Servicios Esenciales de AWS Organizations

Se ha seleccionado los servicios más críticos y los he organizado en categorías clave para construir una infraestructura AWS bien gobernada:

1. Gobernanza y Gestión Multi-Cuenta (Fundamental)

AWS Control Tower

  • Por qué es esencial: Proporciona una configuración inicial automatizada («Landing Zone») con políticas de seguridad predefinidas.
  • Beneficios clave:
    • Crea una estructura organizacional con Unidades Organizacionales (OUs) para Prod/Dev/Test.
    • Implementa «guardrails» (controles preventivos y detectivos).
    • Facilita el onboarding de nuevas cuentas.

🏷️ Visión General de Costos

AWS Control Tower sí tiene costos asociados en implementaciones multicuenta, aunque el servicio en sí no tiene un cargo directo por su uso. Los costos provienen principalmente de:

1. Servicios AWS requeridos
  • AWS Organizations: Gratuito (requisito previo)
  • AWS Config (~$0.003 por regla/registro/hora)
  • AWS CloudTrail (~$2.00 por 100,000 eventos)
  • AWS Single Sign-On (gratis para hasta 1,000 usuarios/mes)
  • AWS Service Catalog (si se utiliza, ~$0.05 por producto/hora)
2. Recursos implementados
  • Cuentas VPC (si se usa el VPC compartido)
  • S3 Buckets para logs centralizados
  • AWS Lambda para automatizaciones personalizadas

CloudFormation StackSets

  • Para qué sirve: Despliega recursos idénticos en múltiples cuentas y regiones.
  • Uso crítico:
    • Implementación consistente de VPCs, políticas IAM y configuraciones de seguridad.
    • Automatización de infraestructura como código (IaC) en toda la organización.
  • CloudFormation StackSets en sí no tiene un costo adicional directo por su funcionalidad básica de implementación multicuenta. Sin embargo, existen costos indirectos y costos asociados a los recursos que implementa:

🏷️ Desglose de Costos

1. Costos Base de StackSets
  • Gratis: El servicio StackSets como tal no genera cargos
  • AWS Organizations: Requiere tener una organización AWS activa (sin costo adicional)
2. Costos Asociados
  • Operaciones de CloudFormation:
    • Las operaciones estándar de CloudFormation se cobran (aproximadamente $0.0009 por operación)
    • Cada implementación/actualización en cada cuenta cuenta como operación separada
  • Almacenamiento de Plantillas:
    • Si usas S3 para almacenar plantillas grandes (>51KB), aplican cargos estándar de S3
  • Recursos Implementados:
    • Todos los recursos AWS creados por los stacks (EC2, RDS, Lambda, etc.) generan sus cargos normales
3. Costos de Conectividad
  • Regiones Cruzadas: Si implementas en múltiples regiones, considera costos de transferencia de datos entre regiones
  • AWS Config: Si usas Config para monitoreo de deriva (drift detection), aplican sus cargos normales

Service Catalog

  • Importancia: Controla qué recursos pueden desplegar los equipos (evita configuraciones inseguras).
  • Ejemplo: Plantillas pre-aprobadas para EC2, RDS, S3 con configuraciones seguras.

🏷️ Modelo de Precios de Service Catalog

AWS Service Catalog tiene costos asociados en implementaciones multicuenta, con una estructura que varía según el uso:

1. Costos Base
  • Portafolios: Gratis (puedes crear hasta 100 portafolios sin costo)
  • Productos: Gratis (hasta 1,000 productos registrados sin cargo)
2. Costos Principales
  • Productos aprovisionados: $0.05 por producto aprovisionado por hora
  • API Requests: $0.01 por cada 1,000 llamadas API (después del primer millón mensual gratuito)

AWS License Manager

Permite centralizar la administración de licencias de software como Windows Server, SQL Server, y productos de terceros a lo largo de múltiples cuentas de la organización. Facilita el cumplimiento de políticas de licenciamiento y evita costos inesperados por uso excesivo de licencias.

