SAP-C02

核心服务

• AWS OrganizationsAWS 文档 ↗

  具有组织单位、服务控制策略 (SCP)、整合账单以及 CloudTrail 和 Config 集中管理的账户级治理。

  为什么会出现在考试中： Organizations 是所有“为组织复杂性设计解决方案”场景的基础——SCP 防护措施、OU 层级结构和整合账单几乎出现在每个多账户问题中。

• AWS Control TowerAWS 文档 ↗

  规范化的着陆区服务，通过强制和可选的防护措施、账户工厂以及可定制的基线来引导多账户 Organizations。

  为什么会出现在考试中： Control Tower 是“为组织复杂性设计解决方案”中“建立合规的多账户基线”的指定答案——将其与原始 Organizations + 手动 SCP 区分开来是一个常见的干扰项。

• AWS Transit GatewayAWS 文档 ↗

  区域性的中心辐射型路由器，通过路由表实现分段，连接数千个 VPC、通过 Direct Connect / VPN 连接的本地网络以及 SD-WAN 设备。

  为什么会出现在考试中： 在“为组织复杂性设计解决方案”和“为新解决方案设计”中，大规模选择 Transit Gateway、VPC 对等连接还是 PrivateLink 是网络场景的核心考点。

• Amazon VPCAWS 文档 ↗

  隔离的虚拟网络，包含子网、路由表、安全组、NACL、NAT 网关、VPC 端点（网关和接口 / PrivateLink）以及 IPv4/IPv6 双栈。

  为什么会出现在考试中： 每个 SAP-C02 架构都以 VPC 设计为基础——在“为新解决方案设计”和“现有解决方案的持续改进”场景中，用于将流量隔离在互联网之外的接口端点反复出现。

• AWS Direct ConnectAWS 文档 ↗

  专用的 1/10/100 Gbps 私有网络链接，具有基于 VLAN 的虚拟接口、链路聚合组 (LAG) 以及用于全球 VIF 覆盖的 Direct Connect Gateway。

  为什么会出现在考试中： 带有冗余 LAG 的 Direct Connect 是“为组织复杂性设计解决方案”中用于可预测的混合吞吐量和必须避免公共互联网的受监管流量的典型答案。

• AWS Site-to-Site VPNAWS 文档 ↗

  本地 VPN 网关与 AWS（Virtual Private Gateway 或 Transit Gateway）之间的 IPsec VPN 隧道，支持 BGP 路由和加速 VPN 选项。

  为什么会出现在考试中： Site-to-Site VPN 作为 Direct Connect 的备份，或作为快速/经济的混合路径，反复出现在“为新解决方案设计”和“加速工作负载迁移与现代化”场景中。

• AWS Resource Access Manager (RAM)AWS 文档 ↗

  用于 Transit Gateways、VPC 子网、Route 53 Resolver 规则、License Manager 配置和 Aurora DB 集群的跨账户资源共享。

  为什么会出现在考试中： RAM 是“为组织复杂性设计解决方案”中集中式网络模式的指定机制——从网络账户共享子网可避免为每个工作负载账户复制 VPC 拓扑。

• AWS Service CatalogAWS 文档 ↗

  经过策划的、基于 CloudFormation 的批准产品组合，通过 Organizations 分发给各账户，并带有受限参数和 TagOptions。

  为什么会出现在考试中： Service Catalog 在“为组织复杂性设计解决方案”中强制执行经批准模式的自助服务——当问题询问如何让团队在防护措施内启动资源时，这是一个典型答案。

专用服务

• AWS Migration HubAWS 文档 ↗

  跨 Application Migration Service、Database Migration Service 和合作伙伴工具的迁移的集中跟踪界面，支持组合发现导入。

  为什么会出现在考试中： Migration Hub 是“加速工作负载迁移与现代化”场景中涉及正在进行中的服务器、数据库和应用程序迁移的统一跟踪器。

• AWS Application Migration ServiceAWS 文档 ↗

  基于代理的“提升和转移”服务，以块级别将源服务器复制到 AWS，支持切换编排、启动后自动化和测试实例。

  为什么会出现在考试中： Application Migration Service (MGN) 是“加速工作负载迁移与现代化”中“提升和转移”的指定答案——将其与重平台/重构方法区分开来是一个常见的干扰项。

• AWS Database Migration Service (DMS)AWS 文档 ↗

  同构和异构数据库复制，支持连续 CDC，并与 Schema Conversion Tool (SCT) 结合用于引擎转换（Oracle → Aurora, SQL Server → PostgreSQL）。

  为什么会出现在考试中： DMS + SCT 是“加速工作负载迁移与现代化”中典型的重平台路径——预计会出现关于接近零停机切换和混合窗口持续复制的问题。

• AWS DataSyncAWS 文档 ↗

  托管的基于代理的数据传输服务，可在本地 NFS / SMB / HDFS / 对象存储与 AWS 存储（S3, EFS, FSx）之间以线路速率传输数据，支持加密和完整性检查。

