AWS 1.docx

Full Transcript

¿Qué herramientas debe utilizar un arquitecto de soluciones para
planificar la migración a la nube cuando no hay una base de datos de
gestión de configuración central y la documentación está desactualizada?
\"

✅ AWS Application Discovery Service, AWS Cloud Adoption Readiness Tool
(CART) y AWS Migration Hub.

🔵

AWS Application Discovery Service: Mapea dependencias y datos de
utilización del servidor.

AWS CART: Evalúa la preparación para la adopción de la nube.

AWS Migration Hub: Centraliza el seguimiento del progreso de migración.

❌

AWS Server Migration Service: No se utiliza para la fase de
planificación.

AWS Config: No evalúa recursos locales.

CloudWatch Logs: No es necesario para la planificación de migración.\"

¿Qué acciones debe realizar un arquitecto de soluciones para garantizar
que una aplicación de procesamiento de pedidos con patrones de uso
variables esté disponible y procese los pedidos en orden? \"✅ Utilizar
Amazon SQS con colas FIFO para garantizar el orden de los mensajes y
usar instancias reservadas en varias zonas de disponibilidad para el
procesamiento.

🔵

Amazon SQS con FIFO: Asegura que los mensajes se entreguen en el orden
correcto.

Instancias Reservadas: Garantizan disponibilidad al mejor costo.

❌

Instancias Spot: Pueden dejar de estar disponibles.

Amazon SNS: No es adecuado para este caso de uso.\"

¿Cómo mejorar el rendimiento de una tabla DynamoDB que sufre de
excepciones ProvisionedThroughputExceeded? \"✅ Habilitar el escalado
automático de DynamoDB y aprovisionar un clúster de DynamoDB Accelerator
(DAX).

🔵

Escalado Automático: Ajusta la capacidad de lectura y escritura según la
carga.

DAX: Mejora el rendimiento de lectura sin cambiar la aplicación.

❌

Capacidad Adaptable: Se habilita automáticamente y no resuelve el
problema de limitación.

ElastiCache: DAX es una mejor opción para DynamoDB.\"

¿Qué solución debe implementar un arquitecto de soluciones para ofrecer
alta disponibilidad en varias regiones con Amazon RDS? \"✅ Habilitar una
réplica de lectura entre regiones y promoverla en caso de interrupción.

🔵

Réplica de Lectura: Permite recuperación ante desastres rápida y fácil.

Alta Disponibilidad: Las aplicaciones se redirigen al nuevo punto final
tras la promoción.

❌

Copias de Seguridad Automáticas: No se pueden promover directamente.

Tablas Globales: No están disponibles para Amazon RDS.\"

¿Cuál podría ser la causa de problemas de rendimiento en una instancia
de base de datos Amazon RDS durante un período pico? \"✅ El saldo de
crédito de E/S se agotó debido a poco almacenamiento en disco durante la
configuración.

🔵

Saldo de Crédito de E/S: Limitación temporal en la capacidad de IOPS
durante la ráfaga.

Almacenamiento SSD de Propósito General: Tiene un rendimiento de
referencia de 3 IOPS por GiB.

❌

Reconstituir Índices: No es probable que provoque el problema.

Conexiones Máximas: Poco probable con MySQL en RDS.

Ancho de Banda de Red: El problema está en el rendimiento del
almacenamiento.\"

¿Cómo mejorar los tiempos de respuesta de una aplicación que utiliza
contenido multimedia estático para usuarios de todo el mundo? \"✅ Mover
el contenido a Amazon S3, crear una distribución de Amazon CloudFront y
utilizar Lambda\@Edge para cargar diferentes recursos según el
User-Agent.

🔵

CloudFront: Reduce la carga en las instancias EC2 al almacenar en caché
el contenido.

Lambda\@Edge: Personaliza el contenido según el sistema operativo del
cliente.

❌

ALB Independientes: No se pueden enrutar según el User-Agent.

NLB: No puede enrutar según el User-Agent.

CloudFront sin Lambda\@Edge: No puede procesar el encabezado User-Agent
directamente.\"

¿Cómo implementar redundancia en una conexión AWS Direct Connect con
múltiples VPCs en diferentes regiones? \"✅ Crear una nueva conexión DX a
la misma región y aprovisionar una puerta de enlace de Direct Connect
para conectar las VPCs de ambas regiones.

