AWS Certified CloudOps Engineer Associate
Última revisão: maio de 2026
Uma referência rápida dos padrões arquiteturais que o exame SOA-C03 avalia. Leia de cima a baixo ou pule para uma seção.
Coletar métricas de memória, disco e processo de uma frota EC2. As métricas padrão do CloudWatch não as incluem.
Instalar o agente CloudWatch via SSM Distributor ou comando `AmazonCloudWatch-ManageAgent` Run Command. Enviar configuração do agente do Parameter Store.
Por quê: Memória e disco são métricas do sistema operacional convidado — o hipervisor não consegue vê-las. As métricas padrão do CW são apenas CPU/rede/IO de disco na camada EBS.
O aplicativo precisa publicar um KPI de negócio (ex: pedidos/min) no CloudWatch.
API `PutMetricData` com namespace personalizado + dimensões. Para alto volume, use o formato de métrica incorporado (EMF) — escreva JSON estruturado nos logs e o CW extrai métricas automaticamente.
Reduzir o custo de métricas personalizadas de alta cardinalidade.
Formato de Métrica Incorporado (EMF). Registre um evento estruturado uma vez; o CW extrai métricas dele. Um log + uma métrica = mais barato do que chamadas `PutMetricData` separadas por combinação de dimensão.
Alarmes de limite estático produzem falsos positivos porque o tráfego tem sazonalidade diária/semanal.
Alarme de detecção de anomalias do CloudWatch. As bandas se adaptam à sazonalidade aprendida; o alarme dispara quando a métrica sai da banda.
Por quê: Cargas de trabalho sazonais têm variações normais — limites fixos estão errados metade do tempo.
Chamar o plantão apenas quando AMBOS: alta taxa de erro E baixo tráfego — não quando qualquer um dispara sozinho.
Alarme composto com expressão de regra `ALARM(errors) AND ALARM(low_traffic)`. Os alarmes subjacentes ainda disparam individualmente, mas apenas o composto notifica o SNS.
Converter linhas de log como `ERROR uid=123` em uma métrica do CloudWatch para alarme.
Filtro de métrica do CloudWatch Logs — o padrão `ERROR` incrementa uma métrica. Em seguida, crie um alarme na métrica.
Por quê: Os filtros são avaliados conforme os logs são ingeridos; nenhuma pipeline de parsing separada é necessária.
Encontrar os 10 principais IPs causando erros 5xx na última hora em muitos fluxos de log.
Consulta do CloudWatch Logs Insights: `fields @timestamp, @message | filter @message like /5\d\d/ | stats count() by clientIp | sort count desc | limit 10`.
A retenção do grupo de log padrão é "Nunca expirar" — a fatura está aumentando.
Definir retenção por grupo de log (1 dia a 10 anos). Aplicar via `aws logs put-retention-policy` ou regra do AWS Config que remedia automaticamente novos grupos.
Centralizar logs de 50 contas em uma conta de segurança.
Filtro de assinatura em cada grupo de log de origem → Kinesis Data Streams ou Firehose na conta central. Observabilidade entre contas do CloudWatch para métricas + rastreamentos.
Arquivo de log de longo prazo com baixo custo.
Assinar o grupo de log ao Kinesis Firehose → S3 com ciclo de vida de transição para Glacier. Ou `CreateExportTask` agendado para S3 diretamente.
Por quê: Firehose é contínuo; ExportTask é uma exportação em massa sob demanda. S3 + Glacier é 100x mais barato que o armazenamento de logs do CW.
Compartilhar um dashboard de operações com um contratado não-AWS sem acesso IAM.
Compartilhamento de Dashboard do CloudWatch — link de compartilhamento público (com autenticação fornecida pelo Cognito) ou anônimo (restrito a um dashboard específico).
Acionar uma Lambda quando uma instância EC2 entra no estado `stopped`.
Regra do EventBridge com padrão de evento `{"source":["aws.ec2"],"detail-type":["EC2 Instance State-change Notification"],"detail":{"state":["stopped"]}}` → destino Lambda.
Criar automaticamente um ticket quando a AWS anuncia manutenção programada para uma de suas instâncias RDS.
AWS Health → barramento padrão do EventBridge → Lambda ou SNS → sistema de tickets. Filtrar por `source: aws.health` e recurso afetado.
