Ruta CLF-C02Dominio 2 · Seguridad y cumplimientoMonitorización, auditoría y gobierno: CloudWatch, CloudTrail y AWS Config

Curso AWS Cloud Practitioner CLF-C02

31 módulos4 dominios
Preparación1
Dominio 12
Dominio 23
Dominio 34
Dominio 45
Estás en:
Preparación
Resumen del curso Estrategia de examen AWS CLF-C02
Dominio 1 · Conceptos cloud
Dominio 1 · Conceptos cloud Beneficios de cloud: agilidad, elasticidad, pago por uso y economía de escala Infraestructura global AWS: regiones, zonas de disponibilidad y edge locations AWS Well-Architected Framework: los pilares que debes dominar Migración a AWS: CAF, estrategias 7R, DMS, MGN y Snow Family
Dominio 2 · Seguridad y cumplimiento
Dominio 2 · Seguridad y cumplimiento Modelo de responsabilidad compartida IAM en AWS: identidades, permisos, roles, políticas y MFA Cifrado y protección de datos en AWS Servicios de seguridad AWS para CLF-C02 Monitorización, auditoría y gobierno: CloudWatch, CloudTrail y AWS Config AWS Organizations, cuentas y SCP para CLF-C02 Compliance, AWS Artifact y gobierno en AWS
Dominio 3 · Tecnología y servicios AWS
Dominio 3 · Tecnología y servicios AWS Amazon EC2, Auto Scaling y Elastic Load Balancing Amazon VPC: redes básicas en AWS para CLF-C02 Amazon S3: almacenamiento de objetos, clases, versioning, lifecycle y Glacier EBS, EFS, AWS Backup y Storage Gateway para CLF-C02 CloudFront, Route 53 y servicios edge para CLF-C02 Bases de datos AWS: RDS, Aurora, DynamoDB, Redshift y más Serverless y contenedores: Lambda, ECS, EKS y Fargate Integración de aplicaciones: SQS, SNS, EventBridge, API Gateway y Step Functions Herramientas de gestión y despliegue en AWS Analítica e IA básica en AWS: Athena, Glue, QuickSight, Kinesis y SageMaker Machine Learning e IA en AWS para CLF-C02
Dominio 4 · Facturación, precios y soporte
Dominio 4 · Facturación, precios y soporte Facturación, precios y soporte en AWS Optimización de costes en AWS para CLF-C02 Soporte, documentación y recursos de aprendizaje AWS para CLF-C02
Dominio 2 · Seguridad y cumplimiento

Monitorización, auditoría y gobierno: CloudWatch, CloudTrail y AWS Config

◷ 15 min

En AWS no basta con desplegar servicios y esperar que todo funcione. Una plataforma cloud necesita observabilidad, auditoría y gobierno. Para el examen AWS Certified Cloud Practitioner CLF-C02, una de las diferencias más importantes que debes dominar es cuándo usar Amazon CloudWatch, cuándo usar AWS CloudTrail y cuándo usar AWS Config.

Estos tres servicios suelen aparecer juntos en preguntas de seguridad y cumplimiento, pero no hacen lo mismo. CloudWatch se centra en el estado operativo de los recursos. CloudTrail se centra en la actividad realizada en la cuenta. AWS Config se centra en la configuración de los recursos y en si cumplen reglas definidas.

Regla rápida: CloudWatch responde “qué le pasa a mi sistema”; CloudTrail responde “quién hizo qué”; AWS Config responde “cómo está configurado y si cumple las reglas”.

1. Qué espera AWS que sepas en CLF-C02

El examen no te pedirá configurar dashboards complejos ni escribir reglas avanzadas. Lo que sí debes saber es reconocer el servicio correcto en escenarios como estos:

  • Una instancia EC2 supera el 80% de CPU y quieres una alarma.
  • Un auditor pregunta quién eliminó un bucket o cambió una política IAM.
  • Seguridad quiere detectar Security Groups abiertos a Internet.
  • Operaciones necesita ver logs de aplicación o métricas de infraestructura.
  • Compliance necesita comprobar si los recursos cumplen una regla.
  • Un equipo quiere reaccionar automáticamente ante un evento de AWS.

