AWS Certified Cloud Practitioner
Последняя проверка: май 2026 г.
Сжатый справочник архитектурных шаблонов, проверяемых на экзамене CLF-C02. Читайте сверху вниз или переходите к нужному разделу.
Стартап хочет запустить веб-приложение, не покупая серверы заранее.
Облако меняет CapEx на OpEx — плата по мере использования за вычисления, без покупки оборудования.
Почему: Переменные затраты масштабируются с использованием; нет простаивающего капитала, связанного с неактивными серверами.
Нагрузка возрастает во время распродаж и снижается ночью.
Эластичность — автоматическое масштабирование ресурсов вверх и вниз в соответствии со спросом. Платите только за то, что работает.
Почему: Отличается от масштабируемости (максимальная емкость). Эластичность является двунаправленной и автоматической.
Команда хочет экспериментировать с ML-сервисами без долгосрочных обязательств.
Гибкость облака — развертывание за минуты, завершение работы по готовности, отсутствие капитальных рисков.
Почему облачные вычисления дешевле, чем запуск самостоятельно?
Экономия на масштабе — AWS агрегирует спрос миллионов клиентов; удельная стоимость снижается по мере роста объема.
Прекратите избыточное выделение серверов "на всякий случай" или нехватку во время пиков.
Облако позволяет выделять именно то, что нужно, масштабировать по требованию, мгновенно выводить из эксплуатации.
Почему: Устраняет риск планирования емкости, который приводит к трате средств на простаивающее оборудование или риску сбоев.
Хотите развернуть глобально, не строя центры обработки данных в каждой стране.
Облако позволяет выйти на глобальный уровень за минуты через Регионы и Edge locations. Нет необходимости в строительстве объектов.
Выберите, где развернуть: физическое разделение для изоляции сбоев + низкая задержка между зонами.
Регион = география (например, `us-east-1`). Зона доступности (Availability Zone) = изолированная группа центров обработки данных в пределах Региона (≥3 на Регион).
Почему: Многозонный дизайн выдерживает отказ центра обработки данных; один и тот же Регион поддерживает низкую задержку между зонами (однозначные мс).
Кэшировать контент рядом с конечными пользователями по всему миру.
Edge-локации CloudFront + региональные пограничные кэши. 600+ точек присутствия (POP) по всему миру.
Почему: Edge-серверы обслуживают статический контент из ближайшей точки присутствия; сокращает задержку по сравнению с круговым путем до исходного Региона.
Требуется задержка в несколько миллисекунд в городской зоне, не охваченной Регионом; или развертывание на периферии 5G-оператора.
AWS Local Zones (расширение Региона в мегаполисе) для общей низкой задержки. AWS Wavelength для сценариев использования на мобильной периферии 5G.
Нужны AWS API и сервисы, работающие локально (соответствие требованиям, задержка, местонахождение данных).
AWS Outposts — полностью управляемая стойка/сервер AWS в вашем центре обработки данных. Те же API, что и в облаке.
Выберите модель развертывания: полностью облачная, только локальная или смешанная.
Облачная (полностью AWS), Гибридная (облако + локальная среда, подключенная через Direct Connect/VPN/Outposts), Локальная (без облака).
Разработайте рабочую нагрузку, которая является безопасной, надежной, производительной, экономически эффективной, устойчивой и операционно надежной.
Шесть столпов Well-Architected Framework: Операционное превосходство, Безопасность, Надежность, Эффективность производительности, Оптимизация затрат, Устойчивость.
Почему: Столпы — это канонический контрольный список проектирования AWS. Надежность = восстановление после сбоев + масштабирование по требованию. Устойчивость (добавлена в 2021 г.) = минимизация воздействия на окружающую среду.
Рабочая нагрузка должна выдержать сбой AZ с минимальным временем простоя.
Multi-AZ дизайн — развертывание в ≥2 AZ за балансировщиком нагрузки. RDS Multi-AZ для баз данных.
Различайте "отказоустойчивость" от "высокой доступности".
Высокая доступность (HA) = быстрое восстановление после сбоя (некоторое время простоя, может использовать пассивную реплику). Отказоустойчивость = отсутствие заметного времени простоя, избыточные компоненты работают в реальном времени.
Почему: HA дешевле; отказоустойчивость требует дублирования активной мощности. Выбирайте по SLA + стоимости.
Кто за что отвечает — AWS или клиент.
AWS = безопасность ОБЛАКА (оборудование, гипервизор, регионы, исправление управляемых сервисов). Клиент = безопасность В облаке (данные, IAM, ключи KMS, конфигурация сети, исправление ОС на EC2, конфигурация приложений).