Detectar quando um site público retorna 404 antes que os clientes reclamem.
Canary do CloudWatch Synthetics — hit de navegador scriptado a cada minuto, captura de tela em caso de falha, alarme em execuções falhas.
Medir tempos de carregamento de página no navegador e erros JavaScript de usuários reais.
CloudWatch RUM. Snippet na página envia dados de desempenho + erro. Combinar com X-Ray para correlação de backend.
Dimensionar corretamente a frota EC2 sem verificar manualmente o CloudWatch em cada instância.
AWS Compute Optimizer — analisa métricas CW + dados de memória (com agente) e recomenda alterações de tipo de instância. Abrange EC2, ASG, EBS, Lambda, ECS Fargate.
Verificar "a criptografia em repouso está ativada em cada volume EBS" em 200 contas.
Agregador do AWS Config com autorização multi-conta multi-região. Dashboards do agregador + consultas avançadas (SQL).
Corrigir automaticamente recursos não conformes (ex: volume EBS não criptografado → snapshot + recriar criptografado).
Regra do AWS Config + ação de remediação automática via runbook de automação do SSM. Especificar contagem de retentativas + parâmetros.
Identificar oportunidades de economia de custos e riscos de segurança sem escrever scripts personalizados.
AWS Trusted Advisor. Verificações de Custo / Desempenho / Segurança / Tolerância a Falhas / Limites de Serviço. O conjunto completo de verificações requer suporte Business ou Enterprise.
Precisa aumentar a quota de vCPU do EC2 em uma região para um próximo lançamento.
Console do Service Quotas — solicitar aumento de quota. Ou usar a API do Service Quotas para script. Algumas quotas são aprovadas automaticamente; outras passam pelo Suporte.
Detectar picos de custo inesperados antes da chegada da fatura mensal.
Detecção de Anomalias de Custo da AWS — baseada em ML; configurar monitores por serviço / conta vinculada / categoria de custo. Alertas via SNS ou e-mail.
Parar automaticamente EC2 de não-produção se o orçamento mensal exceder o limite.
Ação do AWS Budgets — no limite, executar uma Automação do SSM que para instâncias com tag ou aplica um SCP de negação total via IAM.
Drenar conexões + descarregar logs antes que o ASG encerre uma instância.
Hook de ciclo de vida em `EC2_INSTANCE_TERMINATING`. A instância entra em `Terminating:Wait`; o documento SSM executa o script de drenagem; emite a ação `CONTINUE` quando concluído.
Dimensionar automaticamente para manter a CPU média em torno de 60%.
Política de escalabilidade de rastreamento de destino com `ASGAverageCPUUtilization` = 60. O ASG cria alarmes de etapa automaticamente.
Por quê: Mais simples que o escalonamento de etapa. Melhor para métricas simétricas. O escalonamento de etapa é para regras de scale-up vs scale-down mais granulares.
O tráfego aumenta diariamente às 9h; o escalonamento reativo é lento.
Escalonamento preditivo. O ASG prevê a carga com 48 horas de antecedência a partir do histórico do CW; pré-escala antes do pico.
A inicialização da instância leva 8 minutos; o scale-out é muito lento.
Warm pool do ASG — instâncias paradas/hibernadas pré-inicializadas. No scale-out, transitar de Stopped → InService em vez de lançar frio.
Executar um ASG principalmente em Spot para economizar custos, mas com uma base de On-Demand para estabilidade.
Política de Instâncias Mistas — template de lançamento + capacidade base (On-Demand) + porcentagem acima da base em Spot. Usar múltiplos tipos de instância para diversificação Spot.
Migrando de Launch Configurations.
Usar Launch Templates. A AWS depreciou Launch Configurations para novos ASGs; apenas LTs suportam recursos mais recentes (warm pool, instâncias mistas, imposição de IMDSv2, EBS gp3, etc.).
O banco de dados RDS deve sobreviver a uma interrupção de AZ com tempo de inatividade mínimo.
Implantação Multi-AZ. Standby síncrono em outra AZ; failover acionado por falha de host/armazenamento ou interrupção de AZ. O endpoint permanece o mesmo.
Por quê: Multi-AZ é para HA, não para scale-out de leitura. Para scale-out de leitura, adicione uma réplica de leitura.
Desastre entre regiões: promover uma réplica de leitura a primária.
