CLF-C02

Deep Dive

Volver a guías
D1Conceptos de nube
¿Qué es la nube AWS? Las 6 ventajasInfraestructura global de AWSWell-Architected Framework y CAFMigración a AWS: estrategias y herramientas
D2Seguridad y cumplimiento
Modelo de responsabilidad compartidaIAM: Identidad y control de accesoServicios de seguridad AWS
D3Tecnología y servicios en la nube
Despliegue y operación en AWSCómputo: EC2, Lambda y contenedoresAlmacenamiento: S3, EBS, EFS y SnowBases de datos: RDS, DynamoDB y másRedes: VPC, Route 53, CloudFrontGestión: CloudWatch, CloudTrail, OrganizationsIA, Machine Learning y AnalíticaOtros servicios AWS en alcance
D4Facturación, precios y soporte
Modelos de precios AWSHerramientas de costos y facturaciónPlanes de soporte AWS
Practicar ahora
D3 · Tecnología y servicios en la nube

Gestión: CloudWatch, CloudTrail y Organizations

Los servicios de monitoreo y gestión son esenciales para operar en AWS. El CLF-C02 evalúa especialmente la diferencia entre CloudWatch (monitoreo), CloudTrail (auditoría) y Config (compliance), que confunden frecuentemente.

Contenido

Amazon CloudWatch

Icon-Architecture/48/Arch_Amazon-CloudWatch_48

Monitoreo y observabilidad para recursos y aplicaciones AWS

Amazon CloudWatch recopila y rastrea métricas, recopila y monitorea archivos de logs, establece alarmas y reacciona automáticamente a cambios en los recursos AWS y aplicaciones.

Componentes de CloudWatch

Metrics

Datos numéricos publicados por servicios AWS. Ej: CPUUtilization de EC2, NumberOfObjects de S3, ReadLatency de RDS. Gratis por defecto cada 5 minutos.

Detailed Monitoring

EC2 envía métricas cada 1 minuto (en lugar de 5) con costo adicional. Útil para Auto Scaling más reactivo.

Alarms

Activa acciones cuando una métrica supera un umbral. Acciones: notificar via SNS, ejecutar Auto Scaling, parar/iniciar instancias EC2.

Logs

Centraliza logs de Lambda, EC2, RDS, ECS, etc. CloudWatch Logs Insights permite queries sobre logs.

Dashboards

Paneles visuales con gráficos de métricas. Compartibles entre equipos.

Events / EventBridge

Responde a cambios de estado en servicios AWS (ej: EC2 inicia → dispara Lambda).

Métricas importantes por servicio

ServicioMétricas clave
EC2CPUUtilization, NetworkIn/Out, DiskRead/WriteOps
RDSDatabaseConnections, ReadLatency, FreeStorageSpace
LambdaInvocations, Duration, Errors, Throttles
S3BucketSizeBytes, NumberOfObjects (no en tiempo real)
ELBRequestCount, Latency, HTTP4XXCount, HTTP5XXCount
DynamoDBConsumedReadCapacityUnits, ThrottledRequests

Trampa de examen

CloudWatch NO monitorea memoria RAM de EC2 por defecto. Para memoria, debes instalar el CloudWatch Agent en la instancia. Lo mismo para métricas de disco detalladas.

AWS CloudTrail

Icon-Architecture/48/Arch_AWS-CloudTrail_48

Auditoría de llamadas a API en tu cuenta AWS

AWS CloudTrail registra las acciones tomadas por usuarios, roles o servicios AWS. Cada llamada a la API se registra como un evento en CloudTrail. Habilitado por defecto para los últimos 90 días (Management Events).

Qué captura cada evento de CloudTrail

  • Quién: identidad que realizó la acción (usuario, rol, cuenta root, servicio AWS)
  • Qué: servicio y operación API ejecutada (CreateVpc, DeleteBucket, PutObject)
  • Cuándo: timestamp exacto del evento
  • Desde dónde: IP de origen (consola, CLI, SDK)
  • Resultado: exitoso o denegado (con razón)

Tipos de eventos en CloudTrail

Management Events (control plane)

Operaciones de gestión de recursos: CreateEc2Instance, CreateS3Bucket, DeleteIAMUser. Habilitados por defecto.

Data Events (data plane)

Operaciones sobre datos: S3 GetObject/PutObject, Lambda InvokeFunction. No habilitados por defecto (alto volumen).

Insights Events

Detecta actividad inusual de API (pico de llamadas, comportamiento anómalo).

AWS CloudFormation — Infrastructure as Code

Icon-Architecture/48/Arch_AWS-CloudFormation_48

Provisiona infraestructura AWS mediante plantillas declarativas

AWS CloudFormation permite modelar y aprovisionar todos los recursos de infraestructura AWS usando código (plantillas JSON o YAML). Toda la infraestructura se trata como código versionable y repetible.

Templates

Archivos JSON o YAML que describen los recursos que necesitas. Define una vez, despliega en cualquier región.

Stacks

Unidad de despliegue de CloudFormation. Un stack = un conjunto de recursos relacionados creados desde una plantilla.

