Ja tenim una organització amb molts comptes (subcapítol 30.1), creades i governades amb Control Tower (subcapítol 30.2). Però aquesta estructura multi-compte crea un nou repte: si tens la seguretat i els registres (logs) repartits en desenes de comptes, com els vigiles i gestiones de forma conjunta? Revisar compte per compte seria impossible. La solució és centralitzar la seguretat i els logs: reunir-ho tot en un lloc comú per veure-ho i controlar-ho de forma global. En aquest subcapítol veiem per què i com.
El problema: seguretat i logs dispersos en molts comptes
Recorda tota la seguretat i observabilitat que vam veure (Capítols 23 i 24): logs d’activitat, troballes d’amenaces, registres d’auditoria... Si cadascun dels teus 50 comptes genera la seva pròpia seguretat i els seus propis logs per separat, vigilar-ho tot es torna inviable:
50 comptes, cadascun amb ELS SEUS logs i LA SEVA seguretat per separat: ❌ revisar els logs de 50 comptes un per un? impossible ❌ detectar un atac que toca diversos comptes? no ho veuries ❌ demostrar a un auditor l’estat global? molt difícil ❌ si algú esborra els logs del seu compte, qui se n’assabenta?
Necessites una visió i gestió central de la seguretat i els logs de tota l’organització, no fragmentada compte per compte.
La solució: centralitzar (comptes especialitzats)
La pràctica recomanada és centralitzar la seguretat i els logs en comptes dedicats. És molt habitual tenir:
- Un compte de logs (log archive): on es reuneixen els registres de tots els comptes, guardats de forma segura.
- Un compte de seguretat (security/audit): des d’on l’equip de seguretat vigila i gestiona la seguretat de tota l’organització.
Compte A ─┐
Compte B ─┼──► COMPTE DE LOGS (tots els registres junts, segurs)
Compte C ─┘ │
└──► COMPTE DE SEGURETAT (l’equip de seguretat
vigila TOTA l’organització des d’aquí)Recorda que Control Tower (subcapítol 30.2) sol crear aquests comptes especialitzats automàticament com a part de la landing zone.
Analogia: centralitzar la seguretat i els logs és com tenir una central de seguretat i un arxiu central per a tota una cadena de botigues. En lloc que cada botiga guardi les seves pròpies gravacions de càmeres i tingui el seu propi vigilant aïllat (sense que ningú vegi el conjunt), totes les càmeres envien el seu senyal a una central de seguretat única, i totes les gravacions es guarden en un arxiu central protegit. Així, un equip central vigila totes les botigues alhora, detecta patrons que creuen diverses, i les gravacions estan a resguard encara que algú manipuli una botiga concreta.
Per què centralitzar els logs
Reunir els logs de tots els comptes en un compte de logs dedicat aporta:
- Visió completa
Tens tots els registres en un lloc, cosa que permet analitzar l’activitat de tota l’organització de forma conjunta (per exemple, amb les eines d’observabilitat del Capítol 24, o un data lake de logs, recorda el Capítol 29).
- Protecció dels logs (a prova de manipulació)
Si els logs de cada compte es guarden fora d’aquell compte (al compte central de logs, al qual els equips normals no tenen accés d’esborrat), ningú pot manipular o esborrar els registres del seu propi compte per ocultar alguna cosa. Això és clau per a l’auditoria i la seguretat: els logs són fiables i intactes.
Logs guardats al compte central (no al compte d’origen) → encara que algú comprometi un compte, NO pot esborrar els seus logs → els registres queden a resguard com a prova
- Compliment i auditoria
Tenir tots els registres centralitzats i protegits facilita enormement demostrar compliment a auditors i reguladors (enllaça amb el Capítol 23): hi ha un únic lloc, segur, amb tot el rastre.
Per què centralitzar la seguretat
Gestionar la seguretat des d’un compte de seguretat central permet:
- Vigilància global
L’equip de seguretat veu i gestiona la seguretat de tots els comptes des d’un punt. Recorda Security Hub (subcapítol 23.4) i GuardDuty (subcapítol 23.3): es poden configurar per agregar les troballes de tota l’organització al compte de seguretat, donant aquesta visió central que vam veure tan valuosa.
GuardDuty i Security Hub de TOTS els comptes → agregats al compte de seguretat central → l’equip veu les amenaces de tota l’organització en un lloc
- Detecció d’amenaces que creuen comptes
Alguns atacs toquen diversos comptes. Només veient-los de forma conjunta (des del compte central) es detecten aquests patrons que, compte per compte, passarien desapercebuts.
