Información general
La evaluación de las cuentas para AWS Organizations le permite administrar y evaluar de manera centralizada todas las cuentas de AWS dentro de su AWS Organizations, lo que lo ayuda a comprender y navegar mejor las dependencias de AWS Organizations. El proceso de evaluación manual de las dependencias de AWS Organizations puede ser muy largo y puede llegar a incluir la revisión de decenas o cientos de recursos de AWS de cuentas individuales. Ahora, puede ejecutar tres tipos de análisis de cuentas de administrador delegadas, políticas basadas en las identidades y en los recursos y servicios de AWS con acceso de confianza habilitado para sus AWS Organizations; todo desde una interfaz de usuario sencilla.
Beneficios
Vea, examine y solucione los resultados del análisis en una interfaz de usuario web intuitiva.
Utilice más de 25 servicios de AWS con el acceso de confianza habilitado para realizar operaciones entre todas las cuentas de AWS en sus AWS Organizations.
Analice las políticas basadas en recursos, las cuentas de administrador delegadas y los accesos de confianza con la interfaz de usuario web.
Detalles técnicos
Puede implementar automáticamente esta arquitectura con la guía de implementación y la plantilla de AWS CloudFormation asociada.
Paso 1
Los usuarios inician sesión en la cuenta central mediante la interfaz de usuario web y el grupo de usuarios de Amazon Cognito autentica a cada usuario. Amazon CloudFront entrega el contenido de la interfaz de usuario web desde un bucket de Amazon Simple Storage Service (Amazon S3).
Paso 2
El bucket de S3 aloja la interfaz de usuario web.
Paso 3
Al iniciar un análisis, la interfaz de usuario web recibe un token de Amazon Cognito y envía una solicitud a Amazon API Gateway. AWS WAF protege las interfaces de programación de aplicaciones (API) de los ataques.
Esta solución configura un conjunto de reglas denominado lista de control de acceso (ACL) web que permite, bloquea o cuenta las solicitudes web en función de reglas y condiciones de seguridad web configurables y definidas por el usuario.
Nota: Los pasos 3 a 6 se repiten para cada tipo de análisis.
Paso 4
Una API Gateway brinda la capa API de la solución.
Nota: Los pasos 3 a 6 se repiten para cada tipo de análisis.
Paso 5
Amazon Cognito autentica el token en el encabezado de las solicitudes API.
Nota: Los pasos 3 a 6 se repiten para cada tipo de análisis.
Paso 6
AWS Lambda suministra los microservicios y dirige las solicitudes API a cada microservicio. El Microservicio de administración de trabajos gestiona la creación, la eliminación y el historial de cada trabajo de análisis iniciado por el usuario en la interfaz de usuario web.
Nota: Los pasos 3 a 6 se repiten para cada tipo de análisis.
Análisis de cuentas de administrador delegado
Paso 7
El microservicio de análisis de cuentas de administrador delegado busca y almacena la información de la cuenta de administrador delegado de todos los servicios de AWS habilitados en una tabla de Amazon DynamoDB. Estas cuentas pueden llamar a las operaciones de la API de administración de cuentas de AWS para otras cuentas de miembros de la organización.
Análisis de cuentas de administrador delegado
Paso 8
Este microservicio obtiene la información de la cuenta de administración de la organización.
Análisis de acceso de confianza
Paso 9
El microservicio de análisis de acceso de confianza busca y almacena los servicios en AWS Organizations con un acceso de confianza que permite al servicio realizar tareas en su organización y sus cuentas en su nombre. Este microservicio almacena las entidades principales del servicio en una tabla de DynamoDB.
Análisis de acceso de confianza
Paso 10
Este microservicio obtiene la información de la cuenta de administración de AWS Organizations.
Análisis de las políticas basadas en recursos
Paso 11
El microservicio de análisis de políticas basadas en recursos utiliza una función de Lambda para iniciar un trabajo asincrónico e invocar AWS Step Functions.
Análisis de las políticas basadas en recursos
Paso 12
La máquina de estados de Step Functions analiza varias cuentas y regiones de AWS en paralelo para buscar y almacenar los detalles de los recursos en la tabla de DynamoDB. Este microservicio puede analizar hasta 25 servicios de AWS entre las cuentas de su Organizations e identificar las dependencias de los recursos.
