AWS CCP — Guia de Estudo — Wiki

Estrutura do Exame CLF-C02

Domínio	Peso
Conceitos de Nuvem	24%
Segurança & Compliance	30%
Tecnologia & Serviços Cloud	34%
Billing, Pricing & Suporte	12%

65 questões (50 pontuadas + 15 não pontuadas)
90 minutos | Aprovação: 700/1000
Formato: múltipla escolha + múltipla resposta

1. Conceitos de Nuvem

Benefícios da Nuvem (os 6 da AWS)

A AWS descreve formalmente seis benefícios da computação em nuvem. Eles aparecem frequentemente em questões que perguntam “qual benefício da nuvem se aplica a este cenário?”. Memorize o nome e o que ele significa na prática.

Benefício	O que significa
Trade CapEx por OpEx	Sem investimento inicial em hardware — você paga pelo uso, não pela infraestrutura
Economias de escala	AWS compra em volume massivo → transfere o desconto para você via preços menores
Parar de adivinhar capacidade	Escala sob demanda — provisione exatamente o que precisa agora
Agilidade	Recursos disponíveis em minutos, não semanas ou meses como no modelo tradicional
Eliminar custos de data center	Sem rack, sem energia, sem refrigeração, sem segurança física
Global em minutos	Deploy em múltiplas regiões ao redor do mundo rapidamente

Cenário de prova — benefícios: Se a questão diz “empresa quer lançar em três países sem escritórios locais” → resposta envolve global em minutos. Se diz “empresa quer evitar comprar servidores antecipadamente” → Trade CapEx por OpEx. Se diz “empresa não sabe quanto de capacidade vai precisar no Black Friday” → parar de adivinhar capacidade.

Modelos de Serviço

A diferença entre IaaS, PaaS e SaaS é sobre o quanto você gerencia. Pense assim: em IaaS você aluga o terreno e constrói tudo; em PaaS você aluga um apartamento já com encanamento e elétrica; em SaaS você usa um hotel — tudo pronto, só entrar.

Modelo	Você gerencia	AWS gerencia	Exemplos AWS
IaaS	SO, runtime, apps, dados	Hardware, rede, virtualização	EC2, VPC, EBS
PaaS	Aplicação, dados	Tudo abaixo	Elastic Beanstalk, RDS, Lambda
SaaS	Nada (só usa)	Tudo	Amazon WorkMail, Chime

Cenário de prova — modelos: Se a questão diz “desenvolvedor quer fazer deploy da aplicação sem se preocupar com SO ou patches” → PaaS (Elastic Beanstalk). Se diz “empresa precisa de controle total sobre o sistema operacional” → IaaS (EC2).

Modelos de Implantação

Modelo	Descrição	Exemplo
Cloud	100% na nuvem	Startup nativa AWS
On-premises	Data center próprio com tecnologia cloud	VMware privado
Híbrido	Mistura cloud + on-premises	Banco com legado local + S3

Infraestrutura Global AWS

A infraestrutura global da AWS é composta de camadas com propósitos distintos — e essa distinção cai bastante na prova.

Uma Região é uma área geográfica com dois ou mais data centers isolados entre si. Exemplos: us-east-1 (Norte da Virgínia), sa-east-1 (São Paulo). Você escolhe a região ao criar recursos. Critérios de escolha: latência, compliance de dados, disponibilidade de serviços, custo.

Uma Availability Zone (AZ) é um ou mais data centers físicos dentro de uma região, conectados por rede de baixíssima latência, mas fisicamente separados (energia, rede, localização). Quando você distribui sua aplicação em múltiplas AZs, uma falha em um data center não derruba o sistema inteiro. É o bloco fundamental de alta disponibilidade na AWS.

Uma Edge Location é um ponto de presença distribuído globalmente (100+ no mundo), usado pelo CloudFront para cachear conteúdo perto dos usuários finais e pelo Route 53 para responder queries DNS rapidamente. Edge Locations não rodam EC2 nem RDS — elas servem conteúdo em cache.

Uma Local Zone é uma extensão de região para cidades específicas que precisam de latência ultra-baixa. Exemplo: uma aplicação de trading em São Paulo pode usar uma Local Zone próxima à bolsa.

Dica de prova: Edge Locations ≠ AZs. Edge = CloudFront/Route 53. AZ = onde rodam EC2/RDS. Região = conjunto de AZs numa área geográfica.

2. Segurança & Compliance

Modelo de Responsabilidade Compartilhada

Este é o conceito mais importante do CCP e aparece em pelo menos 5-8 questões direta ou indiretamente. O princípio central é simples: AWS cuida da segurança da nuvem; você cuida da segurança dentro da nuvem.

A AWS garante que o hardware físico não seja comprometido, que os data centers sejam seguros, que a rede global funcione corretamente, que o hypervisor de virtualização não tenha brechas. Tudo isso é responsabilidade dela, e você não tem visibilidade nem controle sobre isso — confia na AWS.

Você, como cliente, é responsável pelo que coloca dentro dessa infraestrutura: seus dados, suas configurações de acesso (IAM), seu código, as regras de firewall que você cria (Security Groups), a criptografia que você habilita ou não, o sistema operacional que você atualiza (ou não) em instâncias EC2.

O que muda entre os modelos de serviço:

EC2 (IaaS): A AWS entrega uma máquina virtual funcionando. Tudo acima do hypervisor é seu: você instala o SO, você faz os patches, você configura o firewall, você gerencia as chaves SSH. Se o SO não for atualizado e houver uma vulnerabilidade, isso é culpa sua, não da AWS.

RDS (PaaS): A AWS entrega um banco de dados gerenciado. Ela instala o banco, faz patches do motor de banco, gerencia o SO subjacente, faz backups automáticos. Você configura as regras de acesso (Security Groups), gerencia usuários do banco e cuida dos dados que armazena. Você não tem acesso SSH ao servidor — nem precisa.

Lambda (Serverless): Você entrega apenas o código. A AWS gerencia absolutamente tudo mais: o runtime, o SO, os patches, a escalabilidade. Sua responsabilidade se resume ao código em si e às permissões IAM que você configura para a função.

Exemplos exatos que caem na prova:

Quem corrige falha física em servidor EC2? → AWS (hardware é responsabilidade dela)
Quem configura as regras do Security Group? → Cliente
Quem gerencia o SO de uma instância RDS? → AWS (serviço gerenciado)
Quem gerencia o SO de uma EC2? → Cliente (IaaS — você tem controle total)
Quem criptografa os dados em repouso no S3? → Cliente (você habilita ou não a criptografia)
Quem garante que o data center tem segurança física? → AWS

IAM — Identidade e Acesso

IAM é o sistema de controle de acesso da AWS. Entender a diferença entre as quatro entidades é fundamental — cada uma existe por um motivo específico.

