AWS Landing Zone: Conceptos y contexto

Buenas… Normalmente escribo sobre serverless en mis posts/artículos técnicos, sin embargo, hoy inauguro una nueva línea que tiene que ver con la “gobernanza en el cloud”. El crecimiento del uso del cloud, la adopción de buenas prácticas y la evolución de las organizaciones nos llevan a que la gestión de recursos a gran escala sea parte de nuestro trabajo diario con el cloud.

Después de varios años trabajando con AWS (Amazon Web Services), he visto cómo los clientes que empiezan con una sola cuenta terminan con un “caos organizado” cuando crecen. AWS Landing Zone es la solución que ofrece AWS para gestionar este caos organizado.

🎯 ¿Qué es AWS Landing Zone y por qué me parece fundamental?

En términos simples, AWS Landing Zone es como tener un “plano maestro” para organizar tu infraestructura en AWS. Imagínate que vas a construir un barrio completo: necesitas planificar las calles, los servicios básicos, las zonas residenciales y comerciales antes de empezar a construir casas.

Eso es exactamente lo que hace Landing Zone: nos da una estructura multi-cuenta bien organizada, con seguridad integrada desde el día uno y todas las estructuras (logging, monitoreo, compliance) ya conectadas. Es la diferencia entre crecer de forma ordenada o terminar con un laberinto imposible de mantener, al menos en mi experiencia.

📅 Evolución Histórica

Como siempre que inicio un nuevo tema o nueva línea de trabajo me parece buen ejercicio rastrear los orígenes, he intentado revisar posts, artículos varios y esta sería una línea de tiempo no oficial de cómo AWS Landing Zone llegó a nosotros.

AWS Landing Zone (Solucin original) Antes de 2019

No he encontrado referencias oficiales directas de lo que era AWS Landing Zone previo a 2019, pero en todos lados tenemos referencia a migrar landing zone (Solucin Original) a control tower por ejemplo el link a continuacin: />

https://docs.aws.amazon.com/prescriptive-guidance/latest/aws-control-tower/introduction.html

Por lo tanto es correcto asumir que tenamos una versin 1, y control tower se presenta como la versin 2.0.

AWS Control Tower ¿cómo llegamos hasta aquí?

• 24 de junio de 2019: Disponibilidad general (GA) versin 2.1 (AWS News Blog)
• Agosto 2019: Controles detectivos adicionales (Release Notes)

Septiembre 2019: Controles electivos adicionales

Noviembre 2019: Versin 2.2 con controles preventivos contra drift

Aos con Release Notes y Versiones Disponibles:

2019 (v2.1 - v2.2): https://docs.aws.amazon.com/controltower/latest/userguide/2019-all.html

2020 (v2.3 - v2.6): https://docs.aws.amazon.com/controltower/latest/userguide/2020-all.html

2021 (v2.7 - v2.9): https://docs.aws.amazon.com/controltower/latest/userguide/2021-all.html

2022 (v3.0 - v3.1): https://docs.aws.amazon.com/controltower/latest/userguide/2022-all.html

2023 (v3.2 - v3.3): https://docs.aws.amazon.com/controltower/latest/userguide/2023-all.html

2024 (v3.3): https://docs.aws.amazon.com/controltower/latest/userguide/2024-all.html

2025 (v3.3): https://docs.aws.amazon.com/controltower/latest/userguide/2025-all.html

🍜 Los “ingredientes” de la landing zone a grandes rasgos:

Control Tower es el elemento principal pero una landing zone realmente es un conjunto de recursos.

• AWS Control Tower: El “cerebro/control” que orquesta todo. Una vez configurado, prácticamente se maneja solo
• AWS Organizations: El “árbol genealógico” de cuentas. Aquí defines quién puede hacer qué y dónde
• AWS SSO (Identity Center): Único Login Centralizado para todas las cuentas, un SSO de libro…
• AWS Config: El “detective” que te avisa cuando algo no está como debería estar configurado
• AWS Service Catalog: El “catálogo de productos” donde defines plantillas pre-aprobadas que los equipos pueden usar sin romper nada (en principio)
• AWS CloudTrail: El “diario” que registra absolutamente todo lo que pasa en tus cuentas

… y muchos ms!

