Dominio 2 · Seguridad y cumplimiento
Este dominio representa aproximadamente 30% del contenido puntuado. No lo estudies como teoría aislada: cada concepto debe terminar conectado con una decisión práctica dentro de AWS.
Cómo estudiar seguridad y cumplimiento
Trabaja esta página con un objetivo concreto: separar responsabilidades y reconocer servicios de identidad, protección, detección y gobierno. Primero entiende el concepto con tus palabras, después mira los servicios asociados y finalmente practica con un escenario. Evita estudiar como una lista; en CLF-C02 casi siempre te pedirán reconocer la intención de negocio o la responsabilidad correcta.
Objetivos del dominio
- Explicar responsabilidad compartida entre AWS y cliente.
- Entender IAM, usuarios, grupos, roles, políticas, MFA y credenciales temporales.
- Identificar servicios de seguridad, cifrado, detección y protección.
- Reconocer recursos de compliance, gobierno, auditoría y gestión de cuentas.
Lo que tienes que dominar
AWS protege la infraestructura de la nube; el cliente protege lo que configura dentro de la nube.
IAM se basa en permisos explícitos, mínimo privilegio y uso de roles siempre que sea posible.
CloudTrail registra llamadas a la API; Config evalúa configuración; CloudWatch observa métricas y logs.
Artifact, Organizations, SCP, Control Tower y Trusted Advisor aparecen en preguntas de gobierno y control.
Errores frecuentes
- Memorizar definiciones sin saber aplicarlas a un escenario.
- Elegir servicios demasiado avanzados para una pregunta Foundation.
- Olvidar que AWS premia servicios gestionados, elasticidad y pago por uso.
- No distinguir entre seguridad, gobierno, auditoría y operaciones.
Mini examen mental
Al terminar este dominio deberías poder explicar a un compañero qué problema resuelve cada servicio o concepto, cuándo usarlo y qué opción descartarías en una pregunta tipo test.
Dominio 2: el más pesado
Esta ampliación está pensada para estudiar como lo haría un alumno antes del examen: entender primero el caso de uso, relacionarlo con el servicio correcto y practicar con ejemplos cortos. No hace falta aprender cada detalle técnico; para Cloud Practitioner necesitas reconocer conceptos, responsabilidades y decisiones básicas.
- Seguridad y cumplimiento pesa mucho: no lo dejes para el final.
- AWS protege la nube; el cliente protege lo que configura y ejecuta en la nube.
- IAM, cifrado, logging y compliance aparecen una y otra vez.
Preguntas probables sobre seguridad y cumplimiento
El enunciado suele darte una pista directa: separar responsabilidades y reconocer servicios de identidad, protección, detección y gobierno. Subraya esa parte antes de mirar las respuestas.
Una opción será técnicamente posible pero más compleja, menos gestionada o pensada para otro caso de uso.
Compara alcance, responsabilidad, coste operativo y nivel de gestión del servicio.
La mejor respuesta suele resolver el problema con el servicio más específico y sin añadir piezas innecesarias.
Repaso guiado para fijarlo
| Lo que debes saber explicar | Cómo decirlo en sencillo | Error típico |
|---|---|---|
| Concepto principal | Explica el servicio o idea en una frase, sin jerga y con un ejemplo práctico. | Aprender una definición de memoria sin saber aplicarla a un escenario. |
| Caso de uso | Relaciona el tema con una necesidad: guardar objetos, ejecutar código, proteger accesos, monitorizar, ahorrar costes o escalar. | Elegir un servicio parecido solo porque te suena más. |
| Responsabilidad | Separa qué gestiona AWS y qué debe configurar el cliente. | Creer que al ser cloud AWS se encarga de todo. |
| Palabras clave | Detecta términos como Multi-AZ, serverless, object storage, audit logs, budget alert, DNS, CDN, encryption o least privilege. | No leer el objetivo de la pregunta y contestar por intuición. |
Profundización práctica · Seguridad y cumplimiento
Este bloque se ha revisado para que no sea una repetición del resto de la ruta. La clave aquí es separar responsabilidades y reconocer servicios de identidad, protección, detección y gobierno. Estúdialo buscando señales: qué necesidad plantea el escenario, qué servicio encaja y qué alternativa sería demasiado compleja o incorrecta.
Mapa mental de la lección
- responsabilidad compartida: relaciónalo con un caso real de empresa y con una palabra clave de examen.
- MFA: relaciónalo con un caso real de empresa y con una palabra clave de examen.
- mínimo privilegio: relaciónalo con un caso real de empresa y con una palabra clave de examen.
- cifrado: relaciónalo con un caso real de empresa y con una palabra clave de examen.
- auditoría: relaciónalo con un caso real de empresa y con una palabra clave de examen.
Práctica aplicada
Construye una matriz: identidad, cifrado, auditoría, postura y detección; coloca los servicios adecuados en cada columna.
Al terminar, intenta explicarlo en voz alta como si tuvieras que defender la respuesta delante de un compañero.
Errores a evitar
- decir que AWS protege tus datos por defecto en todos los casos
- no aplicar mínimo privilegio
- confundir CloudTrail con CloudWatch
Lectura de escenarios
Busca verbos y restricciones: “reducir administración”, “auditar”, “bajo coste”, “sin servidores”, “alta disponibilidad”, “datos sensibles”, “acceso global” o “soporte crítico”. Esas pistas suelen llevarte al servicio correcto.
Servicios y conceptos que debes relacionar
Tabla de decisión rápida
| Situación | Respuesta que debes considerar | Por qué importa |
|---|---|---|
| Identidad | Quién puede hacer qué | IAM, IAM Identity Center |
| Cifrado | Proteger datos en reposo/tránsito | KMS, ACM |
| Auditoría | Saber quién hizo qué | CloudTrail |
Ruta orientada a la guía oficial AWS Certified Cloud Practitioner CLF-C02. Los servicios y pesos pueden cambiar; antes del examen conviene contrastar con la guía oficial más reciente.