API `PromoteReadReplica` ou ação no console. A nova réplica torna-se uma instância gravável autônoma; atualizar os endpoints do aplicativo.
Centralizar backups de EFS, RDS, EBS, DynamoDB, FSx sob uma única política de agendamento + retenção.
AWS Backup — plano de backup com regras (frequência, retenção, ciclo de vida para armazenamento a frio), seleções de backup (ARN de recurso ou filtro de tag).
Cumprir o requisito regulatório de backup imutável (WORM).
AWS Backup Vault Lock com modo de conformidade. Uma vez imposto, os backups não podem ser excluídos antes que a retenção expire — nem mesmo pela conta root.
Snapshots diários de cada volume EBS com tag, com retenção de 30 dias.
Política do Amazon Data Lifecycle Manager (DLM) — agendamento + filtro de tag + retenção. Sem código, sem Lambdas agendadas.
DR ativo-passivo: Route53 deve enviar tráfego para a região de standby quando a primária falhar.
Política de roteamento de failover do Route 53 com verificações de saúde no endpoint primário. Em caso de falha na verificação de saúde, o DNS resolve para o standby.
Detectar falha de endpoint mais rápido que o padrão de 30s.
Verificação de saúde do Route 53 com intervalo rápido (10s) e limite de 3 falhas. Combinar múltiplas verificações de saúde via verificações calculadas.
Conexões de longa duração caem quando o ALB remove um destino durante a implantação.
Atraso de desregistro do grupo de destino (padrão 300s, aumentar conforme necessário). Novas solicitações param de fluir imediatamente; conexões em trânsito drenam até que o atraso expire.
Configurar quanto tempo o ALB espera por requisições em trânsito durante o desregistro do destino.
O mesmo que o atraso de desregistro. Set per target group. NLB has a separate but parallel mechanism.
EFS lento sob carga de pico.
Mudar para o modo Elastic Throughput (escala automática). Ou Provisioned Throughput para cargas de trabalho previsíveis. O modo padrão Bursting é baseado em créditos e se esgota sob carga sustentada.
Escolher uma estratégia de DR por orçamento de RPO/RTO.
Backup & Restore (RTO horas, RPO horas, mais barato). Pilot Light (RTO minutos, RPO minutos). Warm Standby (RTO minutos, RPO segundos, standby em execução com escala reduzida). Multi-Site Ativo-Ativo (RTO ~0, RPO ~0, mais caro).
Replicar objetos S3 para uma segunda região para conformidade + DR.
S3 Cross-Region Replication (CRR). Buckets de origem + destino, função IAM, regra de replicação. Usar Replication Time Control (RTC) para SLA de 15 minutos.
Proteger objetos contra exclusão acidental ou maliciosa.
Ativar Versionamento + MFA Delete no bucket. MFA Delete requer credenciais root + código MFA para excluir permanentemente versões ou desabilitar o versionamento.
Aplicação TCP/UDP precisa de IPs estáticos e failover rápido entre regiões.
AWS Global Accelerator — 2 IPs anycast que roteiam para o endpoint regional saudável mais próximo via backbone da AWS. Failover em menos de 30 segundos.
Por quê: Melhor que o failover do Route 53 para tráfego não-HTTP; os clientes mantêm o mesmo IP.
Alguém modificou recursos no console; verificar o que divergiu do template do CloudFormation.
Detecção de drift do CloudFormation na stack. Relata o status de drift por recurso com diferenças no nível da propriedade.
Ver exatamente o que o CloudFormation modificará antes de aplicar uma alteração no template.
Criar um change set primeiro; revisar as alterações propostas; executar somente se for seguro. Os change sets suportam stacks aninhadas e referências entre stacks.
Impedir atualização acidental de um recurso crítico (ex: RDS de produção) dentro de uma stack.
Política de stack do CloudFormation — documento estilo IAM permitindo ou negando `Update:*` em IDs de recursos lógicos específicos. Aplicada à stack, separada do IAM.
Implantar a mesma linha de base (ex: CloudTrail, Config, GuardDuty) em todas as contas da organização.
CloudFormation StackSets com permissões gerenciadas por serviço + implantação automática para novas contas em OUs de destino.
