SAP-C02 Cheat Sheet
AWS Solutions Architect Professional — Referencia rápida para el examen
Comandos CLI
33aws organizations list-accounts --query "Accounts[*].{Id:Id,Name:Name,Status:Status}"TOPListar todas las cuentas de la organización
aws organizations create-policy --content file://scp.json --name "DenyUS-WEST" --type SERVICE_CONTROL_POLICYTOPCrear Service Control Policy (SCP)
aws organizations attach-policy --policy-id p-xxx --target-id ou-xxxAdjuntar SCP a OU o cuenta
aws organizations describe-policy --policy-id p-xxxVer contenido de SCP
aws organizations move-account --account-id 123456789 --source-parent-id r-xxx --destination-parent-id ou-xxxMover cuenta a otra OU
aws organizations enable-policy-type --root-id r-xxx --policy-type SERVICE_CONTROL_POLICYHabilitar SCPs en la organización
Comparativas
6| Estrategia | RTO | RPO | Costo relativo | Cómo funciona |
|---|---|---|---|---|
| Backup & Restore | Horas | Horas | $ (más bajo) | Snapshots/backups periódicos a S3. Restaurar cuando falla. |
| Pilot Light | 10–30 min | Minutos | $$ | Recursos mínimos siempre activos (DB replicada). EC2 apagado, encender en DR. |
| Warm Standby | 1–5 min | Segundos | $$$ | Entorno completo en escala mínima activo. Escalar en DR. |
| Active-Active | Segundos o 0 | 0 | $$$$ | Ambas regiones reciben tráfico. Route 53 failover instantáneo. |
Referencia Rápida
40Métricas de DR
Cuánto tiempo de datos puedes perder. RPO=0 → sin pérdida de datos. RPO=1h → puedes perder 1h de transacciones.
Cuánto tiempo puede estar caído el sistema. RTO=0 → sin downtime (Active-Active). RTO=4h → restaurar en <4h.
RPO: horas (frecuencia de backup). RTO: horas (tiempo de restaurar). Más barato, menos HA.
RPO: minutos (replicación DB). RTO: 10-30 min (encender y escalar EC2). Recursos mínimos siempre activos.
RPO: segundos. RTO: 1-5 min. Entorno completo en pequeña escala, escalar al fallar.
RPO: 0. RTO: segundos o cero. Ambas regiones activas, Route 53 desvía tráfico. Más caro.
Pilot Light: solo DB y servicios core activos, EC2 apagado. Warm Standby: todo activo pero en escala mínima.
AWS Organizations
SCP solo restringe el máximo de permisos posibles. El usuario también necesita política IAM de allow. SCP es un filtro.
SCP deny en nivel superior bloquea aunque haya allow en nivel inferior. Deny explícito siempre gana.
Los SCPs NO afectan a la management account (root). Solo afectan a cuentas miembro.
SCP adjunto a OU se hereda por todos los hijos (sub-OUs y cuentas). Útil para restricciones de seguridad global.
Delegar administración de servicios (GuardDuty, Security Hub) a cuentas miembro sin darles acceso a management account.
SCP = límite a nivel de cuenta (Organizations). Permission Boundary = límite a nivel de entidad IAM (usuario/rol).
Landing zone automatizada sobre Organizations. Crea estructura de OUs, baseline de guardrails y cuentas predefinidas (Log Archive, Audit).
Direct Connect
1 Gbps, 10 Gbps o 100 Gbps. Conexión directa desde tu hardware al DX Location. Proceso: semanas/meses.
50 Mbps a 10 Gbps (capacidades variables). Provista por AWS Partner. Setup más rápido que dedicated.
Private VIF: accede a recursos de VPC. Public VIF: accede a servicios públicos AWS. Transit VIF: accede a TGW.
DX como primario (BGP preference alta). VPN como backup automático. Failover via BGP en segundos.
Dos conexiones DX desde dos DX Locations/providers diferentes. AWS garantiza SLA 99.99%. Elimina SPOF físico.
Permite conectar un DX (via Transit VIF) a múltiples VPCs en diferentes regiones o cuentas. Sin peering adicional.
Encriptación L2 (capa 2) nativa en Direct Connect. Disponible en dedicated connections 10G/100G. Sin overhead de VPN.
CloudFormation
Stack = recursos en una cuenta/región. StackSet = desplegar mismo stack en múltiples cuentas/regiones automáticamente.
Requerido cuando el template crea recursos IAM. CAPABILITY_NAMED_IAM para roles con nombre específico.
Detecta diferencias entre el estado real de los recursos y lo definido en el template. No corrige automáticamente.
Lambda-backed. Ejecuta lógica personalizada durante create/update/delete del stack. Para recursos sin soporte nativo CFN.
Transformaciones de template pre-procesadas. SAM transform convierte template SAM a CFN estándar.
cfn-init (cfn helper): instala paquetes, crea archivos de forma declarativa. UserData: script bash crudo. cfn-init más robusto.
AWS Organizations gestiona el despliegue automático a cuentas nuevas y OUs. No requiere roles manuales por cuenta.
Transit Gateway y VPC Peering
TGW = transitivo (A→TGW→B→C). VPC Peering = NO transitivo. TGW tiene costo por attachment y procesamiento de datos.
Cada attachment tiene una route table association. Puedes segmentar tráfico entre VPCs usando múltiples route tables.
TGW Peering entre regiones. Tráfico viaja por red privada AWS (no internet). Se cobra el peering attachment.
Compartir TGW entre cuentas de la organización via AWS Resource Access Manager (RAM). Sin crear TGW por cuenta.
Funciona entre cuentas distintas y regiones distintas (inter-region peering). Requiere aceptación del peer. No transitivo.
PrivateLink = exponer un servicio específico (endpoint service) sin peering completo. Más seguro, no expone toda la VPC.
Seguridad avanzada
GuardDuty = threat detection runtime (comportamiento sospechoso). Inspector = vulnerability assessment (CVEs en software/OS).
Macie = datos sensibles en S3 (PII, credenciales). GuardDuty = amenazas de seguridad (acceso sospechoso, malware).
AWS Managed Rules (OWASP Top 10, Bot Control) o Marketplace. Se aplica a ALB, CloudFront, API Gateway, AppSync.
Standard = automático, gratis, capa 3/4. Advanced = DDoS específico L7, SLA créditos de costo, 24/7 DRT team, $3000/mes.
KMS = gestionado AWS, compartido (multi-tenant), FIPS 140-2 L2. CloudHSM = hardware dedicado, FIPS 140-2 L3, mayor control.
Secrets Manager = rotación automática, RDS integration, mayor costo. Parameter Store = gratis (standard), sin rotación nativa.