AWS Certified Cloud Practitioner
Última revisão: maio de 2026
Uma referência rápida dos padrões arquiteturais que o exame CLF-C02 avalia. Leia de cima a baixo ou pule para uma seção.
Uma startup quer lançar um aplicativo web sem comprar servidores antecipadamente.
A Nuvem troca CapEx por OpEx — pague pelo uso da computação, sem compra de hardware.
Por quê: Custo variável que escala com o uso; nenhum capital ocioso preso em servidores inativos.
Carga de trabalho tem picos durante eventos de vendas e fica ociosa durante a noite.
Elasticidade — escalone automaticamente os recursos para cima e para baixo com a demanda. Pague apenas pelo que está em execução.
Por quê: Distinto de escalabilidade (capacidade máxima). A elasticidade é bidirecional e automática.
A equipe quer experimentar serviços de ML sem compromisso de longo prazo.
Agilidade da nuvem — provisione em minutos, encerre quando terminar, sem risco de capital.
Por que a computação em nuvem é mais barata do que rodar por conta própria?
Economias de escala — a AWS agrega a demanda de milhões de clientes; o custo por unidade cai à medida que o volume cresce.
Pare de provisionar servidores em excesso "apenas por precaução" ou de ter escassez durante os picos.
A Nuvem permite provisionar exatamente o que você precisa, escalar sob demanda e desativar instantaneamente.
Por quê: Remove a aposta do planejamento de capacidade que desperdiça dinheiro em hardware ocioso ou arrisca interrupções.
Quer implantar globalmente sem construir data centers em cada país.
A Nuvem permite que você se torne global em minutos via Regiões e Edge locations. Sem necessidade de construção de instalações.
Escolha onde implantar: separação física para isolamento de falhas + baixa latência entre zonas.
Região = geografia (ex: `us-east-1`). Availability Zone = grupo de data centers isolados dentro de uma Região (≥3 por Região).
Por quê: O design Multi-AZ sobrevive a uma falha de data center; a mesma Região mantém a latência inter-AZ baixa (milissegundos de um único dígito).
Armazenar em cache o conteúdo próximo aos usuários finais em todo o mundo.
CloudFront edge locations + caches de borda regionais. Mais de 600 POPs globalmente.
Por quê: Edge serve conteúdo estático do POP mais próximo; reduz a latência em comparação com o round-trip para a Região de origem.
Precisa de latência de um único dígito de milissegundos em uma área metropolitana não coberta por uma Região; ou implantar em uma borda de operadora 5G.
AWS Local Zones (extensão metropolitana de uma Região) para baixa latência geral. AWS Wavelength para casos de uso de borda móvel 5G.
Precisa de APIs e serviços AWS rodando on-prem (conformidade, latência, residência de dados).
AWS Outposts — rack/servidor AWS totalmente gerenciado em seu data center. Mesmas APIs da nuvem.
Escolha um modelo de implantação: tudo na nuvem, apenas on-premise, ou misto.
Nuvem (AWS completa), Híbrida (nuvem + on-premise conectado via Direct Connect/VPN/Outposts), On-premise (sem nuvem).
Projetar uma carga de trabalho segura, confiável, performática, econômica, sustentável e operacionalmente sólida.
Seis pilares do Well-Architected: Excelência Operacional, Segurança, Confiabilidade, Eficiência de Performance, Otimização de Custos, Sustentabilidade.
Por quê: Os pilares são o checklist de design canônico da AWS. Confiabilidade = recuperar de falhas + escalar para a demanda. Sustentabilidade (adicionado em 2021) = minimizar o impacto ambiental.
A carga de trabalho deve sobreviver a uma interrupção de AZ com tempo de inatividade mínimo.
Design Multi-AZ — implante em ≥2 AZs atrás de um balanceador de carga. RDS Multi-AZ para bancos de dados.
Distinguir "tolerante a falhas" de "altamente disponível".
HA = recupera-se rapidamente de falhas (algum tempo de inatividade, pode usar uma réplica passiva). Tolerante a falhas = sem tempo de inatividade perceptível, componentes redundantes em execução ao vivo.
Por quê: HA é mais barato; tolerante a falhas requer capacidade ativa duplicada. Escolha por SLA + custo.
Quem protege o quê — AWS vs. cliente.
