Ruta CLF-C02 Dominio 2 · Seguridad y cumplimiento AWS Organizations, cuentas y SCP para CLF-C02

Guía AWS Cloud Practitioner CLF-C02

31 módulos 4 dominios
Preparación1
Dominio 12
Dominio 23
Dominio 34
Dominio 45
Estás en:
Preparación
Resumen del curso Estrategia de examen AWS CLF-C02
Dominio 1 · Conceptos cloud
Dominio 1 · Conceptos cloud Beneficios de cloud: agilidad, elasticidad, pago por uso y economía de escala Infraestructura global AWS: regiones, zonas de disponibilidad y edge locations AWS Well-Architected Framework: los pilares que debes dominar Migración a AWS: CAF, estrategias 7R, DMS, MGN y Snow Family
Dominio 2 · Seguridad y cumplimiento
Dominio 2 · Seguridad y cumplimiento Modelo de responsabilidad compartida IAM en AWS: identidades, permisos, roles, políticas y MFA Cifrado y protección de datos en AWS Servicios de seguridad AWS para CLF-C02 Monitorización, auditoría y gobierno: CloudWatch, CloudTrail y AWS Config AWS Organizations, cuentas y SCP para CLF-C02 Compliance, AWS Artifact y gobierno en AWS
Dominio 3 · Tecnología y servicios AWS
Dominio 3 · Tecnología y servicios AWS Amazon EC2, Auto Scaling y Elastic Load Balancing Amazon VPC: redes básicas en AWS para CLF-C02 Amazon S3: almacenamiento de objetos, clases, versioning, lifecycle y Glacier EBS, EFS, AWS Backup y Storage Gateway para CLF-C02 CloudFront, Route 53 y servicios edge para CLF-C02 Bases de datos AWS: RDS, Aurora, DynamoDB, Redshift y más Serverless y contenedores: Lambda, ECS, EKS y Fargate Integración de aplicaciones: SQS, SNS, EventBridge, API Gateway y Step Functions Herramientas de gestión y despliegue en AWS Analítica e IA básica en AWS: Athena, Glue, QuickSight, Kinesis y SageMaker Machine Learning e IA en AWS para CLF-C02
Dominio 4 · Facturación, precios y soporte
Dominio 4 · Facturación, precios y soporte Facturación, precios y soporte en AWS Optimización de costes en AWS para CLF-C02 Soporte, documentación y recursos de aprendizaje AWS para CLF-C02
Módulo 12 de 29 · Dominio 2 · Seguridad y cumplimiento

AWS Organizations, cuentas y SCP para CLF-C02

◷ 15 min

AWS Organizations es uno de esos servicios que al principio parece “solo para empresas grandes”, pero en realidad representa una idea muy importante en AWS: no deberías meterlo todo en una única cuenta si quieres trabajar de forma segura, ordenada y controlada.

Para la certificación AWS Certified Cloud Practitioner CLF-C02 no necesitas saber configurar una organización completa desde cero, pero sí debes entender para qué sirve, cuándo aparece en el examen y qué diferencia hay entre una cuenta AWS, una unidad organizativa, una SCP, la facturación consolidada y AWS Control Tower.

Idea clave: AWS Organizations te ayuda a gobernar varias cuentas AWS desde un punto central. Las SCP no conceden permisos: ponen límites máximos a lo que las cuentas pueden hacer.

Objetivos de aprendizaje

Entender el modelo multi-cuenta

Comprender por qué separar producción, desarrollo, seguridad, logging o equipos en cuentas diferentes mejora el aislamiento y el control.

Diferenciar cuentas, OUs y organización

Saber qué es una cuenta AWS, qué es una unidad organizativa y cómo AWS Organizations ayuda a gestionarlas.

Dominar la idea de SCP

Recordar que las Service Control Policies limitan permisos máximos, pero no conceden permisos por sí solas.

Reconocer escenarios de examen

Identificar cuándo usar consolidated billing, AWS Control Tower, SCP, OUs o IAM según el enunciado.

1. Qué problema resuelve AWS Organizations

Imagina una empresa que empieza usando AWS con una sola cuenta. Al principio todo parece sencillo: una cuenta, una factura, unos usuarios y varios servicios desplegados. Pero con el tiempo empiezan los problemas:

  • Producción y desarrollo están mezclados.
  • No queda claro qué equipo genera cada coste.
  • Un error en pruebas puede afectar a recursos críticos.
  • Todos los administradores tienen demasiado acceso.
  • No hay una forma sencilla de aplicar reglas comunes a varias cuentas.
  • Seguridad quiere controlar regiones o servicios permitidos.
  • Finanzas quiere una visión centralizada de gasto.