User representa uma identidade com credenciais permanentes — uma pessoa ou uma aplicação que precisa de acesso à AWS. Exemplo real: você cria um User para o desenvolvedor João, que recebe um login no Console e chaves de API. O problema de criar Users para tudo é que as credenciais existem indefinidamente e precisam ser rotacionadas manualmente. Para serviços que precisam chamar a API da AWS, User não é a melhor opção — é aí que Role entra.

Group é simplesmente um contêiner de Users. Você não autentica como um Group — você cria o Group “Developers”, atribui a política de permissões ao Group, e adiciona Users ao Group. Assim, todos os desenvolvedores herdam as mesmas permissões. Quando João sair da empresa, você o remove do Group e ele perde acesso automaticamente. Best practice: nunca atribua políticas diretamente a Users; use Groups.

Role é o conceito mais poderoso e frequentemente mal compreendido. Uma Role não tem credenciais permanentes — ela gera credenciais temporárias quando é assumida. Quem pode assumir uma Role? Serviços AWS (EC2 chamando o S3, Lambda acessando DynamoDB), usuários de outras contas AWS, ou identidades federadas (login via Google, Active Directory). Exemplo prático: sua aplicação no EC2 precisa ler arquivos do S3. Em vez de colocar chaves de API hardcodadas no código (péssima prática), você cria uma Role com permissão de leitura no S3 e atribui essa Role à instância EC2. A instância recebe credenciais temporárias automaticamente, sem você gerenciar nada.

Policy é o documento JSON que define as permissões. Uma Policy diz: “para qual serviço, qual ação, em qual recurso, Allow ou Deny”. Ela não existe sozinha — precisa ser anexada a um User, Group ou Role para ter efeito.

Boas práticas IAM:

Root account → apenas para setup inicial; habilitar MFA imediatamente
Nunca use root para tarefas do dia a dia — crie um User administrador e use esse
Criar Users individuais (nunca compartilhar credenciais)
Princípio do menor privilégio: conceda apenas o que é necessário para a tarefa
Usar Roles para serviços (EC2, Lambda) ao invés de access keys hardcodadas no código
Rotacionar access keys regularmente
Habilitar MFA para Users com acesso privilegiado

Cenário de prova — IAM: Se a questão diz “aplicação rodando no EC2 precisa acessar o DynamoDB” → IAM Role (não User, não chave hardcodada). Se diz “como garantir que todos os desenvolvedores tenham as mesmas permissões sem configurar individualmente” → IAM Group. Se diz “usuário externo precisa acessar temporariamente a conta AWS” → Role com trust policy.

Serviços de Segurança: o quarteto que mais cai

Quatro serviços causam confusão sistemática na prova porque todos parecem fazer “segurança”, mas cada um faz uma coisa diferente. Entender a diferença é questão certa.

GuardDuty detecta comportamentos maliciosos analisando logs que já existem na sua conta (CloudTrail, VPC Flow Logs, DNS). Ele não instala nada nas instâncias — é totalmente passivo. A analogia é um sistema de câmeras de segurança: fica observando tudo silenciosamente e dispara um alerta quando vê algo suspeito. Exemplos do que ele detecta: comunicação com endereços IP maliciosos conhecidos, tentativas de reconnaissance, chamadas de API incomuns de locais geográficos inesperados, instâncias EC2 comunicando com servidores de command-and-control. GuardDuty não bloqueia nada — ele detecta e alerta. Tem trial de 30 dias gratuito.

Inspector é o oposto em termos de postura: ele é ativo. O Inspector faz scan nas suas instâncias EC2 e nos containers (ECR) buscando vulnerabilidades conhecidas — CVEs (Common Vulnerabilities and Exposures), exposição involuntária de portas, desvios de benchmark de segurança. Ele instala um agente na instância (ou analisa imagens de container) e gera um relatório de vulnerabilidades priorizadas por severidade. Use Inspector quando quiser saber “tem algum software desatualizado com vulnerabilidade conhecida nessa instância?”. Tem trial de 90 dias.

Macie foca exclusivamente no S3. Ele usa machine learning para varrer seus buckets S3 e identificar dados sensíveis — PII (CPF, nome, endereço, email), números de cartão de crédito, credenciais, passwords. O problema que ele resolve: “será que algum desenvolvedor acidentalmente subiu um dump de banco com dados de clientes em um bucket de acesso público?”. Macie também detecta buckets com configurações arriscadas (acesso público habilitado, criptografia desabilitada).

Detective é o investigador. Quando o GuardDuty encontrou algo suspeito e você precisa entender o que aconteceu, quem fez, quando, de onde — você usa o Detective. Ele agrega e correlaciona dados de múltiplas fontes (CloudTrail, VPC Flow Logs, GuardDuty findings) e apresenta visualizações em grafo para ajudar a reconstruir a linha do tempo de um incidente. A analogia: GuardDuty é o alarme que disparou; Detective é o investigador que chega depois para analisar as evidências.

Serviço	Pergunta que responde	Analogia
GuardDuty	”Tem comportamento malicioso acontecendo agora?”	Sistema de câmeras passivo
Inspector	”Tem vulnerabilidade conhecida nas minhas instâncias?”	Auditor de segurança ativo
Macie	”Tem dado sensível exposto no S3?”	Scanner de documentos confidenciais
Detective	”O que exatamente aconteceu neste incidente?”	Investigador de crime

Cenário de prova — quarteto de segurança: Se a questão menciona “detectar atividade suspeita ou anomalia na conta” → GuardDuty. Se menciona “verificar vulnerabilidades em instâncias EC2” → Inspector. Se menciona “dados pessoais no S3, conformidade com LGPD/GDPR” → Macie. Se menciona “investigar causa raiz de incidente de segurança” → Detective.

Outros Serviços de Segurança

Serviço	Função
AWS Shield Standard	Proteção DDoS automática, gratuita para todos os clientes AWS
AWS Shield Advanced	Proteção DDoS avançada com resposta 24/7, relatórios detalhados e proteção de custo (pago)
AWS WAF	Firewall para aplicações web — bloqueia SQL injection, XSS, bots, filtra por IP/país
AWS Artifact	Portal self-service para baixar relatórios de compliance (SOC, PCI, ISO) e assinar contratos (BAA para HIPAA)
AWS KMS	Criação e gerenciamento de chaves de criptografia — AWS gerencia o hardware, você controla quem usa as chaves
AWS CloudHSM	Hardware dedicado para suas chaves — você tem controle exclusivo; mais seguro que KMS para requisitos de compliance extremos
AWS Secrets Manager	Armazena e rotaciona automaticamente segredos (senhas de banco, API keys) — elimina credenciais hardcodadas no código
AWS Config	Rastreia mudanças de configuração de recursos e verifica conformidade com regras (ex: “todo bucket S3 deve ter criptografia habilitada”)
AWS CloudTrail	Registra TODAS as chamadas de API na conta — quem fez o quê, quando, de onde
AWS Audit Manager	Coleta evidências de conformidade automaticamente para auditorias (HIPAA, PCI, SOC2…)
AWS IAM Identity Center	SSO centralizado para acessar múltiplas contas AWS e aplicações externas com um único login

Shield Standard vs Advanced: Todo mundo tem Standard automaticamente, sem custo. Advanced é para organizações com aplicações críticas que precisam de resposta rápida da equipe de segurança AWS, relatórios detalhados de ataques e, importante, proteção contra cobranças excessivas de EC2/ELB causadas por DDoS.