Почему: Граница ответственности меняется в зависимости от сервиса: EC2 = клиент исправляет ОС; RDS = AWS исправляет движок БД, клиент управляет пользователями + данными; S3 = AWS управляет инфраструктурой, клиент управляет политиками бакетов + объектами.
Предоставить разработчикам доступ к ресурсам AWS без передачи корневых учетных данных.
Пользователи IAM (на человека), группы (наборы ролей), роли (принимаемые сервисами или федеративными удостоверениями), политики (документы JSON с разрешениями).
Почему: Роли + временные учетные данные предпочтительнее долгосрочных ключей доступа как для людей, так и для рабочих нагрузок.
Настроить учетную запись в соответствии с лучшими практиками безопасности AWS с первого дня.
Заблокировать root (MFA, без программных ключей, использовать только для биллинга/задач учетной записи). Создать пользователей + группы IAM, включить MFA для всех пользователей, предоставить минимальные привилегии, предпочитать роли долгосрочным ключам, ротировать учетные данные.
Куда можно прикрепить разрешения?
На основе удостоверений (прикреплены к пользователю/группе/роли), на основе ресурсов (прикреплены к бакету S3, ключу KMS, очереди SQS, функции Lambda), граница разрешений (максимальные разрешения для субъекта), SCP (максимальные разрешения для всей организации).
Централизовать SSO для сотрудников в нескольких аккаунтах AWS и SaaS-приложениях.
AWS IAM Identity Center (ранее AWS SSO). Подключитесь к существующему IdP (Okta, Entra ID, AD) или используйте встроенный каталог; назначьте наборы разрешений аккаунтам.
Запретить всем аккаунтам в организации запускать ресурсы за пределами `eu-west-1` и `eu-central-1`.
AWS Organizations Service Control Policy (SCP), прикрепленная к OU. SCPs устанавливают максимальные разрешения; они не могут предоставлять разрешения.
Почему: SCPs являются превентивными — даже администратор в дочернем аккаунте не может их превысить.
Создать многоаккаунтную посадочную зону с предварительно настроенными "страховочными механизмами".
AWS Control Tower — оркестрирует Organizations, IAM Identity Center, Config, CloudTrail, S3 logging и предварительно созданные "страховочные механизмы". Account Factory предоставляет новые аккаунты с базовой конфигурацией.
Постоянно проверять соответствие конфигураций ресурсов внутренним политикам.
AWS Config — записывает состояние ресурсов со временем, оценивает по управляемым/пользовательским правилам, выявляет несоответствующие ресурсы, поддерживает автоматическую коррекцию через SSM Automation.
Аудит: кто, что, когда, откуда сделал в аккаунте AWS.
AWS CloudTrail — записывает каждый вызов API управления; опциональные события данных для S3/Lambda. Организационный трейл собирает все аккаунты в централизованный бакет S3.
Обнаружить скомпрометированные ключи IAM, экземпляры EC2 для крипто-майнинга или необычные шаблоны API.
Amazon GuardDuty — управляемое обнаружение угроз. Анализирует CloudTrail, VPC Flow Logs, DNS-логи, EKS audit logs, S3 data events, вредоносное ПО в EBS, вход в RDS.
Непрерывно сканировать EC2, образы ECR и Lambda на предмет известных уязвимостей.
Amazon Inspector — автоматическое сканирование CVE + сетевой доступности. Без агента для ECR/Lambda; агент SSM для EC2.
Найти PII (номера кредитных карт, SSN, секреты) в бакетах S3.
Amazon Macie — обнаружение конфиденциальных данных для S3 на основе машинного обучения. Сканирование по расписанию и по событиям; сообщает о находках в Security Hub.
Единая панель для всех обнаруженных угроз безопасности от GuardDuty, Inspector, Macie, IAM Access Analyzer и сторонних инструментов.
AWS Security Hub — агрегирует обнаруженные угрозы, выполняет автоматические проверки стандартов CIS / PCI-DSS / NIST, поддерживает агрегацию между аккаунтами.
Защитить общедоступное веб-приложение от SQL-инъекций / XSS и поглотить DDoS-атаки.
AWS WAF для веб-эксплойтов уровня L7 (управляемые + пользовательские правила на CloudFront / ALB / API Gateway). AWS Shield Standard (бесплатно, постоянно активная защита от DDoS L3/L4) + Shield Advanced для сложных атак + круглосуточная поддержка DRT.
Шифровать данные в покое с использованием управляемых AWS ключей с аудитом + ротацией.
