AWS Certified Advanced Networking Specialty
275 perguntas de prática
Última revisão: April 2026
Notas pessoais e links de recursos para sua jornada de estudo
Filtrar por Certificação
A AWS Certified Advanced Networking Specialty (ANS-C01) é a credencial de rede mais aprofundada que a AWS oferece e é amplamente considerada uma das certificações mais desafiadoras entre qualquer provedor de nuvem. Ela valida a capacidade de projetar, implementar e operar arquiteturas de rede AWS complexas — incluindo conectividade híbrida, trânsito multirregião, DNS avançado, serviços de borda e segurança na camada de rede. O exame é destinado a engenheiros de rede seniores, arquitetos de rede em nuvem e engenheiros de infraestrutura com vários anos de experiência em AWS e rede tradicional. Espere perguntas longas e baseadas em cenários que combinam VPC, Transit Gateway, Direct Connect, Route 53, CloudFront, Global Accelerator e Network Firewall de maneiras que geralmente têm uma resposta objetivamente correta. O ANS-C01 foi lançado em julho de 2022, substituindo o ANS-C00, e é conceitual (sem laboratórios práticos).
O maior domínio, com 30%. Escolhas de topologia VPC, hub-and-spoke com Transit Gateway, padrões multirregião, seleção de conectividade híbrida (Direct Connect vs. Site-to-Site VPN vs. Cloud WAN) e arquitetura DNS com Route 53 Resolver. Testa mais o julgamento arquitetônico do que o conhecimento do serviço.
Configuração BGP em Direct Connect e Site-to-Site VPN, tabelas de rotas e propagação do Transit Gateway, VPC peering e PrivateLink, e implantação IPv6. Obstáculo comum: seleção de caminho BGP com nuances e prepending de AS-PATH.
VPC Flow Logs, Reachability Analyzer, Network Access Analyzer, Transit Gateway Network Manager e métricas do CloudWatch para redes. Testa a fluência operacional prática.
AWS Network Firewall, security groups vs. NACLs, WAF, Shield, Resolver DNS Firewall e padrões de inspeção centralizada com Gateway Load Balancer. Frequentemente ignorado: a sequência precisa do fluxo de tráfego através de VPCs de inspeção baseadas em GWLB.
Serviços que você encontrará no exame e por que cada um importa.
Rede virtual logicamente isolada com sub-redes, tabelas de rotas, NACLs, grupos de segurança, Internet Gateway, NAT Gateway e emparelhamento de VPC como blocos de construção.
Por que está no exame: Todo cenário de Design de Rede e Implementação de Rede do ANS-C01 começa com a topologia da VPC — dimensionamento de CIDR, sub-redes multi-AZ e direcionamento de tabelas de rotas são os fundamentos das questões.
Hub de trânsito de rede regional interconectando milhares de VPCs e redes on-premise via anexos e tabelas de rotas do Transit Gateway, com emparelhamento inter-regional.
Por que está no exame: Questões de Design de Rede sobre hub-and-spoke, segmentação e substituição de emparelhamento full-mesh de VPC em escala nomeiam o Transit Gateway como a resposta canônica.
Circuitos privados dedicados de 1/10/100 Gbps para a AWS com interfaces virtuais privadas, públicas e de trânsito, emparelhamento BGP, jumbo frames e Direct Connect Gateway para alcance multi-regional.
Por que está no exame: A Implementação de Rede testa os tradeoffs de conectividade híbrida — Direct Connect vs VPN, agrupamento LAG, MACsec e manipulação de caminho BGP são pilares do exame.
Túneis IPsec (estáticos ou BGP) terminando em um Virtual Private Gateway ou Transit Gateway para site-to-site; endpoint gerenciado baseado em OpenVPN com autenticação mTLS ou SAML para Client VPN.
Por que está no exame: Questões de conectividade híbrida ponderam backup de VPN para Direct Connect, túneis agrupados com ECMP e escolhas de VPN acelerada — tudo testado sob Implementação de Rede.
WAN global gerenciada que unifica anexos de VPC, Direct Connect, VPN e SD-WAN sob uma única rede central com segmentação e roteamento baseados em políticas.
