AWS Solutions Architect Associate Cheat Sheet
Acerca de esta chuleta
Resumen de apuntes rápidos para el examen SAA C03 basados en documentación oficial de AWS, whitepapers, FAQs y práctica de cursos reconocidos. Diseñado para una última revisión antes del examen, con definiciones clave, patrones de diseño y decisiones de arquitectura.
Créditos
Agradecimientos a instructores y autores de cursos y tests de práctica como Adrian Cantrill, Chad Smith, Jon Bonso, Neal Davis, Ranga Karnam y Stephane Maarek por su excelente material formativo.
Actualización SAA C03
El examen SAA C03 vigente desde 2022 mantiene objetivos similares a C02 con cambios en la ponderación por dominios. Enfatiza diseño resiliente, costos, seguridad, automatización y migraciones.
Consejos para exámenes de práctica
Los tests sirven para validar comprensión y elección del servicio adecuado según escenario. Lee todo el enunciado, elimina opciones, piensa como arquitecto de soluciones, revisa explicaciones y toma notas. El examen real suele ser más directo que muchos bancos de preguntas.
Glosario de palabras clave
Región: ubicación geográfica con 2 o más zonas de disponibilidad, aislada de otras regiones. Comunicación entre regiones por internet público.
Zona de disponibilidad: uno o más datacenters discretos con red de baja latencia y alta redundancia.
Durabilidad: probabilidad de pérdida de datos. S3 ofrece 99.999999999 por ciento de durabilidad.
Disponibilidad: facilidad de acceso a un servicio. Despliegues multinodo y multi AZ aumentan disponibilidad.
Resiliencia: capacidad de recuperarse ante fallos parciales sin colapsar el sistema.
Tolerancia a fallos: el sistema sigue operativo aun con componentes fallando.
IAM
Un deny explícito siempre prevalece sobre allow. Usa roles para EC2, ECS tasks y delegación entre cuentas con STS y external ID. Para integrar identidades no SAML con AWS, emplea un broker de identidad personalizado. No se pueden adjuntar roles a servidores on premise; usa credenciales. Buenas prácticas: usuarios individuales, MFA, grupos, mínimo privilegio, roles para aplicaciones y límites de permisos.
Amazon S3
Clases de almacenamiento: Standard para acceso frecuente; Standard IA y One Zone IA para acceso infrecuente; Intelligent Tiering para patrones impredecibles; Glacier Instant Retrieval, Flexible Retrieval y Deep Archive para archivo con distintos tiempos de recuperación.
Recuperación Glacier Flexible Retrieval: expedited 1 a 5 min, standard 3 a 5 h, bulk 5 a 12 h. Deep Archive: standard desde 12 h, bulk desde 48 h.
Replicación: SRR para agregación de logs, separación por cuentas o requisitos de soberanía; CRR entre regiones cuando se requiere copia geográfica.
Cifrado: SSE S3, SSE KMS, SSE C y cifrado del lado cliente. Para forzar cifrado, política que deniegue Put sin cabecera x amz server side encryption. Usa Athena para análisis SQL costo efectivo sobre datos en S3.
Object Lock: WORM, impide borrado o modificación por tiempo definido. Requiere habilitarse al crear el bucket y activa versioning.
Hosting estático: solo contenido estático y scripts cliente, no procesamiento server side.
Acceso desde EC2 o ECS: asigna rol. Transferencia entre EC2 y S3 en la misma región sin costo.
Transfer Acceleration: usa edge locations de CloudFront para cargas globales de archivos voluminosos.
Costes: versionado y multiparte incompleto facturan. Transferencia entre buckets en misma región sin costo. Endpoints VPC: gateway es sin costo y no permite on premise; interface ofrece IPs privadas, acceso desde on premise y otras regiones con costo.
Amazon EFS
Sistema de archivos compartido NFS, jerárquico, concurrente para EC2, ECS y Lambda. Intelligent Tiering mueve archivos entre Standard y IA de forma automática. Modos de rendimiento: bursting por tamaño y provisioned para picos superiores.
