馃敟馃寪 ¡Toma control de tus cuentas de AWS con Organizations!

Por -

¡Hola a todos! Hoy quiero hablarles sobre algo sumamente importante en un entorno de nube: c贸mo llevar un control y mantener una estructura 贸ptima en un entorno de m煤ltiples cuentas en AWS

¿C贸mo lo logramos? 馃

He estado repasando AWS Organizations para mi examen de AWS Architect y considero que es una herramienta muy poderosa para llevar un control centralizado de las cuentas que se van creando dentro de una organizaci贸n. Con frecuencia, estas cuentas crecen sin una estructura definida y de manera independiente, lo cual puede generar riesgos de seguridad 馃敀 y complicar la gesti贸n de recursos en AWS.

¿Por qu茅 usar AWS Organizations?

AWS Organizations nos permite gestionar m煤ltiples cuentas de forma centralizada, lo cual facilita la creaci贸n y organizaci贸n de cuentas en Unidades Organizativas (OUs) y la aplicaci贸n de pol铆ticas de seguridad y acceso (como los SCPs). Tambi茅n unifica la facturaci贸n y el control de costos, brinda visibilidad y gobernanza a trav茅s de servicios como AWS CloudTrail y AWS Config, y posibilita el uso compartido de recursos (por ejemplo, subnets de VPC) mediante AWS Resource Access Manager. En conjunto, estas capacidades ayudan a escalar con seguridad, a automatizar configuraciones y a mantener el cumplimiento normativo en toda la organizaci贸n ⚙️.

RCP vs. SCP: ¿En qu茅 se diferencian?

Un feature nuevo de AWS que estoy probando es RCP en AWS Organizations. Ustedes podr铆an preguntarse, ¿y esto qu茅 es? 馃 ¿No exist铆an ya las Service Control Policies?

  • Resource Control Policies (RCPs): Son pol铆ticas que imponen restricciones a nivel de recursos dentro de la organizaci贸n. Con ellas:

    • Evitas cambios o configuraciones no autorizadas en los recursos.
    • Aseguras que todos los servicios cumplan reglas de seguridad o l铆mites de uso.
    • Centralizas y unificas el control sobre los recursos para evitar acciones contrarias a los lineamientos de la organizaci贸n.

  • Service Control Policies (SCPs): Se centran en establecer el nivel m谩ximo de permisos para usuarios y roles de IAM. Impiden que se otorguen privilegios que superen los l铆mites de seguridad o gobierno establecidos.

En otras palabras, las SCPs ponen l铆mites a los principals (usuarios o roles de IAM), mientras que las RCPs limitan directamente los recursos.

Vistazo a la consola de AWS Organizations

En la consola de AWS Organizations es com煤n ver varias OUs (por ejemplo, DEV y PROD) y la cuenta de administraci贸n (Management) en la Root. Cada OU agrupa cuentas separadas, lo que permite aplicar pol铆ticas y configuraciones espec铆ficas para cada entorno. Tambi茅n ver谩s el Organization ID y opciones para centralizar el acceso root de las cuentas miembro.


Para agregar nuevas cuentas, tienes dos opciones principales:

  1. Crear una cuenta de AWS directamente desde la organizaci贸n.
  2. Invitar una cuenta de AWS existente, ingresando su correo o ID para enviar una solicitud de uni贸n.

Ojo con IAM Role name ya que esto es de suma importancia para que tu IAM Principal pueda tener permisos sobre los recursos de los Accounts que creas o invitas!

Adem谩s, se pueden agregar etiquetas (tags) para organizar y categorizar las cuentas. Una vez aceptada la invitaci贸n, la cuenta se vincula y aplica autom谩ticamente las pol铆ticas y configuraciones centrales.

Pol铆ticas disponibles en AWS Organizations

Dentro de Policies, se pueden habilitar y configurar distintos tipos de pol铆ticas para controlar aspectos como:

  • AI services opt-out policies: Restringir el uso de datos para servicios de IA.
  • Backup policies: Administrar planes de respaldo en m煤ltiples cuentas.
  • Chat applications policies: Controlar el acceso a cuentas de la organizaci贸n desde Slack o Microsoft Teams.
  • Declarative policies for EC2: Mantener configuraciones deseadas para instancias EC2.
  • Resource control policies (RCPs): Definir permisos m谩ximos a nivel de recursos.
  • Service control policies (SCPs): Definir permisos m谩ximos para usuarios y roles IAM.
  • Tag policies: Estandarizar y reforzar el uso de etiquetas en toda la organizaci贸n.