Cómo pensarlo en examen

Si el escenario habla de métricas, logs, dashboards o alarmas, empieza por CloudWatch. Si habla de actividad de usuarios, acciones API o trazabilidad, piensa en CloudTrail. Si habla de configuración, cambios de recursos, historial o cumplimiento continuo, piensa en AWS Config.

2. Comparativa esencial: CloudWatch, CloudTrail y AWS Config

ServicioResponde aPista típica en CLF-C02
Amazon CloudWatch¿Cómo se comporta mi sistema?Métricas, logs, alarmas, dashboards, CPU, latencia, errores.
AWS CloudTrail¿Quién hizo qué, cuándo y desde dónde?Llamadas API, actividad de cuenta, auditoría, investigación, trazabilidad.
AWS Config¿Cómo está configurado un recurso y cumple mis reglas?Cambios de configuración, historial, compliance, recursos no conformes.

3. Amazon CloudWatch: monitorización y observabilidad

Amazon CloudWatch es el servicio principal de AWS para monitorización y observabilidad. Recopila métricas, centraliza logs, permite crear alarmas y ayuda a entender el comportamiento operativo de aplicaciones e infraestructura.

CloudWatch aparece en preguntas cuando el escenario habla de rendimiento, salud del sistema, métricas, logs, umbrales, alarmas o eventos operativos.

Qué puedes hacer con CloudWatch

  • Ver métricas de servicios como EC2, RDS, Lambda, DynamoDB o ELB.
  • Crear alarmas cuando una métrica supera o baja de un umbral.
  • Enviar notificaciones cuando se dispara una alarma.
  • Centralizar logs mediante CloudWatch Logs.
  • Crear dashboards operativos.
  • Analizar comportamiento de aplicaciones y recursos.
Para recordar: CloudWatch no sirve para saber “quién hizo una llamada API”. Para eso está CloudTrail. CloudWatch sirve para ver métricas, logs, alarmas y estado operativo.

4. Métricas de CloudWatch

Una métrica es un dato medible en el tiempo. Por ejemplo, porcentaje de CPU, número de errores, latencia, uso de disco, invocaciones de Lambda o peticiones a un balanceador.

En CLF-C02, las métricas de CloudWatch suelen aparecer con frases como:

  • “Enviar una alerta si la CPU supera el 80%”.
  • “Monitorizar la latencia de una aplicación”.
  • “Ver el número de errores 5xx de un balanceador”.
  • “Crear un dashboard con métricas de rendimiento”.

5. Alarmas de CloudWatch

Una alarma de CloudWatch observa una métrica y cambia de estado cuando se cumple una condición. Por ejemplo, CPU mayor que 80% durante cinco minutos. Una alarma puede notificar mediante Amazon SNS o iniciar acciones automatizadas, según el caso.

Ejemplo de examen

Una empresa quiere recibir una notificación cuando una instancia EC2 tenga CPU alta durante varios minutos. El servicio correcto es Amazon CloudWatch, porque el requisito habla de métrica y alarma.

6. CloudWatch Logs

CloudWatch Logs permite recopilar, almacenar y consultar logs de aplicaciones, sistemas y servicios. Por ejemplo, logs de una función Lambda, logs de una aplicación en EC2 o logs enviados por agentes.

En preguntas básicas, si aparece “centralizar logs”, “buscar errores en logs” o “retener logs de aplicación”, CloudWatch Logs suele ser una respuesta fuerte.

7. CloudWatch Dashboards

Los dashboards permiten crear vistas visuales con métricas y gráficos. Son útiles para equipos de operaciones, soporte y arquitectura. Para CLF-C02, asócialos con visualización operativa y seguimiento de salud del sistema.

