← dev-notes
SEMANA 01 / 05

AWS CLOUD
PRACTITIONER

17 conceptos fundamentales que debes dominar esta semana

☁ Infraestructura Global 🔐 Seguridad e Identidad 🎧 Gestión y Soporte 🤝 Responsabilidad Compartida
01 Conceptos de Infraestructura Global y Nube
01
Cloud Computing
Bajo demanda Pago por uso
Entrega de potencia de cómputo, bases de datos y aplicaciones vía internet, sin necesidad de comprar hardware físico.
Ejemplo: En vez de comprar un servidor para un proyecto de 3 meses, alquilas en AWS y lo apagas al terminar.
🚀
02
Ventajas de la nube
Variable expense Elasticidad Agilidad
Agilidad, elasticidad y capacidad de volverse global en minutos. Cambias CapEx por OpEx.
Analogía: Como el suministro eléctrico — no construyes una planta para prender una ampolleta, solo usas lo que necesitas.
📦
03
Economía de escala
Lower pay-as-you-go Beneficio masivo
AWS adquiere hardware masivamente y traslada el ahorro al usuario final.
Analogía: Comprar en el mayorista (AWS) sale más barato por unidad que en el almacén de la esquina.
🌎
04
Región
Latencia Cumplimiento legal Aislamiento
Ubicación física en el mundo donde AWS tiene clústeres de centros de datos. Son completamente independientes entre sí.
Ejemplo: Eliges São Paulo para que tus usuarios en Chile tengan menor latencia.
🏢
05
Zona de Disponibilidad
Alta disponibilidad Tolerancia a fallos
Uno o más centros de datos discretos con energía y red redundante dentro de una Región.
Analogía: Edificios distintos en la misma ciudad. Si uno se inunda, el otro sigue operando.
Diseña siempre en Multi-AZ para alta disponibilidad.
08
Edge Locations
CloudFront Caching CDN
Sitios distribuidos globalmente que sirven contenido estático con baja latencia a usuarios finales.
Analogía: Una sucursal local de biblioteca — no viajas a la sede central para buscar el libro, lo recoges en tu barrio.
06 — Servicios Gestionados (Sincrónicos)
S3 DynamoDB Auto-replicación
Replican datos entre múltiples AZs de forma automática. AWS se encarga de toda la resiliencia — tú no configuras nada.
07 — Servicios No Gestionados (Configurables)
EC2 RDS Multi-AZ manual
Debes configurar explícitamente el despliegue "Multi-AZ". Si lanzas solo en AZ-A y esa AZ falla, tu servicio se cae.
02 Seguridad e Identidad — IAM
🔑
09
AWS IAM
Control de acceso Permisos Global
Servicio para administrar quién puede acceder a qué recursos de forma segura. Es global — no vive en una sola Región.
Analogía: Sistema de control de acceso de una oficina: quién entra a qué piso y qué puede hacer ahí.
IAM es global. Un usuario creado en Chillán puede acceder a recursos en Virginia sin replicación.
📱
13
MFA — Multi-Factor Auth
Seguridad extra Protección de Root
Capa adicional que exige un código de un segundo dispositivo, además de la contraseña, para autenticarse.
Analogía: El token que pide el banco en tu celular después de ingresar tu clave secreta.
Habilita MFA en el Root User inmediatamente al crear la cuenta AWS.
👤
10
IAM Users
Largo plazo Credenciales fijas
Identidad con nombre y credenciales permanentes para una persona o aplicación específica.
Ejemplo: Cuenta "Juan Pérez" con su propia contraseña para acceder a la consola de AWS.
👥
11
IAM Groups
Gestión masiva Por función
Colección de usuarios a los que se aplican políticas de forma masiva y eficiente.
Ejemplo: Grupo "Developers" con permiso para ver logs, pero no para borrar bases de datos.
🎭
12
IAM Roles
Acceso temporal Sin contraseñas
Identidad temporal para que servicios o usuarios asuman permisos específicos sin credenciales fijas.
Ejemplo: Darle permiso a Lambda para leer S3 sin hardcoded credentials en el código.
Roles = para servicios AWS. Users = para personas. Siempre prefiere Roles en código.
