El dominio D1 del SAP-C02 pesa 26%. La gestión de múltiples cuentas AWS es el punto de partida de cualquier arquitectura empresarial a escala. Organizations, Control Tower, SCPs y Landing Zone son temas garantizados en el examen.
Contenido
AWS Organizations es el servicio para gestionar múltiples cuentas AWS desde una cuenta maestra (Management Account). Permite aplicar políticas centralizadas, consolidar facturación y establecer guardrails de gobernanza a escala.
La cuenta Management Account tiene acceso completo a todas las cuentas miembro y es la única desde donde se administra Organizations. Nunca se usa para cargas de trabajo de producción.
Las SCPs son políticas JSON que se aplican a OUs o cuentas individuales para limitar los permisos máximos disponibles en esa cuenta. No otorgan permisos — solo los restringen.
| Característica | SCPs | IAM Policies |
|---|---|---|
| ¿Dónde aplica? | A la OU o cuenta (límite externo) | Al principal IAM (usuario, rol, grupo) |
| ¿Otorga permisos? | NO — solo restringe el máximo permitido | SÍ — otorga permisos explícitos |
| ¿Afecta al root? | NO afecta a la Management Account | SÍ aplica al usuario root de la cuenta |
| Scope | Todas las acciones en la cuenta miembro | Solo al principal al que está adjunta |
| Caso de uso típico | Bloquear regiones, servicios o acciones org | Dar acceso a S3 a un rol específico |
| Evaluación | Se evalúa antes de IAM (deny implícito sin Allow SCP) | Se evalúa después de SCP |
Lógica de evaluación de permisos con SCPs
AWS recomienda una jerarquía de OUs que separa cargas de trabajo por entorno y función. Esta estructura permite aplicar SCPs específicas por nivel sin afectar otras OUs.
Contiene la Management Account. SCPs mínimas que aplican a toda la org (ej: bloquear regiones no autorizadas, requerir MFA en root).
Cuentas de seguridad centralizada. Acceso de solo lectura al resto de la organización para auditoría.
Servicios de infraestructura compartidos que consumen todas las cuentas de workload.
Sub-OUs por entorno. SCPs diferentes para prod (más restrictivas) vs dev (más permisivas).
AWS Control Tower
Servicio gestionado que automatiza el setup de una Landing Zone multi-cuenta con best practices de AWS. Orquesta Organizations, SSO, Config, CloudTrail y Service Catalog.
Landing Zone
Entorno multi-cuenta pre-configurado con seguridad y gobernanza. No es un servicio — es una arquitectura de referencia que Control Tower implementa.
| Tipo | Mecanismo | Ejemplo |
|---|---|---|
| Preventivo | SCP — bloquea acciones no permitidas | "No se puede deshabilitar CloudTrail" → SCP que deniega cloudtrail:StopLogging |
| Detectivo | AWS Config Rule — detecta y alerta sobre incumplimiento | "MFA habilitado en root" → Config rule que evalúa el estado |
| Proactivo | CloudFormation Hook — valida antes de aprovisionar | "Las instancias EC2 deben tener tags obligatorios" → hook en CloudFormation |
Para el SAP-C02 debes entender exactamente cómo interactúan SCPs e IAM. El examen presenta escenarios donde un administrador tiene permisos IAM amplios pero las SCPs los restringen.
Escenario 1
SCP: Deny ec2:* IAM: Allow ec2:*
DENY — SCP Deny explícito siempre gana
Escenario 2
SCP: Allow s3:* IAM: Deny s3:DeleteBucket
DENY en s3:DeleteBucket — IAM Deny explícito gana
Escenario 3
SCP: Allow s3:* IAM: Allow s3:GetObject
ALLOW s3:GetObject — ambas permiten
Escenario 4
SCP: no hay Allow para ec2:* IAM: Allow ec2:*
DENY — SCP no incluye Allow (deny implícito)
Escenario 5
Management Account SCP: Deny ec2:*
ALLOW — SCPs no aplican a la Management Account
Escenario 6
SCP: Allow s3:* IAM: sin política adjunta
DENY — sin IAM Allow no hay acceso (SCP no otorga)
SCPs y Resource-Based Policies
Las SCPs no limitan las resource-based policies cuando el principal que accede es de otra cuenta (cross-account). Una bucket policy que permite acceso a una cuenta externa no está sujeta a las SCPs de la cuenta del bucket — sí está sujeta a las SCPs de la cuenta del principal que accede.
La facturación consolidada agrega el uso de todas las cuentas miembro para calcular descuentos por volumen y compartir beneficios de Reserved Instances y Savings Plans.
Descuentos por volumen
AWS suma el uso de S3, EC2 data transfer, etc. de todas las cuentas para alcanzar umbrales de descuento más rápido.
Reserved Instances compartidas
Las RIs sin usar en una cuenta se aplican automáticamente a instancias idénticas en otras cuentas de la org.
Savings Plans compartidos
Los Savings Plans (Compute y EC2) se comparten en toda la organización, maximizando el ahorro.
Una sola factura
La Management Account recibe una única factura consolidada de todas las cuentas miembro.
Cuenta de Payer vs Cuenta Linked
Management Account (Payer)
Cuentas Miembro (Linked)
Trampa: "SCPs aplican a la Management Account"
Realidad: FALSO. Las SCPs nunca aplican a la Management Account, incluso si se aplica la SCP a la OU Root.
Trampa: ""Un SCP que permite todo garantiza acceso""
Realidad: FALSO. El SCP solo habilita que IAM pueda otorgar el permiso. Sin una IAM Policy que otorgue el permiso, no hay acceso.
Trampa: "Control Tower es solo para cuentas nuevas"
Realidad: FALSO. Se puede incorporar cuentas existentes a Control Tower con la función "Enroll Account".
Trampa: ""Deny en SCP se puede superar con IAM Allow""
Realidad: FALSO. Deny explícito en SCP es absoluto. Ninguna política IAM puede superar un Deny en SCP.
Trampa: "Organizations y Billing son lo mismo"
Realidad: Organizations es el servicio de gobernanza. La facturación consolidada es una característica, pero Organizations también gestiona SCPs, acceso cross-account y más.
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Una empresa tiene 200 cuentas AWS en una organización. El equipo de seguridad necesita garantizar que NINGUNA cuenta miembro pueda deshabilitar AWS CloudTrail, incluso si el administrador de esa cuenta tiene permisos de AdministratorAccess. ¿Cuál es la solución más apropiada?
Inicia sesión para llevar tu progreso.