Proteja y aísle sus cargas de trabajo altamente confidenciales con un enclave seguro
Esta orientación muestra cómo puede crear una arquitectura de nube integral para cargas de trabajo confidenciales en la seguridad nacional, la defensa y la aplicación de la ley nacional. Al utilizar una arquitectura de cuentas múltiples en AWS, puede cumplir sus misiones y, al mismo tiempo, proteger las cargas de trabajo y los datos confidenciales. Esta guía está diseñada para ayudarlo a cumplir los estrictos y exclusivos requisitos de seguridad y conformidad, ya que aborda la gestión centralizada de identidades y accesos, la gobernanza, la seguridad de los datos, el registro exhaustivo y el diseño y segmentación de la red de acuerdo con diversos marcos de seguridad de EE. UU.
Tenga en cuenta lo siguiente: [Descargo de responsabilidad]
Diagrama de la arquitectura
-
Información general
-
Cuenta de administración de la organización
-
Cuentas de seguridad
-
Cuentas de infraestructura
-
Cuentas de aplicación, comunidad, equipo o grupo (confidenciales)
-
Información general
-
Este diagrama de arquitectura proporciona información general de cómo configurar cargas de trabajo integrales y de varias cuentas con requisitos únicos de seguridad y cumplimiento. Para obtener más información sobre cómo implementar esta guía, abra las demás pestañas.
Haga clic para ampliar
Paso 1
Una organización de AWS Organizations con varias cuentas, guiada por las políticas de control de servicios (SCP): la organización agrupa varias cuentas independientes de AWS que están controladas por una única entidad de cliente. Las cuentas independientes de AWS proporcionan un sólido aislamiento del plano de control y del plano de datos entre las cargas de trabajo o los entornos, como si fueran propiedad de diferentes clientes de AWS.Paso 2
La cuenta de administración se usa para crear la organización. Desde la cuenta de administración de la organización, puede hacer lo siguiente:- Cree cuentas en la organización y administre las políticas de todas las unidades organizativas (OU).
- Una las siguientes unidades organizativas a la organización:
- Unidad organizativa de seguridad
- Unidad organizativa de infraestructura
- Unidad organizativa de aplicaciones confidenciales
Cada unidad organizativa tendrá una o más cuentas de miembros o unidades organizativas anidadas, por diseño.
Paso 3
La unidad organizativa de la aplicación tendrá varias unidades organizativas anidadas dedicadas a la entrega de aplicaciones y la administración del ciclo de vida y, además, incluirá lo siguiente:- OU de desarrollo
- OU de prueba
- OU de producción
- OU compartida
Además, las unidades organizativas de entorno aislado también se pueden aprovisionar como cargas de trabajo no confidenciales.
Paso 1
Una organización de AWS Organizations con varias cuentas, guiada por las políticas de control de servicios (SCP): la organización agrupa varias cuentas independientes de AWS que están controladas por una única entidad de cliente. Las cuentas independientes de AWS proporcionan un sólido aislamiento del plano de control y del plano de datos entre las cargas de trabajo o los entornos, como si fueran propiedad de diferentes clientes de AWS.Paso 2
La cuenta de administración se usa para crear la organización. Desde la cuenta de administración de la organización, puede hacer lo siguiente:- Cree cuentas en la organización y administre las políticas de todas las unidades organizativas (OU).
- Una las siguientes unidades organizativas a la organización:
- Unidad organizativa de seguridad
- Unidad organizativa de infraestructura
- Unidad organizativa de aplicaciones confidenciales
Cada unidad organizativa tendrá una o más cuentas de miembros o unidades organizativas anidadas, por diseño.
Paso 3
La unidad organizativa de la aplicación tendrá varias unidades organizativas anidadas dedicadas a la entrega de aplicaciones y la administración del ciclo de vida y, además, incluirá lo siguiente:- OU de desarrollo
- OU de prueba
- OU de producción
- OU compartida
Además, las unidades organizativas de entorno aislado también se pueden aprovisionar como cargas de trabajo no confidenciales.
-
Cuenta de administración de la organización
-
Este diagrama de arquitectura muestra cómo una organización puede agrupar varias cuentas, todas ellas controladas por una única entidad cliente. Siga los pasos de este diagrama de arquitectura para implementar la cuenta de administración de la organización que forma parte de esta guía.
