Comencem la Part VI: AWS avançat, centrada en els aspectes transversals que distingeixen un professional: seguretat, observabilitat i costos. I arrenquem per la seguretat en profunditat. El primer concepte és organitzatiu i molt poderós: com gestionar diversos comptes d’AWS de manera centralitzada amb AWS Organizations, i com posar «barreres» de seguretat amb les Service Control Policies (SCP).

Fins ara hem treballat, implícitament, amb un compte d’AWS. Per aprendre està bé, però les empreses reals aviat es topen amb problemes si ho posen tot en un sol compte:

• Sense aïllament: desenvolupament i producció comparteixen compte; un error en proves pot afectar la producció.
• Difícil controlar costos per equip o projecte (tot es barreja en una factura).
• Permisos enrevessats: costa separar qui pot tocar què.
• Risc concentrat: si el compte es veu compromès, tot està en perill.

La solució professional és usar diversos comptes (un per a producció, un altre per a desenvolupament, un altre per a cada equip...) i gestionar-los de manera centralitzada. Veurem l’estratègia multi-compte a fons al Capítol 30; aquí veiem l’eina base.

AWS Organizations és el servei que et permet crear i gestionar múltiples comptes d’AWS de manera centralitzada, agrupats sota una organització. Tens un compte «arrel» (de gestió) i des d’ella administres tots els altres.

Beneficis principals:

• Gestió centralitzada de tots els comptes des d’un lloc.
• Facturació consolidada: una sola factura per a tota l’organització (i descomptes per volum agregat).
• Control centralitzat de la seguretat mitjançant les SCP (ho veiem tot seguit).

Dins d’una organització, els comptes s’agrupen en Unitats Organitzatives (OU, Organizational Units), com carpetes. Això et permet aplicar regles a grups de comptes de manera ordenada:

Analogia: una organització amb OUs és com una empresa amb departaments. La direcció (compte de gestió) estableix normes generals, i cada departament (OU) agrupa empleats (comptes) als quals s’apliquen certes regles. Pots donar instruccions a «tot el departament de producció» d’una vegada.

Aquí hi ha la peça de seguretat clau. Una Service Control Policy (SCP) és una regla que defineix el límit màxim del que es pot fer en un compte o OU. Són com barreres de seguretat (guardrails): estableixen el que està permès com a màxim, sense importar el que diguin els permisos individuals.

Important — la diferència amb IAM: recorda IAM (Capítol 7), que concedeix permisos a usuaris i rols. Les SCP són diferents: no concedeixen res, sinó que posen un sostre. Encara que un usuari tingui permisos IAM d’administrador, no pot fer alguna cosa que una SCP prohibeixi. La SCP guanya sempre.

Analogia: les SCP són com les lleis d’un país, i IAM com els permisos de la teva feina. El teu cap pot autoritzar-te moltes coses (IAM), però cap autorització laboral et permet saltar-te la llei (SCP). La llei marca el límit absolut que ningú pot creuar.

Les SCP permeten imposar regles innegociables a tota l’organització, que ningú pot saltar-se, ni tan sols un administrador d’un compte. Exemples típics de barreres de seguretat:

• Restringir regions: «només es poden crear recursos a Europa» (per normativa de dades, recorda la sobirania del subcapítol 3.4).
• Protegir l’auditoria: «ningú pot desactivar CloudTrail ni els logs de seguretat» (perquè sempre hi hagi rastre).
• Prohibir serveis concrets: «als comptes de desenvolupament no es poden usar serveis cars X o Y».
• Impedir accions perilloses: «ningú pot esborrar certs recursos crítics o les claus de xifratge».

El permís real d’algú és la intersecció: només pot fer el que IAM li concedeix I que la SCP permet. Si qualsevol dels dos ho prohibeix, no pot.

Exemple del món real: una empresa amb requisits de protecció de dades europea aplica una SCP a tota l’organització: «prohibit crear recursos fora de les regions de la UE». A partir d’aquell moment, tant és que un desenvolupador tingui permisos d’administrador: si intenta llançar un servidor als EUA, AWS li ho denega. La regla de compliment queda garantida tècnicament, no només en una política escrita que algú podria ignorar.

Les SCP són la capa més externa de la seguretat de la teva organització, el marc dins del qual operen totes les altres (IAM, Security Groups, WAF...). Recorda la defensa en profunditat del subcapítol 16.4: múltiples capes que es reforcen. Les SCP posen els límits màxims a nivell d’organització; dins d’ells, IAM afina els permisos concrets, i els altres controls protegeixen cada recurs.

• Un sol compte d’AWS no escala per a empreses (sense aïllament, costos barrejats, risc concentrat); la solució és usar diversos comptes gestionats de manera centralitzada.
• AWS Organizations permet crear i gestionar múltiples comptes centralitzadament, amb facturació consolidada i agrupats en Unitats Organitzatives (OU) (com departaments).
• Les Service Control Policies (SCP) són barreres de seguretat que defineixen el límit màxim del que està permès en un compte o OU. A diferència d’IAM (que concedeix permisos), les SCP posen un sostre que ningú pot superar, ni un administrador.
• Com les lleis d’un país davant dels permisos de la teva feina: cap autorització et permet saltar-te la llei.
• El permís real és la intersecció d’IAM i SCP. Usos típics: restringir regions, protegir l’auditoria, prohibir serveis o accions perilloses.
• Les SCP són la capa més externa de la defensa en profunditat a nivell d’organització.

Al següent subcapítol veurem com assegurar que els teus recursos compleixen contínuament les regles amb AWS Config.