Control Tower

📘 ¿Qué es AWS Control Tower?

AWS Control Tower es un servicio que permite configurar y gobernar un entorno de múltiples cuentas de AWS (landing zone) de forma segura, escalable y automatizada.

Diseñado para organizaciones que requieren consistencia, seguridad y cumplimiento en ambientes multi-cuenta.

---

🎯 Casos de uso

• Configurar un entorno multi-cuenta con buenas prácticas desde el inicio.

• Establecer una landing zone con control centralizado.

• Aplicar políticas de cumplimiento (guardrails) automáticamente.

• Facilitar la adopción de una estructura organizacional escalable.

• Gobernar el crecimiento de múltiples equipos y aplicaciones en AWS.

---

🧱 Componentes principales

Componente	Descripción
Landing Zone	Entorno base preconfigurado y seguro para comenzar a usar AWS en producción
Organizations	Servicio subyacente que gestiona cuentas y unidades organizativas
Guardrails	Políticas predefinidas de seguridad/compliance (preventivas o detectivas)
Account Factory	Sistema para crear cuentas nuevas con configuraciones estándar
Single Sign-On	Gestión de acceso centralizado para múltiples cuentas (IAM Identity Center)
Audit & Logging	Cuentas centralizadas para registros (CloudTrail, Config, etc.)

---

🧭 ¿Qué es una Landing Zone?

Es un entorno base configurado por Control Tower que incluye:

• Cuentas base:

  • Management account (raíz)

  • Audit account (seguridad)

  • Log archive account (almacenamiento de logs)

• Configuración de:

  • Organización de cuentas (OUs)

  • AWS Config y CloudTrail

  • S3 buckets para logs

  • VPCs y networking (opcional)

  • SSO (IAM Identity Center)

---

🛡️ Guardrails (Políticas)

Tipo	Descripción	Ejemplo
Preventiva	Usa SCPs para bloquear acciones no permitidas	Bloquear uso de regiones no aprobadas
Detectiva	Usa AWS Config para detectar desviaciones	Alertar si S3 no tiene cifrado activado

Los guardrails se aplican a cuentas o unidades organizativas (OUs).

---

🧪 Account Factory

Plantilla para provisionar nuevas cuentas de forma automática:

• Define:

  • Región

  • Tipo de red (VPC)

  • Opciones de gobernanza

  • Unidad organizativa (OU)

• Las cuentas creadas heredan automáticamente:

  • Guardrails

  • Configuración de logs

  • Accesos (SSO/IAM)

  • Integraciones con servicios como Config o Security Hub

---

🔐 Seguridad y cumplimiento

Control Tower aplica automáticamente buenas prácticas de seguridad:

Seguridad	Implementación
Centralización de logs	Cuentas separadas para logs de CloudTrail, Config
MFA/SSO obligatorio	IAM Identity Center incluido
Control de acceso	SCPs + IAM Roles entre cuentas
Cumplimiento	Guardrails detectan y/o impiden incumplimiento

---

🔄 Integración con otros servicios

Servicio	Integración en Control Tower
AWS Organizations	Estructura jerárquica de cuentas
IAM Identity Center	Control de acceso centralizado
CloudTrail / Config	Auditoría y configuración
Service Catalog	Provisionamiento con plantillas
Security Hub	Recoge hallazgos desde múltiples cuentas
AWS SSO (IAM IC)	Autenticación y autorización entre cuentas

---

💲 Costos

• Control Tower no tiene costo adicional.

• Se cobra por los servicios subyacentes que habilita:

  • AWS Config

  • CloudTrail

  • AWS SSO (IAM Identity Center)

  • CloudWatch

  • Almacenamiento S3

  • AWS Lambda, SNS, etc.

💡 Es importante estimar los costos totales del entorno habilitado, especialmente si se aplican guardrails detectivos a muchos recursos.

---

📈 Ventajas clave

✅ Rápida puesta en marcha de un entorno multi-cuenta seguro
✅ Basado en buenas prácticas de AWS Well-Architected Framework
✅ Escalable con crecimiento organizacional
✅ Gobernanza clara sin necesidad de scripts personalizados
✅ Plantillas automatizadas para crear cuentas
✅ Compatible con CDK, CloudFormation, Terraform para ampliación

---

🧠 Preguntas tipo certificación

1. ¿Qué servicio permite crear cuentas estandarizadas dentro de una organización?

   • ✅ Account Factory (Control Tower)

2. ¿Qué hace un guardrail preventivo?

   • ✅ Bloquea acciones no autorizadas mediante SCP

3. ¿Cuál es la diferencia entre un guardrail preventivo y uno detectivo?

   • Preventivo = impide

   • Detectivo = monitorea y alerta

4. ¿Qué cuenta almacena los registros de auditoría?

   • ✅ Log archive account

5. ¿Qué servicio subyacente se usa para estructurar cuentas?

   • ✅ AWS Organizations

---

🧪 Buenas prácticas

• Establecer una estructura OU clara por tipo de entorno (prod, dev, test)

• Aplicar guardrails mínimos obligatorios, luego agregar adicionales por seguridad

• Usar nombres estándar y etiquetas para cuentas creadas

• Automatizar el monitoreo con Security Hub y AWS Config

• Revisar el cumplimiento regularmente

• Configurar SSO con grupos (Azure AD, Okta, etc.)

---

📚 Recursos útiles

• 📘 Documentación oficial

• 🎬 Demo oficial en video

• 🧪 Talleres prácticos

• 📂 Lista de guardrails disponibles