Ruta CLF-C02Dominio 2 · Seguridad y cumplimientoCompliance, AWS Artifact y gobierno

Curso AWS Cloud Practitioner CLF-C02

31 módulos4 dominios
Preparación1
Dominio 12
Dominio 23
Dominio 34
Dominio 45
Estás en:
Preparación
Resumen del curso Estrategia de examen AWS CLF-C02
Dominio 1 · Conceptos cloud
Dominio 1 · Conceptos cloud Beneficios de cloud: agilidad, elasticidad, pago por uso y economía de escala Infraestructura global AWS: regiones, zonas de disponibilidad y edge locations AWS Well-Architected Framework: los pilares que debes dominar Migración a AWS: CAF, estrategias 7R, DMS, MGN y Snow Family
Dominio 2 · Seguridad y cumplimiento
Dominio 2 · Seguridad y cumplimiento Modelo de responsabilidad compartida IAM en AWS: identidades, permisos, roles, políticas y MFA Cifrado y protección de datos en AWS Servicios de seguridad AWS para CLF-C02 Monitorización, auditoría y gobierno: CloudWatch, CloudTrail y AWS Config AWS Organizations, cuentas y SCP para CLF-C02 Compliance, AWS Artifact y gobierno en AWS
Dominio 3 · Tecnología y servicios AWS
Dominio 3 · Tecnología y servicios AWS Amazon EC2, Auto Scaling y Elastic Load Balancing Amazon VPC: redes básicas en AWS para CLF-C02 Amazon S3: almacenamiento de objetos, clases, versioning, lifecycle y Glacier EBS, EFS, AWS Backup y Storage Gateway para CLF-C02 CloudFront, Route 53 y servicios edge para CLF-C02 Bases de datos AWS: RDS, Aurora, DynamoDB, Redshift y más Serverless y contenedores: Lambda, ECS, EKS y Fargate Integración de aplicaciones: SQS, SNS, EventBridge, API Gateway y Step Functions Herramientas de gestión y despliegue en AWS Analítica e IA básica en AWS: Athena, Glue, QuickSight, Kinesis y SageMaker Machine Learning e IA en AWS para CLF-C02
Dominio 4 · Facturación, precios y soporte
Dominio 4 · Facturación, precios y soporte Facturación, precios y soporte en AWS Optimización de costes en AWS para CLF-C02 Soporte, documentación y recursos de aprendizaje AWS para CLF-C02
Dominio 2 · Seguridad y cumplimiento

Compliance, AWS Artifact y gobierno en AWS

◷ 10 min

Este módulo trata de una parte del examen que muchos alumnos subestiman porque suena menos técnica: compliance, evidencias, auditoría y gobierno. Pero en CLF-C02 aparece bastante, sobre todo en preguntas donde una empresa necesita demostrar cumplimiento, descargar informes, revisar quién hizo algo, controlar cuentas o validar si sus recursos cumplen reglas.

La idea central es sencilla: AWS ofrece infraestructura, servicios, controles y documentación que ayudan al cliente a cumplir requisitos. Pero eso no significa que cualquier aplicación desplegada en AWS sea automáticamente conforme. El cliente sigue teniendo que configurar bien sus servicios, proteger datos, controlar accesos, activar logs y aplicar sus propias políticas.

Idea clave: AWS puede darte evidencias y herramientas de gobierno, pero el cumplimiento final depende de cómo uses AWS. Para el examen, diferencia muy bien entre documentos de compliance, auditoría de actividad, evaluación de configuración y gobierno multi-cuenta.

1. Qué significa compliance en AWS

Compliance significa cumplimiento de normas, estándares, marcos regulatorios o requisitos internos. Puede incluir auditorías, certificaciones, controles de seguridad, protección de datos, residencia de datos, retención de logs, separación de funciones o trazabilidad.

En AWS, compliance no es un botón mágico. Es una combinación de:

  • Certificaciones y programas de cumplimiento de AWS.
  • Documentación y reportes disponibles para clientes.
  • Controles técnicos configurados por el cliente.
  • Servicios de auditoría, gobierno y seguridad.
  • Procesos internos de la organización.