🔵

Puerta de Enlace de DX: Permite conectar múltiples VPCs a través de una
única conexión DX.

Redundancia: Proporciona una segunda conexión DX a la misma región.

❌

Segunda Conexión a Otra Región: No cumple con el requisito de
redundancia.

Puerta de Enlace de Tránsito: No es necesaria para este escenario.\"

¿Cómo gestionar cuentas de AWS de diferentes unidades de negocio con una
única factura y restricciones de servicios centralizadas? \"✅ Crear una
organización en AWS Organizations y utilizar SCPs para aplicar
restricciones a las cuentas de unidad de negocio.

🔵

AWS Organizations: Habilita la facturación consolidada y gestión
centralizada.

SCP: Restringe los permisos y funcionalidades de las cuentas de negocio.

❌

Relaciones de Confianza entre Organizaciones: No es una opción en AWS
Organizations.

Límites de Permisos en IAM: No se aplican a cuentas completas.

Facturación Consolidada sin Organizations: No se puede aplicar.\"

¿Cómo permitir temporalmente el acceso a AWS DMS para completar una
migración en curso? \"✅ Crear una unidad organizativa temporal para la
nueva cuenta, aplicar un SCP para permitir AWS DMS y mover el SCP de la
lista de denegados de la raíz a la unidad de producción.

🔵

SCP de Lista de Denegación: Se mueve a la unidad organizativa de
producción.

Unidad Temporal: Permite acceso a DMS temporalmente.

❌

Eliminar SCP de Denegación: Habilitaría DMS para todas las cuentas.

Nueva OU sin Mover SCP: La denegación en la raíz bloquea el acceso.\"

¿Cómo aplicar una política de no permitir direcciones IP públicas en
instancias EC2 dentro de AWS Control Tower? \"✅ Configurar SCPs en AWS
Control Tower para no permitir la asignación de direcciones IP públicas
a instancias de EC2 en todas las OU.

🔵

SCP en Control Tower: Asegura que ninguna instancia EC2 tenga IP
pública.

Gestión Centralizada: Facilita la aplicación de políticas en todas las
cuentas.

❌

AWS Config: Es reactivo y no evita asignación de IPs.

ACL de Red: No controla la asignación de IPs públicas.

AWS WAF: No gestiona IPs públicas en instancias EC2.\"

¿Cómo controlar que los desarrolladores no superen el presupuesto
mensual fijo en sus cuentas de desarrollo? \"✅ Definir un presupuesto
mensual fijo en AWS Budgets, crear un SCP que deniegue acceso a
servicios costosos y configurar una acción de alerta que invoque una
función Lambda para finalizar servicios.

🔵

AWS Budgets: Define el presupuesto y envía alertas.

SCP: Restringe el uso de servicios caros.

Lambda: Finaliza servicios si se alcanza el límite presupuestario.

❌

Límites en IAM: No aplican a cuentas completas.

Acción de Alerta para Finalizar Servicios: No finaliza todos los
servicios automáticamente.\"

¿Cómo prevenir ataques a una aplicación de comercio electrónico en ECS
con ALB y DynamoDB? \"✅ Crear una distribución de CloudFront con ALB
como origen y configurar un encabezado personalizado con un valor
secreto. Implementar una ACL web de AWS WAF que bloquee el tráfico de
ataque.

🔵

CloudFront con Encabezado Personalizado: Protege el origen ALB.

WAF: Bloquea ataques web conocidos.

❌

ECS en dos regiones: No es rentable.

DAX o ElastiCache: No ayudan con ataques web.\"

¿Cómo gestionar la creación de servicios de infraestructura de manera
centralizada utilizando una cuenta central de AWS? \"✅ Definir servicios
de infraestructura en plantillas de CloudFormation, cargarlas como
productos en AWS Service Catalog y compartirlas con AWS Organizations.
Permitir a los usuarios acceso solo de lectura y aplicar restricciones
de lanzamiento.

🔵

AWS Service Catalog: Centraliza la gestión y distribución de servicios.

Restricción de Lanzamiento: Asegura permisos mínimos necesarios.