KMS vs CloudHSM: KMS é o serviço padrão — AWS gerencia o hardware dos HSMs mas você controla as políticas de uso das chaves. CloudHSM é quando você precisa de HSM dedicado onde somente você tem as chaves (multi-tenant vs single-tenant). CloudHSM é significativamente mais caro e para casos de conformidade específicos (ex: FIPS 140-2 Level 3).

Secrets Manager vs Parameter Store: Secrets Manager cobra por segredo e tem rotação automática integrada com RDS/outros serviços. Parameter Store (do Systems Manager) tem um tier gratuito para parâmetros simples mas sem rotação automática. Para a prova CCP: “rotação automática de senhas de banco” → Secrets Manager.

CloudTrail vs CloudWatch vs Config

Esta é a outra tríade que mais causa confusão, depois do quarteto de segurança.

CloudTrail responde à pergunta: “quem fez o quê na conta AWS?”. Ele registra cada chamada de API — seja pelo Console, CLI, SDK ou outro serviço. Exemplo: alguém deletou um bucket S3 às 3h da manhã. CloudTrail tem o registro de qual usuário fez isso, de qual IP, em qual momento. É o log de auditoria da conta. Por padrão, os logs ficam disponíveis por 90 dias no CloudTrail Event History. Para retenção longa, você configura um Trail que envia os logs para um bucket S3.

CloudWatch responde à pergunta: “o que está acontecendo com meus recursos agora?”. É a plataforma de observabilidade da AWS: coleta métricas (CPU de EC2, latência de RDS, erros de Lambda), armazena logs de aplicação, dispara alarmes quando métricas passam de um threshold. Exemplo: “me avise quando o uso de CPU de qualquer instância EC2 passar de 80% por 5 minutos” → CloudWatch Alarm. “Quero ver os logs da minha aplicação Node.js” → CloudWatch Logs.

Config responde à pergunta: “minha infraestrutura está configurada da forma correta?”. Ele rastreia mudanças de configuração de recursos ao longo do tempo e verifica conformidade com regras. Exemplo: “todo bucket S3 deve ter Block Public Access habilitado” — Config verifica todos os buckets e marca os que estão em non-compliance. Se você quer saber “como estava a configuração desse Security Group há 30 dias” → Config tem o histórico.

Serviço	Pergunta central	Exemplo de uso
CloudTrail	”Quem fez o quê na conta?”	Auditoria: quem deletou o recurso X?
CloudWatch	”O que está acontecendo agora?”	Alerta de CPU alta, visualizar logs de app
Config	”A infra está configurada corretamente?”	Verificar se buckets têm criptografia habilitada

Cenário de prova — tríade: Se a questão diz “detectar mudanças não autorizadas em recursos AWS” → CloudTrail (quem mudou) ou Config (o que mudou). Se diz “monitorar performance de instâncias EC2” → CloudWatch. Se diz “verificar compliance de configuração” → Config.

Compliance & Programas

A AWS mantém certificações de conformidade que você herda ao usar os serviços. Use AWS Artifact para baixar os relatórios e assinar acordos como o BAA (Business Associate Agreement) exigido para HIPAA.

HIPAA — regulação de privacidade de dados de saúde nos EUA
PCI DSS — padrão de segurança para processamento de cartões de crédito
SOC 1/2/3 — relatórios de controles internos de segurança, disponibilidade e confidencialidade
ISO 27001 — gestão de segurança da informação
GDPR — regulação europeia de proteção de dados pessoais

3. Tecnologia & Serviços Cloud

EC2 — Elastic Compute Cloud

EC2 é a base do IaaS da AWS: máquinas virtuais que você aluga por hora ou segundo. Você escolhe o tipo (quantidade de CPU, RAM), o sistema operacional, o armazenamento e a rede.

Tipos de instância (famílias):

Família	Otimizada para	Exemplos
t	Uso geral (burstable — boa para cargas intermitentes)	t3.micro, t4g.small
m	Uso geral balanceado (CPU e RAM equilibrados)	m5.large
c	Compute-intensive (mais CPU, menos RAM)	c6i.xlarge
r	Memory-intensive (muita RAM)	r6g.2xlarge
p/g	GPU — ML, renderização, gaming	p3.8xlarge
i/d	Storage-intensive (NVMe local de alta I/O)	i3.large

Modelos de Compra EC2: quando usar cada um

Entender quando cada modelo faz sentido é mais importante que memorizar o percentual de desconto.

On-Demand é o modelo padrão: você paga pelo que usa, sem compromisso. É o mais caro por hora, mas sem lock-in. Use para workloads imprevisíveis, ambientes de desenvolvimento, testes, ou qualquer coisa que você não sabe quanto tempo vai rodar. É o ponto de partida antes de otimizar.

Reserved Instances (1 ou 3 anos) fazem sentido quando você tem certeza que vai precisar de uma certa capacidade por pelo menos um ano. Um banco de dados de produção que roda 24/7, um servidor de aplicação sempre ativo — esses são candidatos perfeitos para Reserved. Você se compromete com o tipo de instância e paga menos (até 72%). Existe a opção de pagar tudo upfront (maior desconto), parcialmente upfront, ou nada upfront. Atenção: Reserved Instance é um compromisso de faturamento, não uma instância reservada para você — você paga se usar ou não.

Savings Plans funcionam de forma similar às Reserved, mas com mais flexibilidade: você se compromete com um gasto em dólares por hora (ex: $10/hora), e a AWS aplica o desconto em qualquer instância EC2, independente do tipo, tamanho ou região. É a opção certa quando você precisa de desconto mas quer flexibilidade para mudar tipo de instância ou região.

Spot Instances são a opção mais barata (até 90% de desconto), mas com uma condição: a AWS pode interromper sua instância com 2 minutos de aviso quando precisar de capacidade de volta. Por isso, Spot é ideal apenas para workloads tolerantes a interrupção: processamento em batch (análise de dados, transcoding de vídeo), treinamento de modelos de ML, simulações científicas, renderização. Nunca use Spot para banco de dados de produção ou qualquer aplicação que não suporte ser interrompida no meio.

