AWS Certified CloudOps Engineer Associate
Última revisión: mayo de 2026
Una referencia escaneable de patrones arquitectónicos que evalúa el examen SOA-C03. Lee de arriba a abajo o salta a una sección.
Recopile métricas de memoria, disco y proceso de la flota EC2. Las métricas predeterminadas de CloudWatch no las incluyen.
Instale el agente de CloudWatch a través de SSM Distributor o el comando `AmazonCloudWatch-ManageAgent` Run Command. Envíe la configuración del agente desde Parameter Store.
Por qué: La memoria y el disco son métricas del sistema operativo huésped; el hipervisor no puede verlas. Las métricas predeterminadas de CW son solo CPU/red/IO de disco en la capa de EBS.
La aplicación necesita publicar un KPI de negocio (p. ej., pedidos/min) en CloudWatch.
API `PutMetricData` con namespace + dimensiones personalizadas. Para un alto volumen, use el formato de métrica incrustada (EMF) — escriba JSON estructurado en los logs y CW extrae las métricas automáticamente.
Reducir el costo de las métricas personalizadas de alta cardinalidad.
Formato de Métrica Incrustada (EMF). Registre un evento estructurado una vez; CW extrae las métricas de él. Un log + una métrica = más barato que llamadas `PutMetricData` separadas por cada combinación de dimensiones.
Las alarmas de umbral estático producen falsos positivos porque el tráfico tiene estacionalidad diaria/semanal.
Alarma de detección de anomalías de CloudWatch. Las bandas se adaptan a la estacionalidad aprendida; la alarma se activa cuando la métrica sale de la banda.
Por qué: Las cargas de trabajo estacionales tienen un comportamiento normal variable — los umbrales fijos son incorrectos la mitad del tiempo.
Notificar al equipo de guardia solo cuando HAYA alta tasa de errores Y bajo tráfico — no cuando cualquiera de las dos se dispare sola.
Alarma compuesta con expresión de regla `ALARM(errors) AND ALARM(low_traffic)`. Las alarmas subyacentes se activan individualmente, pero solo la compuesta notifica a SNS.
Convertir líneas de registro como `ERROR uid=123` en una métrica de CloudWatch para generar alarmas.
Filtro de métricas de CloudWatch Logs — el patrón `ERROR` incrementa una métrica. Luego, cree una alarma sobre la métrica.
Por qué: Los filtros se evalúan a medida que se ingieren los logs; no se necesita una pipeline de parsing separada.
Encuentre las 10 principales IP que causan errores 5xx en la última hora en muchas transmisiones de logs.
Consulta de CloudWatch Logs Insights: `fields @timestamp, @message | filter @message like /5\d\d/ | stats count() by clientIp | sort count desc | limit 10`.
La retención del grupo de logs por defecto es "Nunca expira" — la factura está creciendo.
Establezca la retención por grupo de logs (1 día–10 años). Aplíquelo a través de `aws logs put-retention-policy` o una regla de AWS Config que auto-remedia nuevos grupos.
Centralizar logs de 50 cuentas en una cuenta de seguridad.
Filtro de suscripción en cada grupo de logs de origen → Kinesis Data Streams o Firehose en la cuenta central. Observabilidad entre cuentas de CloudWatch para métricas + trazas.
Archivo de logs a largo plazo a bajo costo.
Suscribir grupo de logs a Kinesis Firehose → S3 con ciclo de vida de transición a Glacier. O `CreateExportTask` programada directamente a S3.
Por qué: Firehose es continuo; ExportTask es una exportación masiva bajo demanda. S3 + Glacier es 100 veces más barato que el almacenamiento de CW Logs.
Compartir un dashboard de operaciones con un contratista no-AWS sin acceso IAM.
Compartir Dashboard de CloudWatch — enlace compartido público (con autenticación proporcionada por Cognito) o anónimo (bloqueado a un dashboard específico).
Activar una Lambda cuando una instancia EC2 pase al estado `stopped`.
Regla de EventBridge con patrón de evento `{"source":["aws.ec2"],"detail-type":["EC2 Instance State-change Notification"],"detail":{"state":["stopped"]}}` → destino Lambda.
Crear automáticamente un ticket cuando AWS anuncie mantenimiento programado para una de sus instancias RDS.
AWS Health → bus predeterminado de EventBridge → Lambda o SNS → sistema de tickets. Filtrar por `source: aws.health` y recurso afectado.
Detectar cuando un sitio web público devuelve errores 404 antes de que los clientes se quejen.