Cómo pensarlo en el examen

Si una pregunta dice “necesito descargar un informe SOC/ISO/PCI de AWS para auditoría”, piensa en AWS Artifact. Si dice “necesito saber quién hizo una acción”, piensa en CloudTrail. Si dice “necesito comprobar si los recursos cumplen una regla”, piensa en AWS Config.

2. Responsabilidad compartida aplicada a compliance

El modelo de responsabilidad compartida también aplica a compliance. AWS se encarga de la seguridad y cumplimiento de la infraestructura cloud subyacente. El cliente se encarga de cómo configura y usa los servicios.

Por ejemplo, AWS puede tener certificaciones sobre la infraestructura y los servicios, pero el cliente debe decidir cosas como:

  • Qué datos sube a AWS.
  • En qué región almacena los datos.
  • Quién tiene permisos para acceder.
  • Qué cifrado activa.
  • Qué logs conserva.
  • Qué controles internos aplica.
  • Qué evidencias necesita para sus auditorías.
Regla de oro: que AWS esté certificado no convierte automáticamente tu aplicación en conforme. AWS aporta una parte de la evidencia; tú debes configurar y operar tu entorno correctamente.

3. AWS Artifact: el portal de documentos de compliance

AWS Artifact es el portal donde los clientes pueden acceder a documentos de cumplimiento de AWS. Es uno de los servicios más preguntables de este tema porque tiene una pista de examen muy clara: informes, certificaciones, reportes de auditoría y acuerdos.

En Artifact puedes encontrar documentos como reportes SOC, certificaciones ISO, documentación PCI y otros informes relacionados con programas de compliance. También puede dar acceso a ciertos acuerdos, según el caso.

Para CLF-C02, no necesitas memorizar todos los documentos disponibles. Necesitas asociar Artifact con esta idea:

  • Descargar reportes de compliance de AWS.
  • Consultar certificaciones y auditorías de AWS.
  • Obtener documentación para auditores.
  • Acceder a determinados acuerdos de AWS.
Pista de examen: “un auditor pide informes SOC, ISO o PCI de AWS” → AWS Artifact.

4. Lo que AWS Artifact no hace

Tan importante como saber qué hace Artifact es saber qué no hace. Artifact no monitoriza métricas, no registra llamadas API, no evalúa configuraciones y no corrige recursos.

Evita estos errores:

  • Artifact no sustituye a CloudTrail.
  • Artifact no sustituye a AWS Config.
  • Artifact no muestra métricas como CloudWatch.
  • Artifact no es un panel de hallazgos como Security Hub.
  • Artifact no concede cumplimiento automático a tu aplicación.

Ejemplo rápido

Si una empresa necesita demostrar a un auditor que AWS tiene un informe SOC, usa Artifact. Si necesita saber qué usuario borró un bucket, usa CloudTrail. Si necesita saber si sus buckets cumplen una regla interna, usa AWS Config.

5. Programas de cumplimiento de AWS

AWS participa en múltiples programas de cumplimiento y proporciona documentación para ayudar a clientes con auditorías y requisitos regulatorios. Para el examen, no hace falta memorizar una lista infinita de estándares, pero sí entender la idea general.

Algunos ejemplos de términos que pueden aparecer en preguntas son:

  • SOC.
  • ISO.
  • PCI DSS.
  • HIPAA.
  • GDPR/RGPD en contextos de protección de datos.
  • Reportes de auditoría.
  • Certificaciones.
  • Acuerdos de cumplimiento.

Cuando el foco sea el documento o la evidencia formal de AWS, la respuesta suele ser AWS Artifact.

6. Gobierno en AWS: poner orden en cuentas, permisos y controles

Gobierno significa establecer reglas para que la organización use AWS de forma controlada. No se trata solo de seguridad, sino de operar con orden: cuentas bien separadas, permisos limitados, trazabilidad, costes controlados, recursos etiquetados y políticas comunes.

En AWS, el gobierno suele apoyarse en servicios como:

  • AWS Organizations: gestión de múltiples cuentas.
  • Service Control Policies: límites máximos de permisos en cuentas u OUs.
  • AWS Config: evaluación de configuración y cumplimiento de recursos.
  • AWS CloudTrail: auditoría de llamadas API y actividad de cuenta.
  • Security Hub: agregación de hallazgos y postura de seguridad.
  • Control Tower: creación de landing zones y gobierno inicial multi-cuenta.
Para recordar: governance no es un único servicio. Es un conjunto de prácticas y herramientas para controlar cómo se usa AWS dentro de una organización.

