Unidad 3.1: Data Center Designer y Administración de Cuentas
Introducción
Imagínese entrar en una fábrica moderna donde puede ver toda la línea de producción dispuesta visualmente, monitorear cada máquina y realizar cambios simplemente señalizando y haciendo clic. El Data Center Designer (DCD) ofrece exactamente esta experiencia para su infraestructura en la nube. En lugar de memorizar comandos complejos o navegar a través de menús interminables, puede arrastrar máquinas virtuales, almacenamiento y redes a un lienzo visual y ver cómo su infraestructura cobra vida.
IONOS es un proveedor de nube europeo con sede en Alemania, y el DCD es la interfaz principal a través de la cual administra su infraestructura en esta plataforma. En esta unidad, aprenderá cómo funciona esta interfaz de administración, quién puede hacer qué dentro de su cuenta en la nube y cómo mantener su cuenta segura. Ya sea que sea el propietario de un contrato que administra varios clientes, un administrador que supervisa las operaciones diarias o un miembro del equipo con responsabilidades específicas, comprender estos fundamentos de administración garantiza que pueda trabajar de manera eficiente y segura.
1. Data Center Designer (DCD) Visión general
El Data Center Designer (DCD) es el panel de control gráfico basado en web de IONOS Cloud. Proporciona una interfaz de usuario con arrastre y soltar, impulsada por JavaScript, que le permite crear, configurar y gestionar centros de datos virtuales (VDC) y todos los recursos dentro de ellos, incluyendo máquinas virtuales, almacenamiento, LAN, direcciones IP, instantáneas, reglas Firewall y servicios PaaS. Puede abrir el DCD en cualquier navegador moderno sin instalar software adicional.
1.1 Diseño de infraestructura visual
El DCD utiliza un enfoque basado en lienzo donde diseña su entorno en la nube visualmente. Piense en ello como un plano o diagrama de cableado para su infraestructura. Arrastra recursos (como una máquina virtual, cubo o red Load Balancer) desde una paleta hasta el espacio de trabajo, los coloca donde los desea y conecta sus interfaces dibujando líneas entre los componentes. Este diseño visual muestra exactamente cómo cada componente está vinculado, lo que ayuda con la solución de problemas y la documentación.
Después de organizar los recursos en el lienzo, puede hacer clic en cualquier elemento para abrir el panel Inspector, donde establece propiedades como núcleos CPU, RAM, tamaño de almacenamiento, imagen del sistema operativo, grupos de seguridad y configuración de red. Una vez que esté satisfecho con su diseño, provisiona los cambios y el diseño visual se materializa en la nube.
1.2 Modo de lienzo y Modo Xpress
El DCD ofrece dos modos de creación para satisfacer diferentes necesidades:
Modo de lienzo (Avanzado) le da la libertad total de colocar y conectar cada elemento en el lienzo visual. Los usuarios avanzados que necesitan arquitecturas personalizadas complejas suelen utilizar este modo porque proporciona un control total sobre la colocación y configuración de los recursos.
Modo Xpress (Rápido) es un asistente guiado introducido para acelerar las cargas de trabajo de IaaS estándar. Si necesita crear rápidamente una máquina virtual básica con almacenamiento y red, el Modo Xpress lo guía a través del proceso paso a paso. Independientemente de cómo se cree una instancia, todo el manejo posterior se realiza dentro del Modo de lienzo, lo que garantiza una experiencia coherente.
1.3 Panel de control unificado
El DCD sirve como su única ventana para todos los servicios de IONOS Cloud. Puede gestionar cómputo, almacenamiento, red, bases de datos, clusters Kubernetes, implementaciones de modelos de inteligencia artificial y más desde el mismo espacio de trabajo. Este enfoque centralizado reduce el tiempo y el esfuerzo necesarios para cambiar entre diferentes consolas. Verá el estado completo de su entorno en la nube en un solo lugar, incluyendo:
- Cloud Savings Plans activos y su utilización
- Seguimiento del uso de recursos y límites
- Activity Logs y Flow Logs para registros de auditoría
- Paneles de monitoreo y alertas
- Controles de acceso basados en roles y permisos de usuario
El DCD también integra herramientas operativas comunes como gestión de claves SSH, acceso a la consola remota, configuraciones de inicio de cloud-init y visores de registros de flujo. Esto significa que tareas típicas como cargar una clave SSH, acceder a la consola de una máquina virtual o inspeccionar registros de tráfico de red están todas accesibles desde el mismo espacio de trabajo, lo que reduce la conmutación de contexto.