Executar configuração + sinalizar conclusão ao CloudFormation a partir de user-data do EC2.
cfn-init (configuração), cfn-signal (sinalizar CreationPolicy), cfn-hup (aplicar alterações de metadados). CreationPolicy faz a stack esperar pelo sinal antes de marcar CREATE_COMPLETE.
Reverter automaticamente a stack se alarmes do CloudWatch dispararem após a implantação.
Configuração de rollback do CloudFormation — lista de alarmes do CW + tempo de monitoramento. Se qualquer alarme disparar durante a janela, a stack é revertida automaticamente.
Enviar um comando shell avulso para 500 instâncias EC2 por tag.
SSM Run Command com documento `AWS-RunShellScript`, destino por tag. Sem SSH. Registra em S3 / CloudWatch Logs.
Garantir continuamente uma configuração (ex: agente CloudWatch instalado) em todas as instâncias.
Associação do SSM State Manager — agendamento + documento + destinos. O SSM aplica o estado desejado conforme o agendamento e relata a conformidade.
Aplicar patches do SO a uma frota em um agendamento com segurança de rollback.
SSM Patch Manager — linha de base de patches (regras: gravidade, classificação, atraso de aprovação) + grupo de patches (tag) + janela de manutenção para a execução.
Acessar via SSH uma instância em sub-rede privada sem bastion host ou portas de entrada abertas.
SSM Session Manager — agente + função IAM abrem a sessão através da API SSM Messages. Sem IP público, sem chave SSH, registro completo da sessão.
Armazenar string de conexão do banco de dados para o aplicativo buscar em tempo de execução — sem segredos commitados.
SSM Parameter Store SecureString (criptografado por KMS) ou Secrets Manager (rotação). O aplicativo chama `GetParameter` com uma função IAM.
Por quê: Parameter Store é gratuito na camada padrão; Secrets Manager tem rotação embutida para RDS/DocumentDB/Redshift.
Remediar automaticamente descobertas de conformidade (ex: grupo de segurança aberto para o mundo → restringir).
Runbook de Automação do SSM (YAML personalizado ou gerenciado pela AWS). Acionado por EventBridge / Config / manual. Etapas: ramificação, paralelo, retentativa, abortar.
Executar patch apenas durante 02:00–04:00 de domingo.
SSM Maintenance Window — agendamento (cron), destinos, tarefas. Envolve invocações de Run Command / Automação / Lambda / Step Functions.
Construir AMIs Linux/Windows endurecidas com agentes pré-instalados em um agendamento.
EC2 Image Builder — pipeline (receita de imagem + componentes + configuração de infraestrutura + distribuição). Gerar AMIs para múltiplas regiões/contas.
Implantar nova versão do aplicativo em uma pequena fatia de EC2/ECS/Lambda antes da implantação completa.
CodeDeploy com configuração de implantação canary ou linear. Canary Lambda `Lambda10Percent5Minutes` alterna o tráfego via pesos de alias.
Implantação blue/green em ASG atrás de ALB.
Grupo de implantação blue/green do CodeDeploy — provisiona um novo ASG, registra-o com o grupo de destino do ALB, espera pela saúde, troca o tráfego, encerra o antigo.
Pipeline na conta de ferramentas implanta em contas de dev/stage/prod.
CodePipeline entre contas — a etapa de implantação usa uma função entre contas da conta de destino. Chave KMS na conta de ferramentas compartilhada com o destino.
Permitir que equipes de desenvolvimento auto-provisionem infraestrutura aprovada (ex: VPC, S3 bucket) sem dar acesso IAM completo.
AWS Service Catalog — o administrador publica produtos (templates CFN), os usuários lançam via permissão IAM para lançar a função do produto, não os recursos subjacentes.
Garantir que todos os recursos tenham as tags `Environment` e `CostCenter` em toda a organização.
Políticas de tags do AWS Organizations. Definir chaves de tags + valores permitidos; tags não conformes são exibidas no Resource Groups Tag Editor + Config.
Migrando de OpsWorks Stacks (fim da vida útil em maio de 2024).
OpsWorks Stacks está no fim da vida útil. Migrar para AWS Systems Manager + Chef/Puppet nativo no EC2, ou converter para ECS/EKS, ou reconstruir via SSM Automation + CFN.
Escolher entre stacks aninhadas e referências entre stacks.