Haga clic para ampliar
Paso 1
Una organización con varias cuentas: la organización agrupa varias cuentas independientes de AWS, que están controladas por una única entidad cliente. Esto consolida la facturación, agrupa las cuentas mediante unidades organizativas y facilita la implementación de los controles preventivos de una organización mediante SCP.Paso 2
Controles de seguridad preventivos: estos controles, implementados por los SCP, protegen la arquitectura, evitan que se desactiven las barreras de protección y bloquean comportamientos indeseados de los usuarios. Los SCP proporcionan un mecanismo de barrera de protección que se utiliza principalmente para denegar categorías específicas o completas de operaciones de API por cuenta, unidad organizativa u organización de AWS. Se pueden usar para garantizar que las cargas de trabajo se implementen solo en las regiones de AWS prescritas o para denegar el acceso a servicios de AWS específicos.
Paso 3
Automatización: la automatización garantiza que las barreras de protección se apliquen de manera uniforme cuando la organización agrega nuevas cuentas de AWS a medida que se incorporan nuevos equipos y cargas de trabajo. Corrige las desviaciones de cumplimiento y proporciona barreras de protección en la cuenta de la organización raíz.
Paso 4
Cifrado: AWS Key Management Service (AWS KMS) con claves administradas por el cliente cifra los datos almacenados en reposo mediante un cifrado validado por FIPS 140-2, ya sea en buckets de Amazon Simple Storage Service (Amazon S3), volúmenes de Amazon Elastic Block Store (Amazon EBS), bases de datos de Amazon Relational Database Service (Amazon RDS) u otros servicios de almacenamiento de AWS. Protege los datos en tránsito mediante TLS 1.2 o superior.Paso 5
Inicio de sesión único: una característica de AWS Identity and Access Management (IAM), el IAM Identity Center se utiliza para proporcionar a los directores autorizados la asunción centralizada de roles de IAM en las cuentas de AWS de toda la organización. Las identidades existentes de una organización se pueden obtener del almacén de identidades de Active Directory (AD) existente de un cliente o de otro proveedor de identidades (IdP) de terceros.AWS facilita la aplicación de la autenticación multifactor mediante aplicaciones de autenticación, claves de seguridad y autenticadores integrados, que admiten la autenticación y los dispositivos WebAuthn, FIDO2 y Universal 2nd Factor (U2F).
Paso 1
Una organización con varias cuentas: la organización agrupa varias cuentas independientes de AWS, que están controladas por una única entidad cliente. Esto consolida la facturación, agrupa las cuentas mediante unidades organizativas y facilita la implementación de los controles preventivos de una organización mediante SCP.Paso 2
Controles de seguridad preventivos: estos controles, implementados por los SCP, protegen la arquitectura, evitan que se desactiven las barreras de protección y bloquean comportamientos indeseados de los usuarios. Los SCP proporcionan un mecanismo de barrera de protección que se utiliza principalmente para denegar categorías específicas o completas de operaciones de API por cuenta, unidad organizativa u organización de AWS. Se pueden usar para garantizar que las cargas de trabajo se implementen solo en las regiones de AWS prescritas o para denegar el acceso a servicios de AWS específicos.
Paso 3
Automatización: la automatización garantiza que las barreras de protección se apliquen de manera uniforme cuando la organización agrega nuevas cuentas de AWS a medida que se incorporan nuevos equipos y cargas de trabajo. Corrige las desviaciones de cumplimiento y proporciona barreras de protección en la cuenta de la organización raíz.
Paso 4
Cifrado: AWS Key Management Service (AWS KMS) con claves administradas por el cliente cifra los datos almacenados en reposo mediante un cifrado validado por FIPS 140-2, ya sea en buckets de Amazon Simple Storage Service (Amazon S3), volúmenes de Amazon Elastic Block Store (Amazon EBS), bases de datos de Amazon Relational Database Service (Amazon RDS) u otros servicios de almacenamiento de AWS. Protege los datos en tránsito mediante TLS 1.2 o superior.Paso 5
Inicio de sesión único: una característica de AWS Identity and Access Management (IAM), el IAM Identity Center se utiliza para proporcionar a los directores autorizados la asunción centralizada de roles de IAM en las cuentas de AWS de toda la organización. Las identidades existentes de una organización se pueden obtener del almacén de identidades de Active Directory (AD) existente de un cliente o de otro proveedor de identidades (IdP) de terceros.AWS facilita la aplicación de la autenticación multifactor mediante aplicaciones de autenticación, claves de seguridad y autenticadores integrados, que admiten la autenticación y los dispositivos WebAuthn, FIDO2 y Universal 2nd Factor (U2F).