🏷️ Costo: Gratuito, pero los productos licenciados pueden tener cargos.

AWS Organizations Service Control Policies (SCPs)

Aunque ya está incluido conceptualmente, es útil destacar su uso explícitamente: las SCPs permiten definir qué acciones están permitidas o denegadas para las cuentas miembro. Útiles para restringir el uso de servicios o regiones específicas.

🏷️ Costo: Gratuito.

2. Seguridad Centralizada (No negociables)

AWS IAM Identity Center (SSO)

  • Por qué es imprescindible:
    • Acceso unificado a todas las cuentas AWS con autenticación centralizada (Active Directory, SAML).
    • Integración con MFA y políticas de acceso granular.

🏷️ Modelo de Precios Actual (2024)

AWS IAM Identity Center ofrece un nivel gratuito generoso pero tiene costos potenciales en implementaciones avanzadas:

Nivel Gratuito
  • Hasta 1,000 usuarios/mes: Sin costo
  • Acceso a cuentas AWS: Ilimitado (dentro de su organización)
  • Aplicaciones externas: 1 aplicación SaaS gratuita (ej. Slack, Salesforce)
Costos por Excedentes
  • Usuarios activos adicionales: $0.04 por usuario/mes (más allá del primer 1,000)
  • Aplicaciones SaaS adicionales: $3 por aplicación/mes
  • Autenticación MFA externa: $0.50 por usuario/mes (si usa proveedor externo)

AWS Security Hub

  • Función clave: Agrega hallazgos de seguridad de:
    • GuardDuty (amenazas)
    • Inspector (vulnerabilidades)
    • Macie (datos sensibles)
    • Firewall Manager (WAF/Network Firewall)
  • Beneficio: Panel único de postura de seguridad.

🏷️ Modelo de Precios (2024)

AWS Security Hub utiliza un modelo de pago por análisis con dos opciones:

1. Plan Estándar (Gratuito)
  • Funciones básicas de agregación de hallazgos
  • Limitado a controles de seguridad fundamentales
2. Plan Avanzado (De pago)
  • $0.0035 por hallazgo analizado por cuenta por región
  • $0.0015 por hallazgo adicional en la misma región (cuentas vinculadas)

Amazon GuardDuty

  • Detección de amenazas: Analiza logs de CloudTrail, VPC Flow Logs y DNS para identificar:
    • Cryptojacking
    • Accesos sospechosos desde IPs maliciosas.

🏷️ Modelo de Precios de GuardDuty

Amazon GuardDuty sí tiene costos asociados en arquitecturas multicuenta, que varían según:

1. Fuentes de Datos Analizadas
  • Eventos de AWS CloudTrail: $1.00 por millón de eventos analizados
  • Registros de DNS: $0.50 por millón de consultas DNS analizadas
  • Flujo de VPC (VPC Flow Logs): $0.50 por GB de datos analizados
2. Estructura Multicuenta
  • Cuenta maestra (administradora): No incurre en costos por el servicio en sí
  • Cuentas miembro: Cada cuenta genera costos independientes según su actividad

AWS Firewall Manager

  • Protección unificada: Despliega reglas de WAF y Network Firewall en todas las cuentas.
  • Caso de uso: Defensa contra DDoS y tráfico malicioso centralizada.

🏷️ Modelo de Precios (2024)

AWS Firewall Manager tiene costos asociados en implementaciones multicuenta, compuestos por varios elementos:

1. Costo Base del Servicio
  • Políticas: $100 por política activa por mes (por organización)
  • Primera política: Gratis durante los primeros 30 días
2. Costos de Recursos Gestionados
  • AWS WAF: 5porwebACLpormes+5porwebACLpormes+1 por millón de peticiones
  • AWS Shield Advanced: $3,000 por mes por organización (opcional)
  • Network Firewall: ~$0.395 por hora por endpoint + costos de procesamiento de tráfico
  • Security Groups: $0.10 por grupo de seguridad gestionado por mes

Amazon Macie

Automatiza el descubrimiento de datos sensibles como información personal (PII) en buckets de S3 a nivel organizacional. Muy útil en entornos con alto cumplimiento normativo (HIPAA, GDPR, etc.).

