Imagina esto: después de meses de estudio, exámenes de práctica y algunos momentos de duda, finalmente presionas el botón de enviar. Entonces la pantalla muestra las palabras que has estado esperando:
“¡Felicidades! Has aprobado el AWS Certified Solutions Architect – Professional.” 🎉
Eso me pasó no hace mucho, y déjame decirte, la sensación fue como terminar una gran comida después de horas en la cocina — llena de alivio, orgullo y quizás hasta un poco de cansancio.
Esta certificación no es cualquier cosa — se trata de dominar:
🌐 Diseño de arquitecturas complejas en AWS
🔒 Seguridad, cumplimiento y gobierno a escala
⚙️ Optimización de costo, rendimiento y resiliencia
🛠️ Migración y modernización de cargas de trabajo
📊 Equilibrar decisiones con necesidades reales de negocio
Pero aquí está el detalle: aprobar el examen no se trata solo de memorizar preguntas. Se trata de entender realmente cómo funciona AWS a gran escala. Y para mí, dos temas destacaron más que cualquier otro:
✅ Service Control Policies (SCPs) – las barandillas que mantienen tus cuentas de AWS seguras y consistentes.
✅ Migraciones – las estrategias que ayudan a mover cargas de trabajo a AWS sin interrumpir el negocio.
En este artículo compartiré mis ideas sobre estas dos áreas. Lo mantendré simple, con analogías y ejemplos del mundo real que realmente puedes usar — Sé que muchos de ustedes están aprendiendo AWS en inglés, pero resulta mucho más fácil si lo estudiamos en nuestro idioma, o quizás apenas están comenzando en la nube