AWS = segurança OF the cloud (hardware, hypervisor, regiões, patching de serviços gerenciados). Cliente = segurança IN the cloud (dados, IAM, chaves KMS, configuração de rede, patching do OS em EC2, configuração do aplicativo).
Por quê: A fronteira muda por serviço: EC2 = cliente aplica patches no OS; RDS = AWS aplica patches no motor do banco de dados, cliente gerencia usuários + dados; S3 = AWS cuida da infra, cliente cuida das políticas de bucket + objetos.
Conceder acesso a recursos AWS para desenvolvedores sem compartilhar credenciais de root.
Usuários IAM (por pessoa), grupos (pacotes de funções), roles (assumidas por serviços ou identidades federadas), políticas (documentos de permissões JSON).
Por quê: Roles + credenciais temporárias são preferíveis a chaves de acesso de longa duração para humanos e cargas de trabalho.
Configurar uma conta que siga as melhores práticas de segurança da AWS no primeiro dia.
Proteger o root (MFA, sem chaves programáticas, usar apenas para faturamento/tarefas da conta). Criar usuários e grupos IAM, habilitar MFA para todos os usuários humanos, conceder o privilégio mínimo, preferir roles a chaves de longa duração, rotacionar credenciais.
Onde as permissões podem ser anexadas?
Baseadas em identidade (anexadas a usuário/grupo/role), baseadas em recurso (anexadas a S3 bucket, chave KMS, fila SQS, função Lambda), limite de permissão (permissões máximas para um principal), SCP (máximo em toda a organização).
Centralizar o SSO da força de trabalho em várias contas AWS e aplicativos SaaS.
AWS IAM Identity Center (anteriormente AWS SSO). Conecte-se a um IdP existente (Okta, Entra ID, AD) ou use o diretório integrado; atribua conjuntos de permissões às contas.
Bloquear todas as contas na organização de lançar recursos fora de `eu-west-1` e `eu-central-1`.
Política de Controle de Serviço (SCP) do AWS Organizations anexada à OU. As SCPs definem as permissões máximas; elas não podem conceder.
Por quê: As SCPs são preventivas — mesmo um administrador em uma conta filha não pode excedê-las.
Montar uma landing zone multi-conta com guardrails pré-configurados.
AWS Control Tower — orquestra Organizations, IAM Identity Center, Config, CloudTrail, log do S3 e guardrails pré-construídos. Account Factory provisiona novas contas com baseline.
Verificar continuamente se as configurações dos recursos correspondem às políticas internas.
AWS Config — registra o estado dos recursos ao longo do tempo, avalia contra regras gerenciadas/personalizadas, aponta recursos não compatíveis, suporta auto-remediação via SSM Automation.
Auditar quem fez o quê, quando, de onde, na conta AWS.
AWS CloudTrail — registra cada chamada de API de gerenciamento; eventos de dados opcionais para S3/Lambda. O trail da organização captura todas as contas para um bucket S3 central.
Detectar chaves IAM comprometidas, instâncias EC2 de cripto-mineração ou padrões de API incomuns.
Amazon GuardDuty — detecção de ameaças gerenciada. Analisa CloudTrail, VPC Flow Logs, logs DNS, logs de auditoria EKS, eventos de dados S3, malware em EBS, login RDS.
Analisar continuamente EC2, imagens ECR e Lambda em busca de vulnerabilidades conhecidas.
Amazon Inspector — varredura automatizada de CVE + acessibilidade de rede. Sem agente para ECR/Lambda; agente SSM para EC2.
Encontrar PII (cartões de crédito, SSNs, segredos) em buckets S3.
Amazon Macie — descoberta de dados sensíveis para S3 baseada em ML. Varreduras agendadas e orientadas por eventos; relata as descobertas ao Security Hub.
Painel único para descobertas de segurança em GuardDuty, Inspector, Macie, IAM Access Analyzer e ferramentas de terceiros.
AWS Security Hub — agrega descobertas, executa verificações automatizadas de padrões CIS / PCI-DSS / NIST, suporta agregação entre contas.
Proteger um aplicativo web público contra injeção de SQL / XSS e absorver ataques DDoS.
AWS WAF para exploits web L7 (regras gerenciadas + personalizadas em CloudFront / ALB / API Gateway). AWS Shield Standard (gratuito, DDoS L3/L4 sempre ativo) + Shield Advanced para ataques sofisticados + suporte DRT 24×7.