Change Sets

Previsualiza qué cambios se harán en el stack antes de aplicarlos. Evita sorpresas en producción.

Beneficios de CloudFormation para el examen

  • • Repetibilidad: el mismo template despliega infraestructura idéntica en dev, staging y producción
  • • Control de versiones: la infraestructura vive en Git como cualquier código
  • • Rollback automático: si algo falla durante el despliegue, CloudFormation deshace los cambios
  • • Gratis: no hay costo por CloudFormation; solo pagas por los recursos que crea

AWS Config

Icon-Architecture/48/Arch_AWS-Config_48

Evalúa y registra configuraciones de recursos AWS para compliance

AWS Config ofrece un registro detallado del inventario de recursos AWS y su configuración histórica. Permite evaluar configuraciones contra reglas de compliance y alertar cuando hay desvíos.

Reglas AWS Config (ejemplos)

  • s3-bucket-public-read-prohibited: ningún bucket con read público
  • ec2-instance-no-public-ip: EC2 sin IP pública
  • rds-storage-encrypted: RDS con cifrado activado
  • mfa-enabled-for-iam-console-access: usuarios IAM con MFA

Casos de uso

  • • Auditorías de compliance continuas
  • • "¿Cuándo cambió esta configuración y quién fue?" (combinado con CloudTrail)
  • • Remediation automática cuando un recurso sale de compliance

AWS Systems Manager

Icon-Architecture/48/Arch_AWS-Systems-Manager_48

Gestión unificada de instancias EC2 y recursos on-premises

Session Manager

Acceso SSH/RDP a instancias EC2 sin abrir puertos (sin Security Groups de entrada). Sin necesidad de bastión host.

Parameter Store

Almacenamiento seguro de configuración y secretos (strings, números, SecureString cifrado). Gratuito.

Patch Manager

Automatiza el proceso de parcheo de sistemas operativos y aplicaciones en instancias EC2 y on-premises.

Run Command

Ejecuta scripts o comandos en múltiples instancias simultáneamente sin necesidad de acceso SSH directo.

AWS Organizations

Icon-Architecture/48/Arch_AWS-Organizations_48

Gestión centralizada de múltiples cuentas AWS

AWS Organizations permite consolidar múltiples cuentas AWS en una organización que creas y administras centralmente. Facilita la facturación consolidada, políticas de seguridad centralizadas y aislamiento de workloads.

Consolidated Billing

Una sola factura para todas las cuentas. Descuentos por volumen consolidado entre todas las cuentas de la organización.

Service Control Policies (SCPs)

Políticas que limitan los permisos MÁXIMOS en cuentas o Organizational Units. Ni el root de la cuenta puede saltarse las SCPs.

Organizational Units (OUs)

Agrupaciones de cuentas (ej: OU-Producción, OU-Desarrollo). Aplica SCPs a nivel de OU para controlar múltiples cuentas a la vez.

AWS Trusted Advisor

Icon-Architecture/48/Arch_AWS-Trusted-Advisor_48

Consultor automatizado para optimizar tu cuenta AWS

Trusted Advisor analiza tu cuenta AWS y da recomendaciones en 5 categorías. Los checks disponibles dependen del plan de soporte.

Cost Optimization

Recursos infrautilizados (instancias EC2 con baja CPU, Reserved Instances sin usar, EBS no adjuntos)

Performance

Recomendaciones para mejorar el rendimiento (instancias con alta utilización, distribuciones CloudFront con alta tasa de error)

Security

Configuraciones de seguridad incorrectas: MFA no activado en root, Security Groups abiertos (0.0.0.0/0), S3 con acceso público

Fault Tolerance

Mejorar resiliencia: RDS sin Multi-AZ, EC2 sin distribuir en múltiples AZs, backups de EBS desactualizados

Service Limits

Avisa cuando se acercan a los límites de servicio (quotas) de AWS: número de VPCs, instancias EC2 por región

Checks por plan de soporte

Basic/Developer: ~7 checks (principalmente seguridad y límites de servicio). Business/Enterprise: todos los checks completos.

CloudWatch vs CloudTrail vs Config — La distinción crítica

DimensiónCloudWatchCloudTrailAWS Config
PropósitoMonitoreo de rendimientoAuditoría de API callsCompliance de configuración
Pregunta que responde"¿Cómo está funcionando mi infraestructura ahora?""¿Quién hizo qué y cuándo?""¿Está mi infraestructura configurada correctamente?"
Tipo de datoMétricas numéricas (CPU, requests)Eventos de llamadas APIEstado de configuración de recursos
TiempoTiempo real y tendenciasHistórico de eventosHistorial de cambios de configuración
AlertasSí — Alarms cuando métrica supera umbralVia CloudWatch Events o EventBridgeSí — cuando recurso sale de compliance
Caso de uso típicoCPU al 95%, alarma notifica equipo ops"¿Quién eliminó el bucket S3?""¿Qué instancias EC2 no tienen cifrado?"

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Un equipo de seguridad necesita saber el estado actual de cifrado de todas las instancias RDS en la cuenta AWS, y ser notificado cuando se cree una instancia RDS sin cifrado activado. ¿Qué servicio de AWS satisface este requisito?