Guía completa
SAP-C02 Solutions Architect Professional
Toca cualquier servicio para ver más detalles y documentación oficial.
Distribución del examen
40–60
Preguntas
~65
Min lectura
700
Puntaje mínimo
Complejidad organizacional
24–28% del examenEstrategia multi-cuenta con AWS Organizations
A nivel Professional, el diseño de cuentas es la primera decisión arquitectónica. Una sola cuenta no escala en términos de límites, aislamiento ni seguridad.
Haz clic en cualquier servicio para ver más detalles
Estructura recomendada de OUs
| OU | Contiene | Propósito |
|---|---|---|
| Root | Management Account | Solo billing y gestión — sin workloads |
| Security | Audit Account, Log Archive Account | Centraliza CloudTrail, Config, GuardDuty |
| Infrastructure | Network Account, Shared Services Account | Transit Gateway, DNS, AD Connector |
| Workloads/Prod | Una cuenta por aplicación o dominio de negocio | Aislamiento entre apps de producción |
| Workloads/Dev | Una o varias cuentas de desarrollo | Libertad para experimentar, guardrails flexibles |
| Sandbox | Cuentas efímeras para experimentación | Con budgets agresivos y TTL automático |
Redes multi-cuenta a escala
Haz clic en cualquier servicio para ver más detalles
| Opción | Escenario | Trade-off |
|---|---|---|
| VPC Peering | Pocos VPCs (2-3), mismo dueño | Más barato, no transitivo, no escala |
| Transit Gateway | Muchos VPCs / multi-cuenta | Costo por hora + GB, centralizado, transitivo |
| AWS PrivateLink | Exponer un servicio a otras VPCs/cuentas | Sin acceso a toda la red — solo al servicio específico |
| AWS RAM | Compartir subnets o TGW entre cuentas | Evita duplicar recursos de red entre cuentas |
Identidad federada y cross-account access
🔑 AWS IAM Identity Center
SSO para acceder a múltiples cuentas con un solo login. Integra con AD, Okta, Azure AD.
🔑 Cross-account Roles
Rol en cuenta destino que asume la cuenta origen. Patrón estándar para automatización.
🔑 AWS Directory Service
Microsoft AD administrado en AWS. Para apps que requieren Kerberos o LDAP.
🔑 Resource Policies
Permiten acceso cross-account a recursos específicos (S3, KMS, SNS) sin asumir rol.
El examen SAP-C02 da escenarios de cientos de cuentas. La respuesta casi siempre involucra Control Tower + Organizations + TGW + IAM Identity Center. Si solo hay 2-3 cuentas, VPC Peering y cross-account roles pueden ser suficientes.
Diseño de nuevas soluciones
27–31% del examenArquitecturas event-driven a escala
A nivel Professional, el diseño de sistemas desacoplados y reactivos es crítico. La elección entre los servicios de mensajería y orquestación define la escalabilidad.
Haz clic en cualquier servicio para ver más detalles
| Patrón | Herramienta | Cuándo |
|---|---|---|
| Choreography | EventBridge / SNS / SQS | Servicios reactivos, sin coordinador central |
| Orchestration | Step Functions | Flujo con lógica compleja, reintentos, aprobaciones humanas |
| Streaming | Kinesis Data Streams | Datos en tiempo real con replay y procesamiento paralelo |
| Batch async | SQS + Lambda/ECS | Desacoplar picos de carga, reintentos automáticos |
Analytics y datos a escala
Haz clic en cualquier servicio para ver más detalles
Arquitectura Data Lake moderna en AWS
Microservicios y contenedores
Haz clic en cualquier servicio para ver más detalles
| Decisión | ECS Fargate | EKS |
|---|---|---|
| Gestión | AWS gestiona el plano de control | AWS gestiona master nodes (pago) |
| Curva de aprendizaje | Baja — API AWS nativa | Alta — necesitas conocer Kubernetes |
| Flexibilidad | Menos extensible | Máxima — todo el ecosistema K8s |
| Migración K8s | No compatible | Porta workloads K8s existentes |
| Recomendado para | Nuevas apps sin K8s existente | Ya usas K8s o necesitas su ecosistema |
En el examen Professional, las preguntas de diseño siempre tienen trade-offs explícitos de costo vs complejidad vs rendimiento. No hay una sola respuesta correcta — justifica con el requisito específico del escenario.
Mejora continua de soluciones existentes
23–27% del examenSeguridad y compliance a escala
Haz clic en cualquier servicio para ver más detalles
| Control | Tipo | Servicio |
|---|---|---|
| Preventivo | Bloquea antes de que ocurra | SCPs, SGs/NACLs, IAM Deny, AWS WAF |
| Detectivo | Detecta cuando ya ocurrió | GuardDuty, Config Rules, CloudTrail, Macie |
| Correctivo | Corrige automáticamente | Config Remediation, Lambda, Systems Manager |
| Disuasivo | Hace menos probable una acción | MFA, IAM Password Policy, Alertas visibles |
Observabilidad avanzada
Haz clic en cualquier servicio para ver más detalles
📊 CloudWatch Container Insights
Métricas y logs automáticos para ECS, EKS y K8s
📊 CloudWatch Lambda Insights
Rendimiento y errores detallados por función Lambda
📊 AWS X-Ray
Trazas distribuidas para depurar latencia en microservicios
📊 CloudWatch Evidently
Feature flags y A/B testing con análisis de impacto
Infrastructure as Code a escala org
Haz clic en cualquier servicio para ver más detalles
| Herramienta | Cuándo usarla |
|---|---|
| CloudFormation StackSets | Desplegar el mismo stack en 100 cuentas y 3 regiones con un comando |
| AWS CDK | Definir infraestructura con TypeScript/Python/Java — genera CloudFormation |
| AWS Service Catalog | Equipos pueden crear recursos pre-aprobados sin acceso directo a AWS |
| Terraform | Multi-cloud o preferencia de equipo. Genera planes explícitos antes de aplicar |
CloudFormation StackSets + Organizations = desplegar guardrails y configuraciones de seguridad en todas las cuentas automáticamente cuando se crea una nueva. Patrón fundamental en el examen.