Criptografar dados em repouso usando chaves gerenciadas pela AWS com auditoria + rotação.
AWS KMS — CMKs (chaves mestras de cliente) gerenciadas, criptografia de envelope, rotação anual automática, políticas de chave, uso registrado no CloudTrail. A maioria dos serviços AWS se integra nativamente.
Armazenar e rotacionar senhas de banco de dados, chaves de API.
AWS Secrets Manager — rotação automática via Lambda, integração nativa com RDS, IAM de granularidade fina. Use SSM Parameter Store (Standard) para configurações simples não rotativas (é gratuito; Secrets Manager cobra por segredo).
O auditor precisa de relatórios SOC 2 / ISO 27001 / PCI-DSS para o ambiente AWS.
AWS Artifact — download self-service de atestados e acordos de conformidade da AWS (BAAs, etc.).
Carga de trabalho de saúde precisa de serviços AWS elegíveis para HIPAA.
A AWS publica uma lista de serviços elegíveis para HIPAA + assina um Business Associate Addendum (BAA) via Artifact. Use apenas os serviços listados para PHI; criptografia em repouso + em trânsito são obrigatórias.
Detectar buckets S3, roles IAM, chaves KMS, etc. acessíveis de fora da conta ou organização.
IAM Access Analyzer — prova quais recursos são acessíveis externamente; sinaliza acessos não intencionais. Gera políticas de privilégio mínimo a partir do CloudTrail.
Escolha como interagir com a AWS.
Management Console (UI web), AWS CLI (terminal), SDKs (Python/Java/Go/etc. em código), CloudShell (shell baseado em navegador com credenciais pré-carregadas), Infrastructure as Code (CloudFormation, CDK).
Precisa de controle total do OS, kernel, AMIs personalizadas, tipos de instância GPU.
Amazon EC2 — servidores virtuais redimensionáveis. Escolha a família de instâncias pela carga de trabalho (computação / memória / armazenamento / GPU / ARM Graviton).
Executar código de curta duração (≤15 min) orientado a eventos sem gerenciar servidores.
AWS Lambda — pague por requisição + GB-segundos. Acionado por S3, API Gateway, EventBridge, SQS, etc.
Por quê: Nenhuma infraestrutura para aplicar patches ou escalar; cold starts e limite de 15 minutos excluem cargas de trabalho de longa duração.
Executar cargas de trabalho conteinerizadas na AWS.
Amazon ECS = orquestrador de contêineres nativo da AWS. Amazon EKS = Kubernetes gerenciado. Fargate = backend de computação serverless (nenhum EC2 para gerenciar) para ambos.
Precisa de um VPS simples com precificação mensal previsível para um site pequeno ou ambiente de desenvolvimento.
Amazon Lightsail — VPS empacotado (computação + armazenamento + transferência de dados) com WordPress / LAMP / Node de um clique.
Implantar um aplicativo web Java / .NET / Node / Python sem configurar EC2 + ELB + ASG por conta própria.
AWS Elastic Beanstalk — PaaS gerenciado que provisiona e orquestra EC2, ELB, ASG, RDS para você. Você faz o upload do código; a AWS executa a plataforma.
Armazenar qualquer quantidade de dados não estruturados com 11 noves de durabilidade.
Amazon S3 — armazenamento de objetos. Buckets com namespace globalmente; objetos de até 5 TB; classes de armazenamento otimizam o custo.
Escolha a classe de armazenamento S3 pelo padrão de acesso.
Standard (frequente), Intelligent-Tiering (movimento automático com base no acesso), Standard-IA (infrequente), One Zone-IA (AZ única), Glacier Instant Retrieval (ms), Glacier Flexible Retrieval (minutos-horas), Glacier Deep Archive (restauração em 12 horas, mais barato).
Precisa de um volume de bloco persistente anexado a uma instância EC2 (para OS, arquivos de DB).
Amazon EBS — armazenamento de bloco anexado a um EC2 (Multi-Attach para io1/io2). Tipos de volume gp3 (SSD geral), io2 (SSD de alta IOPS), st1/sc1 (throughput/HDD frio).
Precisa de um sistema de arquivos compartilhado montado por muitas instâncias de computação.