Dedicated Host aloca um servidor físico inteiro para você. O motivo geralmente é compliance de licenciamento: softwares como Oracle, Windows Server, SQL Server têm licenças atadas ao número de sockets físicos ou cores físicos. Para usar essas licenças existentes (BYOL — Bring Your Own License) corretamente, você precisa saber exatamente qual hardware está usando.

Dedicated Instance garante isolamento físico — sua instância roda em hardware que não é compartilhado com outras contas AWS. A diferença do Dedicated Host: você não tem visibilidade nem controle de qual servidor físico específico é seu. Use quando o requisito é “isolamento de hardware por questão de compliance” sem necessidade de controle de licença por socket.

Cenário de prova — modelos de compra: “Workload imprevisível, precisa escalar e diminuir” → On-Demand. “Servidor de produção rodando 24/7 há 2 anos” → Reserved. “Processamento de batch que pode ser interrompido” → Spot. “Precisam controlar licença Oracle por socket” → Dedicated Host. “Querem desconto com flexibilidade de mudar tipo de instância” → Savings Plans.

S3 — Simple Storage Service

O S3 é o serviço de armazenamento de objetos da AWS. “Objeto” significa que você armazena arquivos com metadados — não é um sistema de arquivos (sem hierarquia real de diretórios) e não é block storage. A durabilidade é impressionante: 11 noves (99.999999999%) — para um milhão de arquivos, você esperaria perder um objeto a cada 100.000 anos. A disponibilidade varia por classe.

A escolha de classe é um trade-off entre custo de armazenamento e custo + latência de recuperação. A regra geral: quanto mais barato o armazenamento, mais caro e demorado é recuperar.

S3 Standard é para dados que você acessa com frequência. Latência de milissegundos, alta disponibilidade (99.99%), sem custo de recuperação. Use para assets de sites, arquivos de aplicação ativos, dados que users baixam frequentemente. É o tier padrão e o mais caro por GB.

S3 Intelligent-Tiering é para quando você não sabe o padrão de acesso. O S3 monitora automaticamente o acesso de cada objeto e move entre camadas automaticamente — se o objeto não for acessado por 30 dias, vai para IA; se for acessado novamente, volta para Standard. Há uma pequena taxa mensal de monitoramento por objeto. Ideal para data lakes onde alguns dados são acessados frequentemente e outros raramente.

S3 Standard-IA (Infrequent Access) é para dados que você raramente acessa mas que precisam estar disponíveis rapidamente quando necessário. Exemplos: backups mensais, logs de um ano atrás, arquivos de projetos concluídos. Custo de armazenamento menor que Standard, mas há cobrança por recuperação. Há também um tamanho mínimo de objeto (128KB) e duração mínima (30 dias).

S3 One Zone-IA é igual ao Standard-IA, mas os dados ficam em apenas uma AZ em vez de três. Isso reduz o custo em ~20%, mas sacrifica resiliência — se aquela AZ falhar, os dados ficam inacessíveis (não são perdidos permanentemente, mas ficam indisponíveis). Use apenas para dados que podem ser recriados ou que têm cópia em outro lugar.

S3 Glacier Instant Retrieval é para arquivos que você acessa raramente (uma vez por trimestre, por exemplo) mas que precisam de resposta rápida quando acessados (milissegundos). Custo de armazenamento muito menor, mas custo de recuperação mais alto.

S3 Glacier Flexible Retrieval é para arquivos de longa duração onde você aceita aguardar para recuperar. Recuperação em minutos (Expedited), horas (Standard) ou 5-12 horas (Bulk, mais barato). Use para backups de compliance que você raramente ou nunca vai precisar acessar.

S3 Glacier Deep Archive é o armazenamento mais barato da AWS. Recuperação em 12 horas (Standard) ou 48 horas (Bulk). Para dados que você precisa guardar por anos mas que você quase certamente nunca vai precisar acessar — compliance de 7 anos, registros históricos, arquivos de mídia de décadas passadas.

Classe	Latência	Uso	Custo de armazenamento
S3 Standard	ms	Dados acessados frequentemente	Alto
S3 Intelligent-Tiering	ms	Padrão de acesso imprevisível	Médio (+ taxa de monitoramento)
S3 Standard-IA	ms	Acesso infrequente, recuperação rápida	Baixo
S3 One Zone-IA	ms	Infrequente, menor resiliência	Menor
S3 Glacier Instant	ms	Arquivo acessado raramente (trimestral)	Muito baixo
S3 Glacier Flexible	minutos–horas	Arquivo, recuperação flexível	Muito baixo
S3 Glacier Deep Archive	12–48h	Arquivo de longo prazo, compliance	Mínimo

Conceitos importantes:

Durabilidade: 11 noves (99.999999999%) — todos os tiers
Disponibilidade Standard: 99.99%
Objetos: até 5 TB por objeto
Buckets são globais (nomes únicos mundialmente), mas dados ficam na região escolhida
S3 não é sistema de arquivos — é object storage

Cenário de prova — classes S3: “Backups diários raramente acessados mas precisam de disponibilidade imediata quando necessários” → Standard-IA. “Arquivos de compliance de 7 anos que provavelmente nunca serão acessados” → Glacier Deep Archive. “Não sabe o padrão de acesso” → Intelligent-Tiering. “Imagens acessadas por usuários do site” → Standard.

Banco de Dados

A AWS oferece bancos de dados específicos para diferentes casos de uso. A escolha deve ser guiada pelo tipo de dado e padrão de acesso.

Serviço	Tipo	Uso
RDS	Relacional gerenciado	MySQL, PostgreSQL, Oracle, SQL Server, MariaDB
Aurora	Relacional AWS	MySQL/PostgreSQL compatível; 5x mais rápido; auto-scaling de storage
DynamoDB	NoSQL key-value/document	Serverless, escala automática, latência em ms para qualquer volume
ElastiCache	Cache in-memory	Redis ou Memcached; acelera apps reduzindo carga no banco
Redshift	Data warehouse	Análise de grandes volumes (OLAP); petabytes de dados históricos
DocumentDB	Document (MongoDB compat.)	JSON documents; compatível com drivers MongoDB
Neptune	Grafo	Redes sociais, grafos de conhecimento, detecção de fraude

RDS: Multi-AZ vs Read Replica

Esta é uma distinção que cai bastante. Multi-AZ existe para disponibilidade, não para performance. A AWS mantém uma réplica síncrona do seu banco em outra AZ — cada escrita no primário só é confirmada depois que a réplica também escreveu. Se o primário cair, o failover é automático (aproximadamente 1-2 minutos) e o DNS do endpoint aponta para a réplica sem você mudar nada na aplicação. A réplica em Multi-AZ não aceita queries de leitura — ela existe apenas para failover.

