Aprovisionamiento de cuentas a través de Amazon Lex ChatBot
Veamos cómo crear una cuenta usando AWS CLI y AWS API.
Requisitos previos
Antes de comenzar, ten en cuenta lo siguiente:
- La configuración de AWS Control Tower debería estar disponible.
- La plantilla de AWS Control Tower Account Factory debería estar disponible con la configuración de CIDR y la subred requeridas.
- Deben crearse y activarse los productos de AWS Control Tower Service Catalog.
- Necesitarás una clave de acceso y una clave secreta de usuario administrador interno.
Crear una cuenta en AWS CLI
Para crear tu cuenta, lo primero que debes hacer es instalar AWS CLI. Puedes seguir estos pasos si usas Linux OS:
- Configura la variable de entorno con la clave de acceso y la clave secreta.
- Recupera el valor de la cuenta maestra y define el valor del ARN del administrador.
- Recupera el ID del producto de Account Factory en la región especificada con anterioridad.
- Recupera el artefacto de aprovisionamiento para Account Factory.
- Crea un archivo param.json con los parámetros necesarios, como se muestra en las siguientes capturas de pantalla:
- Obtén el nombre del catálogo y el identificador de correo electrónico de params.json. Los nombres de los catálogos deben ser únicos, pero pueden ser igual al nombre de una cuenta. Aquí estamos añadiendo el prefijo “CatalogFor” al nombre de la cuenta.
Para crear una nueva cuenta de manera programática, debes escribir este comando:
– AWS SDK API
Otra forma de crear una cuenta de AWS Control Tower es mediante AWS SDK.
Para conocer más detalles, revisa la documentación de AWS.
Estado de la cuenta
Ahora puedes ver el estado de la cuenta creada en la consola de AWS Control Tower.
A continuación, recibirás un correo electrónico para crear la cuenta.
Pasos para acceder a la cuenta de AWS Control Tower
Ve a la consola de administración de AWS e inicia sesión.
Selecciona el root user y luego introduce tu dirección de correo electrónico. Luego, completa la comprobación de seguridad.
Ahora haz clic en “Olvidé mi contraseña” en la ventana emergente e introduce el captcha y el correo electrónico. Obtendrás el enlace para restablecer la contraseña en el correo electrónico del usuario root.
Cambia la contraseña e inicia sesión.
Siguiendo los pasos, crearás una cuenta con todas las medidas de seguridad y las Políticas de Control de Servicios obligatorias. El uso de AWS Control Tower no implica ningún cargo adicional. Sin embargo, cuando configures AWS Control Tower, incurrirás en costos por los servicios de AWS que se utilizan para definir tu zona de aterrizaje y las barandillas obligatorias. Mientras que algunos servicios de AWS, como AWS Organizations y AWS Single Sign-On (SSO), no suponen ningún cargo adicional, deberás pagar por servicios como AWS Service Catalog, AWS CloudTrail, AWS Config, Amazon CloudWatch, Amazon Simple Notification Service (SNS), Amazon Simple Storage Service (S3) y Amazon Virtual Private Cloud (VPC) en función del uso que hagas de estos servicios. Solo deberás pagar por lo que usas.
AWS Control Tower brinda a las organizaciones la flexibilidad y la velocidad necesarias para administrar varias cuentas en un único panel de control. Como resultado, las empresas tienen más control y visibilidad sobre su entorno digital. Descubre más sobre nuestras prácticas de ciberseguridad aquí.