AWS Organizations aparece para poner orden. Permite agrupar y gestionar varias cuentas AWS bajo una misma organización. Con esto puedes separar entornos, aplicar límites, centralizar facturación y construir una base más profesional.

Para el examen: cuando una pregunta hable de gestionar muchas cuentas AWS, aplicar gobierno centralizado o recibir una factura consolidada, piensa en AWS Organizations.

2. La cuenta AWS como frontera de aislamiento

Una cuenta AWS no es simplemente “un login”. En AWS, una cuenta funciona como una frontera importante de aislamiento. Dentro de una cuenta viven recursos, identidades, permisos, facturación, límites y configuraciones.

Separar cuentas ayuda a evitar que todo esté mezclado. Por ejemplo, una empresa puede tener:

  • Una cuenta para producción.
  • Una cuenta para desarrollo.
  • Una cuenta para pruebas.
  • Una cuenta para seguridad.
  • Una cuenta para logs centralizados.
  • Una cuenta para red compartida.
  • Cuentas separadas por departamento o país.

Esto reduce riesgos. Si alguien comete un error en una cuenta de desarrollo, ese error no debería afectar directamente a producción. También facilita ver costes por cuenta y aplicar reglas diferentes según la criticidad del entorno.

3. Por qué no meter todo en una sola cuenta

Para aprender está bien usar una cuenta única. Para una empresa real, no suele ser buena idea. Una única cuenta para todo puede acabar siendo difícil de proteger y de auditar.

Separar por cuentas permite:

  • Mejor seguridad: cada entorno tiene sus propios límites.
  • Mejor control de costes: es más fácil saber qué cuenta consume más.
  • Menos impacto ante errores: desarrollo no afecta directamente a producción.
  • Gobierno más sencillo: puedes aplicar restricciones por grupos de cuentas.
  • Cumplimiento: ciertos datos o workloads pueden necesitar estar separados.

4. Cuenta de administración y cuentas miembro

Dentro de AWS Organizations existe una cuenta de administración, conocida como management account. Esta cuenta crea y administra la organización. Desde ella se gestionan cuentas, invitaciones, OUs, políticas y facturación consolidada.

Las demás cuentas son cuentas miembro. Por ejemplo, una cuenta de producción, una cuenta de desarrollo o una cuenta de seguridad.

La cuenta de administración es sensible. No debería usarse para desplegar aplicaciones normales. Es mejor reservarla para tareas de gobierno, administración y facturación.

Consejo de examen: si el enunciado menciona la cuenta que administra toda la organización, se refiere a la management account. Si habla de cuentas incluidas dentro de la organización, son member accounts.

5. Qué son las Organizational Units, OUs

Una Organizational Unit, o OU, es una agrupación lógica de cuentas dentro de AWS Organizations. Puedes pensar en una OU como una carpeta donde metes cuentas que comparten una finalidad o unas reglas comunes.

Ejemplos típicos:

  • OU de producción.
  • OU de desarrollo.
  • OU de seguridad.
  • OU de sandbox o laboratorios.
  • OU por país o filial.
  • OU por unidad de negocio.

La ventaja de las OUs es que puedes aplicar políticas a varias cuentas a la vez. Por ejemplo, las cuentas de producción pueden tener restricciones más fuertes que las cuentas de laboratorio.

6. Ejemplo sencillo de estructura multi-cuenta

Una estructura básica podría ser:

Cuenta u OUUso principalPor qué existe
Management accountAdministrar la organizaciónGestiona cuentas, políticas y billing centralizado.
Security accountCentralizar seguridadRecibe hallazgos, controles o herramientas de seguridad.
Logging accountCentralizar logsGuarda evidencias y registros de varias cuentas.
Production OUCuentas productivasEntornos críticos con reglas más estrictas.
Development OUCuentas de desarrolloEntornos más flexibles para construir y probar.
Sandbox OULaboratorios o pruebasEspacios controlados para experimentar.

No necesitas memorizar esta estructura exacta para CLF-C02, pero sí entender la lógica: separar, controlar, medir y gobernar.

7. Facturación consolidada

Una de las funciones más fáciles de reconocer en el examen es consolidated billing, o facturación consolidada.

Permite que una organización tenga varias cuentas AWS, pero reciba una facturación centralizada. Esto ayuda al equipo financiero a ver el gasto global, analizar costes por cuenta y simplificar pagos.

Importante: facturación consolidada no significa que todos los recursos se mezclen en una cuenta. Las cuentas siguen separadas. Lo que se centraliza es la vista financiera y la factura.