1.4 Integración con la infraestructura como código
Aunque el DCD es principalmente una herramienta gráfica, funciona de manera fluida con herramientas de código como Terraform, Ansible y el API de IONOS Cloud. Puede diseñar la infraestructura visualmente en el DCD, exportar la configuración y gestionarla de forma programática, o puede crear la infraestructura utilizando código y luego importar el resultado en el DCD para la monitorización visual.
Cuando los recursos se crean a través de API o SDK, el DCD mostrará la topología resultante, aunque la colocación visual exacta puede estar apilada en el lienzo, ya que la creación programática no controla el diseño gráfico. Para entornos grandes o que cambian con frecuencia, este enfoque híbrido le da la velocidad de la automatización con la claridad de la representación visual.
2. Tipos de cuentas y permisos
IONOS Cloud utiliza un modelo de permisos estructurado con tres tipos de cuentas principales: Propietario del contrato, Administrador y Usuario. Cada tipo tiene diferentes capacidades y limitaciones, lo que garantiza que los usuarios tengan el acceso que necesitan sin comprometer la seguridad o el cumplimiento normativo.
2.1 Propietario del contrato
El Propietario del contrato es el primer usuario que registra el contrato. Esta cuenta recibe todos los privilegios en todo el contrato, con acceso sin restricciones para ver, editar, eliminar y compartir cualquier recurso, independientemente de quién lo creó. El Propietario del contrato puede agregar o eliminar a cualquier otro usuario, incluidos administradores, y este rol de propietario no puede ser revocado ni transferido. Además, el Propietario del contrato recibe todas las comunicaciones legales, como facturas y actualizaciones de los términos del contrato, y es el único tipo de cuenta que puede cambiar el método de pago del contrato.
En esencia, el Propietario del contrato tiene la autoridad última sobre la cuenta en la nube. Este rol es fundamental para las organizaciones porque controla la facturación, los acuerdos legales y la gestión de acceso de nivel superior. Si usted es el Propietario del contrato, debe tratar esta cuenta con el nivel más alto de seguridad, incluyendo la habilitación de la autenticación de dos factores y el uso de una contraseña fuerte y única.
2.2 Administrador
Un Administrador es cualquier usuario que el Propietario del contrato (o un administrador existente) promueva al rol de Administrador. Los Administradores tienen los mismos privilegios operativos que el Propietario del contrato para cada recurso. Pueden ver, editar, compartir y eliminar cualquier recurso, y pueden agregar o eliminar usuarios, excepto la cuenta del Propietario del contrato.
La distinción clave es que los Administradores no pueden cambiar el método de pago del contrato. Esta restricción garantiza que el control financiero permanezca exclusivamente con el Propietario del contrato. Para las operaciones diarias, los administradores tienen acceso total para gestionar la infraestructura, los usuarios y los permisos, lo que hace que este rol sea ideal para gerentes de TI y personal técnico senior.
2.3 Usuario (Privilegios explícitos)
Un Usuario se crea como una cuenta de usuario normal y luego se le otorgan privilegios específicos, ya sea directamente o a través de un grupo. A diferencia de los roles de Propietario del contrato y Administrador, un usuario recién creado no tiene permisos por defecto hasta que se le asignen privilegios explícitamente. Esto sigue el Principio de Privilegio Mínimo (PoLP), que significa otorgar a los usuarios solo el acceso mínimo que necesitan para realizar su trabajo.
Los privilegios son concesiones atómicas, como Leer, Editar y Compartir, que se pueden adjuntar a un usuario o a un grupo. Por ejemplo, un desarrollador puede recibir privilegios de Leer y Editar en máquinas virtuales específicas, pero no tener acceso a la información de facturación. Un analista de seguridad puede recibir acceso de solo lectura a Activity Logs y Flow Logs para fines de auditoría.
