AWS Certified Cloud Practitioner
Última revisión: mayo de 2026
Una referencia escaneable de patrones arquitectónicos que evalúa el examen CLF-C02. Lee de arriba a abajo o salta a una sección.
Una startup quiere lanzar una aplicación web sin comprar servidores de antemano.
La nube cambia CapEx por OpEx — paga por uso para la computación, sin compra de hardware.
Por qué: El costo variable escala con el uso; no hay capital inactivo inmovilizado en servidores inactivos.
La carga de trabajo se dispara durante los eventos de ventas y permanece inactiva por la noche.
Elasticidad — escala automáticamente los recursos hacia arriba y hacia abajo con la demanda. Paga solo por lo que se ejecuta.
Por qué: Diferente de la escalabilidad (capacidad máxima). La elasticidad es bidireccional y automática.
El equipo quiere experimentar con servicios de ML sin un compromiso a largo plazo.
Agilidad de la nube — aprovisiona en minutos, termina cuando hayas terminado, sin riesgo de capital.
¿Por qué la computación en la nube es más barata que ejecutarla uno mismo?
Economías de escala — AWS agrega la demanda de millones de clientes; el costo por unidad disminuye a medida que el volumen crece.
Deja de sobreaprovisionar servidores "por si acaso" o quedarte corto durante los picos.
La nube te permite aprovisionar exactamente lo que necesitas, escalar bajo demanda, dar de baja instantáneamente.
Por qué: Elimina la conjetura de la planificación de capacidad que desperdicia el gasto en hardware inactivo o arriesga interrupciones.
Quiere desplegar globalmente sin construir centros de datos en cada país.
La nube te permite globalizarte en minutos a través de Regiones y Edge locations. Sin construcción de instalaciones.
Elige dónde desplegar: separación física para aislamiento de fallos + baja latencia entre zonas.
Región = geografía (p. ej., `us-east-1`). Availability Zone = grupo de centros de datos aislados dentro de una Región (≥3 por Región).
Por qué: El diseño Multi-AZ sobrevive a un fallo de un centro de datos; la misma Región mantiene baja la latencia inter-AZ (milésimas de segundo de un solo dígito).
Almacenar en caché contenido cerca de los usuarios finales en todo el mundo.
Edge locations de CloudFront + cachés regionales de borde. Más de 600 POPs a nivel mundial.
Por qué: El Edge sirve contenido estático desde el POP más cercano; reduce la latencia en comparación con el viaje de ida y vuelta a la Región de origen.
Necesita una latencia de milisegundos de un solo dígito en un área metropolitana no cubierta por una Región; o desplegar en un borde de operador 5G.
AWS Local Zones (extensión metropolitana de una Región) para baja latencia general. AWS Wavelength para casos de uso de borde móvil 5G.
Necesita APIs y servicios de AWS ejecutándose on-prem (cumplimiento, latencia, residencia de datos).
AWS Outposts — rack/servidor de AWS totalmente gestionado en su centro de datos. Las mismas APIs que la nube.
Elija un modelo de despliegue: todo en la nube, solo on-prem, o mixto.
Nube (AWS completo), Híbrido (nube + on-prem conectado vía Direct Connect/VPN/Outposts), On-prem (sin nube).
Diseñar una carga de trabajo que sea segura, fiable, de alto rendimiento, rentable, sostenible y operacionalmente sólida.
Seis pilares de Well-Architected: Excelencia Operativa, Seguridad, Fiabilidad, Eficiencia del Rendimiento, Optimización de Costos, Sostenibilidad.
Por qué: Los pilares son la lista de verificación de diseño canónica de AWS. Fiabilidad = recuperarse de fallos + escalar a la demanda. Sostenibilidad (añadido en 2021) = minimizar el impacto ambiental.
La carga de trabajo debe sobrevivir a una interrupción de una AZ con un tiempo de inactividad mínimo.
Diseño Multi-AZ — desplegar en ≥2 AZs detrás de un balanceador de carga. RDS Multi-AZ para bases de datos.
Distingue "tolerante a fallos" de "altamente disponible".
HA = se recupera rápidamente de fallos (cierto tiempo de inactividad, puede usar una réplica pasiva). Tolerante a fallos = sin tiempo de inactividad perceptible, los componentes redundantes se ejecutan en vivo.
Por qué: HA es más barato; tolerante a fallos requiere capacidad activa duplicada. Elige según SLA + costo.
Quién asegura qué — AWS vs. cliente.
