Guía completa
SAA-C03 Solutions Architect Associate
Toca cualquier servicio para ver más detalles y documentación oficial.
Distribución del examen
40–60
Preguntas
~60
Min lectura
700
Puntaje mínimo
Diseño de arquitecturas seguras
30% del examenIAM avanzado y control de acceso
Haz clic en cualquier servicio para ver más detalles
| Mecanismo | Alcance | Uso |
|---|---|---|
| IAM Policies | Usuario/Rol específico | Permisos de identidades en tu cuenta |
| Resource Policies | Recurso específico (S3, SQS) | Acceso cross-account o público controlado |
| SCPs (Service Control) | Toda una cuenta o OU en AWS Organizations | Límite máximo de permisos para la cuenta |
| Permission Boundaries | Identidad específica | Límite máximo para lo que un rol puede delegar |
Cifrado y gestión de secretos
| Servicio | Qué almacena | Característica clave |
|---|---|---|
| AWS KMS | Claves de cifrado | Integración nativa con todos los servicios AWS |
| Secrets Manager | Passwords, API keys, tokens | Rotación automática de secretos |
| SSM Parameter Store | Configuración, secretos simples | Más barato, sin rotación automática |
| ACM | Certificados SSL/TLS | Provisión y renovación automática gratuita |
Seguridad de red
Haz clic en cualquier servicio para ver más detalles
| Servicio | Qué protege | Tipo de amenaza |
|---|---|---|
| Security Groups | Instancias EC2, RDS, Lambda en VPC | Stateful: permite respuesta automática. Solo Allow rules. |
| NACLs | Subnets completas en la VPC | Stateless: necesitas reglas de entrada Y salida. Allow y Deny. |
| AWS WAF | ALB, CloudFront, API Gateway, AppSync | Ataques web: SQL injection, XSS, rate limiting por IP |
| AWS Shield | Toda la infraestructura AWS | DDoS: Shield Standard (gratis). Shield Advanced ($3,000/mes) con SRT |
| Amazon GuardDuty | Toda la cuenta AWS (DNS, VPC, CloudTrail) | Amenazas: instancias comprometidas, llamadas API sospechosas, crypto mining |
SCPs en AWS Organizations NO reemplazan IAM Policies — las limitan. Si un SCP deniega algo, ningún IAM Policy puede permitirlo. Son la capa más alta de control.
Diseño de arquitecturas resilientes
26% del examenAlta disponibilidad con EC2
Haz clic en cualquier servicio para ver más detalles
Bases de datos resilientes
Haz clic en cualquier servicio para ver más detalles
Desacoplamiento y colas
Haz clic en cualquier servicio para ver más detalles
Patrones de disaster recovery
| Patrón | RTO | RPO | Costo | Descripción |
|---|---|---|---|---|
| Backup & Restore | Horas | Horas | $ | Restaurar desde backups en S3 en otra región |
| Pilot Light | Minutos | Minutos | $$ | Core mínimo siempre activo en región DR |
| Warm Standby | Minutos | Segundos | $$$ | Versión reducida del entorno activa en DR |
| Multi-Site Active | Segundos | Segundos | $$$$ | Ambas regiones activas, Route 53 distribuye |
Para el examen: si piden RTO/RPO de minutos → Warm Standby. Si piden segundos → Multi-Site Active. Si piden horas y bajo costo → Backup & Restore. Siempre justifica el costo.