AWS KMS — управляемые CMK (ключи клиента), envelope encryption, автоматическая ежегодная ротация, политики ключей, использование, логируемое в CloudTrail. Большинство сервисов AWS интегрируются нативно.
Хранить и ротировать пароли баз данных, ключи API.
AWS Secrets Manager — автоматическая ротация через Lambda, нативная интеграция с RDS, детализированные IAM-разрешения. Используйте SSM Parameter Store (Standard) для простых, неротирующихся конфигураций (он бесплатен; Secrets Manager взимает плату за секрет).
Аудитору нужны отчеты SOC 2 / ISO 27001 / PCI-DSS для среды AWS.
AWS Artifact — самостоятельная загрузка аттестаций соответствия и соглашений AWS (BAA и т.д.).
Рабочая нагрузка здравоохранения нуждается в сервисах AWS, соответствующих HIPAA.
AWS публикует список сервисов, соответствующих HIPAA, + подписывает Дополнение к деловому соглашению (BAA) через Artifact. Используйте только перечисленные сервисы для PHI; требуется шифрование в покое + в процессе передачи.
Обнаружить бакеты S3, роли IAM, ключи KMS и т. д., доступные извне аккаунта или организации.
IAM Access Analyzer — показывает, какие ресурсы доступны извне; отмечает непредусмотренный доступ. Генерирует политики с минимальными привилегиями из CloudTrail.
Выберите, как взаимодействовать с AWS.
Management Console (веб-интерфейс), AWS CLI (терминал), SDK (Python/Java/Go/и т.д. в коде), CloudShell (браузерная оболочка с предварительно загруженными учетными данными), Инфраструктура как код (CloudFormation, CDK).
Требуется полный контроль над ОС, ядром, пользовательскими AMI, типами инстансов GPU.
Amazon EC2 — виртуальные серверы с изменяемым размером. Выберите семейство инстансов в зависимости от рабочей нагрузки (вычисления / память / хранилище / GPU / ARM Graviton).
Запускать короткоживущий событийный код (≤15 мин) без управления серверами.
AWS Lambda — плата за запрос + гигабайт-секунды. Запускается S3, API Gateway, EventBridge, SQS и т.д.
Почему: Нет инфраструктуры для исправления или масштабирования; "холодные старты" и ограничение в 15 минут исключают длительные рабочие нагрузки.
Запускать контейнеризованные рабочие нагрузки на AWS.
Amazon ECS = нативный оркестратор контейнеров AWS. Amazon EKS = управляемый Kubernetes. Fargate = бессерверный вычислительный бэкенд (без управления EC2) для любого из них.
Нужен простой VPS с предсказуемой ежемесячной ценой для небольшого сайта или среды разработки.
Amazon Lightsail — комплектный VPS (вычисления + хранилище + передача данных) с WordPress / LAMP / Node в один клик.
Развернуть веб-приложение Java / .NET / Node / Python без самостоятельной настройки EC2 + ELB + ASG.
AWS Elastic Beanstalk — управляемая PaaS, которая предоставляет и оркестрирует EC2, ELB, ASG, RDS за вас. Вы загружаете код; AWS запускает платформу.
Хранить любое количество неструктурированных данных с долговечностью 11 девяток.
Amazon S3 — объектное хранилище. Бакеты с глобальным пространством имен; объекты до 5 ТБ; классы хранения оптимизируют стоимость.
Выберите класс хранения S3 по шаблону доступа.
Standard (частый), Intelligent-Tiering (автоматическое перемещение на основе доступа), Standard-IA (редкий), One Zone-IA (одна AZ), Glacier Instant Retrieval (мс), Glacier Flexible Retrieval (минуты-часы), Glacier Deep Archive (восстановление 12 часов, самый дешевый).
Нужен постоянный блочный том, подключенный к экземпляру EC2 (для ОС, файлов БД).
Amazon EBS — блочное хранилище, подключенное к одному EC2 (Multi-Attach для io1/io2). Типы томов gp3 (общий SSD), io2 (SSD с высоким IOPS), st1/sc1 (HDD с высокой пропускной способностью/холодный).
Нужна общая файловая система, монтируемая многими вычислительными экземплярами.
Amazon EFS — управляемый NFS, Multi-AZ, автоматически масштабируется; для Linux. Amazon FSx — управляемые файловые системы для Windows (FSx for Windows), Lustre (HPC), NetApp ONTAP, OpenZFS.
Подключить локальные приложения к хранилищу на базе S3 с локальным кэшем.