Los grupos permiten asignar el mismo conjunto de privilegios a muchos usuarios al mismo tiempo, simplificando la gestión a gran escala. En lugar de configurar permisos individualmente para cada miembro del equipo, usted crea un grupo (como "Desarrolladores" o "Equipo de operaciones"), asigna los privilegios necesarios a ese grupo y agrega usuarios a él. Cuando un usuario se une o abandona el equipo, simplemente lo agrega o elimina del grupo, y sus permisos se actualizan automáticamente.
2.4 Tabla de comparación de permisos
La siguiente tabla compara los tres tipos de cuentas y sus capacidades principales:
| Tipo de cuenta | Cómo se crea | Permisos principales | Qué no pueden hacer |
|---|---|---|---|
| Propietario del contrato | Primer usuario que registra el contrato | Todos los privilegios en todo el contrato. Puede ver, editar, eliminar, compartir cualquier recurso. Puede agregar o eliminar a cualquier usuario, incluidos administradores. Recibe todas las comunicaciones legales. No puede ser despojado del rol de propietario. | Ninguno - el propietario tiene acceso sin restricciones. |
| Administrador | Promovido por el propietario o un administrador existente | Mismos privilegios que el propietario para cada recurso (ver, editar, compartir, eliminar). Puede agregar o eliminar usuarios, excepto el propietario. | No puede cambiar el método de pago del contrato (solo el propietario puede). |
| Usuario (Privilegios explícitos) | Creado y otorgado privilegios específicos a través de grupos o asignación directa | Puede realizar solo las acciones que se le han otorgado explícitamente (por ejemplo, Leer, Editar, Compartir en recursos seleccionados). Los privilegios son finos y se gestionan a través de grupos o permisos por recurso. | No tiene acceso por defecto. No puede gestionar a otros usuarios a menos que se le otorgue un privilegio que lo permita. |
Como se muestra anteriormente, el Propietario del contrato tiene el control financiero y administrativo total, los administradores tienen el control operativo total pero no el control financiero, y los usuarios tienen solo los permisos que se les otorgan.
3. Gestión de contratos y acceso a múltiples contratos
Muchas organizaciones y revendedores trabajan con múltiples contratos o subcontratos. IONOS Cloud facilita la visualización y el cambio entre contratos, la gestión del acceso de los usuarios en varios contratos y la creación de subcontratos para clientes o unidades de negocio.
3.1 Selector de contratos
En el Data Center Designer (DCD), después de iniciar sesión, se muestra un selector de contratos (generalmente en la esquina superior derecha de la interfaz). Este selector muestra el contrato en el que actualmente está operando y le permite cambiar a cualquier otro contrato o subcontracto al que tenga derechos. El cambio solo funciona si tiene al menos permiso de solo lectura en el contrato de destino. Para realizar acciones, debe pertenecer a un grupo que tenga los privilegios necesarios.
Cuando selecciona un contrato diferente, la interfaz de usuario recarga el contexto para que todas las acciones posteriores (creación de centros de datos virtuales, gestión de recursos, visualización de registros, etc.) se realicen en el contrato seleccionado. Este cambio sin problemas está disponible para los propietarios de contratos, administradores de contratos y cualquier usuario al que se le haya concedido el privilegio de "acceso al contrato".
3.2 Creación de subcontratos (revendedores)
Los revendedores pueden crear subcontratos para sus clientes a partir del contrato principal del revendedor. Solo el propietario del contrato del revendedor puede crear subcontratos y también puede crear administradores para esos subcontratos. Esta estructura permite a los proveedores de servicios administrados (MSP) y a los revendedores operar entornos de nube separados para cada cliente, manteniendo al mismo tiempo la facturación y la supervisión centralizadas.
Por ejemplo, un MSP que administra la infraestructura para cinco clientes puede crear cinco subcontratos, uno por cliente. Cada subcontracto tiene sus propios centros de datos virtuales, recursos y usuarios. El propietario del contrato del MSP puede cambiar entre subcontratos para administrarlos centralmente, mientras que los usuarios de cada cliente solo ven su propio subcontracto.
