Amazon EventBridge en un entorno multicuenta (multi-account)

Amazon EventBridge en un entorno multicuenta (multi-account) es una arquitectura común en organizaciones que siguen el enfoque de organización en múltiples cuentas de AWS, como parte de las buenas prácticas de seguridad, gobernanza y aislamiento.

🧩 ¿Qué es Amazon EventBridge?

Amazon EventBridge es un bus de eventos totalmente administrado que facilita la conexión de aplicaciones usando eventos generados por servicios de AWS, aplicaciones SaaS o personalizadas. Puedes usarlo para desencadenar flujos de trabajo o integraciones basadas en eventos.

🏗️ ¿Cómo funciona en un entorno multicuenta?

EventBridge permite que una cuenta (cuenta central o receptora) reciba eventos desde otras cuentas (emisoras).

🔄 Flujo de eventos entre cuentas:

  1. Cuenta emisora (Account A):
    • Publica eventos personalizados (custom events) a un bus de eventos de otra cuenta (Account B).
  2. Cuenta receptora (Account B):
    • Crea un bus de eventos personalizado.
    • Otorga permisos a la cuenta A para que pueda enviar eventos.

⚙️ ¿Cómo configurarlo?

1. Cuenta receptora (cuenta central):

Crear un bus de eventos personalizado: 

aws events create-event-bus --name BusDesdeCuentaA

Conceder permisos con una policy de acceso:

{
  "Statement": [
    {
      "Sid": "AllowOtherAccount",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"  // Cuenta emisora
      },
      "Action": "events:PutEvents",
      "Resource": "arn:aws:events:us-east-1:111122223333:event-bus/BusDesdeCuentaA"
    }
  ]
}

2. Cuenta emisora:

Enviar eventos usando el ARN del bus de eventos de la cuenta central: 

aws events put-events \
  --entries '[
    {
      "Source": "mi.aplicacion",
      "DetailType": "eventoNuevo",
      "Detail": "{\"clave\": \"valor\"}",
      "EventBusName": "arn:aws:events:us-east-1:111122223333:event-bus/BusDesdeCuentaA"
    }
  ]'

✅ Beneficios de EventBridge multicuenta

  • Centralización de eventos y observabilidad.
  • Aislamiento entre entornos (ej. producción, desarrollo).
  • Integración con otros servicios (Step Functions, Lambda, SNS, etc.).
  • Delegación de la lógica y reglas de eventos a una cuenta central.

Cuando se trabaja con Amazon EventBridge en un entorno multicuenta gestionado con AWS Control Tower, hay algunos aspectos importantes a considerar, porque Control Tower introduce ciertas automatizaciones, cuentas predefinidas y políticas gestionadas a través de AWS Organizations.

Aquí te explico cómo se comporta y qué debes tener en cuenta:

🏛️ ¿Qué cambia con Control Tower?

Cuando se utiliza AWS Control Tower, este servicio crea y gestiona automáticamente un entorno de cuentas dentro de una Organización de AWS (AWS Organizations). Esto incluye:

  • Una cuenta de administración (management account).
  • Cuentas de registro (log archive) y seguridad.
  • Cuentas adicionales para cargas de trabajo (workloads).
  • El uso de Service Control Policies (SCPs) para restringir o permitir acciones en las cuentas miembro.

🔁 EventBridge en un entorno multicuenta con Control Tower

✅ Funcionalidades disponibles:

  1. Es posible enviar eventos entre cuentas, por ejemplo, desde cuentas de workload hacia una cuenta central.
    • Este comportamiento se mantiene igual que en una arquitectura multicuenta tradicional.
    • Se requiere la creación de buses personalizados y políticas de permisos adecuadas.
  2. Se pueden centralizar eventos en una cuenta de seguridad o monitoreo, lo cual es una práctica común en entornos gobernados por Control Tower.
  3. Es compatible el uso de EventBridge para enrutar eventos generados por servicios como AWS Config, CloudTrail o Security Hub, los cuales suelen estar habilitados en cuentas gestionadas por Control Tower.

🚫 Consideraciones importantes:

1. Service Control Policies (SCPs):

  • Algunas SCPs podrían restringir acciones como events:PutEvents o events:CreateEventBus.
  • Es necesario revisar que las cuentas emisoras tengan permiso explícito para interactuar con EventBridge en la cuenta receptora.

2. Organizational Units (OUs):

  • Las SCPs pueden aplicarse a nivel de unidad organizacional (OU), no solo a cuentas individuales.
  • Se recomienda revisar estas políticas desde la consola de AWS Organizations.

3. Roles predefinidos y guardrails:

  • Las cuentas gestionadas por Control Tower suelen contar con roles como AWSControlTowerExecution.
  • Es fundamental asegurarse de que los roles utilizados tengan los permisos necesarios para operar con EventBridge.

🔐 Recomendaciones clave

TemaRecomendación
SCPsVerificar que las acciones events:PutEvents y events:CreateEventBus estén habilitadas.
Políticas de IAMUtilizar permisos explícitos en los roles dentro de las cuentas emisoras.
Bus de eventos compartidoCrear un bus por cada cuenta emisora, o agruparlas según el diseño arquitectónico.
Monitoreo centralizadoEs viable enrutar eventos de seguridad hacia la cuenta de auditoría establecida por Control Tower.
Funciona gracias a WordPress