  为什么会出现在考试中： DataSync 是“加速工作负载迁移与现代化”中批量文件系统迁移的指定答案——需要与 Snowball（离线）和 Storage Gateway（持续混合）区分开来。

• AWS BackupAWS 文档 ↗

  跨 EC2、EBS、RDS、DynamoDB、EFS、FSx、Storage Gateway 和本地（通过 Storage Gateway）的集中式基于策略的备份，支持跨区域和跨账户复制。

  为什么会出现在考试中： 具有 Organizations 范围策略的 AWS Backup 是“现有解决方案的持续改进”中针对跨产品组合统一数据保护的标准答案。

• AWS Step FunctionsAWS 文档 ↗

  无服务器工作流编排器（标准和 Express），通过 Direct SDK 与 200 多个 AWS 服务集成，支持并行 + 映射状态以及内置的重试 / 错误处理。

  为什么会出现在考试中： Step Functions 是“为新解决方案设计”中长时间运行、多服务工作流的指定答案——需要与 EventBridge Pipes（事件路由）和 SQS 链区分开来。

• Amazon EventBridgeAWS 文档 ↗

  无服务器事件总线，支持 SaaS 合作伙伴集成、模式注册、用于源到目标的 Pipes（可选过滤 / 扩充），以及用于 cron / 一次性触发的 Scheduler。

  为什么会出现在考试中： EventBridge 是“为新解决方案设计”中跨 AWS 和第三方 SaaS 的松耦合、事件驱动架构的典型答案。

• AWS LambdaAWS 文档 ↗

  无服务器事件驱动计算，具有预置并发、SnapStart、容器镜像打包、VPC 网络以及跨 AWS 事件表面的集成。

  为什么会出现在考试中： Lambda 是“为新解决方案设计”和“持续改进”中无服务器答案的核心——预置并发 / SnapStart 出现在低延迟冷启动场景中。

安全与治理

• AWS IAM Identity CenterAWS 文档 ↗

  员工身份存储（或来自 Entra / Okta 的 SAML / SCIM 联合身份），通过基于属性的访问控制授予整个 Organization 的权限集。

  为什么会出现在考试中： IAM Identity Center（以前称为 AWS SSO）是“为组织复杂性设计解决方案”中集中式人员访问的指定答案——远优于每个账户的 IAM 用户。

• AWS Key Management Service (KMS)AWS 文档 ↗

  托管加密密钥（AWS 托管、客户托管、多区域和外部密钥存储 / XKS），支持自动轮换、授权和 CloudTrail 记录的使用情况。

  为什么会出现在考试中： 多区域密钥和跨账户授权出现在“为组织复杂性设计解决方案”中；信封加密选项是“现有解决方案的持续改进”中数据保护答案的核心。

• AWS Config + AWS Audit ManagerAWS 文档 ↗

  AWS Config 记录资源配置历史并根据规则评估合规包；Audit Manager 将这些证据流转换为框架映射的审计报告。

  为什么会出现在考试中： Config 合规包 + Audit Manager 框架是“现有解决方案的持续改进”中合规性问题中指定的证据收集组合。

• AWS CloudTrailAWS 文档 ↗

  账户和 Organization 范围的 API 审计日志，包含管理事件、S3 / Lambda 数据事件、CloudTrail Lake 不可变存储以及用于异常检测的 Insights。

  为什么会出现在考试中： 具有集中式日志存储桶和 Insights 异常检测的 Organization 跟踪模式是“现有解决方案的持续改进”中审计和取证场景的核心。

典型职位

• 高级 / 首席解决方案架构师
• 云架构师（企业级）
• AWS 专业服务顾问
• 云迁移负责人
• 资深工程师（云平台）
• 云实践负责人
• 首席云工程师

薪资范围（美国，估算）

$150k–$210k–$320k USD 每年

该范围涵盖美国境内，SAP-C02 为优选或预期要求的高级、资深和首席架构师职位。顶级咨询公司和 FAANG 的首席架构师总薪酬通常超过 40 万美元。非沿海市场中入门级的“高级”职位可能会低于最低端。该证书被广泛视为一个强有力的信号，但在这一级别很少是唯一的招聘标准。

来源：levels.fyi 2025–2026 高级云架构师职位，美国 BLS OEWS 2024 年 5 月 (15-1244 network and computer systems architects)。数据为估算值；实际薪酬取决于职位、地区和经验。

市场需求

SAP-C02 位于 AWS 架构师职业阶梯的顶端，是市场上最受尊敬的单一云证书之一。咨询公司、AWS 合作伙伴和企业平台团队的招聘人员将其视为多账户、多区域设计熟练度的可信信号。它常被列为高级、资深和首席架构师职位的优选（极少是必需），是面向架构职业路径的考生在 SAA-C03 之后的实际下一步。它与专业证书（安全、网络）结合，适用于利基企业角色。该证书本身并不能使考生有资格担任 VP/CTO 级别的职位，也不能使其在没有补充证书和实际交付工作的情况下，胜任深度专业实践（安全架构、高级网络）。