Por que está no exame: Cenários de Design de Rede para topologias globais multi-regionais citam cada vez mais o Cloud WAN como a alternativa moderna para Transit Gateways interligados com emparelhamento de TGW.
DNS autoritativo com roteamento ponderado/latência/geolocalização/failover, além do serviço Resolver que executa endpoints de entrada e saída para DNS híbrido entre VPCs e on-premise.
Por que está no exame: A resolução de DNS híbrido (regras de encaminhamento, encaminhadores condicionais, zonas hospedadas privadas) é um padrão recorrente de Design e Implementação de Rede no ANS-C01.
Conectividade privada entre VPCs, serviços AWS e on-premise via endpoints de interface VPC (ENIs) e endpoints do Gateway Load Balancer — mantém o tráfego na backbone da AWS.
Por que está no exame: Questões de design sobre como expor serviços entre contas ou remover caminhos de internet pública para APIs da AWS se respondem com PrivateLink + endpoints de VPC, com distinções entre endpoints de Gateway e de Interface.
CDN global com mais de 600 localizações de borda, failover de origem, origens personalizadas (S3, ALB, MediaPackage), CloudFront Functions / Lambda@Edge para manipulação de requisições/respostas e criptografia em nível de campo.
Por que está no exame: Cenários de entrega de borda em Design de Rede — proteção de origem, URLs assinadas, CloudFront para origem privada via OAC e seleção de POP — são fortemente testados.
Três tipos de balanceadores de carga L4/L7: ALB para roteamento HTTP(S) e integração WAF, NLB para L4 de latência ultrabaixa e IPs estáticos, GWLB para inserção transparente de frotas de appliances via GENEVE.
Por que está no exame: A escolha entre ALB e NLB para protocolo/escala, e GWLB para inserção de firewall inline, é um dos padrões distratores mais comuns de Implementação de Rede no exame.
Pontos de entrada IP Anycast que trafegam na backbone global da AWS para o endpoint regional saudável mais próximo (ALB, NLB, EC2 ou Elastic IP), com failover em menos de um minuto e controles de direcionamento de tráfego.
Por que está no exame: Questões de Design de Rede que distinguem Global Accelerator (TCP/UDP em L4, IPs anycast estáticos) do CloudFront (cache HTTP em L7) são um pilar do exame.
Firewall stateful gerenciado com grupos de regras compatíveis com Suricata, inspeção profunda de pacotes, inspeção TLS e implantação centralizada via Firewall Manager.
Por que está no exame: Padrões de inspeção leste-oeste e de saída sob Segurança de Rede citam o Network Firewall como a alternativa gerenciada aos appliances auto-hospedados atrás do GWLB.
Firewall de aplicação web L7 anexado a CloudFront, ALB, API Gateway, AppSync ou App Runner — grupos de regras gerenciados, limitação de taxa, controle de bots e CAPTCHA.
Por que está no exame: Questões de Segurança de Rede sobre mitigação do OWASP Top-10, limitação de taxa na camada de aplicação e gerenciamento de bots na borda nomeiam o WAF como a resposta.
Proteção DDoS de nível de assinatura com a Shield Response Team (SRT), mitigações L3/L4/L7, reembolsos de proteção de custos por escalabilidade sob ataque e dashboards de ameaças globais.
Por que está no exame: O Domínio 4 (Segurança, Conformidade e Governança de Rede) testa o Shield Advanced para resiliência DDoS sustentada em CloudFront, Route 53, Global Accelerator e ELB voltados para a internet.
APIs REST / HTTP / WebSocket com a variante de endpoint privado exposta apenas via endpoints de interface VPC, além de políticas de recurso para restringir chamadores por VPC, conta ou IP de origem.
Por que está no exame: Expor APIs internas para outras contas ou on-premise sem saída para a internet é um cenário de Design de Rede que depende da ligação de API Gateway privado + PrivateLink.
Flow Logs capturam metadados de 5-tuplas para tráfego aceito/rejeitado para CloudWatch Logs, S3 ou Kinesis Data Firehose; Traffic Mirroring copia fluxos completos de pacotes L2 de ENIs para um NLB ou ENI de destino para IDS / forense.
Por que está no exame: Questões de Gerenciamento e Operações de Rede sobre solução de problemas de acessibilidade e forense em nível de pacote distinguem Flow Logs (metadados) de Traffic Mirroring (payload completo).