Escenario tipo examen

Una empresa tiene varias cuentas AWS para distintos departamentos y quiere recibir una única factura mensual. La respuesta más directa es AWS Organizations con consolidated billing.

8. Qué son las Service Control Policies, SCP

Las Service Control Policies, o SCP, son políticas que establecen límites máximos de permisos para cuentas dentro de una organización.

Esta es la frase que debes grabarte para el examen:

Una SCP no concede permisos. Una SCP limita permisos.

Es decir, aunque un usuario, grupo o rol tenga una política IAM que permita una acción, si una SCP bloquea esa acción, no se podrá realizar.

9. IAM concede, SCP limita

Esta diferencia es fundamental. IAM y SCP no hacen lo mismo.

ConceptoQué haceEjemplo sencillo
IAM policyConcede o deniega permisos a usuarios, grupos o roles dentro de una cuenta.Permitir que una Lambda escriba en DynamoDB.
SCPDefine el máximo de permisos que una cuenta puede usar.Impedir que una OU use regiones no aprobadas.
OUAgrupa cuentas dentro de AWS Organizations.OU de producción, OU de desarrollo o OU de laboratorios.

Una forma sencilla de recordarlo:

  • IAM responde: ¿esta identidad tiene permiso?
  • SCP responde: aunque tenga permiso, ¿la organización permite hacerlo?

10. Ejemplo claro de SCP

Imagina que un administrador tiene permisos IAM para crear instancias EC2. Sin embargo, su cuenta pertenece a una OU donde hay una SCP que bloquea el uso de EC2 en una región concreta.

Resultado: aunque IAM permita lanzar EC2, la acción falla porque la SCP lo impide.

Cómo lo preguntan en CLF-C02

“Un usuario tiene permisos administrativos en una cuenta, pero no puede usar un servicio concreto porque la cuenta pertenece a una OU con una política que lo restringe”. La pista apunta a una SCP.

11. Para qué se usan las SCP

Las SCP suelen utilizarse para aplicar límites globales en una organización. Algunos ejemplos:

  • Bloquear regiones que la empresa no quiere usar.
  • Impedir el uso de servicios no aprobados.
  • Evitar que cuentas de laboratorio creen recursos caros.
  • Proteger cuentas críticas de acciones peligrosas.
  • Impedir que se desactive CloudTrail.
  • Impedir que se borren buckets de logs centralizados.

Esto no sustituye a una buena configuración de IAM, pero añade una capa de gobierno muy útil para entornos multi-cuenta.

12. SCP y deny explícito

Si una SCP contiene una denegación explícita sobre una acción, esa acción queda bloqueada para las cuentas afectadas. Aunque una política IAM permita esa acción, el límite superior de la organización prevalece.

Para CLF-C02 no necesitas escribir una SCP en JSON. Lo importante es entender el comportamiento:

  • Las SCP afectan a cuentas dentro de AWS Organizations.
  • Las SCP pueden aplicarse a la organización, a una OU o a cuentas concretas.
  • Las SCP no dan permisos por sí solas.
  • Las SCP reducen el conjunto de permisos posibles.

13. AWS Control Tower

AWS Control Tower ayuda a crear y gobernar un entorno multi-cuenta siguiendo buenas prácticas. En el examen puede aparecer asociado a la idea de landing zone.

Una landing zone es una base inicial bien organizada para empezar a trabajar en AWS: cuentas, seguridad, logging, identidad, gobierno y controles. Control Tower ayuda a crear esa base de una forma más guiada.

Para el examen: si el escenario dice “crear rápidamente una landing zone multi-cuenta con buenas prácticas”, piensa en AWS Control Tower.

14. AWS Organizations frente a Control Tower

ServicioFunciónPista de examen
AWS OrganizationsGestiona cuentas, OUs, SCP y facturación consolidada.Gobierno multi-cuenta, consolidated billing, límites organizativos.
AWS Control TowerAyuda a crear y gobernar una landing zone multi-cuenta.Landing zone, buenas prácticas, configuración inicial gobernada.

Control Tower se apoya en AWS Organizations, pero no son exactamente lo mismo. Organizations es el servicio base de gestión multi-cuenta. Control Tower es una capa guiada para construir y gobernar esa base con buenas prácticas.

15. Relación con IAM Identity Center

Cuando una empresa tiene muchas cuentas, también necesita que los usuarios puedan acceder de forma centralizada. Aquí aparece IAM Identity Center, antes conocido como AWS SSO.

