Ruta CLF-C02Dominio 2 · Seguridad y cumplimientoCifrado y protección de datos

Curso AWS Cloud Practitioner CLF-C02

31 módulos4 dominios
Preparación1
Dominio 12
Dominio 23
Dominio 34
Dominio 45
Estás en:
Preparación
Resumen del curso Estrategia de examen AWS CLF-C02
Dominio 1 · Conceptos cloud
Dominio 1 · Conceptos cloud Beneficios de cloud: agilidad, elasticidad, pago por uso y economía de escala Infraestructura global AWS: regiones, zonas de disponibilidad y edge locations AWS Well-Architected Framework: los pilares que debes dominar Migración a AWS: CAF, estrategias 7R, DMS, MGN y Snow Family
Dominio 2 · Seguridad y cumplimiento
Dominio 2 · Seguridad y cumplimiento Modelo de responsabilidad compartida IAM en AWS: identidades, permisos, roles, políticas y MFA Cifrado y protección de datos en AWS Servicios de seguridad AWS para CLF-C02 Monitorización, auditoría y gobierno: CloudWatch, CloudTrail y AWS Config AWS Organizations, cuentas y SCP para CLF-C02 Compliance, AWS Artifact y gobierno en AWS
Dominio 3 · Tecnología y servicios AWS
Dominio 3 · Tecnología y servicios AWS Amazon EC2, Auto Scaling y Elastic Load Balancing Amazon VPC: redes básicas en AWS para CLF-C02 Amazon S3: almacenamiento de objetos, clases, versioning, lifecycle y Glacier EBS, EFS, AWS Backup y Storage Gateway para CLF-C02 CloudFront, Route 53 y servicios edge para CLF-C02 Bases de datos AWS: RDS, Aurora, DynamoDB, Redshift y más Serverless y contenedores: Lambda, ECS, EKS y Fargate Integración de aplicaciones: SQS, SNS, EventBridge, API Gateway y Step Functions Herramientas de gestión y despliegue en AWS Analítica e IA básica en AWS: Athena, Glue, QuickSight, Kinesis y SageMaker Machine Learning e IA en AWS para CLF-C02
Dominio 4 · Facturación, precios y soporte
Dominio 4 · Facturación, precios y soporte Facturación, precios y soporte en AWS Optimización de costes en AWS para CLF-C02 Soporte, documentación y recursos de aprendizaje AWS para CLF-C02
Dominio 2 · Seguridad y cumplimiento

Cifrado y protección de datos en AWS

◷ 10 min

La protección de datos en AWS no va solo de “activar cifrado” y olvidarse. En el examen CLF-C02 necesitas entender varias piezas que trabajan juntas: cifrado en reposo, cifrado en tránsito, gestión de claves, secretos, certificados, clasificación de datos y control de acceso.

La parte importante es aprender a reconocer qué servicio encaja con cada necesidad. Si la pregunta habla de claves de cifrado integradas con servicios AWS, piensa en KMS. Si habla de HSM dedicado, CloudHSM. Si habla de rotar credenciales, Secrets Manager. Si habla de certificados TLS, ACM.

Idea clave: el cifrado protege datos, pero no sustituye a IAM, MFA, políticas, clasificación, auditoría ni buenas prácticas. Una arquitectura segura combina varias capas.

1. Qué significa proteger datos en AWS

Cuando hablamos de protección de datos, normalmente hablamos de tres preguntas:

  • ¿Dónde están los datos? En S3, EBS, RDS, DynamoDB, EFS, backups, logs, snapshots o servicios gestionados.
  • ¿Quién puede acceder? Usuarios, roles, aplicaciones, cuentas o servicios autorizados mediante IAM y políticas.
  • ¿Cómo se protegen? Con cifrado, claves, TLS, secretos, certificados, controles de acceso y auditoría.

Cómo lo piensa el examen

Si una pregunta menciona “datos almacenados”, piensa en cifrado en reposo. Si menciona “datos viajando por red”, piensa en cifrado en tránsito. Si menciona “claves”, piensa en KMS. Si menciona “rotar credenciales”, piensa en Secrets Manager.

2. Cifrado en reposo: proteger datos almacenados

El cifrado en reposo protege datos cuando están almacenados. Por ejemplo, objetos en Amazon S3, volúmenes EBS, snapshots, bases de datos RDS, tablas DynamoDB, sistemas de archivos EFS o backups.

En muchos servicios de AWS puedes activar cifrado gestionado, usar claves administradas por AWS o usar claves gestionadas por el cliente mediante AWS KMS. Para CLF-C02 no necesitas saber configurar cada opción, pero sí entender la idea:

  • Los datos se cifran mientras están guardados.
  • Las claves pueden ser gestionadas por AWS o por el cliente mediante KMS.
  • El acceso a los datos debe seguir controlándose con permisos.
  • Cifrar no significa que cualquiera pueda acceder sin riesgo.
Pista de examen: S3, EBS, RDS, DynamoDB, EFS, snapshots o backups + datos almacenados = cifrado en reposo.

