🔥🌐 ¡Toma control de tus cuentas de AWS con Organizations!

Por -

¡Hola a todos! Hoy quiero hablarles sobre algo sumamente importante en un entorno de nube: cómo llevar un control y mantener una estructura óptima en un entorno de múltiples cuentas en AWS

¿Cómo lo logramos? 🤔

He estado repasando AWS Organizations para mi examen de AWS Architect y considero que es una herramienta muy poderosa para llevar un control centralizado de las cuentas que se van creando dentro de una organización. Con frecuencia, estas cuentas crecen sin una estructura definida y de manera independiente, lo cual puede generar riesgos de seguridad 🔒 y complicar la gestión de recursos en AWS.

¿Por qué usar AWS Organizations?

AWS Organizations nos permite gestionar múltiples cuentas de forma centralizada, lo cual facilita la creación y organización de cuentas en Unidades Organizativas (OUs) y la aplicación de políticas de seguridad y acceso (como los SCPs). También unifica la facturación y el control de costos, brinda visibilidad y gobernanza a través de servicios como AWS CloudTrail y AWS Config, y posibilita el uso compartido de recursos (por ejemplo, subnets de VPC) mediante AWS Resource Access Manager. En conjunto, estas capacidades ayudan a escalar con seguridad, a automatizar configuraciones y a mantener el cumplimiento normativo en toda la organización ⚙️.

RCP vs. SCP: ¿En qué se diferencian?

Un feature nuevo de AWS que estoy probando es RCP en AWS Organizations. Ustedes podrían preguntarse, ¿y esto qué es? 🤔 ¿No existían ya las Service Control Policies?

  • Resource Control Policies (RCPs): Son políticas que imponen restricciones a nivel de recursos dentro de la organización. Con ellas:

    • Evitas cambios o configuraciones no autorizadas en los recursos.
    • Aseguras que todos los servicios cumplan reglas de seguridad o límites de uso.
    • Centralizas y unificas el control sobre los recursos para evitar acciones contrarias a los lineamientos de la organización.

  • Service Control Policies (SCPs): Se centran en establecer el nivel máximo de permisos para usuarios y roles de IAM. Impiden que se otorguen privilegios que superen los límites de seguridad o gobierno establecidos.

En otras palabras, las SCPs ponen límites a los principals (usuarios o roles de IAM), mientras que las RCPs limitan directamente los recursos.

Vistazo a la consola de AWS Organizations

En la consola de AWS Organizations es común ver varias OUs (por ejemplo, DEV y PROD) y la cuenta de administración (Management) en la Root. Cada OU agrupa cuentas separadas, lo que permite aplicar políticas y configuraciones específicas para cada entorno. También verás el Organization ID y opciones para centralizar el acceso root de las cuentas miembro.


Para agregar nuevas cuentas, tienes dos opciones principales:

  1. Crear una cuenta de AWS directamente desde la organización.
  2. Invitar una cuenta de AWS existente, ingresando su correo o ID para enviar una solicitud de unión.

Ojo con IAM Role name ya que esto es de suma importancia para que tu IAM Principal pueda tener permisos sobre los recursos de los Accounts que creas o invitas!

Además, se pueden agregar etiquetas (tags) para organizar y categorizar las cuentas. Una vez aceptada la invitación, la cuenta se vincula y aplica automáticamente las políticas y configuraciones centrales.

Políticas disponibles en AWS Organizations

Dentro de Policies, se pueden habilitar y configurar distintos tipos de políticas para controlar aspectos como:

  • AI services opt-out policies: Restringir el uso de datos para servicios de IA.
  • Backup policies: Administrar planes de respaldo en múltiples cuentas.
  • Chat applications policies: Controlar el acceso a cuentas de la organización desde Slack o Microsoft Teams.
  • Declarative policies for EC2: Mantener configuraciones deseadas para instancias EC2.
  • Resource control policies (RCPs): Definir permisos máximos a nivel de recursos.
  • Service control policies (SCPs): Definir permisos máximos para usuarios y roles IAM.
  • Tag policies: Estandarizar y reforzar el uso de etiquetas en toda la organización.