-
Cuentas de seguridad
-
Este diagrama de arquitectura muestra cómo configurar de forma centralizada una recopilación de registros completa en todos los servicios y cuentas de AWS. Siga los pasos de este diagrama de arquitectura para implementar la parte de cuentas de seguridad de esta guía.
Haga clic para ampliar
Paso 1
Registro centralizado: esta arquitectura prescribe la recopilación integral de registros y la centralización en todos los servicios y cuentas de AWS. Los registros de AWS CloudTrail funcionan en toda la organización para ofrecer una auditabilidad total del plano de control en todo el entorno de nube.Los registros de Amazon CloudWatch, un servicio de registro de AWS nativo en la nube, se utilizan para capturar una amplia variedad de registros, incluidos los registros del sistema operativo y de las aplicaciones, los registros de flujo de VPC y los registros del sistema de nombres de dominio, que luego se centralizan y solo están disponibles para el personal de seguridad definido.
Paso 2
Supervisión centralizada de la seguridad: las desviaciones en materia de cumplimiento y las amenazas de seguridad salen a la luz en toda la organización de AWS del cliente mediante la implementación automática de una multitud de tipos diferentes de controles de seguridad para detección. Esto incluye la activación de la multitud de servicios de seguridad de AWS en todas las cuentas de la organización.Estos servicios de seguridad incluyen Amazon GuardDuty, AWS Security Hub, AWS Config, AWS Firewall Manager, Amazon Macie, IAM Access Analyzer y alarmas de CloudWatch. El control y la visibilidad deben delegarse en todo el entorno de cuentas múltiples a una sola cuenta de herramientas de seguridad central para facilitar la visibilidad en toda la organización de todos los resultados de seguridad y las desviaciones de cumplimiento.
Paso 3
Acceso de solo lectura y capacidad de búsqueda: la cuenta de seguridad cuenta con acceso de solo lectura en toda la organización (incluido el acceso a la consola CloudWatch de cada cuenta) para facilitar la investigación durante un incidente.El acceso de solo lectura es diferente del acceso de solo lectura en que no proporciona acceso a ningún dato. Hay un complemento opcional disponible para consumir el conjunto completo de registros centralizados y permitirles hacer búsquedas, lo que proporciona paneles básicos y de correlación.
Paso 1
Registro centralizado: esta arquitectura prescribe la recopilación integral de registros y la centralización en todos los servicios y cuentas de AWS. Los registros de AWS CloudTrail funcionan en toda la organización para ofrecer una auditabilidad total del plano de control en todo el entorno de nube.Los registros de Amazon CloudWatch, un servicio de registro de AWS nativo en la nube, se utilizan para capturar una amplia variedad de registros, incluidos los registros del sistema operativo y de las aplicaciones, los registros de flujo de VPC y los registros del sistema de nombres de dominio, que luego se centralizan y solo están disponibles para el personal de seguridad definido.
Paso 2
Supervisión centralizada de la seguridad: las desviaciones en materia de cumplimiento y las amenazas de seguridad salen a la luz en toda la organización de AWS del cliente mediante la implementación automática de una multitud de tipos diferentes de controles de seguridad para detección. Esto incluye la activación de la multitud de servicios de seguridad de AWS en todas las cuentas de la organización.Estos servicios de seguridad incluyen Amazon GuardDuty, AWS Security Hub, AWS Config, AWS Firewall Manager, Amazon Macie, IAM Access Analyzer y alarmas de CloudWatch. El control y la visibilidad deben delegarse en todo el entorno de cuentas múltiples a una sola cuenta de herramientas de seguridad central para facilitar la visibilidad en toda la organización de todos los resultados de seguridad y las desviaciones de cumplimiento.
Paso 3
Acceso de solo lectura y capacidad de búsqueda: la cuenta de seguridad cuenta con acceso de solo lectura en toda la organización (incluido el acceso a la consola CloudWatch de cada cuenta) para facilitar la investigación durante un incidente.
El acceso de solo lectura es diferente del acceso de solo lectura en que no proporciona acceso a ningún dato. Hay un complemento opcional disponible para consumir el conjunto completo de registros centralizados y permitirles hacer búsquedas, lo que proporciona paneles básicos y de correlación.