Para escalar leituras, existe a Read Replica: uma cópia assíncrona do banco que aceita consultas SELECT. Sua aplicação precisa ser configurada para enviar leituras para o endpoint da Read Replica. Pode ter Read Replicas em outras regiões (Global Read Replicas), o que também ajuda com latência para usuários geográficos.

Cenário de prova — RDS: “Quer que o banco continue funcionando se houver falha em uma AZ” → Multi-AZ. “Quer escalar consultas de leitura sem sobrecarregar o primário” → Read Replica.

Redes

A rede na AWS começa com a VPC.

VPC (Virtual Private Cloud) é sua rede privada virtual dentro da AWS. Você define o range de IP (CIDR block), cria subnets (públicas e privadas), configura tabelas de roteamento e gateways. Uma subnet pública tem acesso à internet via Internet Gateway; uma subnet privada não tem acesso direto à internet (você usa NAT Gateway se precisar que recursos privados façam requisições de saída).

Security Group vs NACL é uma distinção que cai na prova com regularidade. Security Group é um firewall stateful aplicado no nível da instância (EC2, RDS, etc.) — stateful significa que se você permite tráfego de entrada em uma porta, a resposta de saída é automaticamente permitida. Security Group só tem regras de Allow (sem Deny explícito). NACL (Network Access Control List) é um firewall stateless aplicado no nível da subnet — stateless significa que você precisa definir regras de entrada E saída separadamente. NACL tem regras de Allow e Deny, processadas em ordem numérica.

Recurso	Nível	Stateful?	Allow/Deny
Security Group	Instância	Sim (stateful)	Apenas Allow
NACL	Subnet	Não (stateless)	Allow e Deny

Route 53 é o DNS gerenciado da AWS. Além de resolver nomes de domínio, oferece roteamento inteligente: latency-based (direciona para a região mais próxima do usuário), failover (muda para um endpoint backup se o primário falhar), geolocation, weighted (divide tráfego entre endpoints com pesos).

CloudFront é a CDN global da AWS. Cacheia conteúdo (arquivos estáticos, vídeos, APIs) nas Edge Locations próximas aos usuários, reduzindo latência e carga nos servidores de origem. Funciona com S3, EC2, ALB ou qualquer servidor HTTP como origem.

Direct Connect é uma conexão física dedicada entre seu data center on-premises e a AWS, através de um parceiro de conectividade. Oferece largura de banda consistente e baixa latência, sem passar pela internet pública. Use quando você tem grandes volumes de dados a transferir regularmente ou aplicações sensíveis à latência variável da internet.

VPN cria um túnel criptografado entre sua rede on-premises e a VPC, passando pela internet pública. É mais rápido de configurar e mais barato que Direct Connect, mas a performance depende da qualidade da conexão com a internet.

Serviço	Função
VPC	Rede privada virtual isolada
Security Group	Firewall stateful no nível da instância
NACL	Firewall stateless no nível da subnet
Route 53	DNS gerenciado + roteamento global
CloudFront	CDN global via Edge Locations
Direct Connect	Conexão física dedicada on-premises → AWS
VPN	Túnel criptografado on-premises → AWS via internet
API Gateway	Criação e gerenciamento de APIs REST/WebSocket

Computação Adicional

Serviço	Função
Lambda	Serverless functions — você escreve o código, a AWS gerencia tudo mais; cobra por execução (por ms de duração + número de invocações)
Elastic Beanstalk	PaaS — você faz upload do código (Node, Java, Python, Go…) e a AWS provisiona EC2, balanceador, auto scaling automaticamente
ECS	Orquestração de containers Docker gerenciado pela AWS; você gerencia os servidores EC2 subjacentes (modo EC2) ou usa Fargate
EKS	Kubernetes gerenciado pela AWS — control plane gerenciado, você gerencia os worker nodes (ou usa Fargate)
Fargate	Motor serverless para containers — roda ECS ou EKS sem você gerenciar servidores; você define CPU/memória, AWS cuida do restante
Lightsail	VPS simples e barato para projetos pequenos, iniciantes ou migrações de WordPress/blogs
Batch	Processamento em lote gerenciado — agenda e executa jobs de batch em escala, provisionando a capacidade necessária automaticamente

Lambda vs EC2: Lambda é ideal para funções curtas (máximo 15 minutos), event-driven, que escalam automaticamente para zero quando não há requisições (você não paga nada quando não usa). EC2 é ideal quando você precisa de controle do ambiente, processos de longa duração, ou quando o custo de Lambda seria maior que EC2 com alto volume de requisições contínuas.

ECS vs EKS vs Fargate: ECS é o orquestrador de containers nativo da AWS — simples de configurar. EKS é Kubernetes — use quando você já tem expertise em K8s ou precisa de portabilidade. Fargate é o motor de execução serverless que funciona com ambos — elimina o gerenciamento de servidores.

Armazenamento Adicional

Serviço	Tipo	Uso
EBS (Elastic Block Store)	Block storage	Volume persistente anexado a uma instância EC2; persiste mesmo após stop da instância; pode ter snapshots para backup
Instance Store	Block storage efêmero	Armazenamento local no servidor físico da instância; altíssima I/O, mas dados são perdidos quando a instância para ou é terminada
EFS (Elastic File System)	File storage (NFS)	Sistema de arquivos compartilhado entre múltiplas instâncias EC2 Linux simultaneamente; escala automaticamente
Storage Gateway	Híbrido	Conecta ambientes on-premises com S3, EBS ou FSx via NFS, SMB ou iSCSI; útil para backup e extensão de storage local para nuvem

Monitoramento & Gerenciamento: CloudTrail, CloudWatch e Config revisitados

(Ver seção 2 para a explicação aprofundada das diferenças entre os três.)

Serviço	Função
CloudWatch	Métricas, logs, alarmes, dashboards para recursos AWS
CloudTrail	Auditoria: registra TODAS as chamadas de API na conta
AWS Config	Rastreia mudanças de configuração; verifica compliance de recursos
AWS Trusted Advisor	Recomendações automáticas de custo, performance, segurança, fault tolerance e limites de serviço
AWS Health Dashboard	Status dos serviços AWS em tempo real + eventos personalizados para sua conta
AWS Systems Manager	Gerencia instâncias EC2 em escala: patches, inventário, execução remota de comandos, Parameter Store

Trusted Advisor merece destaque: ele analisa sua conta e sugere melhorias em cinco categorias — Cost Optimization (ex: “você tem instâncias EC2 subutilizadas”), Performance, Security (ex: “você tem Security Groups muito permissivos”), Fault Tolerance e Service Limits. O plano Basic/Developer só dá acesso a 7 checks de segurança básicos; os planos Business e Enterprise têm acesso completo a todos os checks.