Migración y modernización
18–22% del examenLas 7 Rs de migración
| Estrategia | Descripción | Herramienta |
|---|---|---|
| Rehost | Lift-and-shift sin cambios al código | MGN (Application Migration Service) |
| Replatform | Pequeños ajustes para aprovechar la nube | RDS en vez de DB en EC2, Elastic Beanstalk |
| Repurchase | Cambiar a SaaS (ej: CRM on-prem → Salesforce) | Marketplace, SaaS vendors |
| Refactor | Rediseñar para cloud-native (microservicios) | Lambda, ECS, DynamoDB, API Gateway |
| Relocate | Mover VMs de VMware a VMware Cloud on AWS | VMware Cloud on AWS |
| Retire | Apagar apps que ya no son necesarias | Discovery con Migration Hub |
| Retain | Mantener on-premises por ahora | Conectar con VPN/Direct Connect |
Herramientas de migración
Haz clic en cualquier servicio para ver más detalles
Modernización hacia cloud-native
El examen SAP-C02 evalúa cómo modernizar apps monolíticas existentes hacia arquitecturas más escalables y manejables, con trade-offs claros.
| Patrón | De | Hacia | Beneficio |
|---|---|---|---|
| Strangler Fig | Monolito | Microservicios gradual | Sin big bang, migración incremental |
| Containerización | VMs con app | ECS/EKS Fargate | Densidad, portabilidad, menor costo |
| DB modernization | Oracle/SQL Server | Aurora PostgreSQL/MySQL | Elimina licencias costosas, mejor rendimiento |
| Event-driven | Llamadas síncronas | SQS/SNS/EventBridge + Lambda | Desacoplamiento, escala independiente |
| Serverless | App en EC2 siempre activa | Lambda + API Gateway | Paga solo por uso, escala a cero |
Transferencia masiva de datos
| Escenario | Solución | Velocidad aprox. |
|---|---|---|
| < 1 TB por internet | S3 Transfer Acceleration / AWS DataSync | Depende del ancho de banda |
| 1-10 TB, internet disponible | AWS DataSync sobre VPN/Direct Connect | Uso máximo del canal |
| 10-100 TB, sin internet rápido | AWS Snowball Edge (dispositivo físico) | 100 TB por Snowball |
| > 100 TB o exabytes | AWS Snowmobile (camión de datos) | Hasta 100 PB por camión |
| Replicación continua de BD | AWS DMS con CDC | Latencia de segundos |
Snowball y Snowmobile son solo para migración masiva inicial. Para replicación continua post-migración usa DataSync (archivos) o DMS (bases de datos). El examen distingue ambos casos.
Tips para el día del examen
Multi-cuenta es la base del nivel Professional. Memoriza Organizations → Control Tower → SCPs → Landing Zone. El orden importa.
Transit Gateway es transitivo. VPC Peering NO. Para N VPCs en múltiples cuentas: siempre TGW. Para 2 VPCs simples: Peering es más barato.
Kinesis Streams = procesas tú (Lambda/Flink). Firehose = entrega automática a S3/Redshift/OpenSearch. EventBridge = eventos de servicios AWS y SaaS.
Step Functions orquesta pasos. EventBridge enruta eventos. Son complementarios: EventBridge puede triggerear un Step Functions workflow.
6 Rs de migración: Rehost (lift-and-shift, MGN), Replatform (RDS en vez de EC2+DB), Repurchase (SaaS), Refactor (nueva arquitectura), Retire, Retain.
Detective controls: GuardDuty (amenazas), Config (compliance), CloudTrail (auditoría). Preventive controls: SCPs, IAM, SG/NACL. Saber cuál usa cada uno.
OLTP → RDS/Aurora. OLAP → Redshift. NoSQL → DynamoDB. Streaming → Kinesis. ETL → Glue. Data Catalog → Glue Catalog (shared con Athena y Spectrum).
CloudFormation StackSets despliega stacks en múltiples cuentas y regiones simultáneamente. Fundamental para governance en Organizations.
Para examen profesional: siempre piensa en escala (miles de cuentas, petabytes, millones de usuarios). La solución elegante para 10 recursos no funciona para 10,000.
Consolidate billing: Reserved Instances y Savings Plans se comparten en toda la organización. Compra RIs en la cuenta que más las necesite.
¿Quieres más profundidad?
Esta guía es un resumen rápido. Visita la sección Deep Dive para exploración exhaustiva con casos reales, análisis de costos y decisiones arquitectónicas.
¿Listo para poner a prueba lo aprendido?
Practica SAP-C02 con preguntas originales. Disponible con plan Pro o compra individual — crea tu cuenta para empezar.