8. CloudWatch no es lo mismo que CloudTrail

Esta confusión es muy común. CloudWatch puede guardar logs, pero eso no significa que sea el servicio principal de auditoría de llamadas API. CloudTrail es el servicio diseñado para registrar la actividad de la cuenta y las llamadas API.

PreguntaServicioMotivo
¿La CPU está alta?CloudWatchEs una métrica operativa.
¿Quién borró una instancia?CloudTrailEs actividad API.
¿El bucket está cifrado?AWS ConfigEs estado/configuración de recurso.
¿La aplicación genera errores?CloudWatch LogsEs observabilidad de logs.

9. AWS CloudTrail: auditoría de actividad en la cuenta

AWS CloudTrail registra llamadas API y actividad de cuenta. Cuando alguien crea, modifica o elimina un recurso mediante consola, CLI, SDK o API, CloudTrail puede registrar ese evento.

En CLF-C02, CloudTrail suele ser la respuesta cuando se pregunta:

  • Quién hizo una acción.
  • Cuándo se realizó una acción.
  • Desde qué origen se hizo una llamada API.
  • Qué usuario, rol o servicio ejecutó una operación.
  • Cómo investigar un cambio administrativo.
  • Cómo aportar evidencia de actividad para auditoría.
Frase de examen: si ves “who did what”, “audit”, “API calls”, “account activity” o “investigate who changed”, piensa en AWS CloudTrail.

10. Ejemplos claros de CloudTrail

  • Un usuario eliminó una tabla DynamoDB y quieres saber quién fue.
  • Alguien modificó una política IAM y necesitas investigar.
  • Una Security Group se abrió a 0.0.0.0/0 y quieres ver qué identidad realizó el cambio.
  • Un auditor solicita trazabilidad de acciones administrativas.
  • Quieres registrar actividad de API en la cuenta para análisis posterior.

Ejemplo de examen

Una empresa detecta que un Security Group fue modificado para permitir tráfico SSH desde cualquier origen. El equipo de seguridad quiere saber qué usuario hizo el cambio y cuándo. La respuesta más directa es AWS CloudTrail.

11. CloudTrail Events y trails

A nivel básico, debes saber que CloudTrail registra eventos de actividad. Un trail permite entregar eventos a un bucket de Amazon S3 para retención, análisis o auditoría a largo plazo.

No necesitas configurar trails en detalle para CLF-C02, pero sí reconocer que CloudTrail es clave para trazabilidad y que puede conservar historial de actividad.

12. AWS Config: configuración, historial y cumplimiento

AWS Config registra la configuración de recursos AWS, guarda historial de cambios y permite evaluar recursos frente a reglas. Su foco no es rendimiento ni actividad API, sino estado de configuración y cumplimiento.

En CLF-C02, AWS Config suele aparecer cuando el escenario menciona:

  • Detectar recursos no conformes.
  • Evaluar si los buckets S3 tienen cifrado habilitado.
  • Comprobar si Security Groups están abiertos de forma insegura.
  • Ver cómo ha cambiado la configuración de un recurso.
  • Guardar historial de configuración.
  • Aplicar reglas de compliance continuo.
Para recordar: Config no te dice principalmente “quién hizo la llamada API”; te ayuda a saber “qué configuración tiene el recurso, cómo cambió y si cumple una regla”.

13. AWS Config Rules

Las reglas de AWS Config permiten evaluar si los recursos cumplen condiciones. Por ejemplo, comprobar que los volúmenes EBS estén cifrados, que los buckets S3 no sean públicos o que determinadas etiquetas existan.

Para CLF-C02, no necesitas crear reglas, pero debes asociarlas con gobierno, cumplimiento y evaluación de configuración.