❌

Uso de S3: No permite distribución adecuada.

IAM Full Access: No aplica permisos mínimos.\"

¿Cómo desacoplar capas de una aplicación web que puede experimentar
picos de tráfico y asegurar la entrega a la base de datos? \"✅ Crear una
cola de Amazon SQS y desacoplar las capas de la aplicación y la base de
datos. Configurar una función de Lambda para escribir elementos de la
cola en la base de datos.

🔵

Amazon SQS: Garantiza que las solicitudes no se pierdan y se procesen de
manera ordenada.

Lambda: Procesa las solicitudes de manera escalable y sin servidor.

❌

Escalado Programado: No resuelve el problema de picos impredecibles.

Migrar a DynamoDB: Cambia el modelo de datos.

ElastiCache: Mejora solo el rendimiento de lectura.\"

¿Cómo hacer que una aplicación web solo sea accesible desde un país
específico y registrar intentos bloqueados? \"✅ Crear una ACL web de AWS
WAF con una regla de coincidencia geográfica para bloquear solicitudes
de fuera del país especificado y asociarla con el ALB.

🔵

WAF: Filtra tráfico basado en reglas geográficas.

ALB: Aplica la ACL web a todo el tráfico entrante.

❌

WAF con IPSet: Complejo de mantener.

AWS Shield: No filtra tráfico basado en ubicación.

Grupo de Seguridad: No es adecuado para reglas geográficas.\"

¿Cuál es la solución más rentable para almacenar documentos a los que se
accede frecuentemente durante 3 meses y luego raramente, con un periodo
de retención de 7 años? \"✅ Almacenar documentos en S3 con una política
de ciclo de vida para moverlos a S3 Glacier después de 3 meses y hacer
caducar los documentos de S3 Glacier después de 7 años.

🔵

Política de Ciclo de Vida: Automatiza la transición y expiración de
objetos en S3.

S3 Glacier: Almacenamiento de bajo costo para datos archivados.

❌

EBS: Más costoso y no automatiza la eliminación.

EFS y Cron Job: No se ajusta al uso prolongado y automatizado.\"

¿Cómo resolver el problema de una aplicación en una cuenta de producción
que no puede resolver un CNAME en una zona alojada privada en la cuenta
de administración? \"✅ Crear una autorización para asociar la zona
alojada privada en la cuenta de administración con la nueva VPC en la
cuenta de producción y asociar la VPC en la cuenta de producción con la
zona alojada en la cuenta de administración.

🔵

Autorización de Asociación: Permite a la VPC de producción acceder a la
zona alojada en la cuenta de administración.

Asociar VPC: Habilita la resolución de nombres DNS.

❌

Zona Alojada Privada en Producción: No se puede replicar en otra cuenta.

Codificar DNS en /etc/resolv.conf: Mala práctica y no resuelve el
problema.\"

¿Qué elementos verificar para asegurarse de que la federación de
identidad SAML esté configurada correctamente y un usuario pueda
autenticarse en AWS? \"✅ El IdP define afirmaciones SAML que asignan
correctamente a los usuarios o grupos a roles de IAM con permisos
adecuados.

Los roles de IAM creados para usuarios federados tienen al proveedor
SAML como principal.

El portal web llama a la API AssumeRoleWithSAML de AWS STS con el ARN
del proveedor SAML, el ARN del rol IAM y la afirmación SAML del IdP.

🔵

Asociación de Roles y Principal: Asegura que el IdP y AWS confíen
mutuamente.

API de AWS STS: Permite la federación segura con roles.

❌

Códigos TOTP: No aplican a SAML.

Configuración de Eventos STS: No es necesaria para la federación.\"

¿Cómo garantizar que las AMIs aprobadas sean escaneadas regularmente y
estén marcadas como seguras antes de que los desarrolladores puedan
usarlas? \"✅ Usar Amazon Inspector para ejecutar el paquete de
evaluación CVE en las instancias EC2 lanzadas desde las AMIs aprobadas.
Usar AWS Lambda para escribir reglas de aprobación automática y
almacenar la lista de AMIs aprobadas en AWS Systems Manager Parameter
Store. Usar EventBridge para iniciar un documento de automatización de
Systems Manager en todas las instancias EC2 cada 30 días.

