Actualmente, AWS Landing Zone se encuentra en soporte a largo plazo y no recibirá ninguna característica adicional. Los clientes interesados en configurar una nueva zona de carga deberían ver AWS Control Tower y Personalizaciones para AWS Control Tower

¿Qué hace esta implementación de soluciones de AWS?

AWS Landing Zone es una solución que ayuda a los clientes a configurar un entorno de AWS seguro y para varias cuentas, basado en las prácticas recomendadas de AWS. Debido a las muchas opciones de diseño disponibles, la configuración de un entorno para varias cuentas puede precisar mucho tiempo y obliga a configurar varias cuentas y servicios distintos, además de exigir un conocimiento profundo de los servicios de AWS.

La solución presentada puede ahorrar tiempo, mediante la automatización de la configuración del entorno, y permitir la ejecución de cargas de trabajo seguras y escalables al tiempo que implementar una línea de referencia de seguridad inicial mediante la creación de cuentas y recursos principales. También proporciona un entorno de referencia para comenzar con una arquitectura de cuentas múltiples, administración de la identidad y el acceso, gestión, seguridad de los datos, diseño de la red y registro.

Esta solución utiliza el tiempo de ejecución más actualizado de Node.js. La versión 2.3 utiliza el tiempo de ejecución de Node.js 8.10, que termina su vida útil el 31 de diciembre de 2019. Para actualizar a la última versión, debe actualizar la pila.  

AWS Landing Zone

Versión 2.4.1
Última actualización: 09/2020
Autor: AWS

Esta solución es proporcionada por AWS Solutions Architects o consultores de Servicios Profesionales para crear una referencia personalizada de las cuentas, redes y políticas de seguridad de AWS.

Utilice el siguiente botón para suscribirse a las actualizaciones de la solución.

Nota: Para suscribirse a las actualizaciones de RSS, debe disponer de un complemento de RSS habilitado para el navegador que utilice.  

¿Lo ayudó esta implementación de soluciones?
Proporcione su opinión 

Información general sobre la implementación de la solución de AWS

La solución AWS Landing Zone implementa un producto de AWS Account Vending Machine (AVM) para el aprovisionamiento y la configuración automática de nuevas cuentas. La AVM aprovecha AWS Single Sign-On (SSO) para administrar el acceso a las cuentas del usuario. Este entorno es personalizable, para que los clientes puedan implementar sus propias líneas de referencia de cuentas a través de la canalización de actualización y configuración para Landing Zone.

  • Estructura de cuentas múltiples
  • Account Vending Machine
  • Acceso de usuarios
  • Notificaciones
  • Estructura de cuentas múltiples
  • La solución de AWS Landing Zone incluye cuatro cuentas, y productos adicionales que pueden ser implementados usando el AWS Service Catalog, como por ejemplo la solución de Registro Centralizado y el AWS Managed AD y Directory Connector para AWS SSO.

    AWS Landing Zone | Diagrama de arquitectura
     Haga clic para agrandar
    Cuenta de AWS Organization

    AWS Landing Zone se implementa en una cuenta de AWS Organizations. Esta cuenta se utiliza para administrar la configuración y el acceso a las cuentas administradas de AWS Landing Zone. La cuenta de AWS Organizations ofrece la posibilidad de crear y administrar financieramente las cuentas de los miembros. Incluye la configuración de AWS Landing Zone, Amazon Simple Storage Service (Amazon S3) bucket y canalización, la configuración de cuentas StackSets, las políticas de control de servicios de AWS Organizations(SCP) y la configuración de AWS Single Sign-On (SSO).

    Cuenta de servicios compartidos

    La cuenta de servicios compartidos es una referencia para la creación de servicios de infraestructura compartida, como los servicios de directorio. De manera predeterminada, la cuenta aloja AWS Managed Active Directory para lograr una integración con AWS SSO en una Amazon Virtual Private Cloud (Amazon VPC) compartida que se puede emparejar con cuentas de AWS nuevas creadas con Account Vending Machine (AVM).

    Cuenta de archivos de registro

    La cuenta de archivos de registro contiene un bucket central de Amazon S3 para almacenar copias de todos los archivos de registro de AWS CloudTrail y AWS Config en una cuenta de archivos de registro.

    Cuenta de seguridad

    La cuenta de Seguridad crea roles de auditor (sólo lectura) y administrador (acceso completo) de cuentas cruzadas desde una cuenta de Seguridad a todas las cuentas administradas de AWS Landing Zone. El propósito de estas funciones es que el equipo de seguridad y conformidad de una empresa pueda utilizarlas para auditar o realizar operaciones de seguridad de emergencia en caso de un incidente.

    Esta cuenta también se designa como la cuenta maestra de Amazon GuardDuty. Los usuarios de la cuenta principal pueden configurar GuardDuty y también visualizar y administrar los hallazgos de GuardDuty para su propia cuenta y todas las cuentas de sus miembros.

  • Account Vending Machine
  • El Account Vending Machine (AVM) es un componente clave de AWS Landing Zone. El AVM se proporciona como un producto del AWS Service Catalog que permite a los clientes crear nuevas cuentas de AWS en unidades organizativas (OU) preconfiguradas con una base de seguridad de cuenta y una red predefinida.

    AWS Landing Zone | Diagrama de arquitectura
     Haga clic para agrandar

    AWS Landing Zone aprovecha el AWS Service Catalog para conceder a los administradores permisos para crear y administrar productos de AWS Landing Zone y permisos de usuario final para lanzar y administrar productos de AVM.