AWS = seguridad DE la nube (hardware, hipervisor, regiones, parches de servicios gestionados). Cliente = seguridad EN la nube (datos, IAM, claves KMS, configuración de red, parches de SO en EC2, configuración de aplicaciones).
Por qué: El límite cambia según el servicio: EC2 = el cliente parchea el SO; RDS = AWS parchea el motor de la base de datos, el cliente gestiona usuarios + datos; S3 = AWS gestiona la infraestructura, el cliente gestiona las políticas de bucket + objetos.
Otorgar a los desarrolladores acceso a los recursos de AWS sin compartir credenciales de root.
Usuarios de IAM (por persona), grupos (paquetes de roles), roles (asumidos por servicios o identidades federadas), políticas (documentos de permisos JSON).
Por qué: Se prefieren los roles + credenciales temporales sobre las claves de acceso de larga duración tanto para humanos como para cargas de trabajo.
Configurar una cuenta que siga las mejores prácticas de seguridad de AWS desde el primer día.
Asegurar el root (MFA, sin claves programáticas, usar solo para tareas de facturación/cuenta). Crear usuarios + grupos de IAM, habilitar MFA en todos los usuarios humanos, otorgar el privilegio mínimo, preferir roles sobre claves de larga duración, rotar credenciales.
¿Dónde se pueden adjuntar permisos?
Basadas en identidad (adjuntas a usuario/grupo/rol), basadas en recursos (adjuntas a bucket de S3, clave KMS, cola SQS, función Lambda), límite de permisos (permisos máximos para un principal), SCP (máximo a nivel de organización).
Centralizar el SSO de la fuerza laboral en múltiples cuentas de AWS y aplicaciones SaaS.
AWS IAM Identity Center (anteriormente AWS SSO). Conectar a un IdP existente (Okta, Entra ID, AD) o usar un directorio integrado; asignar conjuntos de permisos a las cuentas.
Bloquear todas las cuentas de la organización para que no lancen recursos fuera de `eu-west-1` y `eu-central-1`.
AWS Organizations Service Control Policy (SCP) adjunta a la OU. Las SCPs establecen los permisos máximos; no pueden conceder.
Por qué: Las SCPs son preventivas — incluso un administrador en una cuenta secundaria no puede superarlas.
Establecer una landing zone de múltiples cuentas con guardrails preconfigurados.
AWS Control Tower — orquesta Organizations, IAM Identity Center, Config, CloudTrail, registro de S3 y guardrails preconfigurados. Account Factory aprovisiona nuevas cuentas con una base.
Verificar continuamente que las configuraciones de los recursos coinciden con las políticas internas.
AWS Config — registra el estado de los recursos a lo largo del tiempo, evalúa contra reglas gestionadas/personalizadas, muestra recursos no conformes, admite la remediación automática a través de SSM Automation.
Auditar quién hizo qué, cuándo, desde dónde, en la cuenta de AWS.
AWS CloudTrail — registra cada llamada a la API de gestión; eventos de datos opcionales para S3/Lambda. El trail de la organización captura todas las cuentas en un bucket S3 central.
Detectar claves IAM comprometidas, instancias EC2 de cripto-minería o patrones de API inusuales.
Amazon GuardDuty — detección de amenazas gestionada. Analiza CloudTrail, VPC Flow Logs, DNS logs, EKS audit logs, eventos de datos de S3, malware en EBS, inicio de sesión de RDS.
Escanear continuamente EC2, imágenes de ECR y Lambda en busca de vulnerabilidades conocidas.
Amazon Inspector — escaneo automatizado de CVE + accesibilidad de red. No hay agente para ECR/Lambda; agente SSM para EC2.
Encontrar PII (tarjetas de crédito, SSN, secretos) en buckets S3.
Amazon Macie — descubrimiento de datos sensibles impulsado por ML para S3. Escaneos programados y basados en eventos; informa los hallazgos a Security Hub.
Panel único para hallazgos de seguridad en GuardDuty, Inspector, Macie, IAM Access Analyzer y herramientas de terceros.
AWS Security Hub — agrega hallazgos, ejecuta comprobaciones automáticas de estándares CIS / PCI-DSS / NIST, admite la agregación entre cuentas.
Proteger una aplicación web pública de inyecciones SQL / XSS y absorber ataques DDoS.
AWS WAF para exploits web L7 (reglas gestionadas + personalizadas en CloudFront / ALB / API Gateway). AWS Shield Standard (gratuito, DDoS L3/L4 siempre activo) + Shield Advanced para ataques sofisticados + soporte DRT 24×7.