Canary de CloudWatch Synthetics — visita de navegador programada cada minuto, captura de pantalla en caso de fallo, alarma en ejecuciones fallidas.
Medir los tiempos de carga de página del lado del navegador y los errores de JavaScript de usuarios reales.
CloudWatch RUM. Un fragmento de código en la página envía datos de rendimiento + error. Combine con X-Ray para correlación de backend.
Dimensionar correctamente la flota EC2 sin verificar manualmente CloudWatch en cada instancia.
AWS Compute Optimizer — analiza métricas de CW + datos de memoria (con agente) y recomienda cambios de tipo de instancia. Cubre EC2, ASG, EBS, Lambda, ECS Fargate.
Ver "está habilitado el cifrado en reposo en cada volumen EBS" en 200 cuentas.
Agregador de AWS Config con autorización multi-cuenta y multi-región. Dashboards de agregación + consultas avanzadas (SQL).
Corregir automáticamente recursos no conformes (p. ej., volumen EBS sin cifrar → instantánea + recrear cifrado).
Regla de AWS Config + acción de remediación automática a través de un runbook de SSM Automation. Especifique el número de reintentos + parámetros.
Mostrar oportunidades de ahorro de costos y riesgos de seguridad sin escribir scripts personalizados.
AWS Trusted Advisor. Comprobaciones de Costo / Rendimiento / Seguridad / Tolerancia a Fallos / Límites de Servicio. El conjunto completo de comprobaciones requiere soporte Business o Enterprise.
Necesidad de aumentar la cuota de vCPU de EC2 en una región para un próximo lanzamiento.
Consola de Service Quotas — solicitar aumento de cuota. O usar la API de Service Quotas para scripting. Algunas cuotas se aprueban automáticamente; otras pasan por Soporte.
Detectar picos de costos inesperados antes de que llegue la factura mensual.
Detección de Anomalías de Costos de AWS — basado en ML; configure monitores por servicio / cuenta vinculada / categoría de costo. Alertas a través de SNS o correo electrónico.
Detener automáticamente EC2 no-productivo si el presupuesto mensual excede el umbral.
Acción de AWS Budgets — al alcanzar el umbral, ejecutar una Automatización de SSM que detenga las instancias etiquetadas o aplique un SCP de denegación total a través de IAM.
Drenar conexiones + vaciar logs antes de que ASG termine una instancia.
Hook de ciclo de vida en `EC2_INSTANCE_TERMINATING`. La instancia entra en `Terminating:Wait`; el documento SSM ejecuta el script de drenaje; emite la acción `CONTINUE` cuando termina.
Autoescalar para mantener la CPU promedio alrededor del 60%.
Política de escalado de seguimiento de objetivo con `ASGAverageCPUUtilization` = 60. ASG crea alarmas escalonadas automáticamente.
Por qué: Más simple que el escalado por pasos. Mejor para métricas simétricas. El escalado por pasos es para reglas de aumento vs disminución de escala de grano fino.
Los picos de tráfico ocurren diariamente a las 9 AM; el escalado reactivo se retrasa.
Escalado predictivo. ASG pronostica la carga con 48 horas de antelación a partir del historial de CW; pre-escala antes del pico.
El arranque de la instancia tarda 8 minutos; la expansión es demasiado lenta.
Pool cálido de ASG — instancias detenidas/hibernadas pre-inicializadas. Al expandirse, la transición es de Detenida → EnServicio en lugar de un lanzamiento en frío.
Ejecutar un ASG mayoritariamente en Spot para ahorrar costos pero con una base de On-Demand para estabilidad.
Política de Instancias Mixtas — plantilla de lanzamiento + capacidad base (On-Demand) + porcentaje por encima de la base en Spot. Use múltiples tipos de instancias para la diversificación de Spot.
Migrando de las configuraciones de lanzamiento (Launch Configurations).
Use Plantillas de Lanzamiento (Launch Templates). AWS ha desaprobado las configuraciones de lanzamiento para nuevos ASG; solo las LTs soportan características más nuevas (warm pool, instancias mixtas, aplicación de IMDSv2, EBS gp3, etc.).
La base de datos RDS debe sobrevivir a una interrupción de AZ con un tiempo de inactividad mínimo.
Despliegue Multi-AZ. Standby síncrono en otra AZ; failover activado por fallo de host/almacenamiento o interrupción de AZ. El endpoint permanece igual.
Por qué: Multi-AZ es para alta disponibilidad (HA), no para escalado de lectura. Para escalado de lectura, añada una réplica de lectura.