14. AWS Config frente a CloudTrail

Ambos servicios pueden ayudar en auditoría, pero desde ángulos distintos:

  • CloudTrail: actividad. Quién hizo qué acción.
  • AWS Config: estado. Cómo está configurado el recurso y si cumple reglas.
SituaciónServicio correctoPor qué
Quieres saber quién cambió una bucket policy.CloudTrailRegistra llamadas API y actividad de cuenta.
Quieres saber si un bucket tiene cifrado activado.AWS ConfigEvalúa configuración del recurso.
Quieres ver historial de cambios de configuración de un recurso.AWS ConfigMantiene historial de configuración.
Quieres saber desde qué IP se hizo una acción administrativa.CloudTrailRegistra detalles de eventos API.

15. Gobierno en AWS: por qué estos servicios importan

El gobierno cloud consiste en aplicar control, visibilidad y reglas para que el entorno sea seguro, trazable y alineado con políticas de la organización. CloudWatch, CloudTrail y AWS Config son piezas fundamentales para ese gobierno.

Una organización puede usar:

  • CloudWatch para detectar problemas operativos.
  • CloudTrail para auditar acciones.
  • AWS Config para evaluar cumplimiento.
  • Organizations y SCP para limitar acciones entre cuentas.
  • Security Hub para agregar hallazgos de seguridad.
  • EventBridge para reaccionar ante eventos.

16. Amazon EventBridge en este contexto

Amazon EventBridge puede aparecer junto a estos servicios porque permite crear reglas basadas en eventos y disparar acciones. Por ejemplo, ante un evento de CloudTrail o un cambio detectado, se podría iniciar una automatización.

Para CLF-C02, basta con recordar que EventBridge se asocia a eventos, reglas y automatización basada en eventos. No sustituye a CloudWatch, CloudTrail ni Config; puede integrarse con ellos.

17. CloudWatch Events y EventBridge

En documentación y preguntas antiguas puedes ver referencias a CloudWatch Events. Actualmente, Amazon EventBridge es el servicio principal para patrones de eventos más amplios. Para el examen, si la pregunta habla de enrutar eventos o reaccionar ante eventos de servicios AWS, EventBridge es una opción habitual.

18. Ejemplos prácticos para alumnos base

Piensa en una tienda online desplegada en AWS:

  • Quieres saber si la web responde lenta: CloudWatch.
  • Quieres recibir una alerta si los errores aumentan: CloudWatch Alarm.
  • Quieres revisar logs de aplicación: CloudWatch Logs.
  • Quieres saber quién cambió permisos IAM: CloudTrail.
  • Quieres comprobar si los buckets S3 cumplen cifrado obligatorio: AWS Config.
  • Quieres ejecutar una acción cuando se detecta un cambio: EventBridge con automatización.

19. Relación con seguridad y cumplimiento

Estos servicios son muy importantes en el Dominio 2 · Seguridad y cumplimiento porque ayudan a generar evidencia, detectar desviaciones y operar con control.

Por ejemplo:

  • CloudTrail ayuda a demostrar actividad administrativa ante auditorías.
  • AWS Config ayuda a demostrar si los recursos cumplen políticas internas.
  • CloudWatch ayuda a detectar incidentes operativos y comportamientos anómalos.

Escenario combinado

Una empresa quiere detectar si un Security Group permite SSH desde Internet y además investigar quién hizo el cambio. AWS Config ayuda a detectar que el recurso no cumple la regla. CloudTrail ayuda a investigar la identidad que hizo el cambio.

20. Comparativa de servicios relacionados

ServicioUso principalNo lo confundas con
CloudWatch MetricsMétricas de rendimiento y estado.CloudTrail, que audita API.
CloudWatch LogsLogs de aplicaciones y sistemas.AWS Config, que evalúa configuración.
CloudWatch AlarmsAlarmas por umbrales de métricas.AWS Budgets, que alerta por costes.
CloudTrailRegistro de acciones API.CloudWatch, que monitoriza métricas/logs.
AWS ConfigHistorial y cumplimiento de configuración.CloudTrail, que indica quién hizo la acción.
EventBridgeEventos y reglas para automatización.SQS, que es una cola de mensajes.
Security HubAgregación de hallazgos de seguridad.CloudTrail, que registra actividad API.