Mensageria & Integração

Serviço	Função
SQS (Simple Queue Service)	Fila de mensagens para desacoplamento — produtores enviam mensagens, consumidores processam no próprio ritmo; at-least-once delivery
SNS (Simple Notification Service)	Pub/Sub — um publicador envia mensagem para um tópico, múltiplos assinantes recebem (SQS, Lambda, email, HTTP, SMS)
EventBridge	Barramento de eventos serverless; integra serviços AWS e aplicações externas baseado em eventos; permite criar regras de roteamento

SQS vs SNS: SQS é para desacoplamento ponto-a-ponto — um produtor, uma fila, múltiplos consumidores competindo. SNS é para fan-out — uma mensagem precisa ser entregue para N destinos diferentes simultaneamente. Padrão comum: SNS → múltiplas filas SQS (fan-out + processamento assíncrono).

Analytics

Serviço	Função
Athena	Consultas SQL direto em dados no S3 — serverless, paga por query (por TB escaneado)
Glue	ETL serverless — descobre, cataloga, prepara e transforma dados para analytics
Kinesis	Ingestão e processamento de dados em streaming em tempo real (logs, clicks, telemetria IoT)
QuickSight	BI — dashboards interativos e visualizações; se integra com Athena, Redshift, S3

AI & Machine Learning (Domínio 3.7 — adicionado no CLF-C02)

O CLF-C02 adicionou serviços de IA como domínio. O nível de profundidade esperado no CCP é: saber o que cada serviço faz e para qual tipo de problema se aplica.

Serviço	Função
Amazon SageMaker	Plataforma completa de ML — ferramentas para treinar, ajustar e implantar modelos de ML em escala
Amazon Rekognition	Análise de imagens e vídeos — detecção de objetos, rostos, textos, emoções, conteúdo moderação
Amazon Lex	Chatbots com NLP (processamento de linguagem natural) — mesma tecnologia do Alexa
Amazon Polly	Text-to-speech — converte texto em fala natural em múltiplos idiomas e vozes
Amazon Transcribe	Speech-to-text — transcreve áudio para texto; suporta português
Amazon Translate	Tradução automática neural entre idiomas
Amazon Comprehend	NLP — extrai entidades, sentimentos, tópicos e relações de texto não estruturado
Amazon Textract	Extrai texto, tabelas e dados estruturados de documentos escaneados e PDFs
Amazon Kendra	Pesquisa inteligente em documentos corporativos internos usando NLP
Amazon Q	Assistente de IA generativa para negócios e desenvolvedores — integra com dados e ferramentas internas

Dica de memorização dos serviços de AI: Pense no fluxo de processamento: Transcribe (áudio → texto) → Comprehend (texto → insights) → Translate (texto → outro idioma) → Polly (texto → fala de volta). Rekognition é só para imagens/vídeo. Textract é para documentos físicos digitalizados. SageMaker é para quando você quer construir seus próprios modelos. Lex é para chatbots. Kendra é para pesquisa.

Nota importante: Amazon Bedrock não está no escopo oficial do CLF-C02. Para IA generativa em profundidade, existe a certificação separada AWS Certified AI Practitioner (AIF-C01).

Migração & Transferência

Serviço	Função
AWS Snowball	Dispositivo físico robusto para migrar TBs/PBs de dados offline quando a internet é lenta ou cara demais
AWS Snowmobile	Contêiner de 45 pés puxado por caminhão para migrar exabytes de dados
AWS DMS	Database Migration Service — migra bancos de dados para AWS com mínimo downtime, inclusive entre tipos diferentes (Oracle → Aurora)
AWS Migration Hub	Painel centralizado para rastrear o progresso de migrações

Quando usar Snowball: Quando o volume de dados a transferir levaria semanas ou meses pela internet, ou quando a conexão é muito cara. A AWS entrega o dispositivo físico, você carrega os dados, devolve, e a AWS importa para o S3.

Developer Tools

Serviço	Função
CodeCommit	Repositório Git privado gerenciado pela AWS
CodeBuild	Serviço de build CI serverless — compila código, executa testes, gera artefatos
CodeDeploy	Deploy automatizado em EC2, Lambda e ECS
CodePipeline	Orquestração de CI/CD — integra CodeCommit, CodeBuild e CodeDeploy em um pipeline
Cloud9	IDE na nuvem acessível pelo browser — já vem com CLI AWS configurada

4. Billing, Pricing & Suporte

Modelos de Preço

A AWS opera com três princípios de precificação:

Modelo	Como funciona
Pay as you go	Paga apenas o que usa, quando usa — sem compromisso mínimo
Pay less when you reserve	Compromisso de 1 ou 3 anos → desconto de até 72%
Pay less with more	Quanto mais volume, menor o preço unitário (S3, data transfer)

Ferramentas de Custo

Ferramenta	Função
AWS Pricing Calculator	Estima custo de uma arquitetura antes de criar qualquer recurso
AWS Cost Explorer	Visualiza e analisa gastos históricos; projeta gastos futuros; permite filtrar por serviço, conta, tag
AWS Budgets	Cria alertas automáticos quando custo ou uso ultrapassa um limite definido
Cost & Usage Report (CUR)	Relatório granular de todos os custos enviado para um bucket S3 — o mais detalhado disponível
AWS Cost Anomaly Detection	Usa ML para detectar padrões de gasto anômalos e alertar antes que a fatura exploda

Pricing Calculator vs Cost Explorer: Pricing Calculator é para estimar custos de arquiteturas antes de criar. Cost Explorer é para analisar gastos depois que os recursos já existem.

Well-Architected Framework — os 6 Pilares

O Well-Architected Framework é um conjunto de melhores práticas para construir sistemas na AWS. Os 6 pilares aparecem frequentemente na prova — você precisa saber o nome de cada um e o que ele protege.

Excelência Operacional trata de como você opera e melhora seus sistemas. Inclui automação de operações, monitoramento, resposta a eventos, e aprendizado contínuo com falhas. Pergunta central: “você consegue operar e evoluir o sistema com confiança?”. Exemplo de prática: usar Infrastructure as Code (CloudFormation), fazer deploys pequenos e frequentes, criar runbooks para operações rotineiras.

Segurança cobre proteção de dados, sistemas e assets contra ameaças. Inclui gerenciamento de identidade (IAM), proteção de dados em trânsito e em repouso, resposta a incidentes de segurança. Pergunta central: “os dados e sistemas estão protegidos?”. Exemplo de prática: princípio do menor privilégio, criptografia habilitada, MFA em todas as contas.

Confiabilidade trata da capacidade do sistema de funcionar corretamente e se recuperar de falhas. Inclui recuperação de falhas, escalabilidade horizontal, teste de recuperação de desastres. Pergunta central: “o sistema continua funcionando quando algo falha?”. Exemplo de prática: distribuir em múltiplas AZs, usar Auto Scaling, testar backups periodicamente.