Desastre entre regiones: promover una réplica de lectura a primaria.
API `PromoteReadReplica` o acción de consola. La nueva réplica se convierte en una instancia escribible independiente; actualice los endpoints de la aplicación.
Centralizar copias de seguridad de EFS, RDS, EBS, DynamoDB, FSx bajo una única programación + política de retención.
AWS Backup — plan de copia de seguridad con reglas (frecuencia, retención, ciclo de vida a almacenamiento frío), selecciones de copia de seguridad (ARN de recurso o filtro de etiquetas).
Cumplir con el requisito regulatorio de copia de seguridad inmutable (WORM).
AWS Backup Vault Lock con modo de cumplimiento. Una vez aplicado, las copias de seguridad no pueden ser eliminadas antes de que expire el período de retención — ni siquiera por el usuario root.
Instantáneas diarias de cada volumen EBS etiquetado con retención de 30 días.
Política de Amazon Data Lifecycle Manager (DLM) — programación + filtro de etiquetas + retención. Sin código, sin Lambdas programadas.
DR activo-pasivo: Route 53 debe enviar tráfico a la región de standby cuando la primaria falle.
Política de enrutamiento de conmutación por error de Route 53 con comprobaciones de salud en el endpoint primario. En caso de fallo de la comprobación de salud, el DNS resuelve al standby.
Detectar el fallo de un endpoint más rápido que los 30 segundos predeterminados.
Comprobación de salud de Route 53 con intervalo rápido (10s) y umbral de 3 fallos. Combine múltiples comprobaciones de salud mediante comprobaciones calculadas.
Las conexiones de larga duración se caen cuando ALB elimina un destino durante el despliegue.
Retraso de desregistro del grupo objetivo (predeterminado 300s, aumentar según sea necesario). Las nuevas solicitudes dejan de fluir inmediatamente; las conexiones en curso se drenan hasta que expire el retraso.
Configurar cuánto tiempo espera ALB por las solicitudes en curso durante el desregistro del destino.
Igual que el retraso de desregistro. Se establece por grupo objetivo. NLB tiene un mecanismo separado pero paralelo.
EFS lento bajo carga de ráfaga.
Cambiar al modo Elastic Throughput (autoescala). O Provisioned Throughput para cargas de trabajo predecibles. Bursting por defecto se basa en créditos y se agota bajo carga sostenida.
Elegir una estrategia de DR según el presupuesto de RPO/RTO.
Copia de seguridad y Restauración (RTO horas, RPO horas, el más barato). Pilot Light (RTO minutos, RPO minutos). Warm Standby (RTO minutos, RPO segundos, standby reducido en ejecución). Multi-Site Activo-Activo (RTO ~0, RPO ~0, el más caro).
Replicar objetos S3 a una segunda región para cumplimiento + DR.
Replicación entre regiones de S3 (CRR). Buckets de origen + destino, rol de IAM, regla de replicación. Use Replication Time Control (RTC) para un SLA de 15 minutos.
Proteger objetos de la eliminación accidental o maliciosa.
Habilitar Versioning + MFA Delete en el bucket. MFA Delete requiere credenciales de root + código MFA para eliminar permanentemente versiones o deshabilitar el versionado.
Aplicación TCP/UDP necesita IPs estáticas y failover rápido entre regiones.
AWS Global Accelerator — 2 IPs anycast que enrutan al endpoint regional saludable más cercano a través de la red troncal de AWS. Failover en menos de 30 segundos.
Por qué: Mejor que el failover de Route 53 para tráfico no HTTP; los clientes mantienen la misma IP.
Alguien modificó recursos en la consola; verificar qué se desvió de la plantilla de CloudFormation.
Detección de drift de CloudFormation en la pila. Informa el estado de drift por recurso con diferencias a nivel de propiedad.
Ver exactamente qué modificará CloudFormation antes de aplicar un cambio de plantilla.
Cree un conjunto de cambios primero; revise los cambios propuestos; ejecute solo si es seguro. Los conjuntos de cambios soportan pilas anidadas y referencias entre pilas.
Prevenir actualizaciones accidentales a un recurso crítico (p. ej., RDS de producción) dentro de una pila.
Política de pila de CloudFormation — documento estilo IAM que permite o deniega `Update:*` en IDs de recursos lógicos específicos. Aplicada a la pila, separada de IAM.
Desplegar la misma línea base (p. ej., CloudTrail, Config, GuardDuty) en todas las cuentas de la organización.