21. Escenarios típicos de examen

EscenarioRespuesta probableRazonamiento
Alerta cuando CPU supera un umbral.CloudWatchCPU es una métrica y la alerta es una alarma.
Investigar quién eliminó un recurso.CloudTrailNecesitas historial de llamadas API.
Ver si los buckets S3 están cifrados.AWS ConfigEs evaluación de configuración.
Centralizar logs de aplicación.CloudWatch LogsEs gestión y consulta de logs.
Auditoría de actividad administrativa.CloudTrailRegistra acciones de usuarios, roles y servicios.
Detectar recursos no conformes.AWS ConfigEvalúa contra reglas de cumplimiento.
Crear panel con métricas de aplicación.CloudWatch DashboardVisualización operativa de métricas.
Reaccionar automáticamente ante un evento.EventBridgeServicio de eventos y reglas.

22. Errores típicos

  • Elegir CloudWatch cuando el requisito principal es saber quién hizo una acción.
  • Elegir CloudTrail para crear alarmas de CPU o latencia.
  • Confundir CloudWatch Logs con CloudTrail porque ambos pueden almacenar registros.
  • Elegir AWS Config para métricas de rendimiento.
  • Pensar que AWS Config bloquea automáticamente cualquier cambio. Su función principal es registrar y evaluar configuración; la remediación puede requerir automatización adicional.
  • Olvidar que CloudTrail es clave para auditoría y evidencia de actividad de cuenta.
  • Olvidar que estos servicios se complementan y pueden usarse juntos.
  • Confundir AWS Budgets con CloudWatch Alarms: Budgets alerta sobre costes y uso presupuestario; CloudWatch alerta sobre métricas operativas.

23. Cómo razonar preguntas tipo examen

Cuando leas una pregunta, busca la palabra clave:

  • Métricas, CPU, latencia, logs, dashboards, alarmas: CloudWatch.
  • Quién, cuándo, API, auditoría, actividad de cuenta: CloudTrail.
  • Configuración, cambios de recurso, compliance, reglas: AWS Config.
  • Eventos, reglas, automatización basada en eventos: EventBridge.
  • Hallazgos de seguridad agregados: Security Hub.
Consejo para aprobar: no memorices definiciones sueltas. Relaciona cada servicio con la pregunta que responde: CloudWatch = estado operativo; CloudTrail = actividad; AWS Config = configuración y cumplimiento.

Test del módulo · 12 preguntas

1. Necesitas una alarma cuando la CPU de una instancia supera un umbral. ¿Qué servicio usarías?
  1. Amazon CloudWatch
  2. AWS CloudTrail
  3. AWS Artifact
  4. AWS DMS
Ver respuesta y explicación

Respuesta: A. CloudWatch gestiona métricas y alarmas operativas.

2. Quieres saber qué usuario cambió una política IAM. ¿Qué servicio revisas?
  1. AWS CloudTrail
  2. Amazon CloudFront
  3. AWS Budgets
  4. Amazon Macie
Ver respuesta y explicación

Respuesta: A. CloudTrail registra llamadas API y actividad de cuenta.

3. Quieres detectar recursos que no cumplen una regla de configuración. ¿Qué servicio encaja?
  1. AWS Config
  2. Amazon Route 53
  3. AWS Snowball
  4. AWS WAF
Ver respuesta y explicación

Respuesta: A. AWS Config evalúa configuración de recursos frente a reglas.

4. ¿Cuál es la diferencia más correcta entre CloudWatch y CloudTrail?
  1. CloudWatch monitoriza métricas y logs; CloudTrail audita llamadas API
  2. Son el mismo servicio con distinto nombre
  3. CloudTrail crea presupuestos de coste
  4. CloudWatch migra bases de datos
Ver respuesta y explicación

Respuesta: A. Esa es la distinción clave para CLF-C02.

