Ruta CLF-C02Dominio 2 · Seguridad y cumplimientoIntroducción al dominio

Curso AWS Cloud Practitioner CLF-C02

31 módulos4 dominios
Preparación1
Dominio 12
Dominio 23
Dominio 34
Dominio 45
Estás en:
Preparación
Resumen del curso Estrategia de examen AWS CLF-C02
Dominio 1 · Conceptos cloud
Dominio 1 · Conceptos cloud Beneficios de cloud: agilidad, elasticidad, pago por uso y economía de escala Infraestructura global AWS: regiones, zonas de disponibilidad y edge locations AWS Well-Architected Framework: los pilares que debes dominar Migración a AWS: CAF, estrategias 7R, DMS, MGN y Snow Family
Dominio 2 · Seguridad y cumplimiento
Dominio 2 · Seguridad y cumplimiento Modelo de responsabilidad compartida IAM en AWS: identidades, permisos, roles, políticas y MFA Cifrado y protección de datos en AWS Servicios de seguridad AWS para CLF-C02 Monitorización, auditoría y gobierno: CloudWatch, CloudTrail y AWS Config AWS Organizations, cuentas y SCP para CLF-C02 Compliance, AWS Artifact y gobierno en AWS
Dominio 3 · Tecnología y servicios AWS
Dominio 3 · Tecnología y servicios AWS Amazon EC2, Auto Scaling y Elastic Load Balancing Amazon VPC: redes básicas en AWS para CLF-C02 Amazon S3: almacenamiento de objetos, clases, versioning, lifecycle y Glacier EBS, EFS, AWS Backup y Storage Gateway para CLF-C02 CloudFront, Route 53 y servicios edge para CLF-C02 Bases de datos AWS: RDS, Aurora, DynamoDB, Redshift y más Serverless y contenedores: Lambda, ECS, EKS y Fargate Integración de aplicaciones: SQS, SNS, EventBridge, API Gateway y Step Functions Herramientas de gestión y despliegue en AWS Analítica e IA básica en AWS: Athena, Glue, QuickSight, Kinesis y SageMaker Machine Learning e IA en AWS para CLF-C02
Dominio 4 · Facturación, precios y soporte
Dominio 4 · Facturación, precios y soporte Facturación, precios y soporte en AWS Optimización de costes en AWS para CLF-C02 Soporte, documentación y recursos de aprendizaje AWS para CLF-C02
Dominio 2 · Security and Compliance

Dominio 2 · Seguridad y cumplimiento

◷ 10 min

El Dominio 2 es uno de los bloques más importantes de CLF-C02. Y además es de los que más conviene estudiar con calma, porque muchas preguntas no van de “qué servicio existe”, sino de quién es responsable, quién tiene permisos y cómo puedes demostrar lo que ha pasado.

Si vienes de sistemas tradicionales, este dominio te va a sonar familiar: usuarios, permisos, auditoría, cifrado, cumplimiento, gobierno… Pero en AWS todo se mezcla con cuentas, roles, servicios gestionados, responsabilidad compartida y controles centralizados. La clave es no estudiar seguridad como una lista de herramientas, sino como una forma de razonar.

Idea clave: en seguridad AWS, casi siempre debes preguntarte tres cosas: ¿quién es responsable?, ¿quién tiene permiso? y ¿cómo puedo proteger, auditar o demostrar lo que ha ocurrido?

Qué cubre realmente el Dominio 2

El Dominio 2 de CLF-C02 se centra en Security and Compliance. Es un dominio con mucho peso porque AWS quiere comprobar que entiendes la seguridad básica antes de hablar de arquitecturas, servicios o costes.

Aquí debes manejar cuatro ideas grandes:

Responsabilidad compartida

Diferenciar qué protege AWS y qué debe configurar o proteger el cliente según el servicio utilizado.

Identidad y acceso

Entender IAM, usuarios, grupos, roles, políticas, MFA, usuario raíz, credenciales temporales y mínimo privilegio.

Protección de datos

Reconocer cifrado en reposo, cifrado en tránsito, AWS KMS, AWS CloudHSM, Secrets Manager y ACM.

Auditoría, gobierno y cumplimiento

Relacionar CloudTrail, CloudWatch, AWS Config, Organizations, SCP, Artifact, GuardDuty, Security Hub e Inspector.

1. Responsabilidad compartida: la pregunta que siempre vuelve

El modelo de responsabilidad compartida es uno de los temas más preguntables del examen. AWS no “se encarga de toda la seguridad” ni el cliente “se encarga de todo”. La responsabilidad se reparte.

La frase corta es esta:

  • AWS es responsable de la seguridad de la nube.
  • El cliente es responsable de la seguridad en la nube.