Cifrar datos en reposo usando claves gestionadas por AWS con auditoría + rotación.
AWS KMS — CMKs (claves maestras de cliente) gestionadas, cifrado de sobre, rotación anual automática, políticas de claves, uso registrado en CloudTrail. La mayoría de los servicios de AWS se integran de forma nativa.
Almacenar y rotar contraseñas de bases de datos, claves API.
AWS Secrets Manager — rotación automática vía Lambda, integración nativa con RDS, IAM de grano fino. Usa SSM Parameter Store (Estándar) para configuraciones simples no rotativas (es gratuito; Secrets Manager cobra por secreto).
El auditor necesita informes SOC 2 / ISO 27001 / PCI-DSS para el entorno de AWS.
AWS Artifact — descarga de autoservicio de certificaciones y acuerdos de cumplimiento de AWS (BAA, etc.).
La carga de trabajo de atención médica necesita servicios de AWS elegibles para HIPAA.
AWS publica una lista de servicios elegibles para HIPAA + firma un Anexo de Acuerdo de Asociado Comercial (BAA) a través de Artifact. Use solo los servicios listados para PHI; se requiere cifrado en reposo + en tránsito.
Detectar buckets S3, roles IAM, claves KMS, etc. accesibles desde fuera de la cuenta o la organización.
IAM Access Analyzer — demuestra qué recursos son accesibles externamente; señala accesos no intencionados. Genera políticas de mínimo privilegio desde CloudTrail.
Elige cómo interactuar con AWS.
Management Console (UI web), AWS CLI (terminal), SDKs (Python/Java/Go/etc. en código), CloudShell (shell basado en navegador con credenciales precargadas), Infrastructure as Code (CloudFormation, CDK).
Necesita control total del SO, kernel, AMIs personalizadas, tipos de instancia GPU.
Amazon EC2 — servidores virtuales redimensionables. Elige la familia de instancias según la carga de trabajo (computación / memoria / almacenamiento / GPU / ARM Graviton).
Ejecutar código de corta duración basado en eventos (≤15 min) sin gestionar servidores.
AWS Lambda — paga por solicitud + GB-segundos. Activado por S3, API Gateway, EventBridge, SQS, etc.
Por qué: No hay infraestructura que parchear o escalar; los arranques en frío y el límite de 15 minutos descartan cargas de trabajo de larga duración.
Ejecutar cargas de trabajo containerizadas en AWS.
Amazon ECS = orquestador de contenedores nativo de AWS. Amazon EKS = Kubernetes gestionado. Fargate = backend de computación serverless (sin EC2 que gestionar) para cualquiera de ellos.
Necesita un VPS simple con precios mensuales predecibles para un sitio pequeño o entorno de desarrollo.
Amazon Lightsail — VPS empaquetado (computación + almacenamiento + transferencia de datos) con WordPress / LAMP / Node de un solo clic.
Desplegar una aplicación web Java / .NET / Node / Python sin configurar EC2 + ELB + ASG usted mismo.
AWS Elastic Beanstalk — PaaS gestionado que aprovisiona y orquesta EC2, ELB, ASG, RDS para usted. Usted sube el código; AWS ejecuta la plataforma.
Almacenar cualquier cantidad de datos no estructurados con 11 nueves de durabilidad.
Amazon S3 — almacenamiento de objetos. Buckets con espacio de nombres global; objetos de hasta 5 TB; clases de almacenamiento optimizan el costo.
Elige la clase de almacenamiento de S3 según el patrón de acceso.
Standard (frecuente), Intelligent-Tiering (movimiento automático basado en el acceso), Standard-IA (infrecuente), One Zone-IA (una sola AZ), Glacier Instant Retrieval (ms), Glacier Flexible Retrieval (minutos-horas), Glacier Deep Archive (restauración en 12 horas, más barato).
Necesita un volumen de bloque persistente adjunto a una instancia EC2 (para SO, archivos de DB).
Amazon EBS — almacenamiento de bloque adjunto a una EC2 (Multi-Attach para io1/io2). Tipos de volumen gp3 (SSD general), io2 (SSD de alto IOPS), st1/sc1 (HDD de rendimiento/frío).
Necesita un sistema de archivos compartido montado por muchas instancias de computación.
Amazon EFS — NFS gestionado, Multi-AZ, escala automáticamente; para Linux. Amazon FSx — sistemas de archivos gestionados para Windows (FSx para Windows), Lustre (HPC), NetApp ONTAP, OpenZFS.