3. Cifrado en tránsito: proteger datos en movimiento

El cifrado en tránsito protege datos mientras viajan entre cliente y servicio, entre aplicaciones o entre componentes de una arquitectura. Normalmente se asocia a TLS/HTTPS.

Ejemplos sencillos:

  • Un usuario accede a una web mediante HTTPS.
  • Una aplicación llama a una API usando TLS.
  • Un cliente se conecta a un endpoint seguro.
  • Una carga necesita proteger datos que viajan por la red.

En el examen, si aparece “proteger datos mientras se transmiten”, la respuesta conceptual suele ser cifrado en tránsito, TLS o certificados gestionados con ACM en servicios compatibles.

4. AWS KMS: gestión de claves de cifrado

AWS Key Management Service (KMS) es uno de los servicios clave para CLF-C02. Permite crear, gestionar y controlar claves criptográficas que se integran con muchos servicios de AWS.

Piensa en KMS cuando una pregunta hable de:

  • Claves de cifrado.
  • Controlar acceso a claves.
  • Cifrado integrado con S3, EBS, RDS, DynamoDB, EFS u otros servicios.
  • Claves administradas por AWS o por el cliente.
  • Auditoría de uso de claves.
Pista de examen: “gestionar claves de cifrado integradas con servicios AWS” casi siempre apunta a AWS KMS.

5. Tipos de claves en KMS a nivel CLF-C02

No necesitas profundizar como en una certificación de seguridad avanzada, pero sí conviene conocer la idea general:

  • Claves administradas por AWS: AWS las gestiona para servicios concretos. Son sencillas para muchos escenarios.
  • Claves gestionadas por el cliente: el cliente tiene más control sobre políticas, rotación, uso y permisos.
  • Claves administradas por el servicio: algunos servicios ofrecen cifrado gestionado de forma muy integrada.

El punto importante: más control suele implicar más responsabilidad. Si gestionas claves, debes controlar quién puede usarlas, administrarlas, rotarlas o eliminarlas.

6. AWS CloudHSM: HSM dedicado

AWS CloudHSM proporciona módulos de seguridad hardware dedicados. Es más específico que KMS y normalmente aparece cuando el escenario exige más control sobre el hardware criptográfico o requisitos de cumplimiento estrictos.

Para CLF-C02, la diferencia mental es sencilla:

ServicioCómo pensarlo
AWS KMSGestión de claves integrada y gestionada para la mayoría de casos.
AWS CloudHSMHSM dedicado con mayor control para requisitos específicos.
Regla rápida: si no hay requisito explícito de HSM dedicado o control avanzado, normalmente KMS encaja mejor que CloudHSM.

7. Secrets Manager: secretos y rotación

AWS Secrets Manager ayuda a almacenar, recuperar y rotar secretos como credenciales de base de datos, claves de API, tokens o contraseñas de aplicación.

La palabra clave más importante es rotación. Si una pregunta dice que una aplicación necesita guardar credenciales de forma segura y rotarlas automáticamente, Secrets Manager suele ser la mejor opción.

  • Almacena secretos de forma segura.
  • Permite rotación de secretos.
  • Se integra con servicios como bases de datos.
  • Evita hardcodear credenciales en código o ficheros.

Ejemplo de examen

Una aplicación necesita almacenar credenciales de una base de datos y rotarlas periódicamente. El servicio que debes considerar primero es AWS Secrets Manager.

8. Systems Manager Parameter Store

AWS Systems Manager Parameter Store permite almacenar parámetros de configuración y valores sensibles. Puede usarse para centralizar configuraciones, variables y algunos secretos, con opción de cifrado.

En CLF-C02, la diferencia más útil es esta:

  • Parameter Store: parámetros de configuración y valores centralizados.
  • Secrets Manager: secretos con foco claro en credenciales y rotación.

Si la pregunta insiste en “rotación de secretos”, normalmente elige Secrets Manager.

9. AWS Certificate Manager: certificados TLS/SSL

AWS Certificate Manager (ACM) ayuda a aprovisionar, gestionar y renovar certificados TLS/SSL para servicios compatibles como Elastic Load Balancing, CloudFront o API Gateway.

Piensa en ACM cuando el escenario hable de:

  • HTTPS.
  • Certificados TLS/SSL.
  • Proteger comunicaciones web.
  • Certificados para balanceadores o CloudFront.
  • Renovación y gestión de certificados.
Pista de examen: certificados TLS/SSL para HTTPS en servicios AWS compatibles = AWS Certificate Manager.