03 Gestión y Soporte
🎧
14
Planes de Soporte AWS
Niveles de asistencia técnica con distintos tiempos de respuesta y acceso a recursos especializados.
BASIC
Solo facturación y cuenta. Sin soporte técnico.
DEVELOPER
Soporte en horario laboral. Respuesta <12h.
BUSINESS
24/7. Respuesta <1h para críticos. Trusted Advisor completo.
ENTERPRISE
24/7. Respuesta <15min. TAM dedicado incluido.
TAM — "Rolls Royce"
04 Modelo de Responsabilidad Compartida
Responsabilidad de AWS
Seguridad "DE" la nube
Infraestructura global
Hardware físico y centros de datos
Software de virtualización
Redes y conectividad
Seguridad física de los edificios
🤝
Responsabilidad del Cliente
Seguridad "EN" la nube
Datos y cifrado
Gestión de identidades (IAM)
Configuración de red y firewalls
Parches del sistema operativo (EC2)
Aplicaciones y acceso de usuarios
🏢 Analogía del arriendo: El dueño del edificio (AWS) asegura la estructura, cañerías y el ascensor. Tú (el inquilino) cierras la puerta con llave, decides quién entra y qué guardas adentro.
05 AWS Shield vs AWS WAF — capas distintas
Comparación crítica de examen — protección DDoS vs reglas de aplicación web
AWS SHIELD
DDoS · red / volumétrico
Qué absorbe:
Ataques de denegación de servicio masivos
Shield Standard incluido sin costo con CloudFront, Route 53 y Global Accelerator
Shield Advanced (de pago): soporte DRT, reembolsos por escalado en ataques, protección ampliada
Actúa ante inundaciones de tráfico que intentan tumbar la disponibilidad
🌊 No es para bloquear una URL concreta por “palabra prohibida” en el body — es absorbente ante oleadas de tráfico malicioso.
VS
AWS WAF
Capa 7 · aplicación web
Qué filtra:
Requests HTTP(S) según reglas que defines
Se asocia a ALB, API Gateway, CloudFront, App Sync…
Reglas por IP, geo, rate-based, listas OWASP (SQLi, XSS), patrones personalizados
Pregunta típica: “bloquear inyección SQL”, “limitar requests por IP”, “solo estos países” → WAF, no Shield solo
Capa 7: SQLi, XSS y reglas sobre el request HTTP — WAF. Shield no inspecciona el contenido de la petición para SQL; mitiga volumen / DDoS.
🧱 Analogía: Shield es el dique contra la marea; WAF es el portero que revisa cada visitante antes de entrar al club.
06 Amazon Macie — datos sensibles en S3
📂
16
Amazon Macie
S3 PII · datos sensibles Clasificación automática Machine learning
Servicio de seguridad y privacidad que descubre, clasifica y protege datos sensibles en Amazon S3 (y puede integrarse con flujos de cumplimiento). Usa ML para detectar patrones de información personal identificable (PII), financiera u otros datos que no deberían estar expuestos.
Pregunta típica: “¿Qué hay en mis buckets que no catalogamos?”, “detectar datos personales olvidados”, “cumplimiento sobre objetos en S3” → Macie, no solo un antivirus genérico.
Descubrimiento Clasificación Alertas
🔐
AWS KMS (Key Management Service): gestión centralizada de claves criptográficas para cifrar y descifrar datos en servicios AWS (S3, EBS, RDS, etc.). Control de acceso con IAM; rotación y auditoría de uso de claves. En examen: “¿dónde administro las claves de cifrado?” → KMS, no Macie (Macie descubre datos sensibles; KMS gestiona las llaves).
07 AWS Trusted Advisor
🔍
17
AWS Trusted Advisor
Recomendaciones Checkups automáticos Best practices
Herramienta que analiza tu cuenta y sugiere mejoras en 5 pilares clave de buenas prácticas de AWS.
Analogía: Un "linter" de infraestructura que te avisa si dejaste un puerto abierto, si estás gastando de más, o si una AZ tiene baja disponibilidad.
Seguridad Ahorro de costos Rendimiento Tolerancia a fallos Límites de servicio
🛡️
AWS CLOUD PRACTITIONER — SEMANA 01 DE 05 — CONCEPTOS FUNDAMENTALES
17 CONCEPTOS · CLF-C02 Siguiente: Semana 2 →