CloudFormation StackSets con permisos administrados por el servicio + auto-despliegue a nuevas cuentas en OUs objetivo.
Ejecutar configuración + señalar finalización a CloudFormation desde datos de usuario de EC2.
cfn-init (configuración), cfn-signal (señal de CreationPolicy), cfn-hup (aplicar cambios de metadatos). CreationPolicy hace que la pila espere la señal antes de marcar CREATE_COMPLETE.
Revertir automáticamente la pila si las alarmas de CloudWatch se activan después del despliegue.
Configuración de reversión de CloudFormation — lista de alarmas de CW + tiempo de monitoreo. Si alguna alarma se activa durante la ventana, la pila se revierte automáticamente.
Enviar un comando shell único a 500 instancias EC2 por etiqueta.
SSM Run Command con documento `AWS-RunShellScript`, destino por etiqueta. Sin SSH. Registra en S3 / CloudWatch Logs.
Aplicar continuamente una configuración (p. ej., agente de CloudWatch instalado) en todas las instancias.
Asociación de SSM State Manager — programación + documento + objetivos. SSM aplica el estado deseado en la programación y reporta el cumplimiento.
Aplicar parches de SO a una flota en un horario con seguridad de reversión.
SSM Patch Manager — línea base de parches (reglas: severidad, clasificación, retraso de aprobación) + grupo de parches (etiqueta) + ventana de mantenimiento para la ejecución.
Conectar por SSH a una instancia en una subred privada sin un host bastión o puertos de entrada abiertos.
SSM Session Manager — el agente + el rol de IAM abren la sesión a través de la API de SSM Messages. Sin IP pública, sin clave SSH, registro completo de la sesión.
Almacenar cadena de conexión a DB para que la aplicación la recupere en tiempo de ejecución — sin secretos en el código.
SSM Parameter Store SecureString (cifrado con KMS) o Secrets Manager (rotación). La aplicación llama a `GetParameter` con un rol de IAM.
Por qué: Parameter Store es gratuito en el nivel estándar; Secrets Manager tiene rotación incorporada para RDS/DocumentDB/Redshift.
Autorremediar hallazgos de cumplimiento (p. ej., grupo de seguridad abierto al mundo → restringir).
Runbook de SSM Automation (YAML personalizado o propiedad de AWS). Activado por EventBridge / Config / manual. Pasos: rama, paralelo, reintento, aborto.
Ejecutar parcheo solo durante 02:00–04:00 del domingo.
Ventana de Mantenimiento de SSM — horario (cron), objetivos, tareas. Envuelve las invocaciones de Run Command / Automation / Lambda / Step Functions.
Construir AMIs Linux/Windows endurecidas con agentes preinstalados en un horario.
EC2 Image Builder — pipeline (receta de imagen + componentes + configuración de infraestructura + distribución). Genera AMIs a múltiples regiones/cuentas.
Desplegar una nueva versión de la aplicación a una pequeña porción de EC2/ECS/Lambda antes del lanzamiento completo.
CodeDeploy con configuración de despliegue canary o lineal. Canary de Lambda `Lambda10Percent5Minutes` cambia el tráfico a través de pesos de alias.
Despliegue azul/verde en ASG detrás de un ALB.
Grupo de despliegue azul/verde de CodeDeploy — aprovisiona un nuevo ASG, lo registra con el grupo objetivo de ALB, espera la salud, intercambia el tráfico, termina el antiguo.
Pipeline en cuenta de herramientas despliega a cuentas de desarrollo/stage/producción.
CodePipeline entre cuentas — la etapa de despliegue utiliza un rol entre cuentas de la cuenta de destino. Clave KMS en la cuenta de herramientas compartida con el destino.
Permitir a los equipos de desarrollo auto-aprovisionar infraestructura aprobada (p. ej., VPC, bucket S3) sin dar IAM completo.
AWS Service Catalog — el administrador publica productos (plantillas de CFN), los usuarios los lanzan a través de permisos IAM para lanzar el rol del producto, no los recursos subyacentes.
Asegurar que todos los recursos tengan las etiquetas `Environment` y `CostCenter` en toda la organización.
Políticas de etiquetas de AWS Organizations. Defina claves + valores de etiquetas permitidos; el etiquetado no conforme se muestra en Resource Groups Tag Editor + Config.
Migrando de OpsWorks Stacks (EOL Mayo 2024).
OpsWorks Stacks ha llegado al fin de su vida útil. Migre a AWS Systems Manager + Chef/Puppet nativo en EC2, o convierta a ECS/EKS, o reconstruya a través de SSM Automation + CFN.
