Aprovisionamiento automático de cuentas en AWS

Keiny PachecoKeiny Pacheco
4 min read

Es un proceso para crear nuevas cuentas AWS (por ejemplo, para equipos, proyectos o entornos como dev/test/prod) de forma automatizada, pero también con seguridad, control y configuración centralizada desde el inicio.

🛠️ Servicios y conceptos que debes conocer

1. AWS Organizations

  • Es el servicio que te permite gestionar múltiples cuentas AWS desde un punto central (cuenta raíz).

  • Puedes crear unidades organizativas (OU) como "dev", "prod", "finanzas", etc.

  • Administra políticas de control entre cuentas.

🔑 Palabra clave: Multi-account management.

2. Service Control Policies (SCP)

  • Son reglas a nivel de organización o unidad organizativa para limitar o permitir acciones.

  • Se aplican aunque el usuario tenga permisos en IAM. Actúan como una barrera externa.

🧱 Ejemplo: Bloquear que cualquier cuenta dentro de una OU pueda eliminar logs de CloudTrail.

🔑 Palabra clave: Guardrails de seguridad.

3. AWS IAM Identity Center (antes AWS SSO)

  • Permite autenticar usuarios de forma centralizada y asignarles acceso a varias cuentas.

  • Usa grupos y permisos centralizados.

  • Puedes integrarlo con Active Directory o sistemas externos (como Okta, Azure AD).

🔑 Palabra clave: Autenticación centralizada de usuarios entre cuentas.

4. AWS CloudTrail (registro centralizado)

  • Graba todas las acciones hechas a través de la consola, CLI o SDK.

  • Puedes centralizar los logs de todas las cuentas en una cuenta auditora.

🔑 Palabra clave: Auditoría de actividades en AWS.

5. AWS Control Tower 🏰

Es un servicio administrado que automatiza la configuración de cuentas nuevas con buenas prácticas de seguridad, gobernanza y organización.

Control Tower:

  • Usa AWS Organizations para crear cuentas.

  • Aplica barandillas de seguridad (guardrails).

  • Configura AWS Config y CloudTrail automáticamente.

  • Usa Landing Zones (zona de aterrizaje): estructura preconfigurada de cuentas, OU y recursos compartidos.

🔑 Palabra clave: Automatiza la creación segura y gobernada de cuentas AWS.

6. AWS Service Catalog

Permite ofrecer catálogos de productos preaprobados (como plantillas de CloudFormation, soluciones preconfiguradas, etc.) a los usuarios dentro de las cuentas.

  • Ejemplo: puedes hacer que los equipos solo puedan lanzar instancias EC2 preconfiguradas o un stack aprobado de Lambda + API Gateway.

🔑 Palabra clave: Catálogo interno de soluciones preaprobadas para usar dentro de cada cuenta.

🧭 ¿Cómo encajan todos estos servicios juntos?

Imagina este flujo:

  1. AWS Control Tower lanza una cuenta nueva usando AWS Organizations.

  2. Se asigna automáticamente a una OU con políticas de control (SCP).

  3. Se configuran automáticamente:

    • CloudTrail para registro centralizado.

    • AWS Config para monitorear configuraciones.

    • IAM Identity Center para acceso seguro y centralizado.

  4. En esa nueva cuenta, se habilita un Service Catalog, donde los usuarios pueden lanzar solo lo aprobado.

  5. Todo está automatizado, con seguridad y cumplimiento por defecto.

🏗️ Escenario real de ejemplo

Una empresa crea cuentas AWS por cada equipo de desarrollo:

  • 🧱 Usa Control Tower para automatizar la creación.

  • 🛡️ Aplica SCPs para evitar que los devs apaguen CloudTrail o usen servicios no aprobados.

  • 🔐 Usa IAM Identity Center para que los empleados inicien sesión fácilmente y solo vean sus cuentas.

  • 🧾 CloudTrail y Config están habilitados en todas las cuentas y reportan a una cuenta central.

  • 🧰 Cada cuenta tiene un Service Catalog con stacks de infraestructura preaprobados (por ejemplo: “Lanzar API segura con Lambda”).

📦 ¿Qué es CloudFormation?

Es el servicio de AWS que te permite definir toda tu infraestructura como código usando archivos YAML o JSON.

Ejemplo de cosas que puedes definir:

  • VPCs, subnets

  • EC2, Lambda, S3

  • Roles IAM, permisos

  • Configuración de CloudTrail, etc.

💡 ¿Cómo interviene CloudFormation en el aprovisionamiento de cuentas?

✅ 1. AWS Control Tower lo usa internamente

Cuando creas nuevas cuentas con Control Tower, por detrás está lanzando stacks de CloudFormation para:

  • Crear los recursos iniciales en cada cuenta

  • Configurar guardrails (barandillas)

  • Habilitar CloudTrail, AWS Config, etc.

Es decir: Control Tower = “interfaz bonita” → CloudFormation = “motor real que crea los recursos”.

✅ 2. Service Catalog usa plantillas CloudFormation

Cuando defines productos en Service Catalog (como un "stack aprobado de Lambda + API Gateway + DynamoDB"), estás usando plantillas de CloudFormation que:

  • Están validadas y controladas

  • Son fáciles de lanzar por los usuarios finales sin permisos altos

🔐 Esto permite delegar sin comprometer la seguridad.

✅ 3. Puedes personalizar el aprovisionamiento con CloudFormation

Una vez que Control Tower crea la cuenta, puedes usar:

  • Customizations for AWS Control Tower: una solución que permite ejecutar plantillas de CloudFormation personalizadas automáticamente en cuentas nuevas.

  • Por ejemplo, que todas las cuentas nuevas:

    • Tengan etiquetas específicas

    • Instalen roles IAM extra

    • Configuren un bucket S3 con políticas de acceso

0
Subscribe to my newsletter

Read articles from Keiny Pacheco directly inside your inbox. Subscribe to the newsletter, and don't miss out.

Written by

Keiny Pacheco
Keiny Pacheco