AWS protege la infraestructura física, los datacenters, el hardware, la red global y la capa base sobre la que funcionan los servicios. El cliente, por su parte, debe configurar correctamente sus recursos: identidades, permisos, datos, redes, sistemas operativos cuando aplique, cifrado, accesos y políticas.

Ejemplo sencillo

Si usas Amazon S3, AWS se encarga de la infraestructura que hace funcionar S3. Pero tú eres responsable de configurar bien los permisos del bucket, decidir si activas cifrado, controlar quién accede y evitar que datos privados queden públicos por error.

Además, la responsabilidad del cliente cambia según el tipo de servicio. En EC2 tienes más responsabilidad porque gestionas sistema operativo, parches y configuración interna. En servicios gestionados como S3, DynamoDB o Lambda, AWS asume más parte operativa, pero tú sigues siendo responsable de permisos, datos y configuración.

Pista de examen: si la pregunta habla de parchear el sistema operativo de una instancia EC2, normalmente es responsabilidad del cliente. Si habla de mantener la infraestructura física del datacenter, es responsabilidad de AWS.

2. IAM: el centro del control de acceso

Si hay un servicio que debes dominar a nivel conceptual en este dominio, es AWS Identity and Access Management (IAM). IAM responde a una pregunta básica: quién puede hacer qué, sobre qué recurso y en qué condiciones.

No necesitas escribir políticas complejas para CLF-C02, pero sí debes reconocer estos conceptos:

  • Usuario IAM: identidad persistente asociada normalmente a una persona o carga concreta.
  • Grupo IAM: conjunto de usuarios con permisos comunes.
  • Rol IAM: identidad que se asume temporalmente, muy usada por servicios, aplicaciones y acceso federado.
  • Política IAM: documento que define permisos: acciones permitidas o denegadas sobre recursos.
  • MFA: capa adicional de autenticación, especialmente importante para el usuario raíz.
  • Mínimo privilegio: conceder solo los permisos necesarios, ni más ni menos.

Cómo pensarlo

Si una aplicación en EC2 necesita acceder a S3, no pienses primero en crear claves de acceso estáticas. En AWS, la opción más segura y típica es usar un IAM role asociado a la instancia o servicio.

3. Usuario raíz: potente, delicado y para usar lo mínimo

El usuario raíz de la cuenta tiene acceso completo a todo. Por eso no debería usarse para tareas diarias. En el examen, si aparece el root user, casi siempre la idea será protegerlo muy bien y limitar su uso.

  • Activar MFA en el usuario raíz.
  • No compartir sus credenciales.
  • No usarlo para administración diaria.
  • Crear usuarios o roles administrativos controlados para el trabajo normal.
  • Guardar sus credenciales de forma segura.
Regla práctica: root solo para tareas que realmente lo requieren. Para lo demás, usuarios, grupos, roles y permisos bien definidos.

4. Autenticación y autorización no son lo mismo

Esta diferencia parece básica, pero conviene tenerla muy clara:

ConceptoExplicación sencilla
AutenticaciónComprobar quién eres. Por ejemplo, usuario, contraseña y MFA.
AutorizaciónComprobar qué puedes hacer una vez identificado. Por ejemplo, permisos IAM para leer un bucket S3.

En una pregunta, si se habla de comprobar identidad, piensa en autenticación. Si se habla de permitir o denegar acciones, piensa en autorización y permisos.

5. Cifrado y protección de datos

Otro bloque clave es la protección de datos. En CLF-C02 no te pedirán diseñar criptografía avanzada, pero sí reconocer qué servicio o concepto encaja en cada caso.

  • Cifrado en reposo: proteger datos almacenados, por ejemplo en S3, EBS, RDS o DynamoDB.
  • Cifrado en tránsito: proteger datos mientras viajan por la red, normalmente con TLS/HTTPS.
  • AWS KMS: servicio administrado para crear y controlar claves de cifrado usadas por muchos servicios AWS.
  • AWS CloudHSM: módulos hardware dedicados para casos con requisitos específicos de control criptográfico.
  • AWS Secrets Manager: almacenamiento y rotación de secretos como credenciales o contraseñas.
  • AWS Certificate Manager: gestión de certificados SSL/TLS para proteger comunicaciones.

Ejemplo de examen

Si una pregunta dice que necesitas gestionar claves de cifrado integradas con servicios AWS, piensa en AWS KMS. Si dice que necesitas almacenar y rotar credenciales de base de datos, piensa en AWS Secrets Manager.

6. Auditoría: saber quién hizo qué

En seguridad no basta con prevenir. También necesitas saber qué ha ocurrido. Aquí entra uno de los servicios más importantes para el examen: AWS CloudTrail.

CloudTrail registra actividad de la cuenta y llamadas API. Dicho de forma sencilla: te ayuda a responder preguntas como “quién hizo qué, cuándo, desde dónde y contra qué recurso”.

