Organizations
📘 ¿Qué es AWS Organizations?
AWS Organizations es un servicio que permite agrupar y administrar múltiples cuentas de AWS de forma centralizada. Facilita la aplicación de políticas de seguridad, control de costos y delegación de permisos entre cuentas.
Ideal para grandes empresas, entornos multi-equipo o arquitecturas con separación de responsabilidades.
🧠 ¿Para qué sirve?
-
Agrupar múltiples cuentas de AWS bajo una jerarquía
-
Aplicar políticas centralizadas de seguridad y acceso (SCPs)
-
Gestionar presupuestos, cuotas y facturación consolidada
-
Automatizar la creación de cuentas nuevas (con control y configuración)
-
Aplicar servicios de seguridad y cumplimiento en toda la organización
🧩 Componentes clave
| Componente | Descripción |
|---|---|
| Cuenta raíz (Root) | Cuenta principal desde donde se administra toda la organización |
| Organizational Unit (OU) | Grupos lógicos de cuentas para aplicar políticas de forma organizada |
| Cuenta miembro | Cuenta subordinada a la organización (no tiene control total) |
| SCP (Service Control Policy) | Política que restringe qué servicios o acciones están permitidos |
| Consolidated Billing | Agrupa facturación para todas las cuentas miembro |
| Delegated Administrator | Permite delegar la gestión de servicios específicos (como Config, Macie, etc.) |
🧱 Estructura jerárquica
┌───────────────┐
│ Root Org │
└─────┬─────────┘
↓
┌───────────────┐
│ OU: Seguridad│
└─────┬─────────┘
↓ ↓
Cuenta1 Cuenta2
┌───────────────┐
│ OU: DevOps │
└─────┬─────────┘
↓ ↓
Cuenta3 Cuenta4🔐 ¿Qué son las SCP?
SCP (Service Control Policies) son políticas que definen los límites máximos de permisos que las cuentas pueden tener, aunque IAM permita más.
-
No otorgan permisos, solo los restringen
-
Se aplican a cuentas individuales o a unidades organizativas (OU)
-
Se evalúan junto con las políticas de IAM
Ejemplo: Una SCP que bloquea
ec2:*impedirá el uso de EC2, aunque el usuario tenga permisos IAM para usarlo.
⚙️ Funcionalidades clave
| Funcionalidad | Detalle |
|---|---|
| Creación automatizada de cuentas | Mediante API o consola |
| Consolidated Billing | Una sola factura para todas las cuentas |
| Control de acceso centralizado | SCPs que limitan acceso a servicios |
| Delegación de servicios | Otros servicios como Config, Macie, GuardDuty pueden operar desde una sola cuenta |
| Integración con AWS Control Tower | Para gobernanza avanzada y automatizada de cuentas |
💰 Precios
AWS Organizations es gratuito.
-
Solo se paga por los recursos utilizados en cada cuenta.
-
Consolidated Billing permite aplicar descuentos por volumen (Savings Plans, RI Sharing, etc.).
🧠 Preguntas tipo certificación
-
¿Qué servicio permite agrupar y controlar múltiples cuentas de AWS?
- ✅ AWS Organizations
-
¿Qué tipo de política restringe el uso de servicios dentro de la organización?
- ✅ Service Control Policies (SCPs)
-
¿AWS Organizations otorga permisos por sí mismo?
- ❌ No, solo restringe lo que ya está permitido en IAM
-
¿Puede una SCP impedir el uso de un servicio aunque IAM lo permita?
- ✅ Sí
-
¿Cuánto cuesta usar AWS Organizations?
- ✅ Es gratuito
📚 Recursos útiles
✅ Casos de uso recomendados
-
Separar entornos: Producción / Desarrollo / Pruebas
-
Aislar aplicaciones o BU por cuenta
-
Consolidar costos y aplicar presupuestos
-
Implementar gobernanza y cumplimiento corporativo