Linkedin: https://www.linkedin.com/in/albertomoiseisdev/

Exame AWS Certified Cloud Practitioner

Meus tópicos e notas usados ​​ao estudar para o exame AWS Certified Cloud Practitioner (CLF-C01)

Meta

O exame AWS Certified Cloud Practitioner (CLF-C01) destina-se a indivíduos com conhecimento, habilidades e habilidades para demonstrar conhecimento básico da plataforma AWS, incluindo:

• Serviços disponíveis e seus casos de uso comuns
• Princípios de arquitetura da Nuvem AWS (no nível conceitual)
• Segurança e conformidade da conta.

Como resultado, você pode demonstrar um entendimento da economia da Nuvem AWS, incluindo: custos, faturamento e análise, e a proposta de valor da Nuvem AWS.

Seis vantagens da computação em nuvem

Troque despesas de capital por despesas variáveis ​​– Em vez de ter que investir pesadamente em datacenters e servidores antes de saber como usá-los, você pode pagar apenas quando consumir recursos de computação e pagar apenas por quanto consumir.

Beneficie-se de enormes economias de escala – Ao usar a computação em nuvem, você pode obter um custo variável mais baixo do que conseguiria por conta própria. Como o uso de centenas de milhares de clientes é agregado na nuvem, provedores como a AWS podem obter maiores economias de escala, o que se traduz em preços de pagamento conforme o uso mais baixo.

Pare de adivinhar a capacidade – Elimine a adivinhação de suas necessidades de capacidade de infraestrutura. Quando você toma uma decisão de capacidade antes de implantar um aplicativo, geralmente acaba ficando com recursos ociosos caros ou lidando com capacidade limitada. Com a computação em nuvem, esses problemas desaparecem. Você pode acessar o máximo ou o mínimo de capacidade que precisar e aumentar e diminuir conforme necessário com apenas alguns minutos de antecedência.

Aumente a velocidade e a agilidade – Em um ambiente de computação em nuvem, novos recursos de TI estão a apenas um clique de distância, o que significa que você reduz o tempo de disponibilização desses recursos para seus desenvolvedores de semanas para apenas alguns minutos. Isso resulta em um aumento dramático na agilidade da organização, já que o custo e o tempo necessários para experimentar e desenvolver são significativamente menores.

Pare de gastar dinheiro administrando e mantendo data centers – Concentre-se em projetos que diferenciam seus negócios, não na infraestrutura. A computação em nuvem permite que você se concentre em seus próprios clientes, em vez de no trabalho pesado de empilhar, empilhar e alimentar servidores.

Torne-se global em minutos – implemente facilmente seu aplicativo em várias regiões do mundo com apenas alguns cliques. Isso significa que você pode fornecer menor latência e uma melhor experiência para seus clientes a um custo mínimo.

Tipos de computação em nuvem

Infraestrutura como serviço (IaaS) - contém os blocos de construção básicos para TI em nuvem e geralmente fornece acesso a recursos de rede, computadores (virtuais ou em hardware dedicado) e espaço de armazenamento de dados. A IaaS fornece o mais alto nível de flexibilidade e controle de gerenciamento sobre seus recursos de TI e é mais semelhante aos recursos de TI existentes com os quais muitos departamentos e desenvolvedores de TI estão familiarizados hoje.

Plataforma como serviço (PaaS) - elimina a necessidade de sua organização gerenciar a infraestrutura subjacente (geralmente hardware e sistemas operacionais) e permite que você se concentre na implantação e no gerenciamento de seus aplicativos. Isso ajuda você a ser mais eficiente, pois não precisa se preocupar com aquisição de recursos, planejamento de capacidade, manutenção de software, aplicação de patches ou qualquer outro trabalho pesado indiferenciado envolvido na execução de seu aplicativo.

Software como Serviço (SaaS) - Fornece um produto completo que é executado e gerenciado pelo provedor de serviços. Na maioria dos casos, as pessoas que se referem a Software como Serviço estão se referindo a aplicativos de usuário final. Com uma oferta SaaS, você não precisa pensar em como o serviço é mantido ou como a infraestrutura subjacente é gerenciada; você só precisa pensar em como usará esse software específico. Um exemplo comum de aplicativo SaaS é o e-mail baseado na Web, que você pode usar para enviar e receber e-mails sem precisar gerenciar adições de recursos ao produto de e-mail ou manter os servidores e sistemas operacionais nos quais o programa de e-mail está sendo executado.