🏷️ Costo: Escaneo ~$1/GB + $0.05 por millón de objetos clasificados.

AWS Config Aggregator

Permite consolidar los datos de cumplimiento de configuración desde múltiples cuentas y regiones en un solo dashboard. Esto facilita la auditoría y la detección de desviaciones de configuración en entornos complejos.

🏷️ Costo: Ya lo mencionas en relación a Control Tower, pero puede usarse independientemente. Costos por evaluación de reglas y almacenamiento de historial.

3. Cumplimiento y Auditoría

AWS CloudTrail

  • Registro de actividad: Graba todas las llamadas API en todas las cuentas.
  • Crítico para: Investigación forense y cumplimiento (SOC 2, ISO 27001).

🏷️ Modelo de Precios (2024)

AWS CloudTrail tiene costos asociados en implementaciones multicuenta, con una estructura que varía según estos componentes:

1. Eventos de Gestión (Management Events)
  • Primer trail por región: Gratis (un solo trail que registra eventos de gestión)
  • Trails adicionales: $2.00 por cada 100,000 eventos (después del primer millón/mes gratuito)
2. Eventos de Datos (Data Events)
  • Registro de operaciones S3: $0.10 por cada 100,000 eventos
  • Registro de operaciones Lambda: $0.10 por cada 100,000 eventos
3. Almacenamiento de Logs
  • S3: Costos estándar de S3 (~$0.023/GB para Standard Storage)
  • CloudWatch Logs: 0.50/GBingerido+0.50/GBingerido+0.03/GB archivado/mes

AWS Config

  • Monitoreo de configuración: Detecta cambios en recursos y evalúa cumplimiento.
  • Ejemplo: Alertar si un S3 bucket se hace público.

🏷️ Modelo de Precios (2024)

AWS Config tiene costos asociados en implementaciones multicuenta, con una estructura basada en:

1. Registro de Configuraciones
  • $0.003 por elemento de configuración registrado por hora
  • Costo mínimo equivalente a 1 hora por elemento, incluso si se elimina antes
2. Reglas Personalizadas
  • $0.001 por evaluación de regla personalizada por hora
3. Almacenamiento de Snapshots
  • $0.03 por GB/mes para snapshots de configuración

AWS Audit Manager

  • Automatización de evidencias: Simplifica auditorías para GDPR, HIPAA, PCI-DSS.

🏷️ Modelo de Precios (2024)

AWS Audit Manager tiene costos asociados en implementaciones multicuenta, basados en:

1. Evaluaciones Activas
  • $30 por evaluación activa por mes (por cuenta)
  • Primeras 5 evaluaciones: Gratis durante los primeros 30 días
2. Evidencia Recopilada
  • $0.35 por GB de evidencia almacenada por mes
  • Primeros 100 MB/mes: Gratis

4. Optimización de Costos y Recursos

Cost Optimization Hub

  • Ahorros identificados:
    • Instancias subutilizadas
    • Reservas no usadas
    • Almacenamiento S3 ineficiente.

El AWS Cost Optimization Hub es un servicio gratuito que centraliza recomendaciones de ahorro en AWS, pero hay consideraciones importantes en entornos multicuenta.

🏷️ ¿Tiene Costo el Cost Optimization Hub?