10. Amazon Macie: descubrir datos sensibles

Amazon Macie ayuda a descubrir y proteger datos sensibles, especialmente en Amazon S3. Puede identificar información como datos personales o información sensible en buckets.

No lo confundas con KMS. KMS cifra con claves. Macie ayuda a descubrir datos sensibles. Son problemas distintos.

  • KMS: claves y cifrado.
  • Macie: descubrimiento de datos sensibles.
  • Secrets Manager: secretos y rotación.
  • ACM: certificados TLS/SSL.

11. Clasificación y control de acceso

La protección de datos no termina al activar cifrado. También necesitas saber qué tipo de datos tienes, dónde están, quién puede acceder y qué controles aplican.

En un escenario real, proteger datos implica combinar:

  • Clasificación: saber si los datos son públicos, internos, confidenciales o sensibles.
  • IAM: conceder permisos mínimos necesarios.
  • Cifrado: proteger datos en reposo y en tránsito.
  • Auditoría: registrar quién accede o usa claves.
  • Gobierno: aplicar políticas y controles consistentes.

12. Comparativa para examen

NecesidadServicioPista de examen
Cifrar datos con claves gestionadasAWS KMSClaves, cifrado integrado, control de acceso a claves.
HSM dedicadoCloudHSMHardware dedicado, control avanzado, cumplimiento estricto.
Guardar y rotar credencialesSecrets ManagerSecretos, rotación, credenciales de base de datos.
Guardar parámetros de configuraciónParameter StoreParámetros, configuración centralizada, valores seguros.
Gestionar certificados TLSACMHTTPS, certificados, TLS/SSL, CloudFront, Load Balancer.
Descubrir datos sensibles en S3MaciePII, datos sensibles, buckets S3, clasificación.
Controlar quién accedeIAMUsuarios, roles, políticas, mínimo privilegio.

13. Diferencias que suelen confundir

  • KMS vs Secrets Manager: KMS gestiona claves criptográficas; Secrets Manager almacena y rota secretos.
  • KMS vs CloudHSM: KMS es gestionado e integrado; CloudHSM ofrece HSM dedicado y más control.
  • Secrets Manager vs Parameter Store: Secrets Manager destaca por secretos y rotación; Parameter Store destaca por parámetros de configuración.
  • ACM vs KMS: ACM gestiona certificados TLS/SSL; KMS gestiona claves de cifrado.
  • Macie vs KMS: Macie descubre datos sensibles; KMS ayuda a cifrarlos.
  • Cifrado en reposo vs cifrado en tránsito: reposo es dato almacenado; tránsito es dato viajando por red.

14. Errores típicos

  • Confundir KMS con Secrets Manager.
  • Olvidar que el cifrado en tránsito suele implicar TLS/HTTPS.
  • Elegir CloudHSM cuando basta con KMS.
  • Pensar que cifrar datos elimina la necesidad de IAM y control de acceso.
  • Guardar secretos en código, variables sin proteger o repositorios.
  • Elegir ACM cuando la pregunta pide gestión de claves de cifrado.
  • Elegir KMS cuando la pregunta pide descubrir datos sensibles en S3.
  • No diferenciar entre datos almacenados y datos en movimiento.

15. Cómo pensar preguntas de protección de datos

Cuando veas una pregunta de este tema, busca primero el verbo o la necesidad principal:

  • Cifrar datos almacenados: cifrado en reposo y, normalmente, KMS integrado con el servicio.
  • Proteger comunicaciones: cifrado en tránsito, TLS/HTTPS y ACM si habla de certificados.
  • Gestionar claves: AWS KMS.
  • Usar HSM dedicado: AWS CloudHSM.
  • Guardar y rotar contraseñas: AWS Secrets Manager.
  • Guardar parámetros de aplicación: Systems Manager Parameter Store.
  • Encontrar datos sensibles en S3: Amazon Macie.
  • Controlar quién puede acceder: IAM, políticas y mínimo privilegio.

Mini regla de examen

No elijas el servicio más “seguro” por nombre. Elige el que resuelve el requisito exacto: claves, certificados, secretos, HSM, clasificación o acceso.

16. Cómo saber si dominas este módulo

Vas bien si puedes responder sin mirar apuntes:

  • Qué diferencia hay entre cifrado en reposo y en tránsito.
  • Cuándo usar AWS KMS.
  • Cuándo CloudHSM tiene más sentido que KMS.
  • Qué problema resuelve Secrets Manager.
  • Qué diferencia hay entre Secrets Manager y Parameter Store.
  • Qué servicio usarías para certificados TLS/SSL.
  • Qué servicio ayuda a descubrir datos sensibles en S3.
  • Por qué cifrado no sustituye a IAM.