7. AWS Organizations y SCP en gobierno

AWS Organizations permite gestionar múltiples cuentas AWS de forma centralizada. Puedes agrupar cuentas en unidades organizativas, aplicar políticas y consolidar parte de la administración.

Las Service Control Policies, o SCP, establecen límites máximos de permisos. Esto es muy importante: una SCP no concede permisos por sí sola. Solo define qué acciones pueden o no pueden llegar a estar permitidas dentro de una cuenta.

Ejemplo de examen

Una empresa tiene varias cuentas y quiere impedir que ciertas cuentas puedan usar una región concreta o un servicio específico. La respuesta más probable es AWS Organizations con SCP.

8. CloudTrail: evidencia de actividad

AWS CloudTrail registra llamadas API y actividad de cuenta. Es el servicio que te ayuda a responder preguntas como: quién hizo qué, cuándo, desde dónde y contra qué recurso.

En compliance y auditoría técnica, CloudTrail es clave porque permite tener trazabilidad de acciones. No es un repositorio de informes SOC o ISO; para eso está Artifact. CloudTrail es actividad real de tu cuenta.

Piensa en CloudTrail cuando veas:

  • Auditoría de acciones.
  • Llamadas API.
  • Quién eliminó o cambió un recurso.
  • Actividad de usuarios, roles o servicios.
  • Evidencia de cambios operativos.

9. AWS Config: cumplimiento de configuración

AWS Config registra configuraciones de recursos, cambios en el tiempo y puede evaluar recursos contra reglas. Es muy útil cuando una organización quiere comprobar si sus recursos cumplen políticas internas.

Ejemplos típicos:

  • Comprobar si los buckets S3 tienen cifrado activado.
  • Detectar Security Groups demasiado abiertos.
  • Evaluar si recursos cumplen reglas de configuración.
  • Ver historial de cambios de configuración.
Diferencia clave: CloudTrail registra acciones. AWS Config evalúa estado y cambios de configuración de recursos.

10. Security Hub: postura de seguridad agregada

AWS Security Hub agrega hallazgos de seguridad y ayuda a evaluar la postura de seguridad con buenas prácticas y estándares. Puede recibir información de servicios como GuardDuty, Inspector, Macie y otros.

Para CLF-C02, asócialo con:

  • Vista centralizada de hallazgos de seguridad.
  • Postura de seguridad.
  • Buenas prácticas.
  • Agregación de findings.

No lo confundas con Artifact. Security Hub te ayuda a ver hallazgos y estado de seguridad; Artifact proporciona documentos de compliance de AWS.

11. AWS Audit Manager

AWS Audit Manager ayuda a recopilar evidencias de forma continua para simplificar auditorías. En CLF-C02 puede aparecer menos que Artifact, CloudTrail o Config, pero conviene reconocer la idea: automatización y gestión de evidencias para auditoría.

Una forma sencilla de recordarlo:

  • Artifact: documentos de compliance de AWS.
  • Audit Manager: recopilación y gestión de evidencias para auditorías del cliente.
  • CloudTrail: actividad API.
  • Config: configuración y cumplimiento de recursos.

12. AWS Control Tower

AWS Control Tower ayuda a establecer y gobernar un entorno multi-cuenta siguiendo buenas prácticas. Se asocia con landing zones, guardrails/controles y gobierno inicial de cuentas.

En una pregunta de nivel Cloud Practitioner, puede aparecer cuando una organización quiere una forma gestionada de crear una base multi-cuenta con controles de gobierno.

13. Comparativa rápida para examen

NecesidadServicio relacionadoPista típica
Descargar informes de cumplimiento AWSAWS ArtifactSOC, ISO, PCI, reportes, certificaciones, auditor externo.
Registrar actividad de cuentaCloudTrailQuién hizo qué, llamadas API, cambios, auditoría técnica.
Evaluar configuración de recursosAWS ConfigReglas, recursos no conformes, historial de configuración.
Gobierno multi-cuentaOrganizationsCuentas, OUs, administración centralizada.
Limitar permisos máximosSCPBloquear acciones a nivel organización o cuenta.
Postura de seguridad agregadaSecurity HubHallazgos, buenas prácticas, centralización de findings.
Recopilar evidencias de auditoríaAudit ManagerEvidencias continuas, auditorías del cliente.
Landing zone multi-cuentaControl TowerEntorno multi-cuenta gobernado desde el inicio.