No, el servicio en sí no genera cargos adicionales. Sin embargo, hay matices:

1. Costo Directo del Servicio

✅ Gratis:

  • No hay costo por usar el Hub.
  • Las recomendaciones provienen de servicios ya existentes (Trusted Advisor, Compute Optimizer, etc.).
2. Costos Indirectos en Multicuenta

⚠ Posibles costos asociados:

  • AWS Organizations (requerido para multicuenta, pero es gratis).
  • Servicios vinculados:
    • Si activas AWS Compute Optimizer (para recomendaciones de EC2/RDS), tiene un costo de $0.0425 por recurso analizado/mes.
    • AWS Cost Explorer (para visualizar datos) tiene un costo de $0.01 por cada 1,000 llamadas API (después de 1M de llamadas gratuitas/mes).
    • AWS Trusted Advisor (solo las 7 comprobaciones básicas son gratuitas; las avanzadas requieren Business/Enterprise Support).

Compute Optimizer

  • Recomendaciones: Tamaños óptimos para EC2, EBS y Auto Scaling Groups (hasta 25% de ahorro).

🏷️ Modelo de Precios Actual

AWS Compute Optimizer sí tiene costos en implementaciones multicuenta, con esta estructura:

1. Costo Base
  • $0.0425 por recurso analizado/mes (por cada instancia EC2, volumen EBS, Auto Scaling group o función Lambda)
  • Primeros 250 recursos/mes: Gratis (hasta $10.63 de descuento mensual)
2. Costos Adicionales
  • Sin cargo por número de cuentas (el costo depende del total de recursos analizados en toda la organización)
  • Sin costo por recomendaciones (solo por el análisis continuo)

S3 Storage Lens

  • Análisis de almacenamiento: Identifica buckets con políticas ineficientes o costos elevados.

🏷️ Modelo de Precios Actual

S3 Storage Lens ofrece dos niveles con diferentes estructuras de costo:

1. Nivel Gratuito (Free Metrics Tier)
  • Sin costo
  • Métricas básicas: 14 días de historial
  • Actualización diaria
  • Limitado a 1,000 buckets por organización
2. Nivel Avanzado (Advanced Metrics Tier)
  • $0.20 por millón de objetos monitoreados por mes
  • Mínimo $1.00 por mes (incluso para cuentas pequeñas)
  • Métricas adicionales: Activity metrics, Advanced Cost Optimization
  • Retención de 15 meses

5. Redes y Conectividad (Esenciales)

Amazon VPC IPAM

  • Gestión de IPs: Asigna rangos de CIDR sin conflictos en todas las cuentas.
  • Evita: Solapamientos en redes híbridas (AWS + On-Premise).

🏷️ Modelo de Precios Actual

Amazon VPC IP Address Manager (IPAM) tiene costos asociados en implementaciones multicuenta, estructurados de la siguiente manera:

1. Costos Base
  • **0.50porhora∗∗porregioˊndondeIPAMestaˊactivo(≈0.50porhora∗∗porregioˊndondeIPAMestaˊactivo(≈365/mes por región)
  • Primeros 5,000 direcciones IP administradas: Gratis (por organización)
2. Costos Adicionales
  • $0.001 por dirección IP/mes (más allá del límite gratuito)
  • Sin costo adicional por número de cuentas AWS vinculadas

VPC Reachability Analyzer

  • Diagnóstico de red: Prueba conectividad entre recursos (ej: ¿Puede un Lambda alcanzar una base de datos RDS?).

🏷️ ¿Tiene Costo el VPC Reachability Analyzer?

, pero solo cuando se ejecutan análisis de conectividad, no por el simple hecho de tenerlo habilitado en una arquitectura multicuenta.

1. Modelo de Precios
  • $0.10 por análisis completado (sin importar si la ruta es alcanzable o no)
  • No hay costo por:
    • Configurar el servicio
    • Almacenar resultados
    • Integración con AWS Organizations para multicuenta
2. Costos en Escenarios Multicuenta
🔹 Escenario Pequeño (5 cuentas, 10 análisis/mes)
  • 10 análisis × 0.10=0.10=1.00/mes
    (Ejemplo: Monitoreo básico de rutas críticas)
🔹 Escenario Empresarial (50+ cuentas, 1,000 análisis/mes)
  • 1,000 análisis × 0.10=0.10=100/mes
    (Ejemplo: Monitoreo automatizado de todas las VPCs en una organización)

6. Automatización y Operaciones

AWS Systems Manager

  • Operaciones unificadas:
    • Gestión de parches
    • Ejecución remota de comandos
    • Inventario de recursos.