Estrutura bem arquitetada

• Excelência operacional
• Capacidade de executar e monitorar sistemas
• infra como código
• Alterações frequentes, pequenas e reversíveis
• Antecipar falhas
• Segurança
• Capacidade de processar informações, sistemas e ativos
• Princípio do privilégio mínimo (IAM)
• Automatizado com as melhores práticas
• Confiabilidade
• Capacidade de se recuperar de interrupções de infraestrutura ou serviço
• Escale horizontalmente para aumentar a disponibilidade agregada do sistema
• Pare de adivinhar a capacidade com escala automática
• Eficiência de Desempenho
• Capacidade de usar recursos de computação de forma eficiente
• Torne-se global em minutos
• Arquiteturas sem servidor
• Otimização de custos
• Capacidade de executar sistemas para agregar valor comercial ao menor preço
• Pague apenas pelo que usar
• Usar CloudWatch
• Tags para catalogar recursos

EU SOU

• IAM é um serviço global
• A conta raiz não deve ser usada para operar a AWS, pois não segue o princípio do menor privilégio
• Os usuários devem ser criados em vez disso, eles podem ser agrupados
• Os grupos podem conter apenas usuários (não outros grupos)
• Os usuários não precisam pertencer a um grupo, mas podem pertencer a vários grupos
• Políticas (JSON) podem ser aplicadas a grupos ou usuários
• Funções para instâncias do EC2 ou serviços da AWS
• Os relatórios de credenciais do IAM e o IAM Access Advisor podem ajudá-lo a auditar o uso do IAM
• IAM Policy Simulator: você pode testar e solucionar problemas de políticas IAM
• Algumas práticas recomendadas para IAM são: Usar MFA (Multi Factor Authentication), usar uma boa política de senha para usuários, nunca compartilhar usuários IAM ou chaves de acesso!

EC2

Opções de compra de instâncias

• Sob demanda
• Reservado
• mínimo de 1 ano
• Conversível: trabalhos longos com tipos de instâncias flexíveis ao longo do tempo
• Agendado: para uma reserva agendada com horário repetido
• Local: trabalhos curtos e baratos. Mas você pode perdê-lo facilmente devido ao modelo de preços.
• dedicada
• Host Dedicado: para ter um servidor físico só para você.
• Instância dedicada: o hardware é dedicado a você, você pode compartilhar o hardware com outras instâncias em sua conta e não há controle sobre qual hardware dedicado sua instância estará executando.
• Instance Store: fornece armazenamento temporário em nível de bloco para sua instância. Esse armazenamento está localizado em discos fisicamente conectados ao computador host.

EBS

• Volumes são unidades de rede que podem ser montadas em uma instância de cada vez (considere como verdadeiro para o contexto deste exame)
• Persiste dados que ainda vivem mesmo após o encerramento da instância
• Vinculado a um AZ específico
• Os instantâneos podem ser copiados para qualquer região
• As AMIs são criadas para uma região específica, mas podem ser copiadas entre regiões
• O EC2 Image Builder automatiza a criação, manutenção, validação e teste de AMI's (e pode ser agendado)
• O EC2 Local Instance Store pode ser usado para acelerar uma conexão de disco físico com a instância do EC2
• Amazon EFS (Elastic File System): é um NFS que pode ser montado em várias instâncias do EC2 ao mesmo tempo, e custa 3x mais que um EBS. É multi AZ dentro de uma região

ELB

• Alta disponibilidade significa que seu aplicativo está sendo executado em pelo menos 2 zonas de disponibilidade
• Scability: capacidade de acomodar uma carga maior aumentando o hardware (scaling up) ou adicionando nós (scale out)
• Elasticidade: depois que o sistema está sendo escalável, a elasticidade significa que o sistema pode ser dimensionado automaticamente com base na carga
• 4 tipos de balanceadores de carga:
• Application Load Balancer (somente http[s])
• Balanceador de carga de rede
• Balanceador de carga Gatewau
• Classic Load Balancer (obsoleto, geração antiga)

S3

• Convenções de nomenclatura para buckets
• Sem maiúsculas
• Sem sublinhado
• 3-63 caracteres
• Sem números de IP
• Deve começar com letra minúscula ou número
• Precisa ser globalmente único
• Não existe o conceito de diretório/pasta, mas prefixos que fazem parte da chave do objeto que podem ser longos e com barras (/)
• O tamanho máximo do objeto é de 5 TB (que precisa ser carregado com várias partes se for maior que 5 GB)

Segurança S3

Qualquer acesso pode ser concedido a um objeto se qualquer uma das condições abaixo for verdadeira e não houver um DENY explícito.