- Resposta coordinada
Davant un incident, l’equip de seguretat central pot coordinar la resposta a través dels comptes afectats, en lloc d’actuar a cegues en cadascun.
La idea clau: govern central, operació distribuïda
El model que emergeix és molt potent: cada equip opera de forma autònoma al seu compte (llibertat per treballar), però la seguretat i els logs es governen de forma central (control i visió global). El millor dels dos mons: autonomia per als equips i control per a l’organització.
Equips: autònoms als seus comptes (operació distribuïda) Seguretat i logs: centralitzats (govern central) → llibertat + control alhora
Exemple del món real: una empresa amb 40 comptes centralitza la seva seguretat i logs. Tots els registres dels 40 comptes s’envien a un compte de logs protegit, al qual els equips de producte no tenen accés d’esborrat. Tota la detecció d’amenaces (GuardDuty, Security Hub) dels 40 comptes s’agrega al compte de seguretat, on l’equip de seguretat vigila el conjunt. Un dia, un atacant compromet les credencials d’un equip i intenta moure’s cap a altres comptes. Com que la seguretat està centralitzada, l’equip detecta el patró (activitat sospitosa creuant comptes) que en comptes aïllats hauria passat desapercebut, i respon de forma coordinada. A més, l’atacant no pot esborrar els logs del compte que va comprometre (estan al compte central), així que queda tot el rastre per investigar. La centralització va ser decisiva.
El que has de recordar
- Amb molts comptes, tenir la seguretat i els logs dispersos en cadascun fa impossible vigilar-los en conjunt, detectar atacs que creuen comptes o demostrar el compliment global.
- La solució és centralitzar en comptes dedicats: un compte de logs (reuneix els registres de tots els comptes) i un compte de seguretat (des d’on es vigila tota l’organització). Els crea Control Tower (subcap. 30.2). Com una central de seguretat i arxiu central per a una cadena de botigues.
- Centralitzar logs dona: visió completa, protecció a prova de manipulació (ningú esborra els logs del seu propi compte, queden a resguard com a prova) i compliment més fàcil.
- Centralitzar seguretat dona: vigilància global (GuardDuty/Security Hub agregats, Cap. 23), detecció d’amenaces que creuen comptes i resposta coordinada.
- El model resultant: govern central (seguretat i logs) + operació distribuïda (equips autònoms als seus comptes) = llibertat i control alhora.
A l’últim subcapítol del capítol veurem com gestionar tota aquesta estructura multi-compte amb Terraform, és a dir, Terraform a escala multi-compte.
Cloud, AWS & Terraform — De zero a expert
Capítol 1 · Què és el cloud computing
- 1.1 El model client-servidor tradicional
- 1.2 Problemes que venia a resoldre el núvol
- 1.3 On-premise vs cloud vs híbrid
- 1.4 Els tres models de servei: IaaS, PaaS, SaaS
- 1.5 Els cinc pilars del cloud (segons NIST)
- 1.6 Avantatges reals: elasticitat, pagament per ús, disponibilitat global
Capítol 2 · El mercat cloud i els grans proveïdors
- 2.1 AWS, Azure i GCP: diferències i quotes de mercat
- 2.2 Per què aprendre AWS primer
- 2.3 Conceptes que són universals entre proveïdors
Capítol 3 · Regions, zones de disponibilitat i edge
- 3.1 Què és una regió AWS i com triar-la
- 3.2 Availability Zones: alta disponibilitat des del disseny
- 3.3 Edge locations i CloudFront
- 3.4 Latència, resiliència i sobirania de dades
Capítol 4 · Càlcul: EC2
- 4.1 Instàncies: tipus, famílies i quan triar cadascuna
- 4.2 AMIs, key pairs i Security Groups
- 4.3 Cicle de vida d'una instància
- 4.4 Elastic IPs i Placement Groups
- 4.5 Savings Plans vs Reserved vs On-Demand vs Spot