-
Cuentas de infraestructura
-
Este diagrama de arquitectura muestra cómo se construye un entorno de red centralizado y aislado con nubes privadas virtuales (VPC). Siga los pasos de este diagrama de arquitectura para implementar la parte de cuentas de infraestructura de esta guía.
Haga clic para ampliar
Paso 1
Redes centralizadas y aisladas: las VPC creadas a través de Amazon Virtual Private Cloud (Amazon VPC) se utilizan para crear un aislamiento del plano de datos entre las cargas de trabajo, centralizado en una cuenta de red compartida. La centralización facilita una fuerte de división de funciones y la optimización de costos.Paso 2
Conectividad mediada: la conectividad con los entornos en las instalaciones, la salida a Internet, los recursos compartidos y las API de AWS se median en un punto central de entrada y salida mediante el uso de AWS Transit Gateway, AWS Site-to-Site VPN, los firewalls de próxima generación y AWS Direct Connect (cuando corresponda).Paso 3
Opciones alternativas: la arquitectura de VPC centralizada no es para todos los clientes. Para los clientes menos preocupados por la optimización de costos, existe una opción para las VPC basadas en cuentas locales interconectadas a través de Transit Gateway en la cuenta central de red compartida.
En ambas opciones, la arquitectura prescribe mover los puntos de enlace de las API públicas de AWS al espacio de direcciones de VPC privado del cliente, mediante puntos de enlace centralizados para reducir los costos.
Paso 4
Inspección centralizada de la infraestructura como servicio (IaaS) de entrada y salida: es habitual ver requisitos de entrada y salida centralizados para las cargas de trabajo basadas en IaaS. La arquitectura proporciona esta funcionalidad para que los clientes puedan decidir si los servicios nativos de inspección de firewalls de entrada y salida de AWS, como AWS Network Firewall, AWS WAF o el equilibrador de carga de aplicación a través de Elastic Load Balancing (ELB), cumplen sus requisitos.De lo contrario, los clientes pueden aumentar esas capacidades con dispositivos de firewall de terceros. La arquitectura admite comenzar con un firewall de AWS y cambiar a un firewall de terceros o usar una combinación de tecnologías de firewall de entrada y salida.
Paso 1
Redes centralizadas y aisladas: las VPC creadas a través de Amazon Virtual Private Cloud (Amazon VPC) se utilizan para crear un aislamiento del plano de datos entre las cargas de trabajo, centralizado en una cuenta de red compartida. La centralización facilita una fuerte de división de funciones y la optimización de costos.Paso 2
Conectividad mediada: la conectividad con los entornos en las instalaciones, la salida a Internet, los recursos compartidos y las API de AWS se median en un punto central de entrada y salida mediante el uso de AWS Transit Gateway, AWS Site-to-Site VPN, los firewalls de próxima generación y AWS Direct Connect (cuando corresponda).Paso 3
Opciones alternativas: la arquitectura de VPC centralizada no es para todos los clientes. Para los clientes menos preocupados por la optimización de costos, existe una opción para las VPC basadas en cuentas locales interconectadas a través de Transit Gateway en la cuenta central de red compartida.
En ambas opciones, la arquitectura prescribe mover los puntos de enlace de las API públicas de AWS al espacio de direcciones de VPC privado del cliente, mediante puntos de enlace centralizados para reducir los costos.
Paso 4
Inspección centralizada de la infraestructura como servicio (IaaS) de entrada y salida: es habitual ver requisitos de entrada y salida centralizados para las cargas de trabajo basadas en IaaS. La arquitectura proporciona esta funcionalidad para que los clientes puedan decidir si los servicios nativos de inspección de firewalls de entrada y salida de AWS, como AWS Network Firewall, AWS WAF o el equilibrador de carga de aplicación a través de Elastic Load Balancing (ELB), cumplen sus requisitos.De lo contrario, los clientes pueden aumentar esas capacidades con dispositivos de firewall de terceros. La arquitectura admite comenzar con un firewall de AWS y cambiar a un firewall de terceros o usar una combinación de tecnologías de firewall de entrada y salida.
