AWS Organizations proporciona la capacidad de gobernar y administrar de forma centralizada el entorno de la nube. Puede administrar y organizar las cuentas en una única factura, establecer las políticas centrales y los requisitos de configuración para toda la organización, crear permisos personalizados o capacidades dentro de la organización y delegar responsabilidades a otras cuentas, de esta manera pueden administrar en nombre de la organización.
Además, AWS Organizations está integrado con otros servicios de AWS para que pueda definir configuraciones centrales, mecanismos de seguridad, requisitos de auditoría y uso compartido de recursos entre las cuentas de su organización.
Administrar las cuentas de AWS
Las cuentas de AWS son límites naturales para los permisos, la seguridad, los costos y las cargas de trabajo. Una práctica recomendada al escalar el entorno en la nube es utilizar un entorno de cuentas múltiples. Puede simplificar la creación de cuentas si crea cuentas nuevas mediante programación con la interfaz de línea de comandos de AWS (CLI), los SDK o las API y aprovisionar de manera centralizada los permisos y recursos recomendados para las cuentas con AWS CloudFormation StackSets.
Definir y administrar la organización
Al crear cuentas nuevas, puede agruparlas en unidades organizativas (OU) o grupos de cuentas que constituyen un servicio o aplicación única. Aplique las políticas de etiqueta a fin de clasificar o realizar un seguimiento de los recursos en la organización y proporcionar control de acceso basado en atributo para los usuarios o las aplicaciones. Además, puede delegar la responsabilidad de los servicios de AWS admitidos a las cuentas, de esta manera los usuarios pueden administrarlas en nombre de su organización.
Administrar y monitorizar las cuentas
Puede proporcionar herramientas y acceso de manera centralizados para que el equipo de seguridad administre las necesidades de seguridad en nombre de la organización. Por ejemplo, puede ofrecer acceso de seguridad de solo lectura mediante cuentas, detectar y mitigar amenazas con Amazon GuardDuty, revisar el acceso no deseado a los recursos con el analizador de acceso de IAM y asegurar los datos confidenciales con Amazon Macie.
Control de acceso y permisos
Configure AWS IAM Identity Center para proporcionar acceso a las cuentas y los recursos de AWS mediante el directorio activo y personalizar los permisos en función de roles de trabajo separados. También puede aplicar políticas de control de servicios (SCP) a los usuarios o las unidades organizativas (OU) para controlar el acceso a las regiones, servicios y recursos de AWS en su organización.
Compartir recursos entre las cuentas
Puede compartir recursos de AWS dentro de su organización mediante AWS Resource Access Manager (RAM). Por ejemplo, puede crear las subredes AWS Virtual Private Cloud (VPC) una vez y compartirlas en su organización. Además, puede aceptar de forma centralizada licencias de software con AWS License Manager y compartir un catálogo de servicios de TI y productos personalizados entre cuentas con AWS Service Catalog.
Auditar el entorno para la conformidad
Puede activar AWS CloudTrail mediante cuentas que crean un registro de todas las actividades en el entorno de la nube que las cuentas de los miembros no pueden desactivar o modificar. Además, puede establecer políticas para imponer copias de seguridad según su cadencia especificada con AWS Backup o definir los ajustes de configuración recomendados para los recursos mediante cuentas y las regiones de AWS con AWS Config.
Administrar de manera centralizada los costos y la facturación
Las organizaciones ofrecen una sola factura consolidada. Además, puede visualizar el uso de los recursos mediante cuentas y realizar un seguimiento de los costos con AWS Cost Explorer y optimizar el uso de los recursos informáticos con AWS Compute Optimizer.
Introducción a AWS Organizations