¡Un tip extra!: Switch Role

Por 煤ltimo, una funcionalidad muy 煤til es el Switch Role en la consola de AWS, que facilita la navegaci贸n y administraci贸n de m煤ltiples cuentas dentro de la misma organizaci贸n. Al crear o invitar una cuenta, se suele asignar el rol OrganizationAccountAccessRole para acceder con permisos amplios dentro de esas cuentas. As铆, con un solo clic, puedes cambiar de cuenta sin tener que abrir sesiones adicionales o usar credenciales distintas. De esta manera, centralizas la administraci贸n desde tu usuario de IAM principal y te mueves entre entornos de desarrollo (DEV) y producci贸n (PROD) con toda la flexibilidad que necesitas 馃殌.

¡Los invito a crear su entorno de prueba de AWS (es gratuito!) y experimentar c贸mo gestionar m煤ltiples cuentas de forma centralizada!  Si las herramientas existen, debemos usarlas para hacer nuestra gesti贸n en la nube m谩s segura y eficiente. ¡A seguir aprendiendo y construyendo! ☁️✨

Por si les interesa, estoy usando los videos de Adrian Cantrill para ponerme up to date con todos los nuevos features de AWS!

Location: Panama

Comentarios

Publicar un comentario

Entradas m谩s populares de este blog

Mi aventura con Sophos Firewall Home Edition: ¡Seguridad de nivel Enterprise sin gastar un centavo!

Por -
Imagen
Pasando un poco el resfr铆ado, me encontraba regresando a la ciudad despu茅s de unos d铆as de vacaciones en familia cuando decid铆 ver qu茅 se necesitaba para montar un demo environment para probar el Firewall de Sophos Home Edition (descuiden, cuando configuro no manejo!).  Un amigo en las altas esferas de Sophos me recomend贸 probarlo, ¡as铆 que me embarqu茅 en este viaje que me llev贸 a muchas sorpresas en el camino! (y todas buenas) 馃ぉ ¡Lo primero, el costo! ¿ Cu谩nto cuesta?  NADA, CERO, GRATIS! 馃檶 Es para uso personal en el hogar y solo necesitas poner el hardware (o una m谩quina virtual) para correr el sistema operativo.  En mi caso, siempre corro todo en mi lab, y para mi primera sorpresa,  Proxmox  est谩 totalmente soportado. ¡Punto para Sophos! 馃弳 Me registr茅 siguiendo este  enlace  y me lleg贸 un correo con el  Serial Key  para registrar mi nuevo firewall durante el proceso de configuraci贸n inicial. Tambi茅n est谩 el URL donde puedes descargar el...
Read more »

La Liga de la Ciberjusticia: CrowdStrike Falcon, FortiDeceptor y FortiGate en acci贸n

Por -
Imagen
¡Bienvenidos a este nuevo blog! CrowdStrike + Fortinet en Acci贸n Hoy exploraremos c贸mo integrar Crowdstrike Falcon con FortiDeceptor y Fortigate para proteger tu infraestructura de punta a punta: desde el per铆metro hasta el endpoint. En esta prueba de concepto (la 煤ltima que realic茅 en mi “vida pasada”), veremos c贸mo estas soluciones combinan lo mejor de ambos mundos para responder, en tiempo real, ante amenazas reales. Recordemos que en ciberseguridad no se trata de creer que estar谩s 100% protegido, sino de contar con las herramientas que te permitan reducir al m谩ximo el tiempo de detecci贸n y orquestar una respuesta automatizada. As铆, tus sistemas podr谩n contener el incidente en cuesti贸n de segundos o minutos, en lugar de d铆as o semanas. ¡Como dicen por ah铆: “Work smart, not hard!” Feliz Fin de Semana a todos! Seguimos tray茅ndoles contenido que aporte valor!
Read more »

FortiAI en Acci贸n: ¡La IA que Te Ayuda a Detener Ataques en Tiempo R茅cord!

Por -
Imagen
¡Bienvenid@ a este espacio de ciberseguridad! ⚙️馃敀 Aqu铆 te mostrar茅 la Prueba de Concepto de FortiAI y c贸mo, gracias a la integraci贸n de FortiGate, FortiAnalyzer, FortiClient EMS, FortiClient y FortiAI dentro del Fortinet Security Fabric, podemos fortalecer la protecci贸n de tu organizaci贸n. 馃殌 Descubrir谩s paso a paso c贸mo un analista de seguridad utiliza esta poderosa combinaci贸n para identificar r谩pidamente un incidente simulado, investigarlo a fondo y, con ayuda de la inteligencia artificial, generar acciones de contenci贸n en tiempo real. 馃⚡ Acomp谩帽ame mientras exploramos las incre铆bles capacidades de FortiAI para automatizar la respuesta ante amenazas y mejorar la eficacia en la detecci贸n de ataques. 馃攷 Aprender谩s c贸mo se analiza la informaci贸n de seguridad, se correlacionan eventos y se despliegan contramedidas para contener el incidente con rapidez y precisi贸n. ¡No te pierdas las pr贸ximas demostraciones y consejos sobre ciberseguridad en el entorno de Fortinet! 馃洝️✨ ¡Suscr铆bete y...
Read more »