Capítol 5 · Emmagatzematge: S3
- 5.1 Buckets, objectes i claus
- 5.2 Classes d'emmagatzematge (Standard, IA, Glacier…)
- 5.3 Versionat i cicle de vida d'objectes
- 5.4 Polítiques de bucket i ACLs
- 5.5 Hosting de llocs web estàtics
Capítol 6 · Xarxes: VPC
- 6.1 Què és una VPC i per què la necessites
- 6.2 Subxarxes públiques i privades
- 6.3 Internet Gateway i NAT Gateway
- 6.4 Route Tables i Network ACLs
- 6.5 VPC Peering i endpoints
Capítol 7 · Identitat i accés: IAM
- 7.1 Usuaris, grups, rols i polítiques
- 7.2 El principi de mínim privilegi
- 7.3 Polítiques basades en identitat vs en recurs
- 7.4 MFA i credencials temporals (STS)
- 7.5 Bones pràctiques de seguretat IAM
Capítol 8 · Bases de dades gestionades
- 8.1 RDS: motors, Multi-AZ i rèpliques de lectura
- 8.2 Aurora i els seus avantatges sobre RDS vanilla
- 8.3 DynamoDB: model clau-valor / documents
- 8.4 ElastiCache per a memòria cau en memòria
- 8.5 Quan utilitzar cada tipus de base de dades
Capítol 9 · Per què Infraestructura com a Codi
- 9.1 Problemes del provisionament manual
- 9.2 IaC declaratiu vs imperatiu
- 9.3 Terraform vs CloudFormation vs Pulumi vs CDK
- 9.4 El cicle plan → apply → destroy
Capítol 10 · HCL: el llenguatge de Terraform
- 10.1 Blocs resource, variable, output, locals
- 10.2 Tipus de dades: string, number, bool, list, map, object
- 10.3 Expressions, referències i funcions built-in
- 10.4 Condicionals i bucles (count, for_each, for)
Capítol 11 · Providers i estat
- 11.1 Com funciona el provider d'AWS
- 11.2 El fitxer terraform.tfstate i la seva importància
- 11.3 State local vs state remot (S3 + DynamoDB)
- 11.4 Comandes essencials: init, plan, apply, destroy, fmt, validate
Capítol 12 · La teva primera infraestructura real amb Terraform
- 12.1 Crear una VPC amb subxarxes des de zero
- 12.2 Posar en marxa una instància EC2 pública
- 12.3 Associar un Security Group i una Elastic IP
- 12.4 Outputs i referències entre recursos
- 12.5 Flux de treball en equip: PR review de plans
Capítol 13 · Balanceig de càrrega i autoescalat
- 13.1 Application Load Balancer vs Network Load Balancer
- 13.2 Target Groups, listeners i regles
- 13.3 Auto Scaling Groups: polítiques i mètriques
- 13.4 Warm pools i lifecycle hooks
Capítol 14 · Serverless amb Lambda
- 14.1 El model d'execució de Lambda
- 14.2 Triggers: API Gateway, S3, DynamoDB Streams, SQS
- 14.3 Gestió de dependències i capes (Layers)
- 14.4 Cold starts i estratègies per reduir-los
- 14.5 Límits i antipatrones
Capítol 15 · Missatgeria i esdeveniments
- 15.1 SQS: cues estàndard vs FIFO, DLQ
- 15.2 SNS: topics, subscripcions, fan-out
- 15.3 EventBridge: event buses i regles
- 15.4 Patrons: pub/sub, desacoblament, saga
Capítol 16 · Lliurament de contingut i DNS
- 16.1 Route 53: tipus de registres i routing policies
- 16.2 CloudFront: distribucions, memòries cau i origins
- 16.3 ACM: certificats SSL/TLS gratuïts
- 16.4 WAF integrat amb CloudFront
Capítol 17 · Contenidors a AWS
- 17.1 Docker: repàs exprés de conceptes clau
- 17.2 ECR: registre privat d'imatges
- 17.3 ECS: task definitions, services, Fargate vs EC2
- 17.4 EKS: quan Kubernetes i quan no
Capítol 18 · Mòduls: reutilització i composició
- 18.1 Anatomia d'un mòdul Terraform
- 18.2 Variables d'entrada, outputs i dependències
- 18.3 Mòduls locals vs mòduls del Terraform Registry
- 18.4 Versionat de mòduls amb Git tags
- 18.5 Disseny de mòduls genèrics vs específics de domini
Capítol 19 · Workspaces i gestió d'entorns
- 19.1 Workspaces de Terraform: casos d'ús i limitacions
- 19.2 Estratègia de directoris per entorn (dev/stg/prod)
- 19.3 Terragrunt: DRY per a configuracions d'entorn
