AWSProfesional

SAP-C02 Cheat Sheet

AWS Solutions Architect Professional — Referencia rápida para el examen

Comandos CLI

33
TOP= podría aparecer en el examen
AWS Organizations & SCP6 cmds
aws organizations list-accounts --query "Accounts[*].{Id:Id,Name:Name,Status:Status}"TOP

Listar todas las cuentas de la organización

aws organizations create-policy --content file://scp.json --name "DenyUS-WEST" --type SERVICE_CONTROL_POLICYTOP

Crear Service Control Policy (SCP)

aws organizations attach-policy --policy-id p-xxx --target-id ou-xxx

Adjuntar SCP a OU o cuenta

aws organizations describe-policy --policy-id p-xxx

Ver contenido de SCP

aws organizations move-account --account-id 123456789 --source-parent-id r-xxx --destination-parent-id ou-xxx

Mover cuenta a otra OU

aws organizations enable-policy-type --root-id r-xxx --policy-type SERVICE_CONTROL_POLICY

Habilitar SCPs en la organización

Comparativas

6
EstrategiaRTORPOCosto relativoCómo funciona
Backup & RestoreHorasHoras$ (más bajo)Snapshots/backups periódicos a S3. Restaurar cuando falla.
Pilot Light10–30 minMinutos$$Recursos mínimos siempre activos (DB replicada). EC2 apagado, encender en DR.
Warm Standby1–5 minSegundos$$$Entorno completo en escala mínima activo. Escalar en DR.
Active-ActiveSegundos o 00$$$$Ambas regiones reciben tráfico. Route 53 failover instantáneo.

Referencia Rápida

40

Métricas de DR

RPO (Recovery Point Objective)TOP

Cuánto tiempo de datos puedes perder. RPO=0 → sin pérdida de datos. RPO=1h → puedes perder 1h de transacciones.

RTO (Recovery Time Objective)TOP

Cuánto tiempo puede estar caído el sistema. RTO=0 → sin downtime (Active-Active). RTO=4h → restaurar en <4h.

Backup & Restore RPO/RTOTOP

RPO: horas (frecuencia de backup). RTO: horas (tiempo de restaurar). Más barato, menos HA.

Pilot Light RPO/RTOTOP

RPO: minutos (replicación DB). RTO: 10-30 min (encender y escalar EC2). Recursos mínimos siempre activos.

Warm Standby RPO/RTOTOP

RPO: segundos. RTO: 1-5 min. Entorno completo en pequeña escala, escalar al fallar.

Active-Active RPO/RTOTOP

RPO: 0. RTO: segundos o cero. Ambas regiones activas, Route 53 desvía tráfico. Más caro.

Pilot Light vs Warm StandbyTOP

Pilot Light: solo DB y servicios core activos, EC2 apagado. Warm Standby: todo activo pero en escala mínima.

AWS Organizations

SCP no otorga permisosTOP

SCP solo restringe el máximo de permisos posibles. El usuario también necesita política IAM de allow. SCP es un filtro.

SCP deny overridesTOP

SCP deny en nivel superior bloquea aunque haya allow en nivel inferior. Deny explícito siempre gana.

Root account SCPTOP

Los SCPs NO afectan a la management account (root). Solo afectan a cuentas miembro.

OU inheritanceTOP

SCP adjunto a OU se hereda por todos los hijos (sub-OUs y cuentas). Útil para restricciones de seguridad global.

Delegated Administration

Delegar administración de servicios (GuardDuty, Security Hub) a cuentas miembro sin darles acceso a management account.

Service Control vs Permission BoundaryTOP

SCP = límite a nivel de cuenta (Organizations). Permission Boundary = límite a nivel de entidad IAM (usuario/rol).

AWS Control Tower

Landing zone automatizada sobre Organizations. Crea estructura de OUs, baseline de guardrails y cuentas predefinidas (Log Archive, Audit).