Amazon FSx
FSx for Windows Server: SMB, integración con Active Directory, DFSR. FSx for Lustre: HPC, montable en EC2; Fargate no soporta Lustre, usa EFS.
Snowball Edge vs DataSync
Snowball Edge: transferencia offline con cómputo local en ubicaciones remotas y entornos desconectados. DataSync: transferencia online segura y acelerada entre NFS, SMB, HDFS, EFS, FSx y S3, tolera cortes breves reanudando tareas.
AWS Storage Gateway
File Gateway para NFS o SMB con cache local y destino S3 o FSx. Volume Gateway iSCSI en modos cached o stored con snapshots y AWS Backup. Tape Gateway emula VTL y archiva en S3 Glacier Flexible Retrieval y Deep Archive.
CloudFront y Lambda at Edge
CDN con geoblocking, VOD y live, caché de medios y OAI para restringir acceso directo a S3. Grupos de orígenes para alta disponibilidad. Field level encryption para proteger campos sensibles. Lambda at Edge permite personalizar rutas por dispositivo, SEO, enrutar por origen o región del usuario.
AWS Global Accelerator
Dos IPs estáticas globales, mejora disponibilidad y latencia para TCP y UDP, health checks y failover automático, útil cuando firewalls on premise necesitan whitelisting de IPs fijas.
EC2
Hibernación preserva RAM y volumen raíz EBS, no se factura cómputo. Spot para cargas interrumpibles como batch o análisis. Placement groups: cluster para baja latencia, partition para grandes distribuidos como Hadoop o Kafka, spread para minimizar fallos correlacionados.
Elastic Beanstalk
Plataforma gestionada ideal para apps web simples, despliegue con provisión, balanceo, autoescalado y monitorización; admite escalado por horario.
ECS y balanceadores
ECS con Fargate escala con Application Auto Scaling por CPU de servicios y reparte tareas entre AZ. NLB capa 4 para TCP y UDP de ultra baja latencia. ALB capa 7 con redirección HTTP a HTTPS y routing por path.
Sesiones
Sticky sessions en ALB mantienen afinidad pero pueden desequilibrar tráfico y perder sesión en fallo. Distribución de sesión con ElastiCache Redis o Memcached añade latencia de red pero ofrece alta velocidad y resiliencia.
Auto Scaling
Programado para patrones predecibles. Dinámico con target tracking para picos impredecibles manteniendo CPU objetivo. Predictivo para tráfico cíclico o apps con warmup largo. Puedes escalar por longitud de cola SQS. Suspend resume pausa actividades durante cambios.
RDS
OLTP gestionado con Storage Auto Scaling sin downtime. DMS migra bases on premise a RDS sin cambiar código. Read replicas mejoran rendimiento de lectura y pueden ser multi región; requieren backups automáticos en origen y pueden verse afectadas por transacciones largas. Multi AZ es para alta disponibilidad dentro de la misma región. Para cifrar una instancia no cifrada, crea snapshot, copia cifrada y restaura.
Aurora
Baja latencia de replicación menor a un segundo, hasta 15 réplicas, failover automático. Global Database para DR multi región con RPO de 1 s y RTO menor a 1 min. Aurora Serverless escala automáticamente y es ideal para uso intermitente.
Redshift y EMR
Redshift para data warehousing y analítica compleja a gran escala. EMR para big data con Spark, Hive y Presto.
Lambda
Ejecución hasta 15 minutos. Minimiza overhead operativo para microservicios, integraciones y procesamiento por eventos.
DynamoDB
NoSQL key value y documentos JSON, milisegundos de latencia y millones de peticiones por segundo. Modo on demand para picos impredecibles como flash sales. TTL para eliminar ítems expirados. Índices secundarios para consultas alternativas. DAX acelera lecturas a microsegundos.
API Gateway y arquitectura serverless
Exposición de APIs REST y WebSocket con integración a Lambda o Fargate. Patrón típico: S3 y CloudFront para frontend, API Gateway y Lambda o ECS para lógica, DynamoDB o Aurora y ElastiCache como capa de datos.