¡Un tip extra!: Switch Role

Por último, una funcionalidad muy útil es el Switch Role en la consola de AWS, que facilita la navegación y administración de múltiples cuentas dentro de la misma organización. Al crear o invitar una cuenta, se suele asignar el rol OrganizationAccountAccessRole para acceder con permisos amplios dentro de esas cuentas. Así, con un solo clic, puedes cambiar de cuenta sin tener que abrir sesiones adicionales o usar credenciales distintas. De esta manera, centralizas la administración desde tu usuario de IAM principal y te mueves entre entornos de desarrollo (DEV) y producción (PROD) con toda la flexibilidad que necesitas 🚀.

¡Los invito a crear su entorno de prueba de AWS (es gratuito!) y experimentar cómo gestionar múltiples cuentas de forma centralizada!  Si las herramientas existen, debemos usarlas para hacer nuestra gestión en la nube más segura y eficiente. ¡A seguir aprendiendo y construyendo! ☁️✨

Por si les interesa, estoy usando los videos de Adrian Cantrill para ponerme up to date con todos los nuevos features de AWS!

Location: Panama

Comentarios

Publicar un comentario

Entradas más populares de este blog

Mi aventura con Sophos Firewall Home Edition: ¡Seguridad de nivel Enterprise sin gastar un centavo!

Por -
Imagen
Pasando un poco el resfríado, me encontraba regresando a la ciudad después de unos días de vacaciones en familia cuando decidí ver qué se necesitaba para montar un demo environment para probar el Firewall de Sophos Home Edition (descuiden, cuando configuro no manejo!).  Un amigo en las altas esferas de Sophos me recomendó probarlo, ¡así que me embarqué en este viaje que me llevó a muchas sorpresas en el camino! (y todas buenas) 🤩 ¡Lo primero, el costo! ¿ Cuánto cuesta?  NADA, CERO, GRATIS! 🙌 Es para uso personal en el hogar y solo necesitas poner el hardware (o una máquina virtual) para correr el sistema operativo.  En mi caso, siempre corro todo en mi lab, y para mi primera sorpresa,  Proxmox  está totalmente soportado. ¡Punto para Sophos! 🏆 Me registré siguiendo este  enlace  y me llegó un correo con el  Serial Key  para registrar mi nuevo firewall durante el proceso de configuración inicial. También está el URL donde puedes descargar el...
Read more »

La Liga de la Ciberjusticia: CrowdStrike Falcon, FortiDeceptor y FortiGate en acción

Por -
Imagen
¡Bienvenidos a este nuevo blog! CrowdStrike + Fortinet en Acción Hoy exploraremos cómo integrar Crowdstrike Falcon con FortiDeceptor y Fortigate para proteger tu infraestructura de punta a punta: desde el perímetro hasta el endpoint. En esta prueba de concepto (la última que realicé en mi “vida pasada”), veremos cómo estas soluciones combinan lo mejor de ambos mundos para responder, en tiempo real, ante amenazas reales. Recordemos que en ciberseguridad no se trata de creer que estarás 100% protegido, sino de contar con las herramientas que te permitan reducir al máximo el tiempo de detección y orquestar una respuesta automatizada. Así, tus sistemas podrán contener el incidente en cuestión de segundos o minutos, en lugar de días o semanas. ¡Como dicen por ahí: “Work smart, not hard!” Feliz Fin de Semana a todos! Seguimos trayéndoles contenido que aporte valor!
Read more »
Por -
Imagen
Automatizando y Modernizando mis Workshops de Fortinet con ChatGPT Así que es fin de semana, y anoche estuve trabajando en modernizar y automatizar la experiencia de mis workshops de Fortinet. Me concentré especialmente en la generación de tráfico que luego pueda ser inspeccionado por los Firewalls FortiGate para probar funcionalidades como: Protección contra malware Filtrado web Control de aplicaciones IPS Inspección profunda  (romper el tráfico encriptado para poder analizarlo) Con la ayuda de ChatGPT logré superar uno de mis mayores retos: ¡programar! Confieso que nunca he sido un experto desarrollador y siempre me ha tomado horas crear los scripts necesarios. Pero con los nuevos modelos como  o4-mini-high , me dediqué únicamente a escribir un buen prompt y… voilà: me generó cuatro scripts listos para usar. No creo que la IA me vaya a reemplazar por completo (al menos por ahora), porque el proceso creativo de: Diseñar los labs Elaborar el material de presentación Decidir...
Read more »