Imagina esto: después de meses de estudio, exámenes de práctica y alguna que otra duda, por fin pulsas el botón de enviar. La pantalla muestra el mensaje que esperabas ver: has aprobado el AWS Certified Solutions Architect Professional. La sensación es como terminar una gran comida después de horas en la cocina: alivio, orgullo y un toque de cansancio bien merecido.
De qué va realmente esta certificación Diseñar arquitecturas complejas en AWS, seguridad, cumplimiento y gobierno a escala, optimización de costes, rendimiento y resiliencia, migración y modernización de cargas, y saber equilibrar trade offs con necesidades reales del negocio.
Aprobar no va de memorizar preguntas, sino de comprender cómo funciona AWS a escala. Dos temas pesan especialmente: Service Control Policies SCPs y Migraciones. A continuación comparto lo más valioso que aprendí, con ejemplos sencillos y analogías aplicables al mundo real.
Antes, contexto rápido: en Q2BSTUDIO somos una empresa de desarrollo de software a medida y aplicaciones a medida, especialistas en inteligencia artificial, ciberseguridad, servicios cloud AWS y Azure, servicios inteligencia de negocio y power BI, automatización y agentes IA. Si tu organización está planificando su aterrizaje en la nube o una modernización, podemos acompañarte extremo a extremo. Descubre nuestros servicios cloud AWS y Azure y cómo conectamos la nube con ia para empresas para acelerar resultados.
Service Control Policies SCPs parte técnica en sencillo SCPs forman parte de AWS Organizations y requieren activar all features. Si solo usas facturación consolidada, no puedes usar SCPs. Las SCPs no otorgan permisos; marcan el máximo permitido. Si IAM dice sí, pero la SCP dice no, el resultado es no. Se aplican desde la raíz, a OUs Unidades Organizativas o a cuentas individuales, heredando hacia abajo. Los permisos efectivos son la intersección de SCPs e IAM, todo debe permitirlo para que una acción funcione.
Enfoques comunes: lista de permisos permitidos allow list todo denegado salvo lo permitido, muy estricta y con sobrecarga; lista de denegaciones deny list todo permitido salvo lo denegado, más manejable y la más usada. Impacto: afectan a usuarios y roles IAM en cuentas miembro, incluido el root de esas cuentas; no afectan a la cuenta de gestión ni a roles vinculados a servicios. Beneficios: control centralizado para bloquear servicios, restringir regiones y reforzar cumplimiento. Buenas prácticas: evita empezar en la raíz, prueba primero en un OU; antes de restringir, apóyate en IAM last accessed data y CloudTrail para ver uso real.
Analogía de la casa familiar para raíz, OUs y SCPs La raíz es la casa de los padres. Cada OU es un dormitorio distinto. Cada cuenta es el hijo que vive en ese dormitorio.
Escenario 1 denegación en la raíz mala idea: candado en la nevera para todo el mundo nadie come helado. Aunque una regla local lo permita, la regla de la casa manda. Así funciona un deny en root sin excepciones.
Escenario 2 acceso total en raíz y denegaciones por OU mejor práctica: en la casa se permite todo FullAWSAccess por defecto. Cada dormitorio pone sus límites Hijo 1 sin helado, Hijo 2 sin chuches, Hijo 3 todo permitido. Si el Hijo 1 necesita helado para un proyecto, lo mueves temporalmente al dormitorio 3. Esa flexibilidad es el poder del deny a nivel de OU.
Escenario 3 allow list en raíz demasiado estricto: una pizarra gigante que dice solo pizza y manzanas. Cada alimento nuevo exige actualizar la pizarra. Mantenimiento alto y riesgo de bloquearte a ti mismo.
Resumen claro: deny en raíz candado global. Deny en OU reglas por habitación, con excepciones manejables. Allow list en raíz pizarra interminable. Estrategia ganadora deja FullAWSAccess en la raíz, aplica deny lists en OUs y mueve cuentas para excepciones.
Migraciones lo esencial para el examen SAP Planificación primero. Descubre qué tienes servidores, BDs y aplicaciones, agrupa por dependencias y elige estrategia con las 6 Rs. Igual que una mudanza familiar organizada decidiendo qué va, qué se queda y qué se actualiza.
AWS Application Discovery Service ADS Es tu inventario previo a la mudanza. Recopila datos de servidores, VMs, BDs y conexiones. Tres formas de descubrir datos: colector sin agente ideal para VMware, sin instalación, recoge host, IP, CPU, RAM, disco, pero no ve procesos ni dependencias; agente instalado en cada servidor con visibilidad profunda de procesos, flujos de red y performance, perfecto para mapear dependencias; importación por archivo si ya tienes inventario, lo subes a Migration Hub.
Tras el descubrimiento, los datos van a tu Migration Hub Home Region. Agrupas servidores en aplicaciones, exportas a S3, Athena o QuickSight para análisis de costes, dimensionas correctamente EC2 rightsizing y planificas con precisión.
Servicios de migración clave AWS Application Migration Service MGN es el campeón del lift and shift, replica servidores y los convierte en EC2 con poca caída de servicio e integra con Migration Hub. AWS Database Migration Service DMS migra bases de datos tanto homogéneas como heterogéneas y se apoya en Fleet Advisor para descubrir y planificar. AWS Migration Hub es el panel central que orquesta el estado de proyectos y aplicaciones, uses la herramienta que uses.
Estrategias de migración las 6 Rs Rehost lift and shift mover tal cual de VM a EC2. Replatform cambios ligeros por ejemplo pasar a Elastic Beanstalk o RDS. Refactor rearquitecturar a microservicios o serverless con Lambda. Repurchase sustituir por SaaS. Retire retirar lo que ya no aporta. Retain conservar on prem por ahora.
Conclusiones accionables SCPs son los guardarraíles de AWS Organizations. No conceden acceso, limitan el máximo. Mantén FullAWSAccess en raíz, aplica deny en OUs y gestiona excepciones moviendo cuentas. Migraciones exitosas requieren plan, descubrimiento con ADS, ejecución con MGN o DMS, visibilidad con Migration Hub y elección correcta de las 6 Rs. Con este enfoque, las migraciones se vuelven predecibles y eficientes en coste.
En Q2BSTUDIO unimos estrategia cloud con software a medida, inteligencia artificial y ciberseguridad para resultados tangibles. Si te preparas para AWS SAP o quieres llevar tu plataforma al siguiente nivel con servicios cloud AWS y Azure, automatización y agentes IA, estaremos encantados de ayudarte. También impulsamos decisiones con servicios inteligencia de negocio y power bi, y reforzamos tu postura de ciberseguridad end to end.
¿Listo para pasar de la preparación a la acción profesional en la nube? Da el siguiente paso con nuestros servicios cloud AWS y Azure o explora cómo integrar inteligencia artificial en tus productos y procesos. Preparación más práctica es igual a aprobar como un verdadero pro y a construir plataformas sólidas y seguras en producción.