Conectar aplicaciones on-prem al almacenamiento respaldado por S3 con una caché local.
AWS Storage Gateway — File (NFS/SMB → S3), Volume (iSCSI en caché/almacenado), Tape (VTL → S3 + Glacier).
Necesita una base de datos relacional gestionada (MySQL / PostgreSQL / MariaDB / Oracle / SQL Server).
Amazon RDS — motor gestionado: copias de seguridad, parches, conmutación por error Multi-AZ, réplicas de lectura, grupos de parámetros. Usted controla el esquema, las consultas, los usuarios.
Carga de trabajo MySQL / PostgreSQL que necesita mayor rendimiento, recuperación más rápida y conmutación por error multirregión.
Amazon Aurora — compatible con MySQL/PostgreSQL, hasta 5 veces el rendimiento de MySQL, almacenamiento distribuido en 3 AZs, Aurora Global Database para replicación entre regiones en menos de un segundo.
Carga de trabajo de clave-valor o documento de un solo dígito de milisegundos a cualquier escala, sin migraciones de esquema.
Amazon DynamoDB — NoSQL completamente gestionado. Capacidad bajo demanda o aprovisionada, Global Tables para activo-activo multirregión, recuperación puntual, TTL para auto-eliminación.
Ejecutar SQL analítico en TBs / PBs de datos.
Amazon Redshift — data warehouse columnar gestionado para análisis a escala de petabytes. Amazon Athena — SQL serverless directamente en S3, paga por datos escaneados.
Necesita una red lógicamente aislada para los recursos de AWS.
Amazon VPC — su propia red privada en AWS. Subredes por AZ, tablas de rutas, internet gateway (acceso público), NAT gateway (subred privada → internet), grupos de seguridad (con estado), NACLs (sin estado).
Distribuir globalmente contenido estático + dinámico con baja latencia.
Amazon CloudFront — CDN con más de 600 edge locations. Integrado con S3, ALB, API Gateway. Lambda@Edge / CloudFront Functions para lógica de borde.
DNS autoritativo con comprobaciones de estado y enrutamiento de conmutación por error.
Amazon Route 53 — DNS gestionado. Políticas de enrutamiento: simple, ponderado, latencia, conmutación por error, geolocalización, geoproximidad, multivalor.
Conectar la red on-prem a AWS de forma privada.
AWS Direct Connect — enlace de fibra dedicado, latencia predecible. AWS Site-to-Site VPN — túneles cifrados a través de internet, más rápido de configurar. Use ambos: VPN como respaldo para Direct Connect.
Elige un servicio de integración.
Amazon SNS = pub/sub fan-out (muchos suscriptores). Amazon SQS = cola punto a punto desacoplada con reintento. Amazon EventBridge = bus de eventos con esquemas + filtrado + integraciones SaaS.
Monitorizar métricas de recursos de AWS, recopilar logs, alarmar sobre umbrales.
Amazon CloudWatch — métricas, logs, alarmas, paneles, Logs Insights para consultas de logs, integración con EventBridge para automatización.
Definir la infraestructura de AWS como plantillas con control de versiones.
AWS CloudFormation — plantillas JSON / YAML que aprovisionan y actualizan stacks. AWS CDK le permite crear CloudFormation en TypeScript/Python/Java/Go.
Parchear una flota de EC2, ejecutar comandos, almacenar configuración, automatizar runbooks.
AWS Systems Manager — Patch Manager, Run Command, Session Manager (no se necesita bastion SSH), Parameter Store, runbooks de Automation, Inventory.
Ajustar el tamaño de los recursos de computación automáticamente entre servicios.
EC2 Auto Scaling — escalar ASGs de EC2. AWS Auto Scaling — planes de escalado unificados en EC2, ECS, DynamoDB, Aurora, etc.
Distribuir el tráfico entre objetivos EC2 / ECS / Lambda.
ALB — HTTP/HTTPS L7, enrutamiento por ruta/host, nativo para contenedores + Lambda. NLB — TCP/UDP L4, latencia ultra baja, IP estática. GWLB — para dispositivos de seguridad de terceros en línea.
Verificar si AWS mismo está experimentando una interrupción.
AWS Service Health Dashboard (público) para el estado general del servicio. AWS Health Dashboard (en la cuenta) para eventos que afectan sus recursos específicos, con integración de API + EventBridge.
Rastrear los límites de servicio y solicitar aumentos.