3.3 Concesión de acceso a múltiples contratos a los usuarios
Para dar a otros usuarios acceso a un contrato diferente, utilice la función de Usuarios y Grupos en el DCD:
- Navegue a Menú > Administración > Usuarios y Grupos
- Elija la pestaña Grupos
- Seleccione (o cree) un grupo
- En la pestaña Privilegios, asigne el privilegio de nivel de contrato apropiado (por ejemplo, "Acceso y administración de contrato")
- Agregue los usuarios a ese grupo
Los usuarios heredan los derechos de contrato de grupo. Los administradores tienen automáticamente acceso completo a cada contrato al que están asignados, pero solo el propietario del contrato puede cambiar la información de pago. Para eliminar o cambiar los derechos de un usuario en un contrato, elimine al usuario del grupo que lleva el privilegio de contrato o desactive la marca "Administrador" en la cuenta de usuario, lo que revierte al usuario a los privilegios definidos por los grupos.
3.4 Puntos clave para la gestión de múltiples contratos
- Propietario del contrato = Control total: Puede cambiar los datos de pago, crear planes de ahorro y crear subcontratos
- Administradores de contratos = Derechos de propietario en recursos pero no pueden cambiar la información de pago
- Usuarios regulares obtienen los derechos que se les asignen a través de grupos (RBAC)
- Contratos de revendedores pueden crear subcontratos, pero los planes de ahorro creados en el nivel de revendedor no se pueden transferir a otro subcontracto
- El cambio de contratos es una acción de la interfaz de usuario en el DCD; no se requiere llamada adicional a API una vez que tenga los permisos adecuados
4. Configuración de seguridad de la cuenta
La seguridad de su cuenta de IONOS Cloud es fundamental para proteger su infraestructura, datos e información de facturación. IONOS proporciona varios controles de seguridad para ayudarle a aplicar una autenticación sólida y gestionar el acceso de manera segura.
4.1 Política de contraseñas
El administrador de políticas de contraseñas en el DCD (accesible a través de Menú > Administración > Política de contraseñas) le permite definir reglas para la fortaleza de las contraseñas. Puede especificar requisitos para la longitud mínima, los tipos de caracteres requeridos (mayúsculas, minúsculas, números, caracteres especiales) y las cantidades mínimas para cada tipo de carácter.
Solo un propietario de contrato puede crear, editar o eliminar una política de contraseñas. Después de guardar, la política se aplica automáticamente a cualquier configuración de contraseña nueva. Solo puede tener una política activa por contrato. Una política de contraseñas recomendada típica requiere:
- Longitud mínima de 9-12 caracteres
- Al menos 1 letra mayúscula
- Al menos 1 letra minúscula
- Al menos 1 dígito
- Al menos 1 carácter especial
Si elimina la política, la cuenta reverts a la estándar de IONOS, que requiere al menos 5 caracteres y recomienda una mezcla de mayúsculas y minúsculas, al menos un dígito y caracteres especiales opcionales. Aplicar una política de contraseñas sólida reduce el riesgo de ataques de fuerza bruta y de relleno de credenciales.
4.2 Autenticación de dos factores (2FA)
La autenticación de dos factores (2FA) agrega una segunda capa de seguridad a su cuenta. Después de ingresar sus credenciales de inicio de sesión normales (correo electrónico y contraseña), también debe proporcionar un código de seguridad basado en el tiempo generado por una aplicación de autenticador en su dispositivo móvil. Una vez habilitado, cada inicio de sesión en el Data Center Designer (DCD) requiere este código, protegiendo la cuenta incluso si la contraseña se ve comprometida.
Habilitar 2FA para su propia cuenta
Para habilitar 2FA para usted mismo:
- Abra el DCD y navegue a Menú > Su perfil > Seguridad de la cuenta
- En la sección Autenticación de dos factores, haga clic en Habilitar autenticación de dos factores
- Siga el asistente: instale una aplicación de autenticador (como Google Authenticator o Authy), escanee el código QR, ingrese el token generado y termine
- En su próximo inicio de sesión, se le pedirá el código
Solo el usuario de la cuenta puede habilitar 2FA para sí mismo. Los administradores o propietarios de contratos no pueden habilitarlo en su nombre, pero pueden hacerlo obligatorio.
Hacer obligatorio 2FA para subusuarios
Para requerir 2FA para otro usuario:
- Navegue a Menú > Administración > Usuarios y grupos
- Seleccione el usuario, vaya a la pestaña Metadatos
- Marque Forzar autenticación de dos factores y haga clic en Guardar
El usuario deberá activar 2FA antes de su próximo inicio de sesión. Esto es útil para organizaciones que desean aplicar una base de seguridad uniforme en todos los usuarios.