No lo confundas con CloudWatch. CloudWatch observa métricas, logs y alarmas operativas. CloudTrail audita actividad de API.

NecesidadServicioPista típica
Auditar llamadas APICloudTrailQuién hizo qué, cambios en recursos, actividad de cuenta.
Monitorizar métricas y alarmasCloudWatchCPU, logs, métricas, dashboards, alarmas operativas.
Evaluar configuraciónAWS ConfigCambios de configuración, reglas, cumplimiento continuo.

7. Gobierno multi-cuenta: Organizations y SCP

Cuando una empresa crece en AWS, normalmente no trabaja con una sola cuenta para todo. Usa varias cuentas: producción, desarrollo, seguridad, auditoría, networking, sandbox, etc. Para gobernar ese modelo aparece AWS Organizations.

AWS Organizations permite gestionar cuentas de forma centralizada, agruparlas en unidades organizativas y aplicar políticas. Las más importantes para el examen son las Service Control Policies (SCP).

Una SCP no concede permisos. Esto es muy importante. Una SCP define el límite máximo de lo que puede hacerse en una cuenta u OU. Después, dentro de ese límite, las políticas IAM determinan los permisos reales.

Pista de examen: si una pregunta dice que una organización quiere impedir que ciertas cuentas usen un servicio o región, piensa en SCP. Si dice que un usuario necesita permisos concretos dentro de una cuenta, piensa en IAM policy.

8. Compliance y AWS Artifact

Compliance no significa que AWS “te certifique automáticamente todo”. AWS proporciona servicios, controles, informes y documentación; el cliente debe configurar y operar su entorno correctamente según sus requisitos.

AWS Artifact es el servicio que debes asociar con informes de cumplimiento y acuerdos. Si una pregunta habla de descargar reportes SOC, ISO, PCI u otra documentación de compliance de AWS, Artifact suele ser la respuesta.

  • AWS Artifact: informes y acuerdos de cumplimiento.
  • AWS Audit Manager: ayuda a recopilar evidencias para auditorías.
  • AWS Config: evalúa configuración de recursos frente a reglas.
  • AWS Organizations: gobierno y gestión multi-cuenta.

9. Servicios de seguridad que debes reconocer

No hace falta que domines todos los detalles de cada servicio, pero sí que puedas reconocerlos por su caso de uso.

ServicioPara qué sirvePalabra clave de examen
IAMGestión de identidades, permisos, usuarios, grupos, roles y políticas.Acceso, permisos, mínimo privilegio, MFA.
KMSGestión de claves de cifrado integradas con servicios AWS.Claves, cifrado en reposo, control de claves.
Secrets ManagerAlmacenar y rotar secretos.Credenciales, contraseñas, rotación automática.
CloudTrailRegistro de llamadas API y actividad de cuenta.Auditoría, quién hizo qué, trazabilidad.
CloudWatchMétricas, logs, alarmas y observabilidad.Monitorización, alarmas, métricas.
AWS ConfigHistorial y evaluación de configuración de recursos.Cumplimiento continuo, configuración, reglas.
GuardDutyDetección inteligente de amenazas.Amenazas, actividad sospechosa, detección.
Security HubAgrega y prioriza hallazgos de seguridad.Vista centralizada de seguridad, hallazgos.
InspectorEvaluación de vulnerabilidades en cargas compatibles.Vulnerabilidades, escaneo, evaluación.
ShieldProtección frente a ataques DDoS.DDoS, protección de disponibilidad.
WAFFirewall de aplicaciones web.SQL injection, reglas web, protección HTTP.
ArtifactInformes y acuerdos de cumplimiento.SOC, ISO, PCI, compliance reports.

10. Diferencias que suelen confundir

  • CloudTrail vs CloudWatch: CloudTrail audita llamadas API; CloudWatch monitoriza métricas, logs y alarmas.
  • IAM role vs IAM user: el usuario es una identidad persistente; el rol se asume temporalmente.
  • KMS vs Secrets Manager: KMS gestiona claves de cifrado; Secrets Manager almacena y rota secretos.
  • Security Hub vs GuardDuty: GuardDuty detecta amenazas; Security Hub agrega y prioriza hallazgos de seguridad.
  • SCP vs política IAM: una SCP limita permisos máximos en cuentas de una organización; no concede permisos por sí sola.
  • AWS Config vs CloudTrail: Config evalúa configuración de recursos; CloudTrail registra actividad de API.
  • WAF vs Shield: WAF protege aplicaciones web con reglas HTTP; Shield ayuda frente a DDoS.

11. Cómo estudiar el Dominio 2

El orden recomendado es este:

  1. Empieza por responsabilidad compartida. Es la base mental de todo el dominio.
  2. Después estudia IAM. Identidades y permisos aparecen en muchísimos escenarios.
  3. Pasa a cifrado y datos. Diferencia KMS, Secrets Manager, ACM y CloudHSM.
  4. Consolida auditoría y monitorización. CloudTrail, CloudWatch y Config tienen matices importantes.
  5. Cierra con gobierno y compliance. Organizations, SCP, Artifact, Audit Manager y servicios de seguridad.

