AWS Cloud Practitioner

01 Gobernanza multi-cuenta

🏢

AWS Organizations

Facturación consolidada SCP Descuentos por volumen OU

Servicio para gestionar y gobernar centralizadamente múltiples cuentas de AWS desde una sola cuenta raíz (Management Account). Permite agrupar cuentas en Unidades Organizativas (OUs) y aplicar políticas de control (SCPs).

Ejemplo: Tu empresa tiene una cuenta "Desarrollo" y otra "Producción", pero quieres que llegue una sola factura al jefe con descuentos por volumen combinado.

Los SCPs (Service Control Policies) actúan como límites máximos de permisos para cuentas hijas. Ni el Root User de la cuenta hija puede saltarlos.

Jerarquía típica de AWS Organizations

ROOT

Management Account

Desarrollo

dev, staging

Producción

prod, canary

Seguridad

audit, logs

Servicios compartidos

networking, dns

💳 Facturación consolidada

Una sola factura para todas las cuentas. El consumo agregado puede bajar el precio por volumen.

🔒 SCPs

Políticas que limitan qué servicios pueden usar las cuentas hijas, independiente de sus permisos IAM.

🔄 Automatización

Creación automatizada de cuentas con configuración estándar (AWS Control Tower).

02 Herramientas de gestión de costos

📊

AWS Cost Explorer

VISUALIZAR · ANALIZAR · PREDECIR

Herramienta de análisis de costos con gráficos interactivos. Filtra por servicio, cuenta, región o tag. Permite ver tendencias y predecir el gasto futuro.

Analogía: La app de tu banco que muestra en qué gastaste más plata el mes pasado y proyecta el próximo mes.

🔔

AWS Budgets

ALERTAS · UMBRALES · CONTROL

Crea presupuestos personalizados por costo, uso o reservas. Envía alertas por email o SNS cuando superas un umbral definido (ej: 80% del presupuesto).

Ejemplo: Alerta por mail si el gasto de tu proyecto supera los 50 USD en el mes. También puede bloquear recursos con acciones automáticas.

🧮

Pricing Calculator

ESTIMAR · PLANIFICAR · PRESUPUESTAR

Herramienta web gratuita para estimar el costo de servicios AWS antes de crearlos. Ideal para presupuestar proyectos de migración o nuevas arquitecturas.

Ejemplo: Antes de migrar tu backend, entras aquí para calcular cuánto te costarán 2 EC2 + 1 RDS + transferencia de datos.

📋

Cost & Usage Reports

DETALLE · CSV · INTEGRACIÓN BI

El reporte más detallado de AWS: desglosa cada centavo gastado por recurso, hora y tag. Se exporta a S3 y puede integrarse con Athena o QuickSight para análisis avanzado.

Ejemplo: El equipo de finanzas necesita un CSV con cada recurso y su costo exacto para imputar a cada proyecto de la empresa.

📌

Tres herramientas — tres preguntas distintas

Trampa “centralización”: AWS Organizations es quien agrupa cuentas en una jerarquía (OU), aplica SCPs y puede facturación consolidada — gobernanza y estructura. AWS Cost Explorer no crea esa jerarquía: solo analiza y visualiza gasto (servicios, tags, forecast); puede mostrar datos de varias cuentas si tienes permisos, pero no sustituye a Organizations para gestionar cuentas. AWS Budgets: presupuestos en dinero y alertas cuando te acercas o superas un umbral (correo, SNS). Cost Explorer no sustituye a Budgets para alertas de presupuesto.

📉

CloudWatch ≠ Budgets

Amazon CloudWatch observa salud operativa: métricas (CPU, errores, latencia), logs y alarmas técnicas (“si CPU > 80% avísame”). AWS Budgets observa plata: umbrales de gasto o uso frente a un presupuesto y alertas de factura (email/SNS). En examen: “alerta cuando nos pasamos del presupuesto mensual en dólares” → Budgets. “Alerta cuando la instancia se satura” → CloudWatch (y quizá Auto Scaling).

03 Modelos de precios — EC2

On-Demand

Pago por uso

Pagas por hora o segundo sin compromisos. El precio base más alto, pero con total flexibilidad.

Sin descuento

Precio base de referencia

Ideal para: workloads impredecibles, testing, apps con picos esporádicos.

Reserved Instances

Compromiso 1 o 3 años

Te comprometes a usar un tipo de instancia por 1 o 3 años. A cambio, obtienes un descuento significativo sobre el precio On-Demand.

Hasta 72% off

vs. On-Demand

Ideal para: workloads estables y predecibles que corren 24/7 (bases de datos, apps core).

No es un “servidor físico dedicado” solo para ti: sigues usando capacidad en la nube compartida; el descuento viene del compromiso de uso (1 o 3 años), no de exclusividad de hardware.

Spot Instances

Capacidad sobrante de AWS

Usas la capacidad idle de AWS a precio reducido. AWS puede recuperar la instancia con 2 minutos de aviso si necesita la capacidad.