Plano de controle de malha de serviço baseado em Envoy com políticas de tráfego leste-oeste, retentativas e observabilidade; o Cloud Map fornece o registro subjacente de descoberta de serviço (DNS ou API).
Por que está no exame: Questões de design de rede de microsserviços sobre modelagem de tráfego, lançamentos canary e descoberta de serviço em frotas ECS/EKS/EC2 citam App Mesh + Cloud Map como a resposta nativa da AWS.
Usuários/funções/políticas IAM, além de políticas baseadas em recursos em endpoints VPC, Transit Gateway e regras do Route 53 Resolver; o AWS Resource Access Manager (RAM) compartilha sub-redes, TGWs e regras do resolver entre contas.
Por que está no exame: Questões de governança do Domínio 4 sobre compartilhamento de VPC entre contas, service principals de endpoint e menor privilégio para administradores de rede ancoram-se em IAM + RAM.
Chaves criptográficas gerenciadas usadas para criptografar Flow Logs entregues ao S3, segredos que suportam chaves pré-compartilhadas de VPN Site-to-Site, chaves MACsec para Direct Connect e chaves de criptografia em nível de campo do CloudFront.
Por que está no exame: Cenários de conformidade no Domínio 4 citam o KMS como a resposta para criptografar telemetria de rede capturada em repouso e rotacionar PSKs / CKNs MACsec sem interrupção do serviço.
Console e APIs de painel único para Transit Gateway, Cloud WAN, Direct Connect e parceiros SD-WAN — eventos, análise de rotas, integração com Network Access Analyzer e visualização de topologia.
Por que está no exame: Questões de Gerenciamento e Operações de Rede sobre visualização de topologia global, analisador de rotas e detecção proativa de eventos nomeiam o Network Manager como a superfície de operações.
Log de auditoria em toda a conta de cada chamada de API do plano de controle de rede — quem anexou um TGW, quem modificou uma tabela de rotas, quem criou uma conexão de emparelhamento.
Por que está no exame: Questões de conformidade do Domínio 4 citam o CloudTrail como o registro imutável necessário para atribuição de mudanças em VPCs, TGWs, grupos de segurança e regras do Resolver.
$135k–$190k–$280k USD anual
O intervalo cobre funções de rede em nuvem de nível médio a sênior, baseadas nos EUA, onde a proficiência em AWS é necessária. Serviços financeiros de primeira linha, FAANG e grandes equipes de hub corporativo frequentemente excedem $330 mil em TC (compensação total). Títulos de "engenheiro de rede" de nível inicial em mercados não costeiros ficam abaixo do limite inferior. A especialidade em rede avançada comanda um prêmio de forma confiável porque o pool de candidatos é pequeno.
Fonte: levels.fyi 2025–2026 cloud network engineer roles, U.S. BLS OEWS Maio de 2024 (15-1241 computer network architects, 15-1244 network and computer systems architects). Os valores são aproximados; a compensação real depende da função, região e experiência.
Redes em nuvem é uma das áreas de especialidade menores, mas mais premium, na contratação de talentos AWS. A demanda concentra-se em grandes empresas, serviços financeiros, setores regulamentados e empresas SaaS nativas da nuvem com arquiteturas híbridas ou multirregião complexas. Recrutadores usam o ANS-C01 como um sinal credível de que um candidato pode projetar e operar redes AWS não triviais — o pool de candidatos com profundidade em AWS e fluência em BGP/DNS é genuinamente pequeno. Ele se combina naturalmente com SAA-C03 ou SAP-C02 e com a Security Specialty (SCS-C03) para funções de infraestrutura sênior. A certificação POR SI SÓ NÃO qualifica candidatos para posições de nível de arquiteto-chefe; essas esperam experiência mais ampla em design de sistemas e liderança.
Não há pré-requisitos formais. A AWS recomenda pelo menos 5 anos de experiência em redes (incluindo redes de produção práticas com roteamento e switching) e pelo menos 2 anos de experiência prática em AWS.