Análisis de las políticas basadas en recursos
Paso 13
Cada iteración en la máquina de estados invocará una función de Lambda para asumir un rol en cada cuenta par. Este microservicio comprueba las condiciones de las políticas que pueden contener los identificadores de la organización o los identificadores de las unidades organizativas.
Paso 1
Los usuarios inician sesión en la cuenta central mediante la interfaz de usuario web y el grupo de usuarios de Amazon Cognito autentica a cada usuario. Amazon CloudFront entrega el contenido de la interfaz de usuario web desde un bucket de Amazon Simple Storage Service (Amazon S3).
Paso 2
El bucket de S3 aloja la interfaz de usuario web.
Paso 3
Al iniciar un análisis, la interfaz de usuario web recibe un token de Amazon Cognito y envía una solicitud a Amazon API Gateway. AWS WAF protege las interfaces de programación de aplicaciones (API) de los ataques.
Esta solución configura un conjunto de reglas denominado lista de control de acceso (ACL) web que permite, bloquea o cuenta las solicitudes web en función de reglas y condiciones de seguridad web configurables y definidas por el usuario.
Nota: Los pasos 3 a 6 se repiten para cada tipo de análisis.
Paso 4
Una API Gateway brinda la capa API de la solución.
Nota: Los pasos 3 a 6 se repiten para cada tipo de análisis.
Paso 5
Amazon Cognito autentica el token en el encabezado de las solicitudes API.
Nota: Los pasos 3 a 6 se repiten para cada tipo de análisis.
Paso 6
AWS Lambda suministra los microservicios y dirige las solicitudes API a cada microservicio. El Microservicio de administración de trabajos gestiona la creación, la eliminación y el historial de cada trabajo de análisis iniciado por el usuario en la interfaz de usuario web.
Nota: Los pasos 3 a 6 se repiten para cada tipo de análisis.
Análisis de cuentas de administrador delegado
Paso 7
El microservicio de análisis de cuentas de administrador delegado busca y almacena la información de la cuenta de administrador delegado de todos los servicios de AWS habilitados en una tabla de Amazon DynamoDB. Estas cuentas pueden llamar a las operaciones de la API de administración de cuentas de AWS para otras cuentas de miembros de la organización.
Análisis de cuentas de administrador delegado
Paso 8
Este microservicio obtiene la información de la cuenta de administración de la organización.
Análisis de acceso de confianza
Paso 9
El microservicio de análisis de acceso de confianza busca y almacena los servicios en AWS Organizations con un acceso de confianza que permite al servicio realizar tareas en su organización y sus cuentas en su nombre. Este microservicio almacena las entidades principales del servicio en una tabla de DynamoDB.
Análisis de acceso de confianza
Paso 10
Este microservicio obtiene la información de la cuenta de administración de AWS Organizations.
Análisis de las políticas basadas en recursos
Paso 11
El microservicio de análisis de políticas basadas en recursos utiliza una función de Lambda para iniciar un trabajo asincrónico e invocar AWS Step Functions.
Análisis de las políticas basadas en recursos
Paso 12
La máquina de estados de Step Functions analiza varias cuentas y regiones de AWS en paralelo para buscar y almacenar los detalles de los recursos en la tabla de DynamoDB. Este microservicio puede analizar hasta 25 servicios de AWS entre las cuentas de su Organizations e identificar las dependencias de los recursos.
Análisis de las políticas basadas en recursos
Paso 13
Cada iteración en la máquina de estados invocará una función de Lambda para asumir un rol en cada cuenta par. Este microservicio comprueba las condiciones de las políticas que pueden contener los identificadores de la organización o los identificadores de las unidades organizativas.
Contenido relacionado
Identifique algunas de las cuentas, los informes, la facturación y otras consideraciones que deberá tener en cuenta al migrar las cuentas.
Descubra cómo migrar nuestras cuentas configuradas con facturación consolidada a una nueva organización que cuente con todas las funciones.
¿Le resultó útil esta página?
- Fecha de publicación