CloudWatch y CloudTrail
Para métricas de memoria y disco instala CloudWatch Agent. Alarmas de recuperación de instancia aplican a fallos de status de instancia. CloudTrail registra eventos de gestión por defecto; datos e Insights tienen coste adicional. Protege logs en bucket central, integridad, cifrado SSE KMS y políticas adecuadas.
Route 53
Registros A apuntan a IP, CNAME mapea nombre a nombre y no se usa en raíz, Alias mapea a recursos de AWS como ALB o CloudFront y sirve para raíz. AAAA para IPv6, MX para correo. Políticas: simple, failover activo pasivo, latency, geolocation por usuario, geoproximity por recurso, multivalue con health checks y weighted por peso.
SQS
Desacopla componentes. Standard ofrece al menos una vez y orden best effort con alto throughput. FIFO garantiza exactamente una vez y orden con menor throughput; deduplicación por contenido o id. Para prioridad usa colas separadas y lógica en consumidores.
Kinesis
Ingesta y procesamiento en tiempo real. Video Streams para video, Data Streams para eventos a gigabytes por segundo, Firehose para entrega casi en tiempo real a S3, Redshift o OpenSearch, y Data Analytics para SQL o Flink sobre streams. Retención ampliable a 7 días.
SNS y SES
SNS fanout para paralelizar procesamiento publicando a SQS, Lambda, Firehose o HTTP. SES para correo transaccional, marketing y masivo a escala global.
Secrets Manager
Gestión de secretos con rotación automática, ideal para credenciales de RDS, EC2 y Lambda.
Seguridad
Inspector descubre vulnerabilidades y exposición en EC2 y contenedores. GuardDuty detecta amenazas analizando CloudTrail, VPC Flow Logs y DNS, incluyendo criptominería. Macie clasifica datos sensibles en S3 como PII. Shield mitiga DDoS. WAF protege contra inyección SQL, XSS y floods y se integra con CloudFront, ALB, API Gateway y AppSync; sus reglas se evalúan antes que políticas e identificadores.
VPC y red
No puedes cambiar el rango CIDR de una VPC o subred existente; agrega un CIDR secundario o migra a una nueva VPC. IPv4 no se puede deshabilitar; puedes tener dual stack con IPv6. VPC Sharing permite cuentas de la misma organización desplegar recursos en VPC compartidas. Flow Logs a CloudWatch o S3 para auditoría y diagnóstico. NAT Gateway es resiliente por AZ, despliega uno por AZ pública para alta disponibilidad. Site to Site VPN es rápido de aprovisionar y económico con throughput por túnel de 1.25 Gbps; escala con Transit Gateway y ECMP. Direct Connect ofrece menor costo de transferencia y opciones de alta resiliencia con conexiones en múltiples ubicaciones.
Organizations
Usa aws:PrincipalOrgID en políticas basadas en recursos para restringir acceso a principales dentro de tu organización.
Q2BSTUDIO y tu camino a la certificación
En Q2BSTUDIO te acompañamos con servicios cloud AWS y Azure, arquitectura de referencia, automatización, finops, ciberseguridad y diseño de aplicaciones a medida y software a medida para llevar tus soluciones al siguiente nivel. Si buscas un socio experto para desplegar workloads resilientes, optimizar costes y acelerar migraciones, visita nuestros servicios cloud AWS y Azure.
IA para empresas y analítica
También impulsamos inteligencia artificial y agentes IA integrados con tus datos, además de servicios inteligencia de negocio y power bi para cuadros de mando de alto impacto. Descubre cómo aplicamos modelos de inteligencia artificial a procesos críticos en nuestra página de inteligencia artificial.
Palabras clave para ayudarte a encontrar este recurso
aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi, automatización de procesos
Nota final
Esta chuleta es para consulta rápida. Practica con escenarios, prioriza seguridad, resiliencia, eficiencia de costos y automatización, y recuerda seleccionar el servicio que mejor se alinee con los requisitos funcionales y no funcionales de cada caso.