Stacks aninhadas: fortemente acopladas, ciclo de vida gerenciado em conjunto (atualização única). Referências entre stacks `Export`/`ImportValue`: fracamente acopladas, ciclos de vida independentes, exportações imutáveis enquanto importadas.
Identificar usuários IAM com chaves de acesso com mais de 90 dias.
Gerar Relatório de Credenciais (`generate-credential-report` + `get-credential-report`). CSV com último uso + idade da chave por usuário. Combinar com Access Analyzer para revisão de privilégio mínimo.
Encontrar funções IAM, buckets S3, chaves KMS acessíveis de fora da conta / organização.
IAM Access Analyzer — varredura de zona de confiança relata descobertas de acesso externo. O analisador de acesso externo é gratuito; o analisador de acesso não utilizado é pago.
Podar políticas IAM com permissões excessivas — remover serviços que o principal nunca usou.
Informações de Último Acesso IAM por função/usuário. Lista último uso em nível de serviço + (para alguns serviços) em nível de ação. Remover permissões não utilizadas.
Auditar todas as chamadas de API em todas as contas da organização com armazenamento centralizado.
Trilha da Organização na conta de gerenciamento ou de administrador delegado. Único bucket S3; cobre todas as contas membro atuais + futuras; não pode ser desativado por membros.
Registrar cada leitura de objeto S3 em um bucket sensível.
Habilitar eventos de dados do CloudTrail para S3 (por bucket ou todos). Trilhas padrão capturam apenas eventos de gerenciamento; eventos de dados são cobrados separadamente.
Detectar credenciais comprometidas, varreduras de porta, mineração de criptomoedas, atividade de API anômala.
Habilitar GuardDuty em todas as regiões. Administrador delegado na conta de segurança agrega descobertas em toda a organização. Regra do EventBridge → SNS para alta gravidade.
Varredura contínua de CVEs em AMIs EC2 e imagens ECR.
Amazon Inspector v2. Descoberta automática de EC2 + ECR + Lambda; resultados no Security Hub. CVEs pontuados por gravidade.
Dashboard único para descobertas de GuardDuty, Inspector, Macie, IAM Access Analyzer, ferramentas de terceiros.
AWS Security Hub. Padrões (CIS AWS Foundations, AWS Foundational Security Best Practices, PCI DSS). Agregação entre regiões + administrador delegado.
Descobrir e classificar dados de PII / cartão de crédito no S3.
Amazon Macie. Tarefas de descoberta automática em buckets; identificadores de dados gerenciados + regex personalizado. Descobertas para Security Hub / EventBridge.
Rotacionar chaves de criptografia KMS sem recriptografar dados.
Habilitar rotação automática de chaves em CMKs gerenciados pelo cliente (anual). O KMS mantém o material da chave antiga para descriptografar ciphertexts existentes; novas criptografias usam o material mais recente.
Rotacionar automaticamente a senha mestre do RDS a cada 30 dias.
Rotação do Secrets Manager com Lambda fornecida pela AWS para o motor RDS. Estratégia de rotação de usuário único ou usuário alternado.
Aplicar CIS Benchmarks em toda a organização.
AWS Config Conformance Pack — pacote de regras do Config + ações de remediação. Implantar via Config em todas as contas via agregador; em nível de organização via conta de gerenciamento.
Bloquear ataques SSRF que leem metadados de instância EC2.
Exigir IMDSv2 (`HttpTokens=required`) em cada instância. Baseado em token; bloqueia leituras SSRF não autenticadas de credenciais de função de instância.
Garantia em toda a conta de que nenhum bucket S3 é publicamente legível, nunca.
S3 Block Public Access em nível de conta. Sobrescreve políticas por bucket. Combinar com SCP `aws:SecureTransport` para HTTPS-only.
Automatizar a coleta de evidências para auditorias SOC 2 / HIPAA / PCI.
AWS Audit Manager — frameworks mapeiam controles para fontes de evidências (Config, CloudTrail, Security Hub). Coleta e monta automaticamente relatórios prontos para o avaliador.
Investigar tráfego de movimento lateral suspeito entre sub-redes.
VPC Flow Logs para CloudWatch Logs / S3 / Firehose. Formato personalizado com `pkt-srcaddr` + `pkt-dstaddr` expõe o src/dst real do pacote (vs src/dst da ENI).