IAM Identity Center ayuda a gestionar acceso de usuarios humanos a múltiples cuentas AWS mediante Single Sign-On. No organiza cuentas como AWS Organizations, sino que facilita el acceso a ellas.

NecesidadServicio más relacionadoPor qué
Organizar muchas cuentas AWSAWS OrganizationsGestiona cuentas, OUs y políticas.
Acceso SSO de usuarios a varias cuentasIAM Identity CenterCentraliza acceso de usuarios humanos.
Crear una landing zone gobernadaAWS Control TowerAutomatiza una base multi-cuenta con buenas prácticas.
Dar permisos a una LambdaIAM roleEs un permiso dentro de una cuenta.

16. Organizations y gobierno de seguridad

AWS Organizations suele combinarse con otros servicios de seguridad y gobierno. Por ejemplo:

  • CloudTrail: para registrar actividad de API.
  • AWS Config: para evaluar configuración y cumplimiento.
  • Security Hub: para centralizar hallazgos de seguridad.
  • GuardDuty: para detección de amenazas.
  • IAM Identity Center: para acceso centralizado de usuarios.
  • Control Tower: para landing zone y gobierno inicial.

En CLF-C02 normalmente no te pedirán diseñar todo esto en detalle. Pero sí debes reconocer que AWS Organizations es una pieza clave cuando se habla de gobierno multi-cuenta.

17. Comparativa rápida para examen

EscenarioRespuesta probableRazonamiento
Gestionar varias cuentas AWS desde un lugar central.AWS OrganizationsEs el servicio principal para gobierno multi-cuenta.
Recibir una sola factura para varias cuentas.Consolidated billingCentraliza facturación sin mezclar las cuentas.
Agrupar cuentas de producción y aplicarles reglas comunes.OULas unidades organizativas agrupan cuentas.
Bloquear regiones no aprobadas para una OU.SCPLas SCP limitan acciones disponibles.
Crear una landing zone multi-cuenta con buenas prácticas.AWS Control TowerServicio guiado para establecer gobierno inicial.
Permitir que una EC2 acceda a S3.IAM roleEs un permiso de una identidad dentro de una cuenta.

18. Errores típicos

  • Pensar que una SCP concede permisos. Error clásico. Las SCP no conceden permisos, solo limitan.
  • Confundir SCP con IAM policies. IAM trabaja con identidades dentro de una cuenta; SCP trabaja a nivel organización, OU o cuenta.
  • Creer que consolidated billing mezcla todos los recursos. La factura se centraliza, pero las cuentas siguen separadas.
  • Usar una sola cuenta para todo. En empresas reales, separar cuentas ayuda a seguridad, costes y gobierno.
  • Confundir OU con grupo IAM. Una OU agrupa cuentas. Un grupo IAM agrupa usuarios dentro de una cuenta.
  • Confundir Organizations con Control Tower. Organizations gestiona cuentas. Control Tower ayuda a crear una landing zone gobernada.
  • Olvidar la cuenta de administración. Es una cuenta sensible y debe protegerse especialmente.

19. Cómo razonar preguntas CLF-C02

Cuando veas una pregunta de este tema, busca las palabras clave:

  • Muchas cuentas AWS: AWS Organizations.
  • Una factura central: consolidated billing.
  • Departamentos, entornos o unidades: OUs.
  • Bloquear servicios o regiones: SCP.
  • Landing zone: AWS Control Tower.
  • Permisos de usuarios, grupos, roles o servicios: IAM.
  • Acceso SSO a varias cuentas: IAM Identity Center.
Consejo para aprobar: si ves “conceder permisos”, piensa en IAM. Si ves “limitar permisos máximos a cuentas”, piensa en SCP. Si ves “varias cuentas y una factura”, piensa en AWS Organizations.

Test del módulo · 12 preguntas

1. Una empresa quiere aplicar límites de permisos a varias cuentas AWS desde un punto central. ¿Qué usaría?
  1. Service Control Policies
  2. Security Groups
  3. Route tables
  4. S3 lifecycle
Ver respuesta y explicación

Respuesta: A. Las SCP limitan permisos máximos a nivel organización, OU o cuenta.

2. ¿Qué afirmación sobre las SCP es correcta?
  1. No conceden permisos; establecen límites máximos.
  2. Conceden permisos automáticamente a todos los usuarios.
  3. Sustituyen a MFA.
  4. Solo sirven para DNS.
Ver respuesta y explicación

Respuesta: A. Las SCP no otorgan permisos por sí mismas. Una identidad sigue necesitando permisos IAM.