🔵

Amazon Inspector: Realiza evaluaciones de seguridad.

Lambda y EventBridge: Automatiza el proceso de escaneo y aprobación.

❌

SSM para CVE: No tiene paquetes de evaluación CVE.

AWS Config: No realiza evaluaciones de CVE.

GuardDuty: No realiza evaluaciones de CVE.\"

¿Cómo garantizar que una función Lambda que replica objetos S3 no afecte
a otras funciones críticas debido a límites de concurrencia regional?
\"✅ Configurar el límite de simultaneidad reservado para la nueva
función Lambda y monitorear las funciones Lambda críticas con alarmas de
CloudWatch para la métrica Lambda Throttles.

🔵

Concurrencia Reservada: Asigna capacidad exclusiva para la función
Lambda, evitando que otras funciones críticas se vean afectadas.

Alarmas de CloudWatch: Monitorean limitaciones de concurrencia en las
funciones críticas.

❌

Modificar tiempo de espera: No evita que otras funciones sean limitadas.

Multiples funciones Lambda y balanceo de carga: No es un enfoque
eficiente en este contexto.

Reducción exponencial: No previene limitaciones de concurrencia
regional.\"

¿Cómo restringir el acceso a contenido estático y dinámico de una
aplicación para que solo esté disponible a través de Amazon CloudFront?
\"✅ Configurar CloudFront para agregar un encabezado personalizado a las
solicitudes al origen. Crear una ACL web en AWS WAF que valide el
encabezado en el ALB. Crear una OAI (Identity de Acceso de Origen) en
CloudFront y actualizar la política del bucket S3 para permitir solo
acceso desde la OAI.

🔵

Encabezado personalizado: Permite que ALB solo acepte solicitudes
provenientes de CloudFront.

OAI: Restringe el acceso directo al bucket S3, asegurando que los
archivos solo se puedan acceder a través de CloudFront.

❌

Encabezado en ALB: ALB no puede agregar encabezados personalizados, esto
se hace en CloudFront.

WAF asociado a CloudFront: WAF debe estar asociado al ALB para validar
el encabezado.

Direcciones IP de CloudFront: Difícil de mantener, mejor usar OAI.\"

¿Cómo enmascarar datos de tarjetas de crédito y transformar registros en
JSON para procesamiento adicional en S3? \"✅ Crear un rastreador de AWS
Glue y un clasificador personalizado, activar una función Lambda en la
entrega de archivos para iniciar un trabajo ETL de AWS Glue que
transforme los registros y los envíe a otro bucket de S3 en formato
JSON.

🔵

AWS Glue: Realiza transformaciones ETL, como enmascaramiento de datos y
cambio de formato.

Lambda y S3: Inicia automáticamente el proceso ETL cuando llegan nuevos
datos.

❌

Lambda y SQS: Menos eficiente para trabajos ETL complejos.

MSK y Lambda: No adecuado para este caso ETL.

Athena y EMR: Glue es más fácil de implementar y gestionar.\"

¿Cómo migrar una aplicación on-premises que utiliza un sistema de
almacenamiento NFS y colas a AWS, manteniendo la eficiencia y el costo?
\"✅ Crear una cola con Amazon SQS, ejecutar la aplicación web en EC2 y
configurarla para publicar en SQS. Utilizar un grupo de Auto Scaling de
EC2 para procesar las solicitudes y escalar basado en la longitud de la
cola. Almacenar los archivos procesados en S3.

🔵

Amazon SQS: Desacopla el sistema y permite escalar según la demanda.

Auto Scaling en EC2: Escala automáticamente para manejar picos de carga.

❌

Lambda para Procesar Archivos: No soporta tiempos de procesamiento
largos.

Amazon MQ: Más complejo y menos adecuado que SQS para este caso.

EC2 Preconfigurado: No escala automáticamente y es menos eficiente.\"

¿Cómo reducir los costos de funciones Lambda que se ejecutan durante más
de 4 minutos debido a latencia de red con una base de datos MySQL local?
\"✅ Migrar el servidor de base de datos MySQL a Amazon RDS Multi-AZ y
habilitar el almacenamiento en caché de API en API Gateway. Habilitar el
escalado automático en DynamoDB.