Amazon EFS — NFS gerenciado, Multi-AZ, escala automaticamente; para Linux. Amazon FSx — sistemas de arquivos gerenciados para Windows (FSx for Windows), Lustre (HPC), NetApp ONTAP, OpenZFS.
Conectar aplicativos on-premise ao armazenamento com S3-backed com um cache local.
AWS Storage Gateway — Arquivo (NFS/SMB → S3), Volume (iSCSI em cache/armazenado), Fita (VTL → S3 + Glacier).
Precisa de um banco de dados relacional gerenciado (MySQL / PostgreSQL / MariaDB / Oracle / SQL Server).
Amazon RDS — motor gerenciado: backups, patching, failover Multi-AZ, réplicas de leitura, grupos de parâmetros. Você controla o esquema, consultas, usuários.
Carga de trabalho MySQL / PostgreSQL que precisa de maior throughput, recuperação mais rápida e failover multi-região.
Amazon Aurora — compatível com MySQL/PostgreSQL, até 5× o throughput do MySQL, armazenamento distribuído em 3 AZs, Aurora Global Database para replicação cross-region em sub-segundos.
Carga de trabalho de chave-valor ou documento de um dígito de milissegundos em qualquer escala, sem migrações de esquema.
Amazon DynamoDB — NoSQL totalmente gerenciado. Capacidade sob demanda ou provisionada, Global Tables para multi-região ativo-ativo, recuperação point-in-time, TTL para exclusão automática.
Executar SQL analítico em terabytes/petabytes de dados.
Amazon Redshift — data warehouse colunar gerenciado para análise em escala de petabytes. Amazon Athena — SQL serverless diretamente no S3, pague por dados escaneados.
Precisa de uma rede logicamente isolada para recursos AWS.
Amazon VPC — sua própria rede privada na AWS. Subnets por AZ, tabelas de rotas, internet gateway (acesso público), NAT gateway (subnet privada → internet), security groups (stateful), NACLs (stateless).
Distribuir globalmente conteúdo estático + dinâmico com baixa latência.
Amazon CloudFront — CDN com mais de 600 edge locations. Integrado com S3, ALB, API Gateway. Lambda@Edge / CloudFront Functions para lógica de borda.
DNS autoritativo com verificações de saúde e roteamento de failover.
Amazon Route 53 — DNS gerenciado. Políticas de roteamento: simples, ponderado, latência, failover, geolocalização, geoproximidade, multi-valor.
Conectar rede on-premise à AWS de forma privada.
AWS Direct Connect — link de fibra dedicado, latência previsível. AWS Site-to-Site VPN — túneis criptografados pela internet, mais rápido para configurar. Use ambos: VPN como backup para Direct Connect.
Escolha um serviço de integração.
Amazon SNS = pub/sub fan-out (muitos assinantes). Amazon SQS = fila desacoplada ponto a ponto com retry. Amazon EventBridge = barramento de eventos com esquemas + filtragem + integrações SaaS.
Monitorar métricas de recursos AWS, coletar logs, alarmar em limites.
Amazon CloudWatch — métricas, logs, alarmes, dashboards, Logs Insights para consultas de logs, integração com EventBridge para automação.
Definir a infraestrutura AWS como modelos versionados.
AWS CloudFormation — modelos JSON / YAML que provisionam e atualizam stacks. AWS CDK permite que você crie CloudFormation em TypeScript/Python/Java/Go.
Aplicar patches em uma frota de EC2, executar comandos, armazenar configuração, automatizar runbooks.
AWS Systems Manager — Patch Manager, Run Command, Session Manager (sem necessidade de bastion SSH), Parameter Store, runbooks de automação, Inventory.
Dimensionar automaticamente os recursos de computação entre serviços.
EC2 Auto Scaling — escala ASGs de EC2. AWS Auto Scaling — planos de escalonamento unificados em EC2, ECS, DynamoDB, Aurora, etc.
Distribuir tráfego entre destinos EC2 / ECS / Lambda.
ALB — HTTP/HTTPS L7, roteamento por caminho/host, nativo para contêineres + Lambda. NLB — TCP/UDP L4, latência ultra-baixa, IP estático. GWLB — para appliances de segurança de terceiros em linha.
Verificar se a própria AWS está sofrendo uma interrupção.
AWS Service Health Dashboard (público) para status geral do serviço. AWS Health Dashboard (na conta) para eventos que afetam seus recursos específicos, com integração de API + EventBridge.
