Aprovisionamiento automático de cuentas en AWS

Es un proceso para crear nuevas cuentas AWS (por ejemplo, para equipos, proyectos o entornos como dev/test/prod) de forma automatizada, pero también con seguridad, control y configuración centralizada desde el inicio.
🛠️ Servicios y conceptos que debes conocer
1. AWS Organizations
Es el servicio que te permite gestionar múltiples cuentas AWS desde un punto central (cuenta raíz).
Puedes crear unidades organizativas (OU) como "dev", "prod", "finanzas", etc.
Administra políticas de control entre cuentas.
🔑 Palabra clave: Multi-account management.
2. Service Control Policies (SCP)
Son reglas a nivel de organización o unidad organizativa para limitar o permitir acciones.
Se aplican aunque el usuario tenga permisos en IAM. Actúan como una barrera externa.
🧱 Ejemplo: Bloquear que cualquier cuenta dentro de una OU pueda eliminar logs de CloudTrail.
🔑 Palabra clave: Guardrails de seguridad.
3. AWS IAM Identity Center (antes AWS SSO)
Permite autenticar usuarios de forma centralizada y asignarles acceso a varias cuentas.
Usa grupos y permisos centralizados.
Puedes integrarlo con Active Directory o sistemas externos (como Okta, Azure AD).
🔑 Palabra clave: Autenticación centralizada de usuarios entre cuentas.
4. AWS CloudTrail (registro centralizado)
Graba todas las acciones hechas a través de la consola, CLI o SDK.
Puedes centralizar los logs de todas las cuentas en una cuenta auditora.
🔑 Palabra clave: Auditoría de actividades en AWS.
5. AWS Control Tower 🏰
Es un servicio administrado que automatiza la configuración de cuentas nuevas con buenas prácticas de seguridad, gobernanza y organización.
Control Tower:
Usa AWS Organizations para crear cuentas.
Aplica barandillas de seguridad (guardrails).
Configura AWS Config y CloudTrail automáticamente.
Usa Landing Zones (zona de aterrizaje): estructura preconfigurada de cuentas, OU y recursos compartidos.
🔑 Palabra clave: Automatiza la creación segura y gobernada de cuentas AWS.
6. AWS Service Catalog
Permite ofrecer catálogos de productos preaprobados (como plantillas de CloudFormation, soluciones preconfiguradas, etc.) a los usuarios dentro de las cuentas.
- Ejemplo: puedes hacer que los equipos solo puedan lanzar instancias EC2 preconfiguradas o un stack aprobado de Lambda + API Gateway.
🔑 Palabra clave: Catálogo interno de soluciones preaprobadas para usar dentro de cada cuenta.
🧭 ¿Cómo encajan todos estos servicios juntos?
Imagina este flujo:
AWS Control Tower lanza una cuenta nueva usando AWS Organizations.
Se asigna automáticamente a una OU con políticas de control (SCP).
Se configuran automáticamente:
CloudTrail para registro centralizado.
AWS Config para monitorear configuraciones.
IAM Identity Center para acceso seguro y centralizado.
En esa nueva cuenta, se habilita un Service Catalog, donde los usuarios pueden lanzar solo lo aprobado.
Todo está automatizado, con seguridad y cumplimiento por defecto.
🏗️ Escenario real de ejemplo
Una empresa crea cuentas AWS por cada equipo de desarrollo:
🧱 Usa Control Tower para automatizar la creación.
🛡️ Aplica SCPs para evitar que los devs apaguen CloudTrail o usen servicios no aprobados.
🔐 Usa IAM Identity Center para que los empleados inicien sesión fácilmente y solo vean sus cuentas.
🧾 CloudTrail y Config están habilitados en todas las cuentas y reportan a una cuenta central.
🧰 Cada cuenta tiene un Service Catalog con stacks de infraestructura preaprobados (por ejemplo: “Lanzar API segura con Lambda”).
📦 ¿Qué es CloudFormation?
Es el servicio de AWS que te permite definir toda tu infraestructura como código usando archivos YAML o JSON.
Ejemplo de cosas que puedes definir:
VPCs, subnets
EC2, Lambda, S3
Roles IAM, permisos
Configuración de CloudTrail, etc.
💡 ¿Cómo interviene CloudFormation en el aprovisionamiento de cuentas?
✅ 1. AWS Control Tower lo usa internamente
Cuando creas nuevas cuentas con Control Tower, por detrás está lanzando stacks de CloudFormation para:
Crear los recursos iniciales en cada cuenta
Configurar guardrails (barandillas)
Habilitar CloudTrail, AWS Config, etc.
Es decir: Control Tower = “interfaz bonita” → CloudFormation = “motor real que crea los recursos”.
✅ 2. Service Catalog usa plantillas CloudFormation
Cuando defines productos en Service Catalog (como un "stack aprobado de Lambda + API Gateway + DynamoDB"), estás usando plantillas de CloudFormation que:
Están validadas y controladas
Son fáciles de lanzar por los usuarios finales sin permisos altos
🔐 Esto permite delegar sin comprometer la seguridad.
✅ 3. Puedes personalizar el aprovisionamiento con CloudFormation
Una vez que Control Tower crea la cuenta, puedes usar:
Customizations for AWS Control Tower: una solución que permite ejecutar plantillas de CloudFormation personalizadas automáticamente en cuentas nuevas.
Por ejemplo, que todas las cuentas nuevas:
Tengan etiquetas específicas
Instalen roles IAM extra
Configuren un bucket S3 con políticas de acceso
Subscribe to my newsletter
Read articles from Keiny Pacheco directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by