Baseado no usuário

• Políticas IAM: anexando políticas IAM para um usuário específico

Baseado em recursos

• Políticas de bucket, em que as regras são anexadas diretamente aos buckets
• Object Access Control List (OACL) - controle granular
• Lista de Controle de Acesso ao Bucket (BACL)

Replicação

• O controle de versão é necessário para a replicação
• Replicação entre regiões [CRR]: conformidade, menor latência, replicação entre contas
• Replicação na mesma região [SRR]: agregação de log, replicação ao vivo entre prod e contas de teste
• Os buckets podem estar em contas diferentes
• processo assíncrono

Classes de armazenamento

• Armazenamento de uso geral do Amazon S3
• Acesso infrequente padrão do Amazon S3 (IA)
• Acesso infrequente a uma zona do Amazon S3.
• Camadas inteligentes do Amazon S3
• Geleira Amazon S3
• Amazon S3 Glacier Deep Archive

Bancos de dados e análises

• Bancos de dados relacionais (OLTP): RDS / Aurora
• Memória: ElastiCache
• Valor-chave: DynamoDB (sem servidor) + DAX (cache acelerador do DynamoDB)
• Armazém (OLAP): Redshift
• Agrupamento Hadoop: EMR
• Athena: consultar dados do S3
• Visão rápida: painéis de seus dados
• DocumentDB: Amazon Aurora para MongoDB
• QLDB: Livro-razão de transações financeiras
• Blockchain Gerenciado
• Glue: Transforme dados usando ETL para Redshift
• Migração de banco de dados: DMS
• Banco de dados de gráficos: Netuno

Gerenciador de sistemas da AWS (SSM)

• Ajuda você a gerenciar o sistema EC2 e On-Premises em escala, de forma híbrida.
• Oferece visibilidade e controle de sua infraestrutura na AWS.
• Fornece uma interface de usuário unificada para que você possa visualizar dados operacionais de vários serviços da AWS.
• Ele pode agrupar recursos, como instâncias do Amazon EC2, clusters do Amazon EKS, baldes do Amazon S3 ou instâncias do Amazon RDS, por aplicativo, visualizar dados operacionais para monitoramento e solução de problemas.

OpsWorks

• Chef & Puppet como serviço, uma alternativa ao SSM

Monitoramento

• CloudWatch
• Métricas: monitore o desempenho dos serviços e as métricas de faturamento
• Alarmes: automatizar notificação, executar ações ec2, notificações via SNS com base em métricas
• Logs: coletar logs do EC2, servidores, lambdas, etc.
• Event Bridge: reaja a eventos ou acione uma regra com base em uma programação
• CloudTrail: auditar chamadas de API em sua conta
• CloudTrail Insights: análise automatizada de seus eventos CloudTrail
• X-Ray: rastreie solicitações através de seus serviços