5. Una empresa necesita evidencia de actividad administrativa en la cuenta. ¿Qué servicio es más directo?
  1. AWS CloudTrail
  2. AWS Pricing Calculator
  3. Amazon EFS
  4. AWS CAF
Ver respuesta y explicación

Respuesta: A. CloudTrail proporciona historial de llamadas API.

6. Un equipo necesita centralizar logs de una aplicación desplegada en EC2. ¿Qué servicio aparece con más fuerza?
  1. Amazon CloudWatch Logs
  2. AWS Artifact
  3. Amazon Route 53
  4. AWS DMS
Ver respuesta y explicación

Respuesta: A. CloudWatch Logs se usa para recopilar y consultar logs.

7. Seguridad quiere comprobar continuamente si los buckets S3 tienen cifrado habilitado. ¿Qué servicio encaja?
  1. AWS Config
  2. Amazon Polly
  3. Amazon SQS
  4. AWS Pricing Calculator
Ver respuesta y explicación

Respuesta: A. AWS Config evalúa recursos contra reglas de configuración y cumplimiento.

8. Alguien eliminó una tabla DynamoDB y necesitas saber desde qué identidad se hizo. ¿Qué servicio usarías?
  1. AWS CloudTrail
  2. Amazon CloudWatch Metrics
  3. AWS Config Rules únicamente
  4. Amazon CloudFront
Ver respuesta y explicación

Respuesta: A. CloudTrail permite investigar acciones API como eliminación de recursos.

9. ¿Qué servicio permite crear un panel visual con métricas operativas?
  1. CloudWatch Dashboards
  2. AWS Artifact
  3. AWS Organizations
  4. Amazon Glacier
Ver respuesta y explicación

Respuesta: A. CloudWatch Dashboards muestra métricas y gráficos operativos.

10. ¿Qué servicio se asocia a reglas de enrutamiento de eventos y automatización basada en eventos?
  1. Amazon EventBridge
  2. AWS DMS
  3. Amazon EBS
  4. AWS Certificate Manager
Ver respuesta y explicación

Respuesta: A. EventBridge permite enrutar eventos y disparar acciones.

11. Una empresa quiere saber cómo cambió la configuración de un recurso durante el tiempo. ¿Qué servicio es más adecuado?
  1. AWS Config
  2. AWS Budgets
  3. Amazon Translate
  4. AWS Shield
Ver respuesta y explicación

Respuesta: A. AWS Config mantiene historial de configuración de recursos.

12. ¿Qué afirmación resume mejor estos tres servicios?
  1. CloudWatch monitoriza; CloudTrail audita actividad; AWS Config evalúa configuración
  2. CloudWatch migra servidores; CloudTrail calcula costes; Config traduce texto
  3. Los tres son servicios exclusivos de bases de datos
  4. Los tres sustituyen a IAM
Ver respuesta y explicación

Respuesta: A. Es la comparación principal que debes recordar para el examen.

Resumen final

CloudWatch, CloudTrail y AWS Config son tres servicios fundamentales para operar y gobernar AWS. CloudWatch ayuda a observar métricas, logs y alarmas. CloudTrail registra actividad de cuenta y llamadas API, por lo que es clave para auditoría. AWS Config registra configuración, historial y cumplimiento frente a reglas.

Para aprobar CLF-C02, recuerda la diferencia principal: si la pregunta trata de rendimiento o logs, piensa en CloudWatch; si trata de quién hizo una acción, piensa en CloudTrail; si trata de configuración o cumplimiento, piensa en AWS Config.

Tu siguiente paso: continúa con AWS Organizations, cuentas y SCP para entender cómo se gobiernan varias cuentas AWS y cómo se aplican límites centralizados.
← Servicios de seguridad AWS para CLF-C02 AWS Organizations, cuentas y SCP para CLF-C02 →