AWS Storage Gateway — File (NFS/SMB → S3), Volume (iSCSI кэшированное/хранимое), Tape (VTL → S3 + Glacier).
Нужна управляемая реляционная база данных (MySQL / PostgreSQL / MariaDB / Oracle / SQL Server).
Amazon RDS — управляемый движок: резервное копирование, исправление, отказоустойчивость Multi-AZ, реплики для чтения, группы параметров. Вы контролируете схему, запросы, пользователей.
Рабочая нагрузка MySQL / PostgreSQL, которой требуется более высокая пропускная способность, более быстрое восстановление и отказоустойчивость в нескольких регионах.
Amazon Aurora — совместима с MySQL/PostgreSQL, до 5× пропускной способности MySQL, распределенное хранилище по 3 AZ, Aurora Global Database для репликации между регионами с задержкой менее секунды.
Рабочая нагрузка ключ-значение или документ с задержкой в несколько миллисекунд при любом масштабе, без миграции схем.
Amazon DynamoDB — полностью управляемая NoSQL. Производительность по требованию или выделенная, Global Tables для активной-активной работы в нескольких регионах, восстановление на определенный момент времени, TTL для автоматического удаления.
Выполнять аналитические SQL-запросы к данным объемом ТБ / ПБ.
Amazon Redshift — управляемое колоночное хранилище данных для аналитики петабайтного масштаба. Amazon Athena — бессерверный SQL непосредственно на S3, плата за сканированные данные.
Нужна логически изолированная сеть для ресурсов AWS.
Amazon VPC — ваша собственная частная сеть в AWS. Подсети для каждой AZ, таблицы маршрутизации, интернет-шлюз (публичный доступ), NAT-шлюз (частная подсеть → интернет), группы безопасности (сохраняющие состояние), NACL (без сохранения состояния).
Глобально распределять статический + динамический контент с низкой задержкой.
Amazon CloudFront — CDN с более чем 600 edge-локациями. Интегрирован с S3, ALB, API Gateway. Lambda@Edge / CloudFront Functions для логики на edge.
Авторитетный DNS с проверками работоспособности и маршрутизацией с отказоустойчивостью.
Amazon Route 53 — управляемый DNS. Политики маршрутизации: простая, взвешенная, по задержке, с отказоустойчивостью, по геолокации, по геопроксимити, мультизначная.
Подключить локальную сеть к AWS приватно.
AWS Direct Connect — выделенный оптоволоконный канал, предсказуемая задержка. AWS Site-to-Site VPN — зашифрованные туннели через интернет, быстрее настраивается. Используйте оба: VPN как резерв для Direct Connect.
Выберите сервис интеграции.
Amazon SNS = pub/sub "веерная рассылка" (много подписчиков). Amazon SQS = децентрализованная одноранговая очередь с повторной попыткой. Amazon EventBridge = шина событий со схемами + фильтрацией + интеграцией SaaS.
Мониторинг метрик ресурсов AWS, сбор логов, оповещения о превышении порогов.
Amazon CloudWatch — метрики, логи, алармы, дашборды, Logs Insights для запросов к логам, интеграция с EventBridge для автоматизации.
Определить инфраструктуру AWS как версионированные шаблоны.
AWS CloudFormation — шаблоны JSON / YAML, которые предоставляют и обновляют стеки. AWS CDK позволяет создавать CloudFormation на TypeScript/Python/Java/Go.
Обновлять парк EC2, выполнять команды, хранить конфигурацию, автоматизировать runbook-ы.
AWS Systems Manager — Patch Manager, Run Command, Session Manager (без SSH-бастиона), Parameter Store, Automation runbook-ы, Inventory.
Автоматически масштабировать вычислительные ресурсы в разных сервисах.
EC2 Auto Scaling — масштабирование ASG EC2. AWS Auto Scaling — унифицированные планы масштабирования для EC2, ECS, DynamoDB, Aurora и т.д.
Распределять трафик между целевыми объектами EC2 / ECS / Lambda.
ALB — L7 HTTP/HTTPS, маршрутизация по пути/хосту, нативная для контейнеров + Lambda. NLB — L4 TCP/UDP, сверхнизкая задержка, статический IP. GWLB — для встроенных сторонних устройств безопасности.
Проверить, не происходит ли сбой в самом AWS.
AWS Service Health Dashboard (публичный) для общего статуса сервисов. AWS Health Dashboard (внутри аккаунта) для событий, влияющих на ваши конкретные ресурсы, с интеграцией API + EventBridge.
Отслеживать лимиты сервисов и запрашивать их увеличение.