Elegir entre pilas anidadas y referencias entre pilas.
Pilas anidadas: estrechamente acopladas, ciclo de vida gestionado conjuntamente (una única actualización). `Export`/`ImportValue` entre pilas: débilmente acopladas, ciclos de vida independientes, las exportaciones son inmutables mientras se importan.
Identificar usuarios IAM con claves de acceso de más de 90 días.
Generar Informe de Credenciales (`generate-credential-report` + `get-credential-report`). CSV con último uso + antigüedad de clave por usuario. Combinar con Access Analyzer para una revisión de mínimo privilegio.
Encontrar roles IAM, buckets S3, claves KMS accesibles desde fuera de la cuenta / organización.
IAM Access Analyzer — el escaneo de zona de confianza reporta hallazgos de acceso externo. El analizador de acceso externo es gratuito; el analizador de acceso no utilizado es de pago.
Recortar políticas IAM con permisos excesivos — eliminar servicios que el principal nunca usó.
Información de Último Acceso de IAM por rol/usuario. Lista el último uso a nivel de servicio + (para algunos servicios) a nivel de acción. Eliminar permisos no utilizados.
Auditar todas las llamadas a la API en cada cuenta de la organización con almacenamiento centralizado.
Trail de organización en la cuenta de administración o de administrador delegado. Un único bucket S3; cubre todas las cuentas miembro actuales + futuras; no puede ser deshabilitado por los miembros.
Registrar cada lectura de objeto S3 en un bucket sensible.
Habilitar eventos de datos de CloudTrail para S3 (por bucket o todos). Los trails estándar capturan solo eventos de gestión; los eventos de datos se facturan por separado.
Detectar credenciales comprometidas, escaneos de puertos, criptominería, actividad anómala de la API.
Habilitar GuardDuty en cada región. El administrador delegado en la cuenta de seguridad agrega los hallazgos a nivel de organización. Regla de EventBridge → SNS para alta severidad.
Escaneo continuo de CVEs de AMIs de EC2 e imágenes de ECR.
Amazon Inspector v2. Auto-descubre EC2 + ECR + Lambda; los resultados se envían a Security Hub. CVEs puntuados por severidad.
Dashboard único para hallazgos de GuardDuty, Inspector, Macie, IAM Access Analyzer, herramientas de terceros.
AWS Security Hub. Estándares (CIS AWS Foundations, AWS Foundational Security Best Practices, PCI DSS). Agregación entre regiones + administrador delegado.
Descubrir y clasificar datos PII / de tarjetas de crédito en S3.
Amazon Macie. Trabajos de auto-descubrimiento en buckets; identificadores de datos gestionados + regex personalizados. Hallazgos a Security Hub / EventBridge.
Rotar claves de cifrado de KMS sin volver a cifrar datos.
Habilitar la rotación automática de claves en CMKs gestionadas por el cliente (anual). KMS conserva el material de clave antiguo para descifrar cifrados existentes; los nuevos cifrados usan el material más reciente.
Rotar automáticamente la contraseña maestra de RDS cada 30 días.
Rotación de Secrets Manager con Lambda proporcionada por AWS para el motor RDS. Estrategia de rotación de usuario único o de usuarios alternos.
Aplicar CIS Benchmarks en toda la organización.
AWS Config Conformance Pack — paquete de reglas de Config + acciones de remediación. Desplegar a través de Config a todas las cuentas mediante un agregador; a nivel de organización a través de la cuenta de administración.
Bloquear ataques SSRF que leen metadatos de instancias EC2.
Requerir IMDSv2 (`HttpTokens=required`) en cada instancia. Basado en tokens; bloquea lecturas SSRF no autenticadas de credenciales de rol de instancia.
Garantía a nivel de cuenta de que ningún bucket S3 es legible públicamente, nunca.
Bloqueo de Acceso Público de S3 a nivel de cuenta. Anula las políticas por bucket. Combinar con SCP `aws:SecureTransport` para solo HTTPS.
Automatizar la recopilación de evidencia para auditorías SOC 2 / HIPAA / PCI.
AWS Audit Manager — los frameworks mapean los controles a fuentes de evidencia (Config, CloudTrail, Security Hub). Recopila + ensambla automáticamente en informes listos para el auditor.
Investigar tráfico sospechoso de movimiento lateral entre subredes.
VPC Flow Logs a CloudWatch Logs / S3 / Firehose. Formato personalizado con `pkt-srcaddr` + `pkt-dstaddr` expone el src/dst real del paquete (vs src/dst de ENI).