Aqu los elementos mnimos que propone AWS para implementar una AWS Landing Zone

/>

https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html

🏗 Y cmo orquestamos / construimos todos estos recursos?

Aqu hay un punto importante, AWS ofrece una gua prescriptiva de cmo implementar un landing zone con CloudFormation:

/>

https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/architecture-overview.html

Sin embargo he hecho pruebas y creo que me inclinara ms por Terraform o Pulumi, este es el inicio de esta serie as que ya contar sobre este tema ms adelante.

A partir de cuntas cuentas tendra que montarme una landing zone?

No hay una recomendacin oficial sobre a partir de cuntas cuentas est bien crear una landing zone, creo que esta discusin escapa un poco de este artculo en particular pero es un tema interesante a tratar:

Sin embargo, aqu algunas referencias que se pueden encontrar sobre las recomendaciones oficiales de la documentacin de AWS:

“Ms de una cuenta” Fuente: https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/understanding-landing-zones.html Texto exacto: “Although there is no standard number of AWS accounts you should have, we recommend that you create more than one AWS account.”

“Ms de un puado de cuentas” Fuente: https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html Texto exacto: “If you are hosting more than a handful of accounts, it’s beneficial to have an orchestration layer that facilitates account deployment and account governance.”

Sobre las cuentas y OU (Unidades Organizacionales)

Bueno, supongamos que ya tenemos claro que tenemos muchas cuentas, ahora, cmo las organizamos? Sobre este aspecto hay mucho escrito, a continuacin un ejemplo clsico de cmo se organizan las cuentas.

Ejemplo clsico

Root Organization Security OU (Organizational Unit) Log Archive Account Audit Account Security Tooling Account Sandbox OU Developer Sandbox Accounts Production OU Production Account 1 Production Account 2 Non-Production OU Development Account Testing Account Staging Account

Aunque este es un ejemplo clsico el tema es complejo y tiene anlisis de estudio grande como se puede ver en los estudios en los White Papers que dejo en este link:

https://docs.aws.amazon.com/pdfs/whitepapers/latest/aws-overview/aws-overview.pdf

🔗 Recursos y Referencias Oficiales

A continuacin, y a modo de referencia, dejo mis links, no los he ledo todos al completo pero los he revisado al menos una vez…

Documentacin Principal de AWS

• AWS Control Tower User Guide
• AWS Multi-Account Strategy for Landing Zone
• How AWS Control Tower Works
• AWS Organizations Best Practices

Whitepapers y Guas Estratgicas

• Organizing Your AWS Environment Using Multiple Accounts
• How AWS Control Tower Establishes Multi-Account Environment
• AWS Well-Architected Framework

AWS Prescriptive Guidance

• What is a Landing Zone?
• Building a Landing Zone
• Designing an AWS Control Tower Landing Zone
• Landing Zone for Cloud Migration
• Configuring Account Structure and OUs
• Centralized Logging and Monitoring

Servicios Complementarios

• Logging and Monitoring in AWS Control Tower
• Nested OUs in AWS Control Tower
• Best Practices for Landing Zone Updates

Herramientas de Implementacin que vamos a usar en estos post!

• AWS CLI: Automatizacin de tareas
• Terraform: Infrastructure as Code (IaC)
• AWS CDK: Desarrollo programtico (IaC)
• Pulumi: Infrastructura as Code (IaC)
• CloudFormations: Infrastructure as Code (IaC)

Comunidad y Soporte

• AWS Architecture Center
• AWS Samples GitHub
• AWS re:Post

💡 Conclusiones

Este post solo pretende ser un punto de partida para compartir todas las experiencias que me he encontrado desplegando AWS Landing Zone,

gracias por leer, nos vemos

Saludos

---

Artículo original: AWS Landing Zone: Conceptos y contexto