AWS Control Tower
Configura y gobierna un entorno AWS multi-cuenta seguro y conforme.
1¿Qué es AWS Control Tower?
AWS Control Tower es un servicio que facilita la configuración y gobernanza de un entorno AWS multi-cuenta seguro basado en mejores prácticas.
El problema que resuelve:
Cuando una empresa crece en AWS:
❌ Múltiples cuentas sin estándares
❌ Configuraciones de seguridad inconsistentes
❌ Difícil mantener compliance
❌ Sin visibilidad centralizada
Con Control Tower:
✅ Landing zone pre-configurada
✅ Guardrails de seguridad automáticos
✅ Creación de cuentas estandarizada
✅ Dashboard centralizado de compliance
2Componentes Principales
Landing Zone
Una Landing Zone es un entorno multi-cuenta bien arquitectado.
Control Tower crea automáticamente:
- Management Account: Cuenta raíz de la organización
- Log Archive Account: Centraliza logs de CloudTrail y Config
- Audit Account: Para equipos de seguridad y compliance
Organizational Units (OUs)
Control Tower organiza cuentas en OUs:
- Security OU: Log Archive y Audit accounts
- Sandbox OU: Para experimentación
- Custom OUs: Las que necesites (Production, Development, etc.)
Account Factory
Proceso estandarizado para crear nuevas cuentas:
- Plantillas pre-configuradas
- Guardrails aplicados automáticamente
- Integración con Service Catalog
- Personalización por tipo de cuenta
Guardrails (ahora llamados Controls)
Reglas que gobiernan las cuentas:
- Preventive: Impiden acciones (usan SCPs)
- Detective: Detectan violaciones (usan Config Rules)
- Proactive: Verifican antes de desplegar (usan hooks de CFN)
3Guardrails / Controls
Tipos de Guardrails:
| Tipo | Implementación | Efecto |
|---|---|---|
| Preventive | Service Control Policies | Bloquea la acción |
| Detective | AWS Config Rules | Alerta sobre violaciones |
| Proactive | CloudFormation Hooks | Verifica antes de crear |
Categorías de Guardrails:
Mandatory (Obligatorios): Siempre activos, no se pueden desactivar.
- No permitir cambios a la configuración de CloudTrail
- No permitir eliminar cuentas Log Archive o Audit
Strongly Recommended: Mejores prácticas de seguridad.
- Habilitar cifrado en EBS por defecto
- No permitir acceso público a S3 buckets
Elective: Opcionales según tus necesidades.
- Requerir tags específicos en recursos
- Restringir regiones permitidas
Ejemplos de Guardrails:
| Guardrail | Tipo | Descripción |
|---|---|---|
| Disallow S3 public access | Preventive | Bloquea configuración pública |
| Detect S3 public access | Detective | Alerta si bucket es público |
| Require encryption | Preventive | Bloquea recursos sin cifrar |
| Detect unencrypted EBS | Detective | Alerta si EBS no cifrado |
4Account Factory
Proceso de Creación de Cuentas
Antes de Control Tower:
- Crear cuenta manualmente
- Configurar IAM, CloudTrail, Config...
- Aplicar políticas de seguridad
- Configurar networking
- Olvidar algo importante...
Con Account Factory:
- Ir a Control Tower → Account Factory
- Seleccionar template de cuenta
- Especificar detalles (nombre, email, OU)
- ¡Listo! Cuenta creada con toda la configuración
Customization:
Account Factory Customization (AFC):
- Blueprints personalizados
- Recursos adicionales por tipo de cuenta
- Integración con tu IaC existente
Ejemplo de Blueprint:
Blueprint "Development Account":
- VPC con 3 subnets privadas
- VPC Flow Logs habilitados
- Tags de costo predefinidos
- Roles IAM estándar para desarrolladores
Integración con Service Catalog
Los usuarios pueden solicitar cuentas desde Service Catalog como self-service controlado.
5Dashboard y Visibilidad
Control Tower Dashboard
Vista centralizada de:
- Todas las cuentas en la organización
- Estado de compliance por cuenta
- Guardrails activos
- Violaciones detectadas
Estados de Compliance:
| Estado | Significado |
|---|---|
| Compliant | Todos los guardrails cumplidos |
| Non-compliant | Hay violaciones |
| Unknown | No se puede determinar |
Notificaciones
Control Tower envía notificaciones sobre:
- Nuevas cuentas creadas
- Violaciones de guardrails
- Cambios de compliance
- Problemas de configuración
Integración con Security Hub
Los findings de los guardrails detective se envían a Security Hub para vista consolidada de seguridad.
6Control Tower vs Organizations
¿Cuál es la diferencia?
AWS Organizations:
- Servicio base para multi-cuenta
- Crea la estructura de cuentas y OUs
- Permite SCPs manuales
- Billing consolidado
AWS Control Tower:
- Construido SOBRE Organizations
- Automatiza la configuración
- Landing zone pre-configurada
- Guardrails y Account Factory
- Dashboard de compliance
Cuándo usar cada uno:
Solo Organizations:
- Ya tienes configuración multi-cuenta madura
- Necesitas control muy personalizado
- Equipo experimentado en AWS
Control Tower + Organizations:
- Nueva implementación multi-cuenta
- Quieres mejores prácticas desde el inicio
- Necesitas gobernanza automatizada
- Quieres Account Factory para self-service
7Control Tower en el Examen
Puntos clave:
- Landing Zone: Entorno multi-cuenta pre-configurado
- Guardrails: Preventive (SCPs), Detective (Config Rules)
- Account Factory: Creación estandarizada de cuentas
- Construido sobre Organizations (no lo reemplaza)
- Log Archive + Audit accounts: Creadas automáticamente
- Dashboard: Visibilidad centralizada de compliance
Preguntas típicas:
"¿Qué servicio ayuda a configurar un entorno AWS multi-cuenta seguro?" → AWS Control Tower
"¿Cómo implementar guardrails preventivos en múltiples cuentas?" → AWS Control Tower con guardrails (que usan SCPs)
"¿Qué servicio facilita la creación estandarizada de nuevas cuentas AWS?" → AWS Control Tower Account Factory
"¿Cuál es la diferencia entre Control Tower y Organizations?" → Control Tower se construye sobre Organizations y añade automatización, guardrails y Account Factory
"¿Qué cuentas crea Control Tower automáticamente?" → Management Account, Log Archive Account, Audit Account
Puntos Clave para el Examen
- Control Tower: Gobernanza de entorno AWS multi-cuenta
- Landing Zone: Configuración inicial con mejores prácticas
- Guardrails: Preventive (SCPs), Detective (Config Rules)
- Account Factory: Creación estandarizada de cuentas
- Construido sobre Organizations (lo complementa)
- Crea automáticamente: Management, Log Archive, Audit accounts
- Dashboard centralizado de compliance