Todo lo que necesitas saber para tu infraestructura con AWS Organizations y AWS SSO
Al momento de diseñar nuestra infraestructura, una buena práctica es realizar separación de las cuentas por su función, sin embargo, la gestión de estas cuentas puede ser compleja es importante poder centralizar y organizar las cuentas para facilitar
la gestión, es en donde podemos apoyarnos de algunos servicios de AWS.
En el siguiente post veremos:
AWS Organizations: Crear Organización, crear OUs, creación de cuentas.
AWS SSO: Habilitación, creación de usuarios e integración con AWS Organizations
AWS Organizations
Es un servicio gratuito y nos permitirá gestionar múltiples cuentas de forma centralizada, entre sus principales características están:
· Habilitar un solo pago para todas las cuentas a través del “billing consolidado”, de esta forma se podrá tener una sola vista de los cargos en nuestros servicios, así como tomar ventaja de los
descuentos en precio por volumen en EC2 y S3.
· Organizar cuentas por similitud de funciones mediante “Unidades Organizacionales”
· Aplicar políticas a múltiples cuentas de forma centralizada.
Uno de los diseños comunes: contar con ambientes de : Desarrollo, QA y Producción:
Para comenzar crear solo tenemos que dirigirnos a “AWS Organizations” y darle crear nueva Organización, nos pedirá confirmación la cual aceptamos.
Otra buena práctica al momento de diseñar nuestra infraestructura es crear “unidades organizacionales”. Una unidad organizativa (OU) es un grupo de cuentas de AWS dentro de una organización. Una unidad organizativa también puede contener
otras unidades organizativas que nos permitan crear una jerarquía, a las cuales podemos agrupar cuentas por funciones similares.
Para crear una “OU” seleccionaremos la organización “Root” y le daremos en acciones y “Crear nuevo”
Procedemos a crear el resto de “OU” : Development, Master. Production, Quailty Assurance, Sandbox segun nuestro diagrama inicial
Así mismo luego de crear nuestras “OU” solo faltaría crear o mover las cuentas aws a las unidades organizacionales:
AWS SSO
Otra práctica en donde nos encontramos en organizaciones con múltiples usuarios y cuentas, una forma para gestionar los accesos de manera segura y centralizada es mediante la federación, para ello tenemos AWS SSO el cual nos brinda la facilidad de definir
permisos federados para los usuarios, AWS SSO trabaja con los proveedores de identidad(IdP) como Okta, Azure AD u otros a través de SAML 2.0, solo tenemos que activarlo sin ningún costo y ya podremos gestionar los permisos de los usuarios con
las cuentas:
Lo siguiente seria empezar a crear a los usuarios en el proveedor de identidad elegido
Y para terminar solo bastaría con añadir los usuarios a las cuentas que necesitemos, en ese punto podemos definirles las reglas y los permisos por su rol en esa determinada OU.
Muy bien de ahora en adelante podremos entrar por SSO teniendo en cuenta la url del portal
Una vez logueados tendremos el listado de cuentas de acuerdo a los permisos indicados para nuestro usuario:
Y eso es todo por ahora, he querido compartir algunas de las formas con las que pueden mejorar el diseño de su infraestructura con el fin de ser más resiliente y escalable.
¿Me perdí de algo?
Ahora me gustaría saber:
¿Qué estrategia estas manejando para gestionar tus cuentas?
Deja algún comentario si tienes un mejor enfoque o que quisieras que revisemos en una próxima edición.
*¡Hasta la próxima!
*