¿Qué es AWS Control Tower? - AWS Control Tower
CaracterísticasCómo interactúa AWS Control Tower con otros servicios de AWS¿Es la primera vez que utiliza AWS Control Tower?

¿Qué es AWS Control Tower?

AWS Control Tower ofrece una forma sencilla de configurar y regular un entorno de cuentas múltiples de AWS siguiendo las prácticas recomendadas prescriptivas. AWS Control Tower orquesta las capacidades de otros servicios de AWS, como AWS Organizations, AWS Service Catalog y AWS IAM Identity Center, para crear una zona de aterrizaje en menos de una hora. Los recursos se configuran y administran en su nombre.

La orquestación de AWS Control Tower amplía las capacidades de AWS Organizations. Para evitar que sus organizaciones y sus cuentas se desvíen, lo que supone una divergencia con respecto a las prácticas recomendadas, AWS Control Tower aplica controles (a veces denominados barreras de protección). Por ejemplo, puede implantar controles para ayudar a asegurar la creación de los permisos de acceso entre cuentas y registros de seguridad necesarios evitando posibles alteraciones.

Si aloja más de un puñado de cuentas, resulta beneficioso contar con una capa de orquestación que facilite la implementación y la gobernanza de las cuentas. Puede adoptar AWS Control Tower como su forma principal de aprovisionar cuentas e infraestructura. Con AWS Control Tower, puede cumplir con mayor facilidad los estándares corporativos, cumplir los requisitos normativos y seguir las prácticas recomendadas.

AWS Control Tower permite a los usuarios finales de sus equipos distribuidos aprovisionar nuevas cuentas de AWS rápidamente mediante plantillas de cuentas configurables en el generador de cuentas. Mientras tanto, sus administradores de la nube central pueden supervisar que todas las cuentas se ajustan a las políticas de conformidad, establecidas en toda la empresa.

En resumen, AWS Control Tower proporciona la forma más fácil de configurar y gobernar un entorno de AWS de varias cuentas en conformidad en función de las prácticas recomendadas establecidas trabajando con miles de empresas. Para obtener más información sobre cómo trabajar con AWS Control Tower y las prácticas recomendadas descritas en la estrategia de varias cuentas de AWS, consulte Estrategia de varias cuentas de AWS: guía de prácticas recomendadas.

Características

AWS Control Tower presenta las siguientes características:

  • Zona de aterrizaje: una zona de aterrizaje es un entorno con varias cuentas bien diseñado, que se basa en prácticas recomendadas de seguridad y cumplimiento. Es el contenedor en toda la empresa que contiene todas sus unidades organizativas (OU), cuentas, usuarios y otros recursos que desea que estén sujetos a la regulación de conformidad. Una zona de aterrizaje puede escalarse para adaptarse a las necesidades de una empresa de cualquier tamaño.

  • Controles: un control (también conocido como barrera de protección) es una regla de alto nivel que proporciona gobernanza continua para su entorno general de AWS. Se expresa en lenguaje normal. Existen tres tipos de controles: preventivos, de detección y proactivos. Se aplican tres categorías de orientación a los controles: obligatorias, altamente recomendadas u opcionales. Para obtener más información sobre controles, consulte Cómo funcionan los controles.

  • Generador de cuentas: el generador de cuentas es una plantilla de cuenta configurable que ayuda a estandarizar el aprovisionamiento de cuentas nuevas con configuraciones de cuentas previamente aprobadas. AWS Control Tower ofrece un generador de cuentas integrado que ayuda a automatizar el flujo de trabajo de aprovisionamiento de cuentas en su organización. Para obtener más información, consulte Aprovisionamiento y administración de cuentas con el generador de cuentas.

  • Panel de control: el panel de control ofrece una supervisión continua de la zona de aterrizaje a tu equipo de administradores de nube centrales. Utilice el panel para ver las cuentas aprovisionadas en toda su empresa, los controles habilitados para aplicación de políticas, los controles habilitados para la detección continua de disconformidad de políticas y recursos no conformes organizados por cuentas y OU.

AWS Control Tower está diseñado sobre servicios de AWS fiables y de confianza, como AWS Service Catalog, AWS IAM Identity Center y AWS Organizations. Para obtener más información, consulte Servicios integrados.

Puede incorporar AWS Control Tower con otros servicios de AWS en una solución que le ayude a migrar sus cargas de trabajo existentes a AWS. Para obtener más información, consulte la entrada de blog sobre cómo aprovechar AWS Control Tower y CloudEndure para migrar cargas de trabajo a AWS.

Configuración, gobernanza y extensibilidad

  • Configuración de cuentas automatizada: AWS Control Tower automatiza la implementación y la inscripción de cuentas mediante un generador de cuentas (o “máquina expendedora”), que se crea como una abstracción sobre los productos aprovisionados en AWS Service Catalog. El generador de cuentas puede crear e inscribir cuentas de AWS y automatiza el proceso de aplicar controles y políticas a esas cuentas.

  • Gobernanza centralizada: al emplear las capacidades de AWS Organizations, AWS Control Tower establece un marco que garantiza un cumplimiento y gobernanza coherentes en su entorno de varias cuentas. El servicio de AWS Organizations proporciona capacidades esenciales para administrar un entorno con varias cuentas, incluidas la gobernanza y la administración centrales de las cuentas, la creación de cuentas a partir de las API de AWS Organizations y las políticas de control de servicios (SCP).

  • Extensibilidad: puede crear o ampliar su propio entorno de AWS Control Tower trabajando directamente en AWS Organizations, así como en la consola de AWS Control Tower. Puede ver los cambios reflejados en AWS Control Tower después de registrar sus organizaciones actuales e inscribir sus cuentas existentes en AWS Control Tower. Puede actualizar su zona de aterrizaje de AWS Control Tower para reflejar los cambios. Si sus cargas de trabajo requieren capacidades más avanzadas, puede aprovechar las soluciones de otros socios de AWS junto con AWS Control Tower.

¿Es la primera vez que utiliza AWS Control Tower?

Si es un usuario nuevo de este servicio, le recomendamos que lea las siguientes secciones:

  1. Si necesita más información sobre cómo planificar y organizar su zona de aterrizaje, consulte Planificación de su zona de aterrizaje de AWS Control Tower y Estrategia de varias cuentas de AWS para su zona de aterrizaje de AWS Control Tower.

  2. Si lo tiene todo listo para crear su primera zona de aterrizaje, consulte Introducción a AWS Control Tower.

  3. Para obtener información acerca de la detección y prevención de desviaciones, consulte Detección y resolución de desviaciones en AWS Control Tower.

  4. Para obtener más información sobre seguridad, consulte Seguridad en AWS Control Tower.

  5. Para obtener información acerca de cómo actualizar su zona de aterrizaje y las cuentas de miembros, consulte Administración de actualizaciones de configuración en AWS Control Tower.