Eficiência de Performance trata de usar recursos computacionais eficientemente para atender requisitos. Inclui escolher os tipos de recursos certos, monitorar performance e adaptar à medida que as necessidades mudam. Pergunta central: “estou usando os recursos mais adequados para a tarefa?”. Exemplo de prática: usar instâncias com GPU apenas para workloads GPU-bound, usar cache (ElastiCache) para reduzir carga no banco.

Otimização de Custos trata de evitar gastos desnecessários. Inclui eliminar recursos ociosos, usar modelos de compra adequados (Reserved, Spot), monitorar gastos. Pergunta central: “estou pagando o preço justo pelo valor que recebo?”. Exemplo de prática: usar Reserved Instances para workloads estáveis, Spot para batch, desligar ambientes de dev à noite.

Sustentabilidade (adicionado em 2021) trata de minimizar o impacto ambiental das cargas de trabalho. Inclui maximizar utilização de recursos, usar regiões com energia renovável, eliminar provisionamento excessivo. Pergunta central: “estou minimizando o footprint ambiental da arquitetura?”.

Pilar	Protege contra
Excelência Operacional	Falhas operacionais, ineficiência de processos
Segurança	Ameaças, acessos não autorizados, perda de dados
Confiabilidade	Falhas de componentes, indisponibilidade
Eficiência de Performance	Uso inadequado de recursos, degradação de performance
Otimização de Custos	Gastos desnecessários, provisionamento excessivo
Sustentabilidade	Impacto ambiental, consumo energético desnecessário

Planos de Suporte: como escolher

Os planos de suporte não se diferenciam apenas pelo preço — o critério correto de escolha é a criticidade do sistema e o tipo de acesso que você precisa.

Basic é gratuito para todos os clientes AWS. Dá acesso à documentação, fóruns da comunidade, AWS Health Dashboard e um subconjunto de 7 checks do Trusted Advisor (os mais básicos de segurança). Não há acesso a suporte técnico da AWS — nenhum engenheiro atende você. Adequado para contas de estudo, exploração e projetos pessoais sem produção.

Developer custa a partir de $29/mês. Adiciona acesso por email a engenheiros de suporte em horário comercial (não 24/7). O SLA de resposta é de 12-24 horas para problemas gerais. É adequado para ambientes de desenvolvimento ou testes onde um atraso de algumas horas é aceitável.

Business custa a partir de $100/mês (escala com o uso). É um salto significativo: suporte 24/7 por telefone, chat e email, acesso completo ao Trusted Advisor, API de suporte, e SLA de 1 hora para sistema de produção fora do ar. Para qualquer empresa com sistemas de produção na AWS, Business é o mínimo recomendado.

Enterprise On-Ramp custa a partir de $5.500/mês. Adiciona acesso a um pool de Technical Account Managers (TAMs), SLA de 30 minutos para sistema crítico fora do ar, e revisões proativas de arquitetura. Para organizações de médio porte com dependência significativa da AWS.

Enterprise custa a partir de $15.000/mês. Tem um TAM dedicado (que conhece sua arquitetura, participa de reuniões de planejamento, antecipa problemas), SLA de 15 minutos para sistema crítico, e acesso à equipe de gerenciamento de conta executiva da AWS. Para empresas que dependem criticamente da AWS e onde downtime de 15 minutos significa milhões em perda.

Plano	Custo mínimo	SLA crítico	Diferencial
Basic	Gratuito	Sem SLA	Documentação, fóruns, 7 Trusted Advisor checks
Developer	$29/mês	12–24h (horário comercial)	Email em horário comercial
Business	$100/mês	1h (produção down)	24/7 telefone/chat, Trusted Advisor completo
Enterprise On-Ramp	$5.500/mês	30 min (crítico)	Pool de TAMs
Enterprise	$15.000/mês	15 min (crítico)	TAM dedicado

Cenário de prova — planos de suporte: “Aplicação de missão crítica em produção que não pode ter downtime” → Enterprise. “Empresa quer suporte 24/7 por telefone ao menor custo” → Business. “Equipe de desenvolvimento testando a AWS” → Developer. “Conta de estudo pessoal” → Basic.

Organizations & Consolidated Billing

AWS Organizations permite gerenciar múltiplas contas AWS centralmente sob uma organização. É o modelo ideal para empresas com múltiplas contas separadas (por ambiente, por equipe, por produto). Você tem uma conta Master (Management Account) que consolida a governança.

Consolidated Billing é um dos benefícios do Organizations: todas as contas da organização têm suas faturas consolidadas em uma única fatura. O benefício financeiro é real — o uso somado de todas as contas conta para os descontos por volume do S3, data transfer e outros serviços.

Service Control Policies (SCP) são políticas aplicadas a OUs (Organizational Units) ou contas inteiras dentro da organização, que definem quais ações são permitidas. SCPs limitam o que até o administrador da conta pode fazer — são uma camada acima do IAM. Exemplo: SCP proibindo que qualquer conta desligue o CloudTrail.

Free Tier

Tipo	Exemplo
Always Free	Lambda (1M req/mês), DynamoDB (25GB de storage), CloudWatch (10 métricas customizadas)
12 meses grátis	EC2 t2.micro (750h/mês), S3 (5GB Standard), RDS (750h db.t2.micro)
Trials	GuardDuty (30 dias), Inspector (90 dias), Macie (30 dias)

5. Outros Conceitos Frequentes no CCP

Escalabilidade vs Elasticidade vs Alta Disponibilidade

Esses termos parecem sinônimos mas têm significados distintos no contexto da AWS.

Scalability (Escalabilidade) é a capacidade do sistema de crescer para atender demanda maior. Um sistema é escalável se você pode adicionar capacidade. Há dois tipos: vertical (scale up — trocar t3.micro por m5.large, adicionando mais CPU/RAM à mesma máquina) e horizontal (scale out — adicionar mais instâncias ao pool).

Elasticity (Elasticidade) vai além: não só você pode escalar, como o sistema escala automaticamente para cima e para baixo conforme a demanda. Auto Scaling Group é elasticidade. Lambda é inerentemente elástico — escala para zero quando não há requisições, para milhares quando há pico.

High Availability (Alta Disponibilidade) significa que o sistema continua funcionando mesmo quando componentes individuais falham. Uma aplicação em duas AZs com um load balancer na frente é altamente disponível — se uma AZ cair, o tráfego vai automaticamente para a outra.

Fault Tolerance é um grau mais alto que HA: o sistema opera sem degradação perceptível mesmo com falhas. Implica redundância total de todos os componentes críticos.