Diseño de alto rendimiento
24% del examenCómputo y escalado
| Servicio | Escenario de alto rendimiento |
|---|---|
| EC2 + ASG | Apps web con tráfico variable — escala horizontal automática |
| AWS Lambda | Millones de eventos cortos en paralelo sin gestión de servidores |
| ECS / EKS Fargate | Microservicios containerizados con escala automática sin gestionar nodos |
| EC2 Spot Fleet | Workloads de batch y ML que necesitan mucha CPU/GPU a bajo costo |
Bases de datos y cache
Haz clic en cualquier servicio para ver más detalles
| Cache | Caso de uso |
|---|---|
| ElastiCache Redis | Sesiones, leaderboards, pub/sub, estructuras complejas |
| ElastiCache Memcached | Cache simple de objetos, multi-thread, sin persistencia |
| DynamoDB DAX | Cache específico para DynamoDB, latencia microsegundos |
| CloudFront | Cache de contenido estático y dinámico en Edge Locations |
Redes y entrega de contenido
Haz clic en cualquier servicio para ver más detalles
Para preguntas de rendimiento: si es contenido estático → CloudFront. Si es base de datos lenta → ElastiCache o Read Replica. Si son picos de tráfico → Auto Scaling. Si es latencia de DB → DAX o cache.
Optimización de costos
20% del examenModelo de precios por servicio
| Servicio | Cómo reducir costos |
|---|---|
| EC2 | Reserved/Savings Plans para carga base. Spot para batch/ML. Rightsizing con Compute Optimizer. |
| S3 | Lifecycle policies → Intelligent-Tiering → IA → Glacier para datos que enfrían. |
| RDS | Reserved Instances para DBs de producción siempre activas. Apagar entornos dev/test. |
| Lambda | Arm/Graviton procesadores. Ajustar memoria (más memoria puede ser más barato por menor duración). |
| Data Transfer | Usar VPC Endpoints para S3/DynamoDB. CloudFront reduce egress desde regiones. Same-AZ = gratis. |
Herramientas de optimización de costos
🔍 AWS Compute Optimizer
Recomienda el tipo de instancia EC2 óptimo basado en métricas reales de uso.
💰 Cost Explorer
Analiza gasto histórico, proyecciones y oportunidades de ahorro.
📊 AWS Budgets
Alertas cuando el gasto proyectado supera umbrales definidos.
🗂️ Cost Allocation Tags
Etiqueta recursos por proyecto/equipo para asignar costos.
Transferencia de datos entre AZs en la misma región tiene costo. Cross-AZ ELB → backend genera tráfico inter-AZ. Solución: usar ALB target group con instances en la misma AZ que el cliente.
Tips para el día del examen
SAA-C03 evalúa DECISIONES de diseño. Siempre busca la opción más segura, resiliente, con mayor rendimiento y menor costo — en ese orden de prioridad.
Alta disponibilidad = Multi-AZ + Auto Scaling + ELB. Si falla una AZ, el tráfico sigue fluyendo automáticamente.
RDS Multi-AZ = HA (failover automático). Read Replicas = escalar lectura. NO son lo mismo. Multi-AZ no mejora rendimiento de lectura.
SQS para desacoplar y absorber picos (pull). SNS para notificaciones a múltiples sistemas (push). Fan-out = SNS → múltiples SQS.
VPC Peering no es transitivo. Para N VPCs usa Transit Gateway. Gateway Endpoint para S3/DynamoDB desde VPC sin costo de transferencia.
Spot Instances para workloads tolerantes a interrupciones (batch, ML training). Reserved para carga base predecible. On-Demand para picos.
KMS para gestión de claves. Secrets Manager para secretos con rotación automática. SSM Parameter Store para configuración (más barato para secretos simples).
CloudWatch Metrics + Alarms → Auto Scaling. CloudTrail para auditoría de API calls. Config para compliance de configuración de recursos.
Para disaster recovery multi-región: Route 53 Failover + RDS Cross-Region Read Replica + S3 CRR. Objevi: RPO/RTO específicos.
DynamoDB DAX para microsegundos. ElastiCache Redis/Memcached para cache de sesiones y resultados de DB. CloudFront para contenido estático.
¿Quieres más profundidad?
Esta guía es un resumen rápido. Visita la sección Deep Dive para exploración exhaustiva con casos reales, análisis de costos y decisiones arquitectónicas.
¿Listo para poner a prueba lo aprendido?
Practica SAA-C03 con preguntas originales. Disponible con plan Pro o compra individual — crea tu cuenta para empezar.