Segurança

• Modelo de Responsabilidade Compartilhada
• O cliente é responsável pela segurança na nuvem (dados do cliente, plataformas, aplicativos, sistema operacional, configuração e segurança de rede, firewall, criptografia do lado do cliente e do servidor etc.)
• A AWS é responsável pela segurança da nuvem (computação, armazenamento, banco de dados, rede, hardware, segurança de acesso local, energia, regiões, zonas de disponibilidade e pontos de presença)
• WAF: o firewall de aplicativos da Web ajuda a controlar o tráfego de bots, injeção de sql, script entre sites, etc.
• AWS Shield: serviço gerenciado de proteção contra negação de serviço distribuído (DDoS) que protege os aplicativos em execução na AWS
• O AWS KMS (Key Management Service) é responsável por gerenciar as chaves de criptografia dos serviços da AWS em nível de software
• O CloudHSM gerencia a criptografia no nível do hardware (HSM = Hardware Security Module)
• AWS Secret Manager para gerenciamento de segredos (principalmente no exame relacionado ao RDS)
• AWS Artifact: não é realmente um serviço, mas documentação de conformidade sob demanda e contratos da AWS
• GuardDuty, Macie e Security Hub são usados ​​para identificar possíveis problemas de segurança
• AWS Macie: usa aprendizado de máquina para analisar seus buckets S3 e evitar a perda de dados descobrindo, classificando e protegendo automaticamente dados confidenciais
• AWS Glue: serviço de integração de dados sem servidor que usa pipelines ETL (extrair, transformar e carregar) para transformar dados
• AWS GuardDutty: serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger suas contas, cargas de trabalho e dados da AWS armazenados no Amazon S3
• AWS Security Hub: visualize e gerencie alertas de segurança centralmente e automatize as verificações de segurança
• AWS Detective: descobertas e análises profundas sobre a possível causa raiz dos problemas identificados pelos serviços acima
• Amazon Inspector: serviço automatizado de avaliação de segurança para ajudar a melhorar a segurança e a conformidade de aplicativos implantados na AWS
• Abuso para denunciar para fins abusivos ou ilegais que você detecta
• Ações que só podem ser executadas pelo usuário root
• Alterar configurações da conta
• Feche sua conta
• Alterar ou cancelar planos de suporte
• Registre-se como revendedor no Marketplace de instâncias reservadas
• Inscreva-se no GovCloud

contas

• AWS Organizations para organizar unidades organizacionais e SCP (políticas de controle de serviço) para restringir os poderes das contas
• AWS Control Tower para configurar ambiente multi conta de acordo com as melhores práticas
• AWS Config: permite que você monitore, audite e avalie continuamente as alterações de configuração de seus recursos da AWS.
• CloudFormation para implantar pilhas
• CloudTrail para gravar chamadas de API feitas em sua conta

Cobrança

• A Calculadora de preços da AWS pode ajudá-lo a estimar os custos de sua solução
• O AWS Biling Dashboard mostra seus custos mensais em uma visão geral de alto nível
• A alocação de custos rastreia os custos em um nível detalhado
• O Explorador de custos permite que você visualize, entenda e gerencie seus custos e usos ao longo do tempo
• O Trusted Advisor analisa suas contas e fornece recomendações sobre:
• Otimização de custos
• Desempenho
• Segurança
• Tolerância ao erro
• Limites de serviço
• Full Trust Advisor disponível nos planos Business e Enterprise

Apoiar

Suporte Básico

• Atendimento ao Cliente e Comunidades
• AWS Trusted Advisor (somente verificações básicas)
• Painel de saúde pessoal da AWS

Desenvolvedor

• Acesso a e-mails em horário comercial para associados de suporte na nuvem
• Casos ilimitados / 1 contato principal
• SLA para tempos de resposta
• Orientação geral: <=24 horas úteis
• Sistema prejudicado: <=12 horas úteis

Negócios

• Full Trusted Advidor + acesso à API
• E-mail e bate-papo por telefone 24 horas por dia, 7 dias por semana com os engenheiros de suporte da nuvem
• Casos ilimitados / Contatos ilimitados
• Acesso ao gerenciamento de eventos de infraestrutura por uma taxa adicional
• SLA para tempos de resposta
• Orientação geral: <=24 horas úteis
• Sistema prejudicado: <=12 horas úteis
• Sistema de produção prejudicado: <=4 horas
• Sistema de produção inativo: <=1 hora

Empreendimento

• Acesso ao Gerente Técnico de Contas (TAM)
• Equipe de suporte do concierge (para práticas recomendadas de cobrança e conta)
• Gerenciamento de eventos de infraestrutura, bem arquitetado e análises de operação
• SLA para tempos de resposta
• o mesmo que negócio
• Sistema crítico para os negócios inativo: <=15 minutos

Recursos

• Guia oficial do exame
• 6 vantagens da computação em nuvem
• Tipos de computação em nuvem
• Curso ExamPro
• Estrutura bem arquitetada da AWS

Fonte: AWS / https://github.com/marcelorodrigo/aws-certified-cloud-practitioner-exam