14. Diferencias que suelen confundir

Confusión habitualDiferencia práctica
Artifact vs CloudTrailArtifact da documentos de compliance de AWS; CloudTrail registra actividad API de tu cuenta.
CloudTrail vs AWS ConfigCloudTrail responde quién hizo una acción; Config evalúa configuración y cambios de recursos.
Organizations vs IAMOrganizations gobierna cuentas; IAM gestiona identidades y permisos dentro de cuentas.
SCP vs política IAMUna SCP limita permisos máximos; una política IAM concede o deniega permisos a identidades o recursos.
Security Hub vs ArtifactSecurity Hub agrega hallazgos de seguridad; Artifact proporciona documentación de cumplimiento.
Compliance de AWS vs compliance del clienteAWS aporta evidencias y controles; el cliente debe configurar y operar su entorno de forma conforme.

15. Errores típicos

  • Elegir Artifact para ver métricas o logs operativos.
  • Elegir CloudWatch cuando la pregunta pide informes SOC o ISO.
  • Creer que las certificaciones de AWS hacen automáticamente conforme cualquier aplicación.
  • Confundir cumplimiento documental con auditoría de llamadas API.
  • Confundir AWS Config con CloudTrail.
  • Pensar que las SCP conceden permisos. No conceden; limitan.
  • No conectar gobierno con Organizations, SCP, Config, CloudTrail y Control Tower.
  • Olvidar que el cliente sigue teniendo responsabilidades de configuración, datos y accesos.

16. Cómo pensar preguntas de examen

Cuando veas una pregunta de compliance o gobierno, busca primero la palabra clave:

  • Informe, certificación, SOC, ISO, PCI, auditor externo: AWS Artifact.
  • Quién hizo una acción, llamada API, cambio realizado: AWS CloudTrail.
  • Recurso conforme/no conforme, configuración, reglas: AWS Config.
  • Muchas cuentas, OUs, gobierno central: AWS Organizations.
  • Limitar lo máximo permitido en cuentas: SCP.
  • Hallazgos de seguridad centralizados: AWS Security Hub.
  • Landing zone multi-cuenta: AWS Control Tower.
  • Recopilación de evidencias de auditoría: AWS Audit Manager.

Mini regla de examen

Si el auditor pide documentos de AWS, Artifact. Si seguridad pregunta quién hizo algo, CloudTrail. Si cumplimiento pregunta si el recurso está bien configurado, AWS Config. Si gobierno quiere controlar muchas cuentas, Organizations y SCP.

17. Cómo saber si dominas este módulo

Vas bien si puedes explicar sin mirar apuntes:

  • Qué problema resuelve AWS Artifact.
  • Por qué compliance no elimina responsabilidad del cliente.
  • La diferencia entre Artifact, CloudTrail y AWS Config.
  • Para qué sirve Organizations en gobierno multi-cuenta.
  • Por qué una SCP no concede permisos.
  • Cuándo aparece Security Hub.
  • Qué aporta Control Tower en una landing zone multi-cuenta.
  • Qué significa recopilar evidencias para auditoría.

Test del módulo · 10 preguntas

1. Una empresa necesita descargar reportes de cumplimiento de AWS para una auditoría externa. ¿Qué servicio usaría?
  1. AWS Artifact
  2. Amazon CloudWatch
  3. AWS DMS
  4. Amazon EC2
Ver respuesta y explicación

Respuesta: A. AWS Artifact proporciona acceso a reportes, certificaciones y documentación de compliance de AWS.

2. ¿Qué afirmación es correcta sobre compliance en AWS?
  1. AWS aporta evidencias y servicios, pero el cliente debe configurar su entorno correctamente.
  2. AWS garantiza automáticamente cualquier cumplimiento del cliente.
  3. El cliente no tiene responsabilidades de seguridad ni configuración.
  4. AWS Artifact monitoriza CPU y memoria.
Ver respuesta y explicación

Respuesta: A. AWS ayuda con evidencias y servicios, pero el cumplimiento final depende del uso y configuración del cliente.