🔵

Amazon RDS: Reduce la latencia de red, eliminando la necesidad de
conexiones a la base de datos local.

API Gateway: Almacena en caché las respuestas, reduciendo las llamadas a
Lambda.

Escalado Automático: Ajusta la capacidad de DynamoDB según la demanda.

❌

Direct Connect: Costoso y no elimina la latencia de red completamente.

CloudFront para API Gateway: No se puede almacenar en caché resultados
directamente.

Instancias Reservadas: Lambda sigue siendo más rentable.\"

¿Cómo proporcionar acceso seguro y directo a Amazon OpenSearch Service
para desarrolladores remotos y en varias oficinas? \"✅ Configurar un
punto de conexión de VPN de cliente de AWS, asociarlo con una subred en
la VPC y configurar un portal de autoservicio de VPN de cliente.

🔵

AWS Client VPN: Proporciona acceso seguro y privado a la VPC desde
ubicaciones remotas.

Portal de Autoservicio: Simplifica el proceso de conexión para los
desarrolladores.

❌

Puerta de Enlace de Tránsito y OpenVPN: Más adecuado para conexiones de
red a red, no para desarrolladores individuales.

Direct Connect: Costoso y no se justifica para acceso individual.

Host Bastión: Requiere conexiones SSH individuales, complicado y menos
eficiente.\"

¿Cómo evitar que cuentas miembros en AWS Organizations compren
instancias reservadas de Amazon EC2? \"✅ Crear un SCP con el efecto
Denegar en la acción ec2:PurchaseReservedInstancesOffering y adjuntarlo
a la raíz de la organización.

🔵

SCP en la Raíz: Asegura que ninguna cuenta miembro, actual o futura,
pueda realizar la compra.

❌

Mover Cuentas a una Nueva OU: No afecta a cuentas futuras.

Regla de CloudWatch y Lambda: No se pueden eliminar instancias
reservadas con Lambda.

SCP en OU Específica: Complicado y propenso a errores.\"

¿Cuál es la solución más rentable para una aplicación en contenedores
Docker que utiliza ECS y requiere una base de datos MySQL? \"✅ Crear un
clúster de ECS usando una flota de instancias Spot con el vaciado
habilitado y aprovisionar la base de datos usando instancias reservadas.

🔵

ECS con Spot: Minimiza los costos de procesamiento.

RDS con Instancias Reservadas: Asegura alta disponibilidad y costo
reducido.

❌

Instancias Puntuales para RDS: No son recomendables para bases de datos
críticas.

Instancias On-Demand: Más costosas.\"

¿Cómo analizar datos de sensores en tiempo real y alertar al equipo de
gestión si se superan umbrales predefinidos? \"✅ Transmitir los datos
ambientales a Amazon Kinesis Data Streams, analizarlos con Lambda y
configurar SNS para enviar alertas inmediatas al equipo de
administración si se detectan anomalías.

🔵

Kinesis Data Streams: Permite el procesamiento en tiempo real.

Lambda: Escalable y sin servidor para análisis de datos.

SNS: Envía notificaciones inmediatas basadas en reglas.

❌

IoT Core y Kinesis Data Analytics: No es necesario para este caso.

MSK y Lambda: Más complejo.

Kinesis Data Firehose y EC2: No adecuado para análisis en tiempo real.\"

¿Cómo asegurarse de que todas las cuentas miembro actuales y futuras
tengan bloqueado el acceso a la compra de instancias reservadas de EC2?
\"✅ Crear un SCP con el efecto Denegar en la acción
ec2:PurchaseReservedInstancesOffering y adjuntarlo a la raíz de la
organización.

🔵

SCP en la Raíz: Se asegura de que ninguna cuenta miembro, actual o
futura, pueda realizar la compra de instancias reservadas.

SCP: Define políticas de control de servicio que limitan acciones
específicas.

❌

SCP a Nivel de OU: No afecta automáticamente a cuentas nuevas.

Regla de CloudWatch Events: No se puede activar en compras de instancias
reservadas.

