Configurando nuestro entorno de trabajo con AWS Organization y AWS Identity Center
En entornos reales muchas empresas usan una sola cuenta de AWS, por el contrario emplean muchas cuentas quizás cientos de cuentas de AWS. Y es aquí donde entra el servicio de AWS Organizations, un servicio sin costo que nos permite administrar y controlar las cuentas de AWS de nuestra organización en un solo lugar (https://aws.amazon.com/organizations/)
En el sitio web nos indica el funcionamiento de este servicio: “AWS Organizations le permite crear cuentas nuevas de AWS sin costo adicional. Con cuentas en la organización, puede asignar recursos, agrupar cuentas y aplicar políticas de gobernanza a cuentas o grupos fácilmente.”
Podemos crear cuentas para los distintos departamentos de una organización: TI, Marketing, Finanzas, etc; o bien podemos crear cuentas para entornos o proyectos: Producción, Desarrollo, Pruebas, etc. De esta manera podemos aprovechar algunas ventajas como:
Los limites de servicio serán por cuenta y ya no serán compartidos entre los distintos proyectos dentro una cuenta en común
Podemos establecer políticas de control de servicio (SCP) a nivel de cuenta para evitar ciertas acciones o creación de recursos de un servicio en particular o en una region en particular
Podemos invitar cuentas que ya existen o bien podemos crear una cuenta ingresando el correo
Podemos compartir recursos entre cuentas
Podemos tener una mayor visibilidad sobre los gastos realizados por un departamento o proyecto, ya que los gastos se verán reflejados para esa cuenta en particular
Facturación consolidada, podemos obtener descuentos al agrupar los costos de todas las cuentas
Fuente: https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html
Sabiendo todo esto, quise configurar mi cuenta de organización, anteriormente tenia mi cuenta principal con mi usuario root, el cual tenia el MFA habilitado y había creado un usuario con acceso administrador (y también con el MFA habilitado) el cual era el que usaba para ingresar a la consola o con sus credenciales de acceso realizar operaciones a través de AWS CLI. Pero esta vez, tendría mi organización con 2 cuentas: una para cada uno de los proyectos que estoy realizando. Hoy quiero compartir como fue que realice esta configuración:
1- Crear una cuenta de AWS
Para ello necesitamos un correo electrónico y una tarjeta de debito/crédito para poder registrarla.
En el caso de AWS cuando creamos una cuenta, ésta tiene una capa gratuita durante un año pero si en algún momento nos excedemos en algún servicio o usamos algún servicio no incluido en la capa gratuita ese monto se nos debitara de la tarjeta que hemos registrado.
Para evitar ello, es importante revisar que incluye esa capa gratuita,
https://aws.amazon.com/es/free/
Y para crear la cuenta, te dejo el enlace a la documentación oficial
https://aws.amazon.com/es/premiumsupport/knowledge-center/create-and-activate-aws-account/
2- Ir a AWS Organizations y crear nuestra estructura de organización
Para ello, con nuestro usuario root ingresaremos a la opción de Organización en el menu superior izquierdo
Una vez dentro, podremos ver mas información y enlace a la documentación de este servicio
Ingresaremos a la opción: Cuentas de AWS
Esta es mi estructura de organización que he creado, partimos de la raíz y podemos tener varias unidades organizativas (OU), que pueden ir anidadas, es decir podemos tener una OU dentro de otra OU.
Dentro de cada OU vamos a tener nuestras cuentas de AWS, una cuenta solo puede pertenecer a una OU a la vez.
Para crear una OU, basta con seleccionar el check de Root e ir al menú de Acciones
Una vez allí, ingresamos el nombre de la OU y la creamos.
Repetiremos el proceso tantas veces sea necesario.
Ahora el siguiente paso es agregar las cuentas de AWS a la OU que corresponda
3- Invitar una cuenta que ya existe
En este caso, si tenemos una cuenta de AWS que ya existe y queremos que sea parte de la organización podemos invitarla a formar parte.
Nota: Una cuenta de AWS solo puede pertenecer a una organización a la vez, si la cuenta que quieres agregar ya pertenece a otra organización, primero deberá retirarse de esa organización antes de pertenecer a la nueva organización
4 - Agregar una cuenta no existe
En este caso ingresaremos los datos que nos piden para crear la cuenta
Y al cabo de unos minutos nos llegará al correo ingresado un mensaje indicándonos que la cuenta ha sido creada
5- Trasladar una cuenta a una OU
Una vez tengamos listas nuestras cuentas necesitamos trasladarlas
Y seleccionamos la OU a la que pertenecer la cuenta
6 - Habilitar AWS Identity Center
Ahora debemos establecer los usuarios y permisos a las cuentas que hemos creado, para ello necesitamos ir al panel de AWS Identity Center y habilitar el servicio
Una vez habilitado, nos mostrará la URL por la cual accederemos para loguearnos. La cual si queremos la podemos personalizar.
7 - Conjunto de permisos
Los conjuntos de permisos definen el nivel de acceso que los usuarios del Centro de identidades de IAM tienen a las cuentas de AWS asignadas. Los nombres de los conjuntos de permisos aparecen como roles disponibles en el portal de acceso de AWS. Los usuarios asignadas a varios conjuntos de permisos de AWS pueden iniciar sesión en el portal de acceso de AWS, elegir una cuenta y, a continuación, elegir un rol que AWS haya creado a partir de un conjunto de permisos asignado. Más información
Para un usuario administrador:
Seleccionaremos el conjunto de permisos predefinido: AdministratorAccess
Hay otros permisos predefinidos que podemos usar según el caso
Establecemos el nombre del conjunto de permisos y la duración de la sesión
Para usuarios no administradores
Para mi caso, usaré el permiso predefinido: PowerUserAccess
Una vez creados los conjuntos de permisos, estos se aprovisionarán y estarán listos para usar
8 - Creación de usuarios
Estos usuarios pueden iniciar sesión en el portal de acceso de AWS para obtener acceso a las cuentas y aplicaciones en la nube de AWS asignadas.
Ingresamos los datos solicitados
En mi caso no he creado grupos, así que ire al siguiente paso
Verificamos que todo este bien y creamos el usuario
Cuando creamos un usuario, se envía un correo de verificación al correo del usuario creado
El cual nos pedirá establecer una contraseña
Ahora debemos habilitar el MFA del usuario, para lo cual entraremos en el detalle
Y seleccionaremos la opción de Registro MFA
Seguimos los pasos de acuerdo al tipo de dispositivo MFA que tengamos. Y una vez listo, nos pedirá cada vez que iniciemos sesión un código aleatorio además del usuario/contraseña
9 - Asignar usuarios a las cuentas que tendrán acceso
Seleccionamos una o más cuentas de AWS para el acceso de múltiples cuentas a usuarios
Luego seleccionamos el o los usuarios a agregar
Seleccionamos los permisos que tendrá ese usuario en esa cuenta
Revisamos y confirmamos
Para verificar el acceso iniciamos sesión en la URL proporcionada en el punto 6
Una vez ingresado los datos podremos ver las cuentas de AWS a las que tenemos acceso y en caso de tener mas de un tipo de permiso podremos elegir cual usar
Si ingresamos con la opción de consola de administración podremos observar en el desplegable del menu superior derecho información relacionada a nuestra cuenta
10 - Para la configuración de AWS CLI
Debemos tener instalado AWS CLI
https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html
Luego ejecutamos aws configure e ingresaremos los datos que nos provee AWS
Y listo, así podemos configurar un entorno multicuenta con AWS Organizations, estableciendo usuarios y permisos para estas cuentas con AWS Identity Center
Más información:
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html
