AWS Control Tower sigue siendo nuestra opción preferida para administrar cuentas de AWS en ambientes con múltiples equipos. Proporciona un mecanismo conveniente para pre-configurar controles de seguridad y cumplimiento que se aplicarán automáticamente en nuevas landing zones. Éste es un ejemplo de cumplimiento en el punto de cambio porque los controles son aplicados y verificados cuando una nueva infraestructura es creada, eliminando la necesidad de verificar el cumplimiento de forma manual más tarde. AWS Control Tower Account Factory for Terraform (AFT) ha seguido evolucionando desde nuestro último volumen y ahora está disponible en más regiones de AWS. AFT permite que las cuentas Control Tower sean aprovisionadas mediante un pipeline usando infraestructura como código. Nos agrada que AFT se puede personalizar para enviar webhooks o tomar acciones específicas para integrarse de forma segura con herramientas externas como GitHub Actions. Nuestros equipos han reportado muy buenos resultados usando AWS Control Tower para el manejo de cuentas, pero deseamos que AWS acepte contribuciones de la comunidad al proyecto cuando veamos oportunidades de mejora.
La gestión de cuentas multi-equipo es un desafío en AWS, especialmente en la configuración y gobierno. AWS Control Tower aborda este desafío simplificando la configuración y automatizando la gobernanza; trata los requerimientos regulatorios con barreras de borde. AWS Control Tower tiene una Account Factory incluída que ayuda a automatizar el flujo de trabajo de aprovisionamiento de cuentas. Entre otras cosas, puedes actualizar, dejar de gestionar o cerrar cuentas que creó y aprovisionó a través de Account Factory. Debido a la falta de automatización y customización, Amazon introdujo la AWS Control Tower Account Factory para Terraform (AFT). AFT te permite aprovisionar personalizaciones para mandar webhooks o tomar acciones específicas que permitan una integración con otras herramientas para iniciar tareas como parte del proceso de creación de cuenta. Uno de los casos de uso aprovechados por nuestro equipo fue gestionar un conjunto de elementos desde el primer momento para cuentas con configuraciones de un solo uso para establecer una base y crear acceso para roles para GitHub Actions. Esto dió como resultado darles a los desarrolladores una cuenta con seguridad basada en una VPC totalmente integrada, lista para recibir carga de trabajo a través de GitHub Actions. Nuestro equipo ha conseguido excelentes resultados al utilizar AWS Control Tower para gestionar cuentas, como un control de acceso único para varios equipos y al aprovechar AFT en sus cargas de trabajo.
La gestión de cuentas de varios equipos es un desafío en AWS, especialmente en la configuración y la gobernanza; AWS Control Tower intenta abordar este desafío. Nuestro equipo ha reportado buenos resultados al utilizarla para gestionar las cuentas y el control de acceso de varios equipos de la organización a través de un lugar único y centralizado.