Consultar terabytes de VPC Flow Logs de forma barata.
Transmitir Flow Logs para S3 em formato Parquet; consultar com Athena particionado por ano/mês/dia. Mais barato que o CW Logs Insights para análise de arquivo.
Determinar por que a tarefa ECS não consegue alcançar o RDS — SG, NACL, tabela de rotas ou NAT?
VPC Reachability Analyzer — ENI de origem → ENI de destino; relata acessível/bloqueado + qual componente bloqueia (ex: regra de SG de entrada).
Encontrar todos os caminhos da internet para uma sub-rede de banco de dados em toda a organização.
Network Access Analyzer com Network Access Scope (ex: `Source: internet, Destination: db-subnet-tag`). Retorna caminhos de rede correspondentes para revisão.
EC2 em sub-rede privada deve alcançar S3 / DynamoDB sem custos de saída NAT.
Endpoint de Gateway VPC para S3 / DynamoDB. Gratuito; lista de prefixos da tabela de rotas. Evita bytes NAT.
Conectividade privada de VPC para a maioria dos outros serviços AWS (KMS, SSM, ECR, etc.).
Endpoint de Interface VPC (PowerLink). ENI em sua sub-rede, cobrado por AZ + por GB. Usar políticas de endpoint para restringir a recursos específicos.
As taxas de processamento de dados do NAT Gateway dominam a fatura.
Mover tráfego de S3/DynamoDB para endpoints de gateway (gratuito). Mover outros tráfegos de serviços AWS para endpoints de interface. Para inter-VPC, usar Transit Gateway / VPC peering em vez de rotear via NAT.
40 VPCs precisam de conectividade any-to-any sem peering N×N.
Transit Gateway como hub. VPCs se anexam ao TGW; tabelas de rotas controlam quais VPCs podem se comunicar. Um hub gerenciado único versus O(N²) conexões de peering.
O DNS on-premise deve resolver `internal.company.com` para recursos privados da VPC, e vice-versa.
Endpoints de entrada + saída do Route 53 Resolver + regras de encaminhamento. Entrada = on-prem consulta AWS; saída = AWS consulta on-prem.
Auditar quais nomes DNS estão sendo resolvidos de uma VPC.
Registro de consultas do Route 53 Resolver para CloudWatch Logs / S3 / Firehose. Configuração de registro por VPC.
Origem do CloudFront retorna 5xx; precisa de failover automático para origem secundária.
Grupo de origem com origem primária + secundária e critérios de failover (códigos de status 500/502/503/504/404). O comportamento de cache aponta para o grupo.
Maximizar a taxa de acertos de cache para conteúdo amplamente estático.
Definir `Cache-Control: max-age=...` nas respostas de origem; configurar o CloudFront para encaminhar apenas as chaves de cache necessárias (evitar encaminhar todos os cabeçalhos/cookies/query strings, o que destrói a eficácia do cache).
CloudFront na frente do S3 — bloquear acesso direto ao S3.
Origin Access Control (OAC). Substitui o legado Origin Access Identity (OAI) — suporta SigV4, buckets criptografados por KMS, todas as regiões. A política de bucket nega principais que não são OAC.
Bloquear injeção de SQL + limitar taxa de clientes agressivos no ALB.
AWS WAFv2 web ACL: grupo de regras gerenciado pela AWS `AWSManagedRulesSQLiRuleSet` + regra baseada em taxa (ex: 2000 requisições / 5 min por IP). Associar a ALB / API Gateway / CloudFront / AppSync.
Mitigar DDoS de Camada 7 sustentado com garantia de proteção de custos.
AWS Shield Advanced — engajamento proativo, detecção de DDoS na camada de aplicação, acesso à SRT 24×7, reembolso de custos para picos de escalonamento durante o ataque. Ativar no Route 53 / CloudFront / ALB / EIP / Global Accelerator.
Gerenciar centralmente políticas de WAF / Shield / SG / Network Firewall em todas as contas da organização.
AWS Firewall Manager (administrador delegado). As políticas são aplicadas automaticamente a contas/recursos dentro do escopo; relata não conformidade.
Interrupção do Direct Connect derruba a conectividade híbrida.
VPN Site-to-Site como backup via internet. O BGP escolhe o DX como preferencial (menor MED / caminho AS mais curto); faz failover para VPN automaticamente.