- 19.4 Variables d'entorn i fitxers .tfvars
Capítol 20 · Backends remots i locking
- 20.1 Configurar S3 + DynamoDB com a backend
- 20.2 State locking: evitar corrupció en equip
- 20.3 Migració d'estat entre backends
- 20.4 terraform import: portar recursos existents a l'estat
Capítol 21 · Testing d'infraestructura
- 21.1 Terraform validate i fmt en CI
- 21.2 Checkov i tfsec: anàlisi de seguretat estàtica
- 21.3 Terratest: tests d'integració en Go
- 21.4 Contract testing entre mòduls
Capítol 22 · Terraform en CI/CD
- 22.1 Pipeline bàsic: lint → plan → apply a GitHub Actions
- 22.2 Atlantis: GitOps per a Terraform
- 22.3 Terraform Cloud / HCP Terraform
- 22.4 Drift detection i reconciliació automàtica
Capítol 23 · Seguretat en profunditat
- 23.1 AWS Organizations i Service Control Policies
- 23.2 AWS Config: compliment continu
- 23.3 GuardDuty: detecció d'amenaces
- 23.4 Security Hub: visió centralitzada
- 23.5 KMS: gestió de claus i rotació
- 23.6 Secrets Manager vs Parameter Store
Capítol 24 · Observabilitat: logs, mètriques i traces
- 24.1 CloudWatch Logs, mètriques i alarmes
- 24.2 CloudWatch Dashboards i Contributor Insights
- 24.3 X-Ray: traçat distribuït
- 24.4 OpenTelemetry a AWS
- 24.5 Managed Grafana i Managed Prometheus
Capítol 25 · Optimització de costos
- 25.1 AWS Cost Explorer i pressupostos amb alertes
- 25.2 Trusted Advisor i Compute Optimizer
- 25.3 Rightsizing: com detectar sobredimensionament
- 25.4 Savings Plans vs Reserved Instances: decisió estratègica
- 25.5 FinOps: cultura i processos per controlar la despesa
Capítol 26 · Alta disponibilitat i disaster recovery
- 26.1 RTO i RPO: definir els objectius
- 26.2 Estratègies: backup/restore, pilot light, warm standby, multi-site
- 26.3 Route 53 health checks i failover automàtic
- 26.4 AWS Backup: política centralitzada de còpies
Capítol 27 · Well-Architected Framework d'AWS
- 27.1 Els sis pilars: excel·lència operacional, seguretat, fiabilitat, eficiència de rendiment, optimització de costos, sostenibilitat
- 27.2 Well-Architected Tool: revisions formals
- 27.3 Com aplicar el framework en decisions de disseny
Capítol 28 · Arquitectures serverless a escala
- 28.1 Event-driven architecture amb Lambda + EventBridge
- 28.2 Saga pattern per a transaccions distribuïdes
- 28.3 Step Functions: orquestració de workflows complexos
- 28.4 Lambda@Edge i CloudFront Functions
Capítol 29 · Plataformes de dades a AWS
- 29.1 Data Lake amb S3, Glue i Athena
- 29.2 Kinesis Data Streams i Firehose per a streaming
- 29.3 Redshift: data warehousing a escala
- 29.4 Lake Formation: govern del dada
Capítol 30 · Multi-compte i landing zones
- 30.1 Per què separar workloads en comptes diferents
- 30.2 AWS Control Tower i Account Factory
- 30.3 Gestió centralitzada de logs i seguretat
- 30.4 Terraform a escala multi-compte amb mòduls compartits
Capítol 31 · Platform Engineering i Internal Developer Platform
- 31.1 Golden paths i abstraccions sobre Terraform
- 31.2 Service Catalog d'AWS
- 31.3 Backstage com a portal de desenvolupadors
- 31.4 Mòduls Terraform com a producte intern
Capítol 32 · Certificacions AWS rellevants
- 32.1 Cloud Practitioner: val la pena?
- 32.2 Solutions Architect Associate → Professional
- 32.3 DevOps Engineer Professional
- 32.4 Specialty: Security, Database, Networking
- 32.5 HashiCorp Terraform Associate
Capítol 33 · Projectes per consolidar el que s'ha après
- 33.1 Projecte 1: blog serverless (S3 + CloudFront + Lambda + DynamoDB)
- 33.2 Projecte 2: API REST amb ECS Fargate + RDS + ALB
- 33.3 Projecte 3: plataforma de dades amb Glue + Athena + Redshift
- 33.4 Projecte 4: landing zone multi-compte amb Terraform i Control Tower