Rastrear limites de serviço e solicitar aumentos.
AWS Service Quotas — visualize cotas padrão e aplicadas por serviço, solicite aumentos, integre com alarmes do CloudWatch ao se aproximar dos limites.
Encontrar parceiros de consultoria ou software de terceiros para AWS.
AWS Partner Network (APN) — diretório de parceiros de consultoria + tecnologia. AWS Marketplace — compre/implante SaaS de terceiros, AMIs, imagens de contêineres.
Assistente de IA generativa para perguntas do console AWS e dados de negócios.
Amazon Q Developer — chat para documentos AWS / CLI / IDE. Amazon Q Business — chat sobre fontes de dados empresariais com respostas baseadas em Bedrock.
Escolha um modelo de precificação EC2.
On-Demand (sem compromisso, maior custo por hora). Savings Plans / Reserved Instances (compromisso de 1 ou 3 anos, até 72% de desconto). Spot (até 90% de desconto, pode ser interrompido com aviso de 2 minutos). Dedicated Hosts (conformidade / BYOL).
Por quê: Linha de base estável → Savings Plans/RI. Picos → On-Demand. Lote tolerante a falhas → Spot.
Escolha entre Savings Plans e Reserved Instances.
Savings Plans — flexível, aplica-se a EC2/Fargate/Lambda por compromisso de $/hora (Compute SP) ou família de instâncias específica (EC2 Instance SP). RIs — específico da instância, funciona para EC2 / RDS / Redshift / ElastiCache / OpenSearch.
Experimentar sem gastar.
AWS Free Tier — três categorias: 12 meses grátis (ex: 750 hr/mês t2.micro), Sempre Grátis (ex: 1M req Lambda/mês, 25 GB DynamoDB), Testes (60 dias Inspector, etc.).
Estimar o custo mensal de uma nova arquitetura antes de implantar.
AWS Pricing Calculator — modele recursos por serviço, obtenha custo mensal + anual detalhado, compartilhe via URL.
Visualizar para onde o gasto da AWS está indo ao longo do tempo.
AWS Cost Explorer — gráficos interativos, filtro por serviço / tag / conta vinculada, previsão para o próximo mês, recomendações de Savings Plan.
Receber alertas antes que o gasto mensal exceda um limite.
AWS Budgets — defina orçamentos de custo / uso / RI / Savings Plan com limites; alertas por email/SNS; as Ações de Orçamento podem remediar automaticamente (aplicar SCP, parar EC2).
Detectar picos de custo inesperados precocemente.
AWS Cost Anomaly Detection — monitoramento baseado em ML para serviços / contas vinculadas / categorias de custo / tags. Alertas por email + SNS quando o gasto se desvia da linha de base.
Cobrar o gasto da AWS de volta às equipes / projetos.
Tags de alocação de custos — ative tags definidas pelo usuário no console de Faturamento, então agrupe/filtre relatórios do Cost Explorer + CUR por tag. Use políticas de tag em Organizations para impor a nomenclatura.
Múltiplas contas vinculadas em uma organização.
Faturamento consolidado via AWS Organizations — conta pagadora única, tiers de volume agregados (S3, transferência de dados), benefícios de RI / Savings Plan compartilhados em toda a organização.
Escolha um plano de suporte AWS.
Básico (gratuito, apenas conta/faturamento). Desenvolvedor (email em horário comercial, $29+/mês). Negócios (chat/telefone 24×7, Trusted Advisor completo, $100+/mês). Enterprise On-Ramp ($5.500+/mês, TAM agrupado, SLA crítico de 30 minutos). Enterprise ($15.000+/mês, TAM dedicado, SLA crítico de 15 minutos, IEM, revisões de arquitetura bem projetada).
Verificações de melhores práticas em custo, performance, segurança, tolerância a falhas, limites de serviço.
AWS Trusted Advisor. Planos Básico / Desenvolvedor obtêm verificações essenciais (S3 bucket público, MFA no root, security groups). Planos Business / Enterprise obtêm o conjunto completo de verificações + acesso à API.
Precisa de um contato AWS designado e suporte proativo a eventos.
Suporte Enterprise — Technical Account Manager (TAM) dedicado, Gerenciamento de Eventos de Infraestrutura (IEM) para lançamentos/migrações, revisões de arquitetura bem projetada, revisões de operações.