Escenario típico

Si una pregunta dice “la empresa necesita saber qué usuario eliminó un recurso”, piensa en CloudTrail. Si dice “alertar cuando una métrica supera un umbral”, piensa en CloudWatch. Si dice “detectar cambios de configuración no conformes”, piensa en AWS Config.

12. Errores típicos en este dominio

  • Creer que AWS se encarga de toda la seguridad en cualquier servicio.
  • Usar el usuario root para tareas diarias.
  • Confundir autenticación con autorización.
  • Elegir CloudWatch cuando la pregunta pide auditoría de llamadas API.
  • Pensar que las SCP conceden permisos; en realidad establecen límites máximos.
  • Confundir KMS con Secrets Manager.
  • Olvidar que el cliente sigue siendo responsable de sus datos y configuraciones.

13. Cómo saber si dominas el Dominio 2

Vas bien si puedes explicar con tus palabras:

  • Qué significa seguridad de la nube frente a seguridad en la nube.
  • Qué responsabilidades tiene AWS y cuáles tiene el cliente en EC2, S3 o servicios gestionados.
  • Por qué el usuario raíz debe protegerse con MFA y usarse lo mínimo.
  • Qué diferencia hay entre usuarios, grupos, roles y políticas IAM.
  • Qué es mínimo privilegio.
  • Cuándo usar KMS, Secrets Manager, CloudTrail, CloudWatch y AWS Config.
  • Qué hacen Organizations y las SCP.
  • Para qué sirve AWS Artifact.
  • Qué servicios se relacionan con detección de amenazas, hallazgos de seguridad, DDoS y protección web.

Test rápido · Dominio 2

1. Una empresa quiere saber quién cambió una política de seguridad en su cuenta AWS. ¿Qué servicio revisaría primero?
  1. AWS CloudTrail
  2. Amazon CloudFront
  3. AWS Pricing Calculator
  4. Amazon S3 Glacier
Ver respuesta y explicación

Respuesta: A. CloudTrail registra llamadas API y actividad de cuenta. Es el servicio que te ayuda a saber quién hizo qué, cuándo y desde dónde.

2. Una organización multi-cuenta quiere limitar acciones permitidas en cuentas hijas. ¿Qué mecanismo encaja mejor?
  1. Service Control Policies en AWS Organizations
  2. Security Groups
  3. CloudFront cache behaviors
  4. AWS Budgets
Ver respuesta y explicación

Respuesta: A. Las SCP permiten definir límites máximos de permisos en cuentas de una organización. No conceden permisos por sí solas, pero sí restringen lo que puede llegar a permitirse.

3. ¿Cuál es una buena práctica para el usuario raíz?
  1. Activar MFA y evitar su uso diario
  2. Usarlo para todas las tareas
  3. Compartir sus credenciales
  4. Eliminarlo de la cuenta
Ver respuesta y explicación

Respuesta: A. El usuario raíz debe protegerse con MFA y reservarse para tareas que realmente lo requieran.

4. Una aplicación necesita almacenar y rotar credenciales de base de datos. ¿Qué servicio encaja mejor?
  1. AWS Secrets Manager
  2. AWS Artifact
  3. Amazon Route 53
  4. AWS CloudTrail
Ver respuesta y explicación

Respuesta: A. Secrets Manager está pensado para almacenar, recuperar y rotar secretos como credenciales, contraseñas o tokens.

5. Una empresa necesita descargar informes SOC e ISO de AWS para una auditoría. ¿Qué servicio debe consultar?
  1. AWS Artifact
  2. Amazon CloudWatch
  3. AWS Lambda
  4. Amazon EC2 Auto Scaling
Ver respuesta y explicación

Respuesta: A. AWS Artifact proporciona acceso a informes de cumplimiento y acuerdos relacionados con compliance.

Resumen final

El Dominio 2 te enseña a mirar AWS desde la seguridad: responsabilidades, identidades, permisos, cifrado, auditoría, cumplimiento y gobierno. No se trata solo de conocer servicios, sino de saber qué control usar según el problema.

Si dominas responsabilidad compartida, IAM, mínimo privilegio, CloudTrail, CloudWatch, Config, KMS, Organizations, SCP y Artifact, tendrás una base muy sólida para afrontar una parte importante del examen.

Tu siguiente paso: entra en el módulo de responsabilidad compartida. Es la pieza que más te ayudará a entender todo el bloque de seguridad sin memorizar a ciegas.
← Migración a AWS: CAF, estrategias 7R, DMS, MGN y Snow Family Modelo de responsabilidad compartida →