3. ¿Qué permite organizar cuentas por entornos o departamentos?
  1. Organizational Units
  2. Edge locations
  3. Volúmenes EBS
  4. Hosted zones públicas
Ver respuesta y explicación

Respuesta: A. Las OUs agrupan cuentas para aplicar gobierno y políticas comunes.

4. ¿Qué ventaja ofrece consolidated billing?
  1. Facturación centralizada de varias cuentas.
  2. Cifrado de objetos.
  3. CDN global.
  4. Migración de bases de datos.
Ver respuesta y explicación

Respuesta: A. Consolidated billing centraliza la facturación multi-cuenta.

5. ¿Qué servicio ayuda a crear y gobernar una landing zone multi-cuenta?
  1. AWS Control Tower
  2. AWS DMS
  3. Amazon Macie
  4. AWS Shield
Ver respuesta y explicación

Respuesta: A. Control Tower ayuda a establecer y gobernar entornos multi-cuenta con buenas prácticas.

6. Un usuario tiene permisos IAM para una acción, pero una SCP la bloquea. ¿Qué ocurre?
  1. La acción se deniega.
  2. La acción se permite porque IAM siempre gana.
  3. La SCP se ignora.
  4. CloudWatch decide el resultado.
Ver respuesta y explicación

Respuesta: A. Si una SCP bloquea la acción, no se podrá realizar aunque IAM la permita.

7. ¿Qué diferencia hay entre una OU y un grupo IAM?
  1. Una OU agrupa cuentas; un grupo IAM agrupa usuarios dentro de una cuenta.
  2. Son exactamente lo mismo.
  3. Una OU solo sirve para DNS.
  4. Un grupo IAM centraliza facturas.
Ver respuesta y explicación

Respuesta: A. Las OUs pertenecen a Organizations y agrupan cuentas. Los grupos IAM agrupan usuarios IAM.

8. Una empresa quiere separar producción, desarrollo y seguridad para reducir riesgos. ¿Qué práctica encaja mejor?
  1. Usar varias cuentas AWS gestionadas con AWS Organizations.
  2. Usar una sola cuenta para todos los entornos.
  3. Desactivar CloudTrail.
  4. Guardar claves de acceso en código.
Ver respuesta y explicación

Respuesta: A. Una estrategia multi-cuenta mejora aislamiento, gobierno y control de costes.

9. Una organización quiere impedir que las cuentas de laboratorio usen regiones no aprobadas. ¿Qué opción encaja mejor?
  1. Aplicar una SCP a la OU de laboratorio.
  2. Crear una alarma de CPU.
  3. Usar Amazon Polly.
  4. Crear una distribución CloudFront.
Ver respuesta y explicación

Respuesta: A. Las SCP pueden limitar acciones o regiones disponibles para cuentas dentro de una OU.

10. ¿Qué servicio base permite gestionar cuentas, OUs, SCP y facturación consolidada?
  1. AWS Organizations
  2. Amazon Rekognition
  3. AWS Glue
  4. Amazon EBS
Ver respuesta y explicación

Respuesta: A. AWS Organizations es el servicio central para gobierno multi-cuenta.

11. Una empresa quiere acceso centralizado con SSO para usuarios humanos a varias cuentas AWS. ¿Qué servicio se asocia más?
  1. IAM Identity Center
  2. Amazon S3 Glacier
  3. AWS Snowball
  4. Amazon Route 53 Resolver
Ver respuesta y explicación

Respuesta: A. IAM Identity Center ayuda con acceso centralizado y SSO a varias cuentas AWS.

12. ¿Cuál es la mejor forma de recordar las SCP para el examen?
  1. Son límites máximos de permisos para cuentas u OUs.
  2. Son grupos de usuarios IAM.
  3. Son dashboards de métricas.
  4. Son certificados TLS gestionados.
Ver respuesta y explicación

Respuesta: A. Las SCP establecen límites máximos. No conceden permisos.

Resumen final

AWS Organizations sirve para gestionar varias cuentas AWS de forma centralizada. Las cuentas ayudan a separar entornos y responsabilidades. Las OUs agrupan cuentas para aplicar políticas comunes. La facturación consolidada centraliza el billing sin mezclar recursos. Las SCP limitan el máximo de permisos disponibles, pero no conceden permisos. AWS Control Tower ayuda a crear una landing zone multi-cuenta con buenas prácticas.

Para CLF-C02, quédate con esta frase: IAM concede permisos, SCP limita permisos y AWS Organizations gobierna varias cuentas.

← Monitorización, auditoría y gobierno: CloudWatch, CloudTrail y AWS Config Compliance, AWS Artifact y gobierno en AWS →