AWS Organizations ofrece administración basada en políticas para múltiples cuentas de AWS. Descubra cómo Organizations ayuda a administrar políticas para grupos de cuentas y a automatizar la creación de cuentas de manera sencilla.
Las cuentas de AWS son límites naturales para los permisos, la seguridad, los costos y las cargas de trabajo. Una práctica recomendada al escalar el entorno en la nube es utilizar un entorno de cuentas múltiples. Puede simplificar la creación de cuentas si crea cuentas nuevas mediante programación con la Interfaz de la línea de comandos de AWS (CLI), los SDK o las API y aprovisionar de manera centralizada los permisos y recursos recomendados para las cuentas con AWS CloudFormation StackSets.
Al crear cuentas nuevas, puede agruparlas en unidades organizativas (OU) o grupos de cuentas que constituyen un servicio o aplicación única. Aplique las políticas de etiqueta a fin de clasificar o realizar un seguimiento de los recursos en la organización y proporcionar control de acceso basado en atributo para los usuarios o las aplicaciones. Además, puede delegar la responsabilidad de los servicios de AWS admitidos a las cuentas, de esta manera los usuarios pueden administrarlas en nombre de su organización.
Puede proporcionar herramientas y acceso de manera centralizados para que el equipo de seguridad administre las necesidades de seguridad en nombre de la organización. Por ejemplo, puede ofrecer acceso de seguridad de solo lectura mediante cuentas, detectar y mitigar amenazas con Amazon GuardDuty, revisar el acceso no deseado a los recursos con el Analizador de acceso de IAM y asegurar los datos confidenciales con Amazon Macie.
Configure AWS IAM Identity Center para proporcionar acceso a las cuentas y los recursos de AWS mediante el directorio activo y personalizar los permisos en función de roles de trabajo separados. También puede aplicar políticas de control de servicios (SCP) a los usuarios o las unidades organizativas (OU) para controlar el acceso a las regiones, servicios y recursos de AWS en su organización.
Puede compartir recursos de AWS dentro de su organización mediante AWS Resource Access Manager (RAM). Por ejemplo, puede crear las subredes AWS Virtual Private Cloud (VPC) una vez y compartirlas en su organización. Además, puede aceptar de forma centralizada licencias de software con AWS License Manager y compartir un catálogo de servicios de TI y productos personalizados entre cuentas con AWS Service Catalog.
Puede aplicar políticas declarativas para garantizar una intención duradera, como la configuración básica de un servicio de AWS en toda su organización. Una vez que se adjunta una política declarativa, la configuración se mantiene cuando se agregan y aplican nuevas características y API, sin importar el contexto de autorización.
Puede activar AWS CloudTrail mediante cuentas que crean un registro de todas las actividades en el entorno de la nube que las cuentas de los miembros no pueden desactivar o modificar. Además, puede establecer políticas para imponer copias de seguridad según su cadencia especificada con AWS Backup o definir los ajustes de configuración recomendados para los recursos mediante cuentas y las regiones de AWS con AWS Config.
Las organizaciones ofrecen una sola factura consolidada. Además, puede visualizar el uso de los recursos mediante cuentas y realizar un seguimiento de los costos con el Explorador de costos de AWS y optimizar el uso de los recursos de computación con AWS Compute Optimizer.