Requisitos previos para 2FA
- Instale cualquier aplicación de autenticador que pueda leer códigos QR y tenga sincronización de tiempo automática
- El reloj del dispositivo móvil debe estar configurado para sincronización automática para mantener los códigos generados en sincronía
- 2FA solo está disponible en la interfaz de usuario de DCD; el acceso a API todavía requiere un token generado a través de Token Manager (que es obligatorio para cuentas habilitadas con 2FA)
4.3 PIN de soporte
El PIN de soporte es un código de seguridad que establece en su cuenta de IONOS Cloud para verificar su identidad cuando contacta con el soporte de IONOS Cloud. Este PIN ayuda a garantizar que solo los usuarios autorizados puedan solicitar cambios o recibir información sensible sobre la cuenta durante las llamadas de soporte.
Para establecer o cambiar su PIN de soporte:
- Abra el Data Center Designer (DCD)
- Navegue a Menú > Su perfil > Seguridad de la cuenta
- En la sección Establecer PIN de soporte, escriba el PIN que desea utilizar
- Haga clic en Establecer PIN de soporte para guardar el cambio
Después de confirmar, el PIN se almacena y se requerirá cuando contacte con el soporte de IONOS Cloud. Este simple paso agrega otra capa de protección, asegurando que incluso si alguien conoce sus credenciales de inicio de sesión, no pueda hacerse pasar por usted cuando solicite soporte.
4.4 Cómo funcionan juntos los controles de seguridad
La política de contraseñas, la autenticación de dos factores y el PIN de soporte funcionan juntos para crear una estrategia de defensa en profundidad:
- Política de contraseñas garantiza que el primer factor (la contraseña) cumpla con los requisitos mínimos de complejidad
- 2FA agrega un segundo factor independiente, reduciendo drásticamente la posibilidad de acceso no autorizado incluso si la contraseña se filtra
- PIN de soporte protege contra ataques de ingeniería social en los que alguien intenta manipular al personal de soporte para realizar cambios en la cuenta
Tanto la política de contraseñas como 2FA se pueden hacer obligatorias a nivel de contrato. El propietario del contrato define la política de contraseñas, mientras que los administradores pueden hacer obligatorio 2FA para todos los subusuarios, asegurando una base de seguridad uniforme en toda la organización.
Casos de uso comunes
Escenarios del mundo real donde se utilizan las características de Data Center Designer y administración de cuentas:
-
Proveedor de servicios administrados para múltiples clientes: Un proveedor de servicios administrados (MSP) administra la infraestructura en la nube para 20 clientes. El MSP crea un subcontrato para cada cliente, y el propietario de la cuenta cambia entre subcontratos utilizando el selector de contrato DCD (discutido en la Sección 3.1). Los administradores y usuarios de cada cliente solo ven su propio subcontrato. El MSP aplica 2FA y una política de contraseñas seguras (Sección 4.1 y 4.2) en todos los subcontratos para cumplir con los requisitos de cumplimiento de seguridad.
-
Equipo de desarrollo de empresa grande: Una empresa con 50 desarrolladores, 10 ingenieros de operaciones y 5 analistas de seguridad necesita un control de acceso granular. El administrador del contrato crea tres grupos como se describe en la Sección 2.3: "Desarrolladores" (Lectura y Edición en máquinas virtuales en el entorno de desarrollo), "Operaciones" (Lectura, Edición, Compartir en todos los recursos de producción), y "Seguridad" (Solo lectura en Activity Logs y Flow Logs). A medida que los miembros del equipo se unen o dejan, el administrador simplemente los agrega o elimina del grupo correspondiente, y sus permisos se actualizan automáticamente siguiendo el Principio de Privilegio Mínimo de la Sección 2.4.
-
Implementación de servicios financieros seguros: Una institución financiera implementa aplicaciones en IONOS Cloud y debe cumplir con estrictos requisitos de seguridad y auditoría. El propietario del contrato configura una política de contraseñas que requiere contraseñas de 12 caracteres con mayúsculas, minúsculas, dígitos y caracteres especiales (Sección 4.1). Se requiere que todos los usuarios habiliten 2FA a través de la configuración "Forzar autenticación de dos factores" explicada en la Sección 4.2. La institución también establece PINs de soporte para todos los administradores (Sección 4.3). Estos controles de seguridad, combinados con Activity Logs para registros de auditoría (cubiertos en la Unidad 3.4), garantizan el cumplimiento con las regulaciones de la industria.