-
Cuentas de aplicación, comunidad, equipo o grupo (confidenciales)
-
Este diagrama de arquitectura muestra cómo configurar la segmentación y la separación entre las cargas de trabajo que pertenecen a diferentes etapas del ciclo de vida del desarrollo del software o entre los diferentes roles administrativos de TI. Siga los pasos de este diagrama de arquitectura para implementar la parte de cuentas de aplicación, comunidad, equipo o grupo de esta guía.
Haga clic para ampliar
Paso 1
Segmentación y separación: la arquitectura no solo proporciona una fuerte segmentación y separación entre las cargas de trabajo que pertenecen a diferentes etapas del ciclo de vida del desarrollo del software o entre los diferentes roles administrativos de TI (como entre redes, firewalls de entrada y salida y cargas de trabajo).También ofrece una sólida arquitectura de zonificación de red, que microsegmenta el entorno al empaquetar cada instancia o componente en un firewall con estado que se aplica en el hardware del AWS Nitro System, junto con servicios como ELB y AWS WAF.
Paso 2
Todos los flujos de red se aplican estrictamente y se evita el movimiento lateral entre las aplicaciones, los niveles dentro de una aplicación y los nodos de un nivel de una aplicación, a menos que se permita explícitamente. Además, se evita el enrutamiento entre desarrollo, prueba y producción, con recomendaciones sobre una arquitectura de CI/CD para permitir la agilidad de los desarrolladores y facilitar la promoción del código entre entornos con las aprobaciones adecuadas.
Paso 1
Segmentación y separación: la arquitectura no solo proporciona una fuerte segmentación y separación entre las cargas de trabajo que pertenecen a diferentes etapas del ciclo de vida del desarrollo del software o entre los diferentes roles administrativos de TI (como entre redes, firewalls de entrada y salida y cargas de trabajo).También ofrece una sólida arquitectura de zonificación de red, que microsegmenta el entorno al empaquetar cada instancia o componente en un firewall con estado que se aplica en el hardware del AWS Nitro System, junto con servicios como ELB y AWS WAF.
Paso 2
Todos los flujos de red se aplican estrictamente y se evita el movimiento lateral entre las aplicaciones, los niveles dentro de una aplicación y los nodos de un nivel de una aplicación, a menos que se permita explícitamente. Además, se evita el enrutamiento entre desarrollo, prueba y producción, con recomendaciones sobre una arquitectura de CI/CD para permitir la agilidad de los desarrolladores y facilitar la promoción del código entre entornos con las aprobaciones adecuadas.
Pilares de Well-Architected
AWS Well-Architected Framework le permite comprender las ventajas y desventajas de las decisiones que tome durante la creación de sistemas en la nube. Los seis pilares de este marco permiten aprender las prácticas recomendadas arquitectónicas para diseñar y explotar sistemas confiables, seguros, eficientes, rentables y sostenibles. Con la Herramienta de AWS Well-Architected, que se encuentra disponible gratuitamente en la Consola de administración de AWS, puede revisar sus cargas de trabajo con respecto a estas prácticas recomendadas al responder a un conjunto de preguntas para cada pilar.
El diagrama de arquitectura mencionado es un ejemplo de una solución que se creó teniendo en cuenta las prácticas recomendadas de una buena arquitectura. Para tener completamente una buena arquitectura, debe seguir todas las prácticas recomendadas de buena arquitectura posibles.
-
Excelencia operativaLea el documento técnico sobre excelencia operativa
Esta guía utiliza las pilas y configuraciones de Organizations con AWS CloudFormation para crear una base segura para su entorno de AWS. Esto proporciona una solución de infraestructura como código (IaC) que acelera la implementación de los controles técnicos de seguridad. Las reglas de configuración corrigen cualquier delta de configuración que se haya determinado que afecta negativamente a la arquitectura prescrita. Puede utilizar la infraestructura comercial global de AWS para cargas de trabajo confidenciales y automatizar los sistemas seguros para entregar las misiones con mayor rapidez y, al mismo tiempo, mejorar continuamente sus procesos y procedimientos.
-
SeguridadLea el documento técnico sobre seguridad
Esta guía utiliza las organizaciones para facilitar la implementación de barreras de protección organizativas, como el registro de API con CloudTrail. Esta guía también proporciona controles preventivos que utilizan los SCP de AWS prescriptivos como mecanismo de barrera de protección, que se utilizan principalmente para denegar categorías específicas o completas de API dentro de su entorno (para garantizar que las cargas de trabajo se implementen solo en regiones determinadas) o denegar el acceso a servicios de AWS específicos. Los registros de CloudTrail y CloudWatch permiten la recopilación exhaustiva y prescrita de registros y la centralización en todos los servicios y cuentas de AWS. Las capacidades de seguridad de AWS y la multitud de servicios relevantes para la seguridad se configuran según un patrón definido que le ayuda a cumplir algunos de los requisitos de seguridad más estrictos del mundo.
