top of page
Buscar

🏢 Jerarquía de AWS en Proyectos Empresariales (con AWS Organizations)

  • Foto del escritor: Brayan Neciosup
    Brayan Neciosup
  • 1 oct
  • 2 Min. de lectura

Cuando tu organización crece y necesitas varios entornos aislados (Producción, Desarrollo, QA, etc.), lo ideal es activar AWS Organizations y manejar todas las cuentas desde un solo punto de gobierno.

1️⃣ Management Account

  • Es la primera cuenta que creaste en AWS (la cuenta root original).

  • Debes habilitarla para Organizations para que se convierta en la cuenta de administración.

  • Funciones principales:

    • Centraliza la facturación (consolidated billing).

    • Administra Service Control Policies (SCP) para todas las cuentas.

    • Crea y gestiona Organizational Units (OU) y cuentas miembro.

  • Buenas prácticas:

    • Activar MFA.

    • Crear un usuario IAM administrador para uso diario.

    • Mantener el root solo para emergencias.

2️⃣ Organizational Units (OU)

  • Son contenedores lógicos que agrupan cuentas con un mismo propósito o entorno.

  • Ejemplos:

    • Prod (Producción)

    • Dev (Desarrollo)

    • Sandbox (Pruebas/POC)

  • Permiten aplicar SCP específicas a todas las cuentas dentro de esa OU.

3️⃣ Cuentas Miembro

  • Cada cuenta que creas dentro de una OU es independiente, con su propio Root User.

  • Desde el punto de vista de permisos:

    • Se comporta igual que una cuenta personal.

    • Tiene su propio ciclo de IAM:

      • Root (solo para configuración inicial y emergencias).

      • Usuario IAM Administrador (para trabajo diario).

      • Grupos IAM, Usuarios IAM, Roles IAM.

  • Estas cuentas pueden dedicarse a funciones específicas, por ejemplo:

    • Cuenta-Data (almacenamiento y procesamiento de datos).

    • Cuenta-Networking (infraestructura de red).

    • Cuenta-Seguridad (logs y auditoría).

4️⃣ Service Control Policies (SCP)

Las SCP son políticas a nivel organizacional que definen qué acciones están permitidas o denegadas dentro de las cuentas de la organización.

  • Se aplican a nivel de:

    • Organización completa (global).

    • Organizational Unit específica.

    • Cuenta individual.

  • Características clave:

    • No otorgan permisos, solo los limitan.

    • Funcionan como un “marco” dentro del cual las políticas de IAM deben operar.

    • Se evalúan junto a las políticas de IAM: para que una acción se permita, debe estar permitida tanto en IAM como en las SCP.

  • Ejemplos de uso:

    • Denegar la creación de recursos fuera de una región (us-east-1, eu-west-1, etc.).

    • Restringir la creación de ciertos servicios (p. ej., denegar EC2 para cuentas de Sandbox).

    • Obligar el cifrado de datos en S3 o RDS.

  • Tipos de políticas:

    • Globales: se aplican a toda la Organización (p. ej., “denegar recursos en cualquier región salvo us-east-1”).

    • Por OU: aplican solo a las cuentas dentro de esa OU (p. ej., “las cuentas de Desarrollo no pueden crear instancias mayores a t3.medium”).

    • Por cuenta: reglas específicas para un único entorno.

🌳 Jerarquía AWS - Proyectos Empresariales (AWS ORGANIZATIONS)


ree

🔑 Observaciones:

  • Cada cuenta miembro funciona internamente igual que un proyecto personal (Root, IAM Admin, grupos, usuarios, roles).

  • La diferencia es que todas obedecen las SCP y la facturación central de la Management Account.


Comentarios

IngenieriaDatos.jpg

Tomar decisiones sin datos es como navegar en la oscuridad...

En la era digital, los datos son el activo más valioso de las empresas; su correcta recopilación, análisis y aplicación estratégica son clave para impulsar la toma de decisiones informada, la innovación y el éxito empresarial

  • GitHub
  • LinkedIn
  • Youtube

Copyrights © 2025 Brayan Neciosup Bolaños All rights reserved.

bottom of page