Gestionar infraestructura en cientos de cuentas AWS requiere herramientas que van más allá de CloudFormation básico. StackSets, Service Catalog, Systems Manager y CDK son los pilares del gobierno de infraestructura a escala empresarial.
Contenido
Consistencia
Garantizar que todas las cuentas tengan la misma configuración de seguridad, red y compliance.
Velocidad
Aprovisionar recursos en nuevas cuentas sin procesos manuales que tarden días.
Autoservicio
Permitir que equipos de desarrollo desplieguen lo que necesitan sin depender de ops.
Guardrails
Asegurar que el autoservicio no cree infraestructura que viole políticas de seguridad o costos.
| Herramienta | Propósito principal | Escenario típico SAP-C02 |
|---|---|---|
| CloudFormation StackSets | Desplegar stacks en múltiples cuentas/regiones desde un único punto | Crear VPC base en 50 cuentas con la misma configuración de red |
| AWS Service Catalog | Catálogo de productos aprobados con autoservicio controlado | Permitir que devs lancen entornos de desarrollo sin violar políticas |
| Systems Manager (SSM) | Gestión de flota: parches, configuración, secrets, ejecución de comandos | Parchado de 1,000 instancias EC2 en múltiples cuentas |
| AWS CDK | IaC con TypeScript/Python/Java/Go con constructos reutilizables | Equipos que prefieren código vs YAML/JSON para definir infraestructura |
| AWS Proton | Plataforma de infraestructura self-service para equipos de producto | Centralizar templates de deployment para docenas de microservicios |
StackSets extiende CloudFormation para desplegar stacks en múltiples cuentas AWS y regiones con una sola operación. Es la herramienta central para gobernanza de infraestructura a nivel organizacional.
Modos de despliegue
Self-Managed (manual)
El administrador configura manualmente los roles IAM en cada cuenta destino (AWSCloudFormationStackSetAdministrationRole + AWSCloudFormationStackSetExecutionRole). Funciona cross-account y fuera de Organizations.
Service-Managed (Organizations)
Usa Organizations para gestionar automáticamente los permisos. Puedes desplegar a OUs enteras y habilitar auto-despliegue en nuevas cuentas. No requiere configurar roles manualmente.
Opciones de despliegue
Service Catalog permite a los administradores crear un catálogo de productos de infraestructura (basados en CloudFormation) que los usuarios pueden desplegar en autoservicio, cumpliendo siempre con las políticas de la empresa.
Portfolio
Colección de productos relacionados. Se comparte con usuarios, grupos o cuentas vía Organizations.
Product
CloudFormation template versionado. El usuario final no ve ni modifica el template — solo selecciona parámetros permitidos.
Constraint
Reglas que gobiernan el despliegue: Launch Constraint (IAM role fijo), Notification Constraint (SNS), Template Constraint (limita parámetros disponibles).
Caso de uso del examen
"Una empresa quiere que sus desarrolladores puedan lanzar entornos EC2 de desarrollo sin gestionar IAM ni permisos de CloudFormation, pero solo tipos de instancia aprobados y en regiones autorizadas." → Service Catalog con Template Constraints que limitan instanceType y región.
Capacidades principales para el SAP-C02
Parameter Store vs Secrets Manager
SSM Parameter Store
Secrets Manager
CDK permite definir infraestructura AWS usando TypeScript, Python, Java, Go o C# en lugar de YAML/JSON. Se compila a CloudFormation templates. Habilita lógica de programación: bucles, condicionales, herencia y componentes reutilizables.
Constructs
Unidades reutilizables. L1 (1:1 con recursos CFn), L2 (abstracciones con defaults inteligentes), L3 (patrones completos: VPC+ECS+ALB).
CDK Pipelines
Pipeline CI/CD para IaC con CDK. Despliegue automático de cambios de infraestructura via CodePipeline.
CDK Aspects
Aplica operaciones transversales a todos los recursos del stack (ej: añadir tags a todos los recursos, validar configuraciones).
Proton es para organizations donde un equipo central de plataforma gestiona templates de deployment y los equipos de producto los consumen en autoservicio. Soporta CloudFormation y Terraform.
Environment Templates
Infrastructure compartida (VPC, EKS cluster) que los servicios usan.
Service Templates
Patrones de despliegue por tipo de app: Lambda API, ECS service, etc.
Syncing automático
Cuando el equipo de plataforma actualiza un template, Proton sincroniza automáticamente los servicios que lo usan.
Caso de uso
"100 microservicios deben usar el mismo patrón de red y seguridad, actualizable centralmente." → Proton.
Trampa: "CloudFormation StackSets Self-Managed y Service-Managed son equivalentes"
Realidad: Diferentes. Service-Managed requiere Organizations y gestiona permisos automáticamente. Self-Managed requiere configuración manual de roles IAM en cada cuenta — funciona sin Organizations.
Trampa: "Secrets Manager y Parameter Store son intercambiables"
Realidad: Para secretos que necesitan rotación automática (contraseñas de DB) → Secrets Manager. Para configuración de apps y secretos simples sin rotación → Parameter Store (más barato).
Trampa: "AWS CDK es un servicio de AWS que ejecuta código"
Realidad: CDK es un framework de desarrollo que corre localmente. Genera CloudFormation templates que son los que realmente se ejecutan. CDK mismo no es un servicio que AWS gestione.
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Una empresa tiene 300 cuentas AWS en Organizations. El equipo de seguridad quiere asegurarse de que TODAS las cuentas tengan AWS Config habilitado y una Config Rule específica ('restricted-ssh') que detecte grupos de seguridad con puerto 22 abierto al mundo. Las nuevas cuentas deben recibir esta configuración automáticamente. ¿Cuál es la solución más eficiente?
Inicia sesión para llevar tu progreso.