-
FiabilidadLea el documento técnico sobre fiabilidad
Esta guía utiliza varias zonas de disponibilidad (AZ), por lo que la pérdida de una zona de disponibilidad no afecta a la disponibilidad de las aplicaciones. Puede utilizar CloudFormation para automatizar el aprovisionamiento y la actualización de su infraestructura de forma segura y controlada. Esta guía también proporciona reglas prediseñadas para evaluar las configuraciones de los recursos de AWS y los cambios de configuración en su entorno, o puede crear reglas personalizadas en AWS Lambda para definir las prácticas recomendadas y las pautas. Puede automatizar la capacidad de escalar su entorno para satisfacer la demanda y mitigar las interrupciones, como errores de configuración o problemas transitorios de red.
-
Eficiencia en el rendimientoLea el documento técnico sobre eficacia del rendimiento
Esta guía simplifica la administración de la infraestructura en la nube mediante el uso de Transit Gateway, que funciona como un centro que conecta varias VPC a través de una única puerta de enlace, lo que hace que sea más fácil escalar y mantener la arquitectura de red. Esto simplifica la arquitectura de la red y facilita el enrutamiento eficiente del tráfico entre las diferentes cuentas de AWS de su organización.
-
Optimización de costosLea el documento técnico sobre optimización de costos
Esta guía brinda la capacidad de evitar o eliminar costos innecesarios o el uso de recursos que no son óptimos. Organizations proporciona centralización y facturación consolidada, lo que facilita la separación sólida entre el uso de los recursos y la optimización de los costos. Esta guía prescribe mover los puntos de enlace de las API públicas de AWS a su espacio de direcciones de VPC privado mediante puntos de enlace centralizados para ahorrar costos. Además, puede usar los informes de costo y uso de AWS (AWS CUR) para hacer un seguimiento del uso de AWS y estimar los cargos.
-
SostenibilidadLea el documento técnico sobre sostenibilidad
Esta guía lo ayuda a reducir la huella de carbono asociada a la administración de las cargas de trabajo en sus propios centros de datos. La infraestructura global de AWS ofrece una infraestructura de soporte (como alimentación, enfriamiento y redes), una tasa de uso más alta y actualizaciones tecnológicas más rápidas que los centros de datos tradicionales. Además, la segmentación y la separación de las cargas de trabajo ayudan a reducir el movimiento innecesario de datos, y Amazon S3 ofrece niveles de almacenamiento y la capacidad de mover automáticamente los datos a niveles de almacenamiento eficientes.
Recursos de implementación
El código de muestra es un punto de partida. Está validado por el sector, es prescriptivo pero no definitivo, y le permite profundizar en su funcionamiento para que le sea más fácil empezar.
Contenido relacionado
Ejemplo de configuración del TSE-SE (con motor de automatización LZA)
Enclaves seguros y confiables: edición confidencial
Descargo de responsabilidad
El código de muestra; las bibliotecas de software; las herramientas de línea de comandos; las pruebas de concepto; las plantillas; o cualquier otra tecnología relacionada (incluida cualquiera de las anteriores que proporcione nuestro personal) se brinda como contenido de AWS bajo el Contrato de cliente de AWS, o el contrato escrito pertinente entre usted y AWS (lo que sea aplicable). No debe utilizar este contenido de AWS en sus cuentas de producción, ni en producción ni en otros datos críticos. Es responsable de probar, proteger y optimizar el contenido de AWS, como el código de muestra, según corresponda para el uso de grado de producción en función de sus prácticas y estándares de control de calidad específicos. La implementación de contenido de AWS puede incurrir en cargos de AWS por crear o utilizar recursos con cargo de AWS, como ejecutar instancias de Amazon EC2 o utilizar el almacenamiento de Amazon S3.
Las referencias a servicios u organizaciones de terceros en esta Guía no implican un respaldo, patrocinio o afiliación entre Amazon o AWS y el tercero. La orientación de AWS es un punto de partida técnico, y puede personalizar su integración con servicios de terceros al implementar la arquitectura.