Hasta 90% off

vs. On-Demand

Ideal para: procesamiento batch, renderizado, análisis de datos tolerantes a interrupciones.

💵

On-Demand vs Reserved — decisión rápida

On-Demand: sin compromiso, precio base más alto, máxima flexibilidad — pruebas, picos impredecibles o cargas de corto plazo. Reserved Instances / Savings Plans: compromiso (1 o 3 años o gasto fijo por hora) a cambio de descuento fuerte — tiene sentido con carga estable y predecible. El descuento es por compromiso de uso, no porque AWS te reserve un servidor físico exclusivo.

RI / Savings ≠ Dedicated Host: Reserved Instances y Savings Plans aplican sobre capacidad compartida con descuento por compromiso. Dedicated Host es un servidor físico dedicado (afinidad de socket, algunos casos BYOL) — producto y precio distintos; no confundir con “hardware exclusivo” de las RI.

💡

EXTRA

Savings Plans

Compromiso por $ / hora Flexible EC2 + Lambda + Fargate

Alternativa más flexible a las Reserved Instances. Te comprometes a gastar un monto fijo por hora (ej: $10/h) durante 1 o 3 años. A cambio, descuento de hasta 66% aplicable a EC2, Lambda y Fargate sin restricción de tipo de instancia.

Diferencia clave: Reserved Instances comprometen un tipo de instancia específico. Savings Plans comprometen un gasto en dólares, con más flexibilidad para cambiar de tipo de instancia.

Igual que las RI: es un compromiso de gasto por hora a cambio de descuento; no implica un servidor físico reservado solo para ti.

🎁

EXTRA

AWS Free Tier

Gratis 12 meses Siempre gratis Prueba corta

Capa gratuita con tres tipos: 12 meses gratis (EC2 t2.micro, S3 5GB, etc.), Siempre gratis (Lambda 1M req/mes, DynamoDB 25GB) y Pruebas cortas (30 días de Lightsail, etc.).

Tip examen: Lambda tiene 1 millón de invocaciones gratis al mes para siempre (no solo los 12 meses iniciales).

Usa AWS Budgets con un umbral de $0.01 para recibir alertas si accidentalmente superas el Free Tier.

04 Auditoría, compliance y seguridad operacional

Comparación crítica de examen — CloudTrail vs AWS Config

06 — AUDITORÍA DE ACCIONES

AWS CloudTrail

Pregunta que responde:

¿Quién hizo qué y cuándo?

Registra cada llamada a la API de AWS (consola, CLI, SDK)

Indica qué usuario o rol realizó la acción

Registra desde qué IP y a qué hora

Guarda los logs por defecto 90 días (más con S3)

📷 Analogía: La "cámara de seguridad" que graba quién entró a la consola, qué botones tocó y cuándo borró un servidor.

07 — CUMPLIMIENTO DE CONFIGURACIÓN

AWS Config

Pregunta que responde:

¿Cómo cambió el estado del recurso?

Evalúa si los recursos cumplen reglas de configuración

Guarda historial de configuración de cada recurso

Alerta cuando un recurso viola una regla (ej: S3 público)

Permite ver cómo estaba configurado un recurso en el pasado

📋 Analogía: El inspector de cumplimiento que revisa si las puertas cumplen el reglamento y avisa si alguien las dejó abiertas.

🛒

AWS Marketplace

Software terceros Licencias 1-Click deploy

Catálogo digital con miles de productos de software de terceros (seguridad, ML, analytics, networking) listos para desplegarse en AWS con facturación integrada.

Ejemplo: Instalar un Firewall de Fortinet o un agente de Datadog directamente desde la consola de AWS, con el cobro en la misma factura de AWS.

🗼

AWS Control Tower

Landing Zone Multi-cuenta Guardrails

Automatiza la configuración y gobernanza de un entorno multi-cuenta seguro (Landing Zone) sobre AWS Organizations. Aplica guardrails preventivos y detectivos desde el inicio.

Analogía: Si Organizations es el municipio, Control Tower es el plano maestro que define cómo deben construirse todos los edificios desde el día uno.

🚨

AWS Abuse Team

Actividad ilegal Spam / DDoS Reportar abuso

Equipo especializado de AWS para reportar actividades ilegales o abusivas que se originan desde infraestructura de AWS (spam, malware, ataques DDoS, hackeo).

Tip examen: Si la pregunta menciona actividad ilegal, spam o hackeo desde servidores AWS → Abuse Team. No es soporte técnico normal.

Se contacta en abuse@amazonaws.com, no a través del panel de soporte estándar.

📚

Siguiente: repaso final del examen

Well-Architected Framework (6 pilares), la tabla keyword → servicio y los tips para el día del examen están en la Semana 5 — Repaso final.

Facturación, Gobernanza& Auditoría

Facturación, Gobernanza
& Auditoría