Consultar terabytes de VPC Flow Logs de forma económica.
Transmitir Flow Logs a S3 en formato Parquet; consultar con Athena particionado por año/mes/día. Más barato que CW Logs Insights para análisis de archivo.
Determinar por qué una tarea de ECS no puede alcanzar RDS — ¿SG, NACL, tabla de rutas o NAT?
Analizador de Accesibilidad de VPC — ENI de origen → ENI de destino; informa alcanzable/bloqueado + qué componente bloquea (p. ej., regla SG de entrada).
Encontrar todas las rutas desde internet a una subred de base de datos en toda la organización.
Analizador de Acceso a la Red con Ámbito de Acceso a la Red (p. ej., `Source: internet, Destination: db-subnet-tag`). Devuelve rutas de red coincidentes para su revisión.
EC2 en subred privada debe alcanzar S3 / DynamoDB sin costos de salida de NAT.
Endpoint de Gateway de VPC para S3 / DynamoDB. Gratuito; lista de prefijos de tabla de rutas. Evita bytes de NAT.
Conectividad privada de VPC a la mayoría de los demás servicios de AWS (KMS, SSM, ECR, etc.).
Endpoint de Interfaz de VPC (PowerLink). ENI en su subred, facturado por AZ + por GB. Use políticas de endpoint para restringir a recursos específicos.
Las tarifas de procesamiento de datos de NAT Gateway dominan la factura.
Mover el tráfico de S3/DynamoDB a endpoints de gateway (gratuitos). Mover otro tráfico de servicios de AWS a endpoints de interfaz. Para inter-VPC, use Transit Gateway / VPC peering en lugar de enrutamiento a través de NAT.
40 VPCs necesitan conectividad de cualquier a cualquier sin peering N×N.
Transit Gateway como hub. Las VPCs se conectan a TGW; las tablas de rutas controlan qué VPCs pueden comunicarse. Un único hub gestionado vs O(N²) conexiones de peering.
El DNS on-premise debe resolver `internal.company.com` a recursos privados de VPC, y viceversa.
Endpoints de entrada + salida de Route 53 Resolver + reglas de reenvío. Entrada = on-premise consulta AWS; salida = AWS consulta on-premise.
Auditar qué nombres DNS se están resolviendo desde una VPC.
Registro de consultas de Route 53 Resolver a CloudWatch Logs / S3 / Firehose. Configuración de registro por VPC.
El origen de CloudFront devuelve 5xx; se necesita failover automático a un origen secundario.
Grupo de origen con origen primario + secundario y criterios de failover (códigos de estado 500/502/503/504/404). El comportamiento de caché apunta al grupo.
Maximizar la tasa de aciertos de caché para contenido mayormente estático.
Establecer `Cache-Control: max-age=...` en las respuestas de origen; configurar CloudFront para reenviar solo las claves de caché requeridas (evitar reenviar todos los encabezados/cookies/cadenas de consulta, lo que destruye la efectividad de la caché).
CloudFront delante de S3 — bloquear acceso directo a S3.
Control de Acceso de Origen (OAC). Reemplaza la antigua Identidad de Acceso de Origen (OAI) — soporta SigV4, buckets cifrados con KMS, todas las regiones. La política del bucket deniega a los principales no OAC.
Bloquear inyección SQL + limitar la tasa de clientes agresivos en ALB.
ACL web de AWS WAFv2: grupo de reglas gestionadas por AWS `AWSManagedRulesSQLiRuleSet` + regla basada en tasa (p. ej., 2000 solicitudes / 5 min por IP). Asociar a ALB / API Gateway / CloudFront / AppSync.
Mitigar DDoS sostenidos de Capa 7 con garantía de protección de costos.
AWS Shield Advanced — compromiso proactivo, detección de DDoS a nivel de aplicación, acceso 24×7 a SRT, reembolso de costos por picos de escalado durante un ataque. Activar en Route 53 / CloudFront / ALB / EIP / Global Accelerator.
Gestionar centralmente políticas de WAF / Shield / SG / Network Firewall en todas las cuentas de la organización.
AWS Firewall Manager (administrador delegado). Las políticas se aplican automáticamente a las cuentas/recursos en el ámbito; informa sobre el incumplimiento.
Una interrupción de Direct Connect afecta la conectividad híbrida.
VPN de Sitio a Sitio como respaldo a través de internet. BGP elige DX como preferido (MED más bajo / AS-PATH más corto); conmuta automáticamente a VPN.