Permitir en Cuenta Maestra: No asegura restricción en otras cuentas.\"

¿Cuáles son los pasos para gestionar la seguridad de las AMIs aprobadas
en AWS? \"✅

Utilizar Amazon Inspector para ejecutar evaluaciones CVE en instancias
EC2 lanzadas desde AMIs aprobadas.

Utilizar AWS Lambda para automatizar la lista de AMIs aprobadas en
Systems Manager Parameter Store.

Iniciar un documento de automatización de Systems Manager cada 30 días
con EventBridge.

🔵

Amazon Inspector: Evalúa vulnerabilidades en las AMIs.

AWS Lambda y EventBridge: Automatizan la evaluación y actualización de
AMIs.

❌

SSM para CVE: No tiene evaluaciones específicas para CVE.

AWS Config: No realiza evaluaciones de seguridad.

AWS GuardDuty: No hace evaluaciones CVE.\"

¿Cómo crear un clúster de ECS rentable con una base de datos MySQL en
Amazon RDS? \"✅ Crear un clúster de ECS utilizando una flota de
instancias Spot, con el vaciado de instancias habilitado. Aprovisionar
la base de datos usando instancias reservadas en Amazon RDS.

🔵

ECS con Spot: Minimiza costos del clúster.

RDS con Reservadas: Garantiza disponibilidad y costos predecibles.

❌

Instancias a Pedido: Más costosas.

Base de Datos con Instancias Puntuales: Riesgo de interrupción.

Solo Spot para ECS: Base de datos crítica debe ser estable.\"

¿Cómo transformar datos de tarjetas de crédito enmascarándolos y
convertirlos a formato JSON? \"✅ Crear un rastreador de AWS Glue con un
clasificador personalizado, activar una función de Lambda para iniciar
un trabajo ETL de Glue que procese los datos, y enviar el resultado en
JSON a un bucket de S3.

🔵

AWS Glue: Procesa, enmascara y transforma datos.

Lambda y S3: Automatizan el flujo de datos.

❌

Lambda y SQS: Menos eficiente para ETL.

MSK y Lambda: Más complejo de implementar.

Athena y EMR: Glue es más adecuado.\"

¿Cómo reducir costos y mejorar el rendimiento de una aplicación que
utiliza DynamoDB y funciones Lambda con uso creciente? \"✅ Migrar la
base de datos MySQL a Amazon RDS Multi-AZ, habilitar almacenamiento en
caché en API Gateway y activar el escalado automático en DynamoDB.

🔵

RDS Multi-AZ: Reduce latencia y mejora disponibilidad.

API Gateway: Reduce llamadas Lambda con almacenamiento en caché.

DynamoDB Escalado Automático: Ajusta capacidad según demanda.

❌

Direct Connect: Costoso y no resuelve latencia.

CloudFront en API Gateway: No se puede usar directamente.

ElastiCache para DynamoDB: Más complejo de implementar.\"

¿Cuál es la mejor manera de permitir el acceso a AWS OpenSearch Service
para desarrolladores remotos mientras se mantienen los datos en la VPC?
\"✅ Configurar un punto de conexión de VPN de cliente de AWS, asociarlo
con una subred en la VPC y configurar un portal de autoservicio para el
acceso VPN.

🔵

AWS Client VPN: Proporciona acceso seguro y privado desde cualquier
ubicación.

Portal de Autoservicio: Facilita el acceso para desarrolladores.

❌

Puerta de Enlace de Tránsito y VPN: Más complejo para usuarios
individuales.

Direct Connect: Costoso y excesivo para acceso remoto.

Host Bastión: Requiere acceso SSH, menos eficiente.\"

¿Cómo procesar datos de sensores en tiempo real y enviar alertas
inmediatas si se detectan anomalías? \"✅ Transmitir datos a Amazon
Kinesis Data Streams, analizarlos con Lambda y configurar Amazon SNS
para enviar alertas al equipo de administración si se detectan
anomalías.

🔵

Kinesis Data Streams: Ideal para transmisión en tiempo real.

Lambda: Procesa y analiza datos sin servidor.

SNS: Notificaciones inmediatas basadas en reglas.

❌

IoT Core y Kinesis Analytics: Más complejo de implementar.

MSK y Lambda: Mayor complejidad.

Kinesis Data Firehose y EC2: No es adecuado para análisis en tiempo
real.\"