🏷️ Modelo de Precios de AWS Systems Manager

AWS Systems Manager tiene costos variables en implementaciones multicuenta, con componentes gratuitos y de pago:

1. Componentes Gratuitos
  • Interfaz básica del servicio (sin costo por usar la consola)
  • Run Command (primeros 1,000 comandos/mes gratis)
  • Session Manager (primeras 100 sesiones/mes gratis)
  • Inventory (primeros 500 instancias/mes gratis)
  • Parameter Store (parámetros estándar hasta 10,000)
2. Componentes con Costo
  • Run Command: $0.005 por comando adicional (después de 1,000)
  • Session Manager: $0.50 por sesión adicional (después de 100)
  • Parameter Store:
    • Parámetros avanzados: $0.05 por parámetro/mes
    • Parámetros estándar: Gratis hasta 10,000
  • Distributor: $0.03 por paquete distribuido
  • Maintenance Windows: $0.10 por hora de ventana activa
  • Automation: $0.10 por ejecución (después de 100/mes gratis)

Service Quotas

  • Control de límites: Monitorea y aumenta límites de servicio (ej: número de VPCs por región).

AWS Service Quotas es un servicio gratuito que permite ver y gestionar los límites (quotas) de los servicios de AWS en todas tus cuentas.

📌 ¿Tiene costo en una arquitectura multicuenta?

✅ No, el servicio no genera cargos adicionales por:

  • Consultar los límites de servicios en múltiples cuentas.
  • Solicitar aumentos de quotas (aunque algunos servicios pueden tener requisitos de soporte).
  • Integrarse con AWS Organizations para gestión centralizada.

🚨 Excepciones y costos indirectos

⚠ AWS Support puede ser requerido para ciertos aumentos (dependiendo del servicio).

  • Si necesitas un aumento en quotas de servicios como EC2, VPC o Lambda, AWS podría exigir un plan de soporte (Business o Enterprise) para aprobarlo.
  • No hay costo por usar Service Quotas, pero algunos servicios tienen límites que solo se pueden aumentar con soporte pago.

7. Servicios Adicionales Recomendados

CategoríaServicioUso Principal
MigraciónAWS Application Migration ServiceLift-and-shift de servidores a AWS.
LicenciasAWS License ManagerGestiona licencias de RHEL, Windows, SQL.
MarketplaceAWS Private MarketplaceRestringe qué productos pueden comprarse.
RespuestaAWS Security Incident ResponseSoporte gestionado para crisis de seguridad.

Priorización por Fase de Implementación

Fase 1 (Fundamentos)

  1. AWS Control Tower (Landing Zone básica)
  2. IAM Identity Center (SSO) (Acceso seguro)
  3. CloudTrail + Config (Auditoría básica)
  4. Security Hub + GuardDuty (Seguridad mínima viable)

Fase 2 (Avanzado)

  • Firewall Manager (Protege aplicaciones web)
  • Audit Manager (Cumplimiento automatizado)
  • Cost Optimization Hub (Ahorros iniciales)

Fase 3 (Optimización)

  • Compute Optimizer + S3 Storage Lens
  • VPC IPAM (Redes complejas)
  • Systems Manager (Automatización operativa)

Conclusión: La Base Sólida

Los servicios absolutamente esenciales para empezar son:

  1. AWS Control Tower (Gobernanza)
  2. IAM Identity Center (Acceso)
  3. Security Hub + GuardDuty (Seguridad)
  4. CloudTrail + Config (Cumplimiento)

Con estos 6 servicios ya tendrás una infraestructura estable, segura y gobernada. Los demás son complementos para optimización u casos de uso específicos.

Funciona gracias a WordPress