Test del módulo · 10 preguntas

1. Una aplicación necesita almacenar y rotar credenciales de base de datos. ¿Qué servicio encaja mejor?
  1. AWS Secrets Manager
  2. Amazon CloudFront
  3. AWS Artifact
  4. Amazon Route 53
Ver respuesta y explicación

Respuesta: A. Secrets Manager está orientado a almacenar secretos y rotarlos de forma segura.

2. ¿Qué servicio se usa habitualmente para gestionar claves de cifrado integradas con servicios AWS?
  1. AWS KMS
  2. AWS Budgets
  3. Amazon Athena
  4. AWS WAF
Ver respuesta y explicación

Respuesta: A. KMS gestiona claves criptográficas e integra cifrado con muchos servicios de AWS.

3. Proteger datos mientras viajan entre cliente y aplicación se asocia con:
  1. Cifrado en tránsito
  2. SCP
  3. Reserved Instances
  4. Edge caching
Ver respuesta y explicación

Respuesta: A. El cifrado en tránsito protege datos en movimiento, normalmente mediante TLS/HTTPS.

4. ¿Qué servicio ayuda a gestionar certificados TLS para servicios compatibles?
  1. AWS Certificate Manager
  2. AWS Cost Explorer
  3. Amazon EBS
  4. AWS Organizations
Ver respuesta y explicación

Respuesta: A. ACM ayuda a aprovisionar, gestionar y renovar certificados TLS/SSL.

5. ¿Cuándo podría aparecer CloudHSM como opción?
  1. Cuando se necesita HSM dedicado y control avanzado
  2. Cuando se quiere analizar costes históricos
  3. Cuando se busca CDN
  4. Cuando se necesita DNS
Ver respuesta y explicación

Respuesta: A. CloudHSM ofrece módulos hardware dedicados para requisitos específicos de control o cumplimiento.

6. Una empresa quiere descubrir datos sensibles almacenados en buckets de S3. ¿Qué servicio debería considerar?
  1. Amazon Macie
  2. AWS Pricing Calculator
  3. Amazon Route 53
  4. AWS Budgets
Ver respuesta y explicación

Respuesta: A. Macie ayuda a descubrir y proteger datos sensibles, especialmente en Amazon S3.

7. Una aplicación necesita guardar parámetros de configuración centralizados, algunos cifrados. ¿Qué servicio puede encajar?
  1. AWS Systems Manager Parameter Store
  2. Amazon CloudFront
  3. AWS Shield Advanced
  4. Amazon Redshift
Ver respuesta y explicación

Respuesta: A. Parameter Store permite almacenar parámetros de configuración y valores seguros.

8. ¿Qué afirmación es más correcta?
  1. El cifrado ayuda a proteger datos, pero no sustituye los permisos IAM.
  2. Si los datos están cifrados, cualquier usuario puede acceder sin riesgo.
  3. KMS sirve principalmente para crear dashboards.
  4. ACM se usa para analizar costes históricos.
Ver respuesta y explicación

Respuesta: A. El cifrado debe combinarse con control de acceso, auditoría y buenas prácticas.

9. Una web pública necesita HTTPS usando un certificado gestionado en AWS para CloudFront o un balanceador. ¿Qué servicio usarías?
  1. AWS Certificate Manager
  2. AWS CloudTrail
  3. Amazon EFS
  4. AWS Glue
Ver respuesta y explicación

Respuesta: A. ACM gestiona certificados TLS/SSL para servicios compatibles como CloudFront y Elastic Load Balancing.

10. ¿Cuál es la diferencia más clara entre KMS y Secrets Manager?
  1. KMS gestiona claves de cifrado; Secrets Manager almacena y rota secretos.
  2. KMS crea presupuestos; Secrets Manager distribuye contenido global.
  3. KMS es DNS; Secrets Manager es almacenamiento de objetos.
  4. No hay diferencia práctica.
Ver respuesta y explicación

Respuesta: A. KMS y Secrets Manager pueden trabajar juntos, pero resuelven necesidades distintas.

Resumen final

Para CLF-C02, recuerda las asociaciones principales: cifrado en reposo protege datos almacenados; cifrado en tránsito protege datos en movimiento; KMS gestiona claves; CloudHSM proporciona HSM dedicado; Secrets Manager almacena y rota secretos; Parameter Store guarda parámetros; ACM gestiona certificados TLS; Macie ayuda a descubrir datos sensibles en S3.

La clave del examen es no mezclar servicios: no uses KMS para rotar contraseñas, no uses ACM para claves de cifrado, no uses CloudHSM si solo piden cifrado gestionado estándar y no olvides que el control de acceso sigue siendo necesario aunque los datos estén cifrados.

Tu siguiente paso: continúa con servicios de seguridad AWS. Ahí verás cómo encajan servicios como Shield, WAF, GuardDuty, Inspector, Security Hub y otros controles de protección.
← IAM en AWS: identidades, permisos, roles, políticas y MFA Servicios de seguridad AWS para CLF-C02 →