3. Para registrar llamadas API con fines de auditoría técnica, ¿qué servicio es más adecuado?
  1. AWS CloudTrail
  2. AWS Artifact
  3. AWS Pricing Calculator
  4. Amazon CloudFront
Ver respuesta y explicación

Respuesta: A. CloudTrail registra actividad API y ayuda a saber quién hizo qué, cuándo y desde dónde.

4. Para evaluar si recursos cumplen reglas de configuración, usarías:
  1. AWS Config
  2. AWS Snowball
  3. AWS CAF
  4. Amazon Route 53
Ver respuesta y explicación

Respuesta: A. AWS Config evalúa configuraciones de recursos y puede detectar recursos no conformes.

5. AWS Artifact se relaciona principalmente con:
  1. Documentación e informes de cumplimiento
  2. Balanceo de carga
  3. Bases de datos relacionales
  4. CDN
Ver respuesta y explicación

Respuesta: A. Artifact es el portal de documentos de compliance de AWS.

6. Una empresa con varias cuentas quiere aplicar límites máximos de permisos a una OU. ¿Qué mecanismo encaja mejor?
  1. Service Control Policies en AWS Organizations
  2. AWS Artifact
  3. Amazon CloudFront
  4. AWS Pricing Calculator
Ver respuesta y explicación

Respuesta: A. Las SCP permiten establecer límites máximos de permisos en cuentas u OUs dentro de AWS Organizations.

7. ¿Cuál es la diferencia correcta entre CloudTrail y AWS Config?
  1. CloudTrail registra actividad API; AWS Config evalúa configuración y cambios de recursos.
  2. CloudTrail descarga informes SOC; AWS Config es una CDN.
  3. CloudTrail calcula precios; AWS Config gestiona dominios DNS.
  4. No hay diferencia, son el mismo servicio.
Ver respuesta y explicación

Respuesta: A. CloudTrail se centra en actividad; Config se centra en estado, configuración y cumplimiento de recursos.

8. Un equipo de seguridad quiere una vista centralizada de hallazgos de seguridad y buenas prácticas. ¿Qué servicio encaja?
  1. AWS Security Hub
  2. AWS Artifact
  3. Amazon EBS
  4. Amazon Route 53
Ver respuesta y explicación

Respuesta: A. Security Hub agrega hallazgos de seguridad y ayuda a evaluar la postura de seguridad.

9. Una organización quiere establecer una landing zone multi-cuenta gobernada siguiendo buenas prácticas. ¿Qué servicio puede ayudar?
  1. AWS Control Tower
  2. Amazon Athena
  3. AWS WAF
  4. Amazon S3 Glacier
Ver respuesta y explicación

Respuesta: A. AWS Control Tower ayuda a crear y gobernar entornos multi-cuenta con controles iniciales.

10. ¿Qué frase describe mejor una SCP?
  1. Define límites máximos de permisos, pero no concede permisos por sí sola.
  2. Concede acceso administrador automáticamente a todos los usuarios.
  3. Es un informe de auditoría SOC descargable.
  4. Es un servicio de caché global.
Ver respuesta y explicación

Respuesta: A. Una SCP limita lo que puede estar permitido en una cuenta u OU, pero los permisos efectivos siguen necesitando políticas IAM u otros permisos.

Resumen final

Para CLF-C02, compliance y gobierno se dominan entendiendo qué servicio responde a cada necesidad. AWS Artifact sirve para obtener documentos, informes y certificaciones de cumplimiento de AWS. CloudTrail registra actividad API. AWS Config evalúa configuración y cumplimiento de recursos. Organizations y SCP ayudan a gobernar múltiples cuentas. Security Hub centraliza hallazgos de seguridad. Control Tower ayuda a crear una base multi-cuenta gobernada.

La clave es no mezclar evidencias documentales con auditoría técnica ni con configuración de recursos. En una pregunta, busca siempre la palabra que manda: documento, actividad, configuración, cuentas, límites o hallazgos.

Tu siguiente paso: después de cerrar este bloque de seguridad y cumplimiento, pasas al Dominio 3, donde el foco cambia a reconocer servicios AWS por caso de uso: compute, redes, almacenamiento, bases de datos, serverless, integración, analítica e IA.
← AWS Organizations, cuentas y SCP para CLF-C02 Dominio 3 · Tecnología y servicios AWS →