AWS Service Quotas — просмотр стандартных и примененных квот для каждого сервиса, запрос на увеличение, интеграция с CloudWatch alarms при приближении к лимитам.
Найти консультационных партнеров или стороннее программное обеспечение для AWS.
AWS Partner Network (APN) — каталог консультационных + технологических партнеров. AWS Marketplace — покупка/развертывание стороннего SaaS, AMI, образов контейнеров.
Генеративный ИИ-помощник для вопросов по консоли AWS и бизнес-данным.
Amazon Q Developer — чат для AWS docs / CLI / IDE. Amazon Q Business — чат по корпоративным источникам данных с ответами, поддерживаемыми Bedrock.
Выберите модель ценообразования EC2.
По требованию (On-Demand) (без обязательств, самая высокая почасовая оплата). Планы сбережений (Savings Plans) / Зарезервированные инстансы (Reserved Instances) (обязательство на 1 или 3 года, до 72% скидки). Точечные (Spot) (до 90% скидки, могут быть прерваны с уведомлением за 2 минуты). Выделенные хосты (Dedicated Hosts) (соответствие требованиям / BYOL).
Почему: Стабильная базовая нагрузка → Savings Plans/RI. Скачкообразная → On-Demand. Отказоустойчивая пакетная → Spot.
Выберите Savings Plans или Reserved Instances.
Savings Plans — гибкие, применяются к EC2/Fargate/Lambda по обязательству $/час (Compute SP) или к определенному семейству инстансов (EC2 Instance SP). RIs — привязаны к конкретному инстансу, работают для EC2 / RDS / Redshift / ElastiCache / OpenSearch.
Экспериментировать без затрат.
Бесплатный уровень AWS (Free Tier) — три категории: 12-месячный бесплатный (например, 750 часов/мес t2.micro), Всегда бесплатный (например, 1М запросов Lambda/мес, 25 ГБ DynamoDB), Пробные версии (60-дневный Inspector и т.д.).
Оценить ежемесячную стоимость новой архитектуры до развертывания.
Калькулятор цен AWS (AWS Pricing Calculator) — моделирование ресурсов по сервисам, получение детализированной ежемесячной + годовой стоимости, возможность поделиться через URL.
Визуализировать, куда уходят расходы AWS со временем.
AWS Cost Explorer — интерактивные графики, фильтрация по сервисам / тегам / связанным аккаунтам, прогноз на следующий месяц, рекомендации по Savings Plan.
Получать оповещения до того, как ежемесячные расходы превысят порог.
AWS Budgets — установка бюджетов по стоимости / использованию / RI / Savings Plan с порогами; оповещения по электронной почте/SNS; действия бюджета могут автоматически корректировать (применить SCP, остановить EC2).
Раннее обнаружение неожиданных скачков затрат.
AWS Cost Anomaly Detection — монитор на основе ML для сервисов / связанных аккаунтов / категорий затрат / тегов. Оповещения по электронной почте + SNS, когда расходы отклоняются от базового уровня.
Перенести расходы AWS на команды / проекты.
Теги распределения затрат — активируйте пользовательские теги в консоли биллинга, затем группируйте/фильтруйте отчеты Cost Explorer + CUR по тегам. Используйте политики тегов в Organizations для принудительного соблюдения именования.
Несколько связанных аккаунтов в организации.
Консолидированный биллинг через AWS Organizations — единый платежный аккаунт, агрегированные тарифы по объему (S3, передача данных), общие преимущества RI / Savings Plan для всей организации.
Выберите план поддержки AWS.
Базовый (Basic) (бесплатно, только вопросы аккаунта/биллинга). Разработчик (Developer) (электронная почта в рабочие часы, $29+/мес). Бизнес (Business) (круглосуточный чат/телефон, полный Trusted Advisor, $100+/мес). Enterprise On-Ramp ($5,500+/мес, пулированный TAM, SLA 30 мин для критических). Enterprise ($15,000+/мес, выделенный TAM, SLA 15 мин для критических, IEM, Well-Architected Reviews).
Проверки на соответствие лучшим практикам по стоимости, производительности, безопасности, отказоустойчивости, лимитам сервисов.
AWS Trusted Advisor. Планы Basic / Developer получают основные проверки (публичный бакет S3, MFA для root, группы безопасности). Планы Business / Enterprise получают полный набор проверок + доступ к API.
Нужен назначенный контакт AWS и проактивная поддержка событий.
Поддержка Enterprise (Enterprise Support) — выделенный технический менеджер по работе с клиентами (TAM), управление инфраструктурными событиями (IEM) для запусков/миграций, обзоры Well-Architected, операционные обзоры.