AWS Service Quotas — ver las cuotas predeterminadas y aplicadas por servicio, solicitar aumentos, integrar con alarmas de CloudWatch al acercarse a los límites.
Encontrar socios consultores o software de terceros para AWS.
AWS Partner Network (APN) — directorio de socios de consultoría + tecnología. AWS Marketplace — comprar/desplegar SaaS de terceros, AMIs, imágenes de contenedores.
Asistente de IA generativa para preguntas de la consola de AWS y datos de negocio.
Amazon Q Developer — chat para documentación de AWS / CLI / IDE. Amazon Q Business — chat sobre fuentes de datos empresariales con respuestas respaldadas por Bedrock.
Elegir un modelo de precios de EC2.
On-Demand (sin compromiso, el más alto por hora). Savings Plans / Reserved Instances (compromiso de 1 o 3 años, hasta 72% de descuento). Spot (hasta 90% de descuento, puede ser interrumpido con aviso de 2 minutos). Dedicated Hosts (cumplimiento / BYOL).
Por qué: Línea base estable → Savings Plans/RI. Picos → On-Demand. Lotes tolerantes a fallos → Spot.
Elegir Savings Plans vs Reserved Instances.
Savings Plans — flexible, se aplica a EC2/Fargate/Lambda por compromiso de $/hora (Compute SP) o familia de instancia específica (EC2 Instance SP). RIs — específicos de instancia, funcionan para EC2 / RDS / Redshift / ElastiCache / OpenSearch.
Experimentar sin gastar.
Capa Gratuita de AWS — tres categorías: 12 meses gratis (p. ej., 750 h/mes t2.micro), Siempre Gratis (p. ej., 1M de solicitudes Lambda/mes, 25 GB DynamoDB), Pruebas (60 días de Inspector, etc.).
Estimar el costo mensual de una nueva arquitectura antes de desplegarla.
AWS Pricing Calculator — modela recursos por servicio, obtiene el costo mensual + anual detallado, comparte vía URL.
Visualizar a dónde se dirige el gasto de AWS con el tiempo.
AWS Cost Explorer — gráficos interactivos, filtrar por servicio / etiqueta / cuenta vinculada, pronóstico del próximo mes, recomendaciones de Savings Plan.
Recibir alertas antes de que el gasto mensual supere un umbral.
AWS Budgets — establece presupuestos de costo / uso / RI / Savings Plan con umbrales; alertas por correo electrónico/SNS; las acciones de presupuesto pueden auto-remediar (aplicar SCP, detener EC2).
Detectar picos de costos inesperados temprano.
AWS Cost Anomaly Detection — monitor basado en ML en servicios / cuentas vinculadas / categorías de costo / etiquetas. Alertas por correo electrónico + SNS cuando el gasto se desvía de la línea base.
Facturar el gasto de AWS a equipos / proyectos.
Etiquetas de asignación de costos — activar etiquetas definidas por el usuario en la consola de Facturación, luego agrupar/filtrar informes de Cost Explorer + CUR por etiqueta. Usar políticas de etiquetas en Organizations para forzar el nombramiento.
Múltiples cuentas vinculadas en una organización.
Facturación consolidada vía AWS Organizations — cuenta pagadora única, niveles de volumen agregados (S3, transferencia de datos), beneficios compartidos de RI / Savings Plan en toda la organización.
Elegir un plan de soporte de AWS.
Básico (gratuito, solo cuenta/facturación). Desarrollador (correo electrónico en horario laboral, $29+/mes). Business (chat/teléfono 24×7, Trusted Advisor completo, $100+/mes). Enterprise On-Ramp ($5,500+/mes, TAM compartido, SLA crítico de 30 min). Enterprise ($15,000+/mes, TAM dedicado, SLA crítico de 15 min, IEM, revisiones de arquitectura bien diseñada).
Comprobaciones de mejores prácticas en costos, rendimiento, seguridad, tolerancia a fallos, límites de servicio.
AWS Trusted Advisor. Los planes Básico / Desarrollador obtienen comprobaciones básicas (bucket S3 público, MFA en root, grupos de seguridad). Los planes Business / Enterprise obtienen el conjunto completo de comprobaciones + acceso a la API.
Necesita un contacto de AWS designado y soporte proactivo para eventos.
Soporte Enterprise — Technical Account Manager (TAM) dedicado, Infrastructure Event Management (IEM) para lanzamientos/migraciones, revisiones de arquitectura bien diseñada, revisiones de operaciones.