    La AVM utiliza restricciones de lanzamiento para permitir a los usuarios finales crear nuevas cuentas sin necesidad de permisos de administrador de cuentas.

  • Acceso de usuarios
  • Proporcionar el acceso individual de los usuarios menos privilegiados a sus cuentas de AWS es un componente esencial y fundamental para la administración de las cuentas de AWS. La solución de AWS Landing Zone ofrece a los clientes dos opciones para archivar sus usuarios y grupos.

    AWS Landing Zone | Diagrama de arquitectura
     Haga clic para agrandar
    SSO con AWS SSO Directory

    La configuración predeterminada implementa AWS Single Sign-On (SSO) con el directorio AWS SSO donde los usuarios y grupos pueden ser administrados en SSO.

    Se crea un punto de enlace de inicio de sesión único para agrupar el acceso de los usuarios a las cuentas de AWS.

  • Notificaciones
  • La solución de AWS Landing Zone configura las alarmas y eventos de Amazon CloudWatch para enviar una notificación de inicio de sesión con la cuenta de root, fallos de inicio de sesión en la consola, fallos de autenticación de la API y los siguientes cambios dentro de una cuenta: grupos de seguridad, ACLs de red, Amazon VPC gateways, conexiones de peering, ClassicLink, estado de la Amazon Elastic Compute Cloud (Amazon EC2) instance, estado de la Amazon EC2 instance grande, AWS CloudTrail, políticas de AWS Identity and Access Management (IAM), y estado de conformidad de las reglas de AWS Config.

    AWS Landing Zone | Diagrama de arquitectura
     Haga clic para agrandar

    La solución configura cada cuenta para enviar notificaciones a un tema local del Amazon Simple Notification Service (Amazon SNS).

    El tema de Todos los Eventos de Configuración agrega las notificaciones de AWS CloudTrail y AWS Config de todas las cuentas administradas.

    El tema Notificaciones de Seguridad Agregadas agrega notificaciones de seguridad de eventos específicos de Amazon CloudWatch, eventos de cambio de estado de conformidad de las Reglas de AWS Config y los resultados de AWS GuardDuty.

    Una función AWS Lambda se suscribe automáticamente al tema de notificaciones de seguridad para enviar todas las notificaciones a un tema agregado de Amazon SNS en la cuenta de AWS Organizations.

    Esta arquitectura fue diseñada para permitir que los administradores locales se suscriban y reciban notificaciones de cuentas específicas.

Referencia de seguridad

La solución de AWS Landing Zone incluye una referencia de seguridad inicial que puede ser utilizada como punto de partida para establecer e implementar una referencia de seguridad de cuenta personalizada para su organización. La referencia de seguridad inicial incluye, de forma predeterminada, los siguientes parámetros:

AWS CloudTrail

Se crea un trayecto de CloudTrail en cada cuenta y se configura para enviar registros a un bucket de Amazon Simple Storage Service (Amazon S3) administrado centralmente en la cuenta de archivo de registro, y a los registros de AWS CloudWatch Logs en la cuenta local para las operaciones locales (con una política de retención de grupo de registro de 14 días).

AWS Config

AWS Config está habilitado y los archivos de registro de configuración de la cuenta se almacenan en un bucket de Amazon S3 administrado centralmente en la cuenta de archivo de registro.

Reglas de AWS Config

Las reglas de AWS Config están habilitadas para la supervisión de la encriptación del almacenamiento (Amazon Elastic Block Store, Amazon S3 y Amazon Relational Database Service), política de contraseñas de AWS Identity and Access Management (IAM), multi-factor authentication (MFA) de la cuenta de root, lectura y escritura pública del Amazon S3, y reglas inseguras del grupo de seguridad.

AWS Identity and Access Management

AWS Identity and Access Management se utiliza para configurar una política de contraseñas de IAM.

Acceso entre cuentas

El acceso entre cuentas se utiliza para configurar la auditoría y el acceso administrativo de seguridad de emergencia a las cuentas de AWS Landing Zone desde la cuenta de seguridad.

Amazon Virtual Private Cloud (VPC)

Un Amazon VPC configura la red inicial para una cuenta. Esto incluye la eliminación del VPC predeterminado en todas las regiones, la implementación del tipo de red solicitado por el AVM y la interconexión de redes con el VPC de servicios compartidos cuando corresponda.

Notificaciones de AWS Landing Zone

Las alarmas y eventos de Amazon CloudWatch están configurados para enviar una notificación de inicio de sesión en la cuenta de root, fallos de inicio de sesión en la consola y fallos de autenticación de la API en una cuenta.

Amazon GuardDuty

Amazon GuardDuty está configurado para visualizar y administrar los resultados de GuardDuty en la cuenta del miembro.
Ícono de creación
Implemente usted mismo una solución

Consulte nuestra biblioteca de Implementaciones de soluciones de AWS para obtener respuestas a problemas de arquitectura comunes.

Más información 
Buscar un socio de APN
Buscar un socio de APN

Encuentre socios consultores y tecnológicos certificados por AWS que lo ayudarán a comenzar.

Más información 
Ícono de exploración
Explore las ofertas de asesoramiento sobre soluciones

Explore nuestra cartera de ofertas de asesoramiento para obtener ayuda autorizada por AWS con la implementación de la solución.

Más información