Resumen
El Data Center Designer (DCD) es la interfaz de administración principal de IONOS Cloud, que proporciona un lienzo visual con función de arrastrar y soltar para diseñar y administrar la infraestructura en la nube. Sirve como un panel de control unificado donde puede administrar cómputo, almacenamiento, redes, bases de datos y más desde un solo espacio de trabajo. El DCD ofrece dos modos de creación: Modo Canvas para diseños personalizados avanzados y Modo Xpress para despliegues rápidos y guiados.
El modelo de permisos de IONOS Cloud incluye tres tipos de cuentas. El Propietario del Contrato tiene control administrativo y financiero total, incluyendo la capacidad exclusiva de cambiar los métodos de pago. Los Administradores tienen control operativo total sobre los recursos y los usuarios, pero no pueden cambiar la configuración de pago. Los Usuarios regulares solo tienen los privilegios específicos que se les conceden, siguiendo el Principio de Mínimo Privilegio. La administración de permisos a través de Grupos simplifica el control de acceso a gran escala.
Para las organizaciones que trabajan con múltiples contratos o subcontratos, el selector de contratos de DCD facilita el cambio entre contextos. Los revendedores pueden crear subcontratos para clientes, y los administradores de contratos pueden conceder acceso a múltiples contratos a los usuarios a través de privilegios basados en grupos.
La seguridad de la cuenta en IONOS Cloud combina políticas de contraseña, autenticación de dos factores (2FA) y PINs de soporte. Las políticas de contraseña establecen requisitos de contraseña seguros, 2FA agrega un segundo factor de autenticación utilizando códigos basados en el tiempo, y los PINs de soporte protegen contra ataques de ingeniería social. Juntos, estos controles crean un enfoque de seguridad en capas que protege su infraestructura en la nube y sus datos.
Puntos clave:
- El Data Center Designer (DCD) es una interfaz gráfica web para administrar la infraestructura de IONOS Cloud utilizando un diseño visual de arrastrar y soltar
- Existen tres tipos de cuentas: Propietario del Contrato (control total), Administrador (control operativo total pero sin cambios de pago) y Usuario (privilegios explícitos solo)
- Se admite la administración de múltiples contratos a través del selector de contratos y los controles de acceso basados en grupos, lo que permite a los revendedores y a las empresas administrar entornos separados
- La configuración de seguridad de la cuenta incluye políticas de contraseña (controladas por el propietario del contrato), autenticación de dos factores (usuario o forzada) y PIN de soporte (controlado por el usuario)
- Los Grupos simplifican la administración de permisos al asignar privilegios a varios usuarios al mismo tiempo, lo que apoya el Principio de Mínimo Privilegio
- El DCD se integra con herramientas de Infraestructura como Código (Terraform, Ansible, API) para una administración híbrida visual y programática
Terminología importante:
- Data Center Designer (DCD): Panel de control gráfico web de IONOS Cloud para crear, configurar y administrar centros de datos virtuales y recursos en la nube
- Propietario del Contrato: El primer usuario en registrar el contrato; tiene control administrativo y financiero total, incluyendo la capacidad exclusiva de cambiar los métodos de pago
- Administrador: Usuario con privilegios operativos totales idénticos a los del propietario pero no puede modificar los detalles de pago
- Principio de Mínimo Privilegio (PoLP): Mejor práctica de seguridad que consiste en dar a los usuarios solo el acceso mínimo que necesitan para realizar su trabajo
- Autenticación de Dos Factores (2FA): Mecanismo de seguridad que requiere un segundo paso de verificación (código basado en el tiempo de una aplicación autenticadora) además de la contraseña
- PIN de Soporte: Código de seguridad establecido por el usuario para verificar su identidad cuando contacta con el Soporte de IONOS Cloud
Próximos pasos
Continuar aprendiendo: Unidad 3.2: Administración de identidad y acceso
Temas relacionados:
- Unidad 2.1: Componentes arquitectónicos básicos - Comprensión de los centros de datos virtuales y la organización de recursos
- Unidad 3.4: Activity Logs y Monitorización - Registros de auditoría y monitorización de seguridad