Direct Connect

DX Dedicated ConnectionTOP

1 Gbps, 10 Gbps o 100 Gbps. Conexión directa desde tu hardware al DX Location. Proceso: semanas/meses.

DX Hosted ConnectionTOP

50 Mbps a 10 Gbps (capacidades variables). Provista por AWS Partner. Setup más rápido que dedicated.

Virtual Interface (VIF)TOP

Private VIF: accede a recursos de VPC. Public VIF: accede a servicios públicos AWS. Transit VIF: accede a TGW.

DX + VPN backupTOP

DX como primario (BGP preference alta). VPN como backup automático. Failover via BGP en segundos.

Dual DX = 99.99% SLATOP

Dos conexiones DX desde dos DX Locations/providers diferentes. AWS garantiza SLA 99.99%. Elimina SPOF físico.

DX Gateway

Permite conectar un DX (via Transit VIF) a múltiples VPCs en diferentes regiones o cuentas. Sin peering adicional.

MACsec en DX

Encriptación L2 (capa 2) nativa en Direct Connect. Disponible en dedicated connections 10G/100G. Sin overhead de VPN.

CloudFormation

Stack vs StackSetTOP

Stack = recursos en una cuenta/región. StackSet = desplegar mismo stack en múltiples cuentas/regiones automáticamente.

CAPABILITY_IAMTOP

Requerido cuando el template crea recursos IAM. CAPABILITY_NAMED_IAM para roles con nombre específico.

Drift DetectionTOP

Detecta diferencias entre el estado real de los recursos y lo definido en el template. No corrige automáticamente.

Custom ResourcesTOP

Lambda-backed. Ejecuta lógica personalizada durante create/update/delete del stack. Para recursos sin soporte nativo CFN.

CloudFormation MacrosTOP

Transformaciones de template pre-procesadas. SAM transform convierte template SAM a CFN estándar.

cfn-init vs UserData

cfn-init (cfn helper): instala paquetes, crea archivos de forma declarativa. UserData: script bash crudo. cfn-init más robusto.

StackSet Service ManagedTOP

AWS Organizations gestiona el despliegue automático a cuentas nuevas y OUs. No requiere roles manuales por cuenta.

Transit Gateway y VPC Peering

TGW vs VPC PeeringTOP

TGW = transitivo (A→TGW→B→C). VPC Peering = NO transitivo. TGW tiene costo por attachment y procesamiento de datos.

TGW Route TablesTOP

Cada attachment tiene una route table association. Puedes segmentar tráfico entre VPCs usando múltiples route tables.

TGW Inter-Region

TGW Peering entre regiones. Tráfico viaja por red privada AWS (no internet). Se cobra el peering attachment.

TGW con Organizations RAM

Compartir TGW entre cuentas de la organización via AWS Resource Access Manager (RAM). Sin crear TGW por cuenta.

VPC Peering cross-account

Funciona entre cuentas distintas y regiones distintas (inter-region peering). Requiere aceptación del peer. No transitivo.

PrivateLink vs VPC PeeringTOP

PrivateLink = exponer un servicio específico (endpoint service) sin peering completo. Más seguro, no expone toda la VPC.

Seguridad avanzada

GuardDuty vs InspectorTOP

GuardDuty = threat detection runtime (comportamiento sospechoso). Inspector = vulnerability assessment (CVEs en software/OS).

Macie vs GuardDutyTOP

Macie = datos sensibles en S3 (PII, credenciales). GuardDuty = amenazas de seguridad (acceso sospechoso, malware).

WAF Managed Rules

AWS Managed Rules (OWASP Top 10, Bot Control) o Marketplace. Se aplica a ALB, CloudFront, API Gateway, AppSync.

Shield Standard vs AdvancedTOP

Standard = automático, gratis, capa 3/4. Advanced = DDoS específico L7, SLA créditos de costo, 24/7 DRT team, $3000/mes.

KMS vs CloudHSMTOP

KMS = gestionado AWS, compartido (multi-tenant), FIPS 140-2 L2. CloudHSM = hardware dedicado, FIPS 140-2 L3, mayor control.

Secrets Manager vs Parameter Store

Secrets Manager = rotación automática, RDS integration, mayor costo. Parameter Store = gratis (standard), sin rotación nativa.

Volver arriba