Disaster Recovery é o conjunto de procedimentos para restaurar operações após um desastre (incêndio no data center, ataque cibernético, erro humano catastrófico). Duas métricas chave: RTO (Recovery Time Objective — quanto tempo para restaurar o sistema) e RPO (Recovery Point Objective — quanto de dados pode ser perdido, ou seja, há quanto tempo foi o último backup).

Conceito	Significado
Scalability	Capacidade de crescer (horizontal ou vertical)
Elasticity	Escala automática para cima E para baixo
High Availability	Continua funcionando com falha de componentes
Fault Tolerance	Zero degradação mesmo com falhas
Disaster Recovery	Recuperação após desastre (RTO e RPO)

AWS Cloud Adoption Framework (AWS CAF)

O CAF é um guia da AWS para ajudar organizações a planejar e executar a jornada de adoção da nuvem. Ele divide as atividades necessárias em 6 perspectivas, cada uma cobrindo uma área diferente da organização.

O que diferencia as perspectivas é quem é responsável:

Business foca em garantir que a adoção da nuvem entregue valor de negócio real. As atividades incluem definir casos de uso com ROI claro, criar modelos de negócio para serviços cloud, alinhar investimento em TI com estratégia corporativa. Stakeholders: C-suite, gestores de negócio, CFO.

People trata da dimensão humana da transformação. Mudança de cultura, identificação de gaps de habilidades, treinamento de equipes, criação de novos papéis (Cloud Architect, DevOps Engineer). A adoção da nuvem falha frequentemente não por falta de tecnologia, mas por falta de cultura e habilidades. Stakeholders: RH, líderes de equipe, L&D.

Governance garante que a organização possa gerenciar a nuvem de forma consistente, segura e eficiente. Inclui processos de TI, gestão de portfólio de projetos, compliance, gestão de riscos, KPIs de TI. Stakeholders: CIO, gestores de programa, risk officers.

Platform cobre a arquitetura técnica da nuvem. Provisionamento de infraestrutura, pipelines de CI/CD, padrões de arquitetura de referência, princípios de design de sistemas cloud-native. Stakeholders: arquitetos de soluções, líderes técnicos.

Security garante que a adoção seja feita de forma segura. IAM, proteção de dados, resposta a incidentes, controles de conformidade, gestão de vulnerabilidades. Stakeholders: CISO, equipe de segurança.

Operations garante que os serviços cloud sejam operados de forma eficiente. Monitoramento, gestão de incidentes, continuidade de negócio, disaster recovery, ITSM. Stakeholders: gerentes de operações, time de SRE.

Perspectiva	Foco	Stakeholders típicos
Business	ROI, valor de negócio, alinhamento estratégico	C-suite, CFO
People	Cultura, habilidades, treinamento, gestão de mudança	RH, líderes
Governance	Processos, compliance, gestão de riscos	CIO, risk officers
Platform	Arquitetura cloud, infra, CI/CD	Arquitetos, tech leads
Security	IAM, proteção de dados, resposta a incidentes	CISO, segurança
Operations	Monitoramento, continuidade, ITSM	Ops managers, SRE

Estratégias de Migração — Os 7 R’s

Quando uma empresa migra para a nuvem, cada aplicação precisa de uma estratégia. Os 7 R’s descrevem as opções:

Estratégia	Descrição	Quando usar
Retire	Desligar sistemas obsoletos	Aplicação não tem mais usuários ou valor
Retain	Manter on-premises por ora	Dependências complexas, prazo de licença, não prioritário
Rehost	Lift-and-shift — mover VM para EC2 sem mudanças	Migração rápida, sem tempo para refatoração
Relocate	Mover para cloud sem modificar SO/hypervisor	Migração VMware para VMware Cloud on AWS
Replatform	Pequenas otimizações (ex: migrar BD para RDS)	Ganhar benefícios de managed service com esforço mínimo
Repurchase	Trocar aplicação por SaaS equivalente	CRM on-premises → Salesforce, email → Microsoft 365
Refactor/Re-architect	Redesenhar para nativo em nuvem	Máximo ganho, máximo esforço — microserviços, serverless

Cenário de prova — 7 R’s: “Mover servidor de aplicação para EC2 sem alterar código” → Rehost. “Mover banco de dados Oracle para Amazon RDS” → Replatform. “Redesenhar aplicação como microserviços serverless” → Refactor. “Trocar sistema de email interno por Office 365” → Repurchase.

Responsabilidade por Serviço (tabela crítica para prova)

Uma das aplicações mais diretas do modelo de responsabilidade compartilhada é entender quem gerencia o SO de cada tipo de serviço:

Serviço	Modelo	Quem gerencia o SO?
EC2	IaaS	Cliente — você faz patches, configura firewall, tudo
RDS	PaaS	AWS — serviço gerenciado; você não tem acesso SSH ao servidor
Lambda	Serverless	AWS — você só fornece o código
ECS (modo EC2)	IaaS	Cliente — você gerencia os worker nodes
ECS Fargate	Serverless	AWS — sem servidores para você gerenciar
EKS	Híbrido	AWS gerencia o control plane; Cliente gerencia worker nodes (a menos que use Fargate)
Elastic Beanstalk	PaaS	Configurável — AWS gerencia por padrão, mas você pode acessar o EC2 subjacente se precisar

Serviços para Alta Disponibilidade

ELB (Elastic Load Balancer) — distribui tráfego entre instâncias em múltiplas AZs; detecta instâncias não saudáveis e para de enviar tráfego para elas
Auto Scaling Group — ajusta automaticamente o número de instâncias EC2 com base em métricas (CPU, por exemplo) ou agendamento
Multi-AZ (RDS) — réplica síncrona do banco em outra AZ com failover automático
Route 53 — roteamento failover entre regiões; DNS com health checks

6. Simulados Gratuitos

A melhor estratégia de estudo para o CCP é fazer muitos simulados após uma primeira leitura do conteúdo. Use os recursos abaixo em ordem de prioridade.

Recurso	Questões	Cadastro	Qualidade
AWS Skill Builder — Official Question Set	20	Conta AWS gratuita	Oficial — prioridade máxima
Tutorials Dojo Free Sampler	30	Conta gratuita	Gold standard da comunidade
Kanani Nirav (open source)	Centenas	Não	Alto volume, sem barreiras
ExamTopics CLF-C02	100+ (parcial grátis)	Login gratuito	Respostas da comunidade — validar nos comentários

Como usar: Comece pelo AWS Skill Builder para entender o padrão exato de linguagem da prova real — a forma como a AWS formula questões é específica e você precisa se acostumar. Depois use Tutorials Dojo para volume com qualidade. Kanani Nirav é bom para reforço e volume sem criar conta. ExamTopics tem questões antigas e algumas respostas controversas — sempre leia os comentários da comunidade antes de aceitar a resposta marcada.