A maioria dos candidatos aborda o ANS-C01 após o SAA-C03 ou SAP-C02 para a fundação arquitetônica da AWS. A lacuna mais difícil de preencher é a profundidade em redes tradicionais: candidatos sem forte conhecimento de BGP, OSPF, IPSec e DNS devem esperar um estudo extra substancial, pois o exame pressupõe uma fluência básica em redes muito além do que os exames de associado testam. Uma simulação pessoal funcional de Direct Connect (usando Site-to-Site VPN com BGP), um laboratório de Transit Gateway multirregião e uma construção de VPC de inspeção com Gateway Load Balancer são os artefatos de preparação de maior ROI.
O ANS-C01 é classificado como Specialty e é amplamente considerado um dos exames AWS mais difíceis. Planeje 100–160 horas ao longo de 12–16 semanas para candidatos com fortes conhecimentos em redes tradicionais e experiência em AWS; 200–280+ horas para candidatos que não possuem uma dessas bases. O exame tem 65 questões com pontuação em 170 minutos — múltipla escolha e múltipla resposta, sem laboratórios. A pressão do tempo é real porque ler e rastrear diagramas de rede em perguntas de cenário é lento.
Obstáculos comuns incluem o comportamento matizado do BGP sobre Direct Connect (LOCAL_PREF, AS_PATH, MED, communities), propagação vs. associação de tabelas de rotas do Transit Gateway, casos extremos de resolução DNS híbrida envolvendo endpoints de entrada e saída do Route 53 Resolver, e fluxos de tráfego de inspeção centralizada com Gateway Load Balancer. Interações sutis de políticas de PrivateLink e VPC endpoint também são recorrentes.
Versão atual. Cobertura modernizada de Transit Gateway, Cloud WAN, Network Firewall, Gateway Load Balancer e padrões modernos de DNS híbrido. Substituiu o ANS-C00.
Specialty de Rede Avançada original. Aposentado em 2022; era pré-maturidade do Transit Gateway.
ANS-C01 (AWS Certified Advanced Networking Specialty) é um exame de nível Specialty um exame profundamente especializado que abrange tópicos avançados em um domínio restrito — espere que a experiência prática seja um pré-requisito. A maioria dos candidatos precisa de 100 a 200 horas de estudo distribuídas em 2 a 4 meses para exames de especialidade. Estes pressupõem experiência prática no domínio da especialidade. A maioria dos candidatos que pontuam consistentemente acima do limite de aprovação em exames práticos é aprovada na primeira tentativa.
A maioria dos candidatos precisa de 100 a 200 horas de estudo distribuídas em 2 a 4 meses para exames de especialidade. Estes pressupõem experiência prática no domínio da especialidade. O tempo para aprovação varia amplamente de acordo com a experiência prévia. Engenheiros com experiência prática de produção na tecnologia subjacente geralmente precisam de menos tempo; candidatos novos na plataforma devem planejar-se para o limite superior dessa faixa.
ANS-C01 é uma credencial reconhecida no ecossistema AWS e sinaliza conhecimento validado para empregadores, recrutadores e clientes. Se vale a pena o tempo e a taxa para você, depende do seu papel e objetivos — geralmente compensa mais para engenheiros de nuvem, arquitetos e consultores que trabalham com AWS diariamente ou desejam mudar para funções que o fazem.
A pontuação de aprovação para ANS-C01 é 750 / 1000. O exame contém 65 questões e dura 2 h 50 min.
A taxa do exame ANS-C01 é $300 USD. As taxas são definidas por AWS e podem variar por região; sempre confirme o preço atual na página oficial de certificação AWS antes de agendar.
As certificações AWS são válidas por 3 anos. Recertifique-se passando na versão atual do mesmo exame, ou passando em um exame de nível superior no mesmo caminho antes do vencimento.
Sim. Você pode fazer o exame online (supervisionado através do navegador seguro do provedor, disponível 24 horas por dia, 7 dias por semana na maioria das regiões) ou em um centro de testes Pearson VUE presencial durante o horário comercial. Ambos os formatos usam as mesmas perguntas, limite de tempo e pontuação de aprovação.
A CertLabPro oferece 15 modos de estudo no banco de questões práticas para ANS-C01. O modo de simulação de exame espelha o exame real: 65 questões em 2 h 50 min, com o mesmo limite de aprovação de 750 / 1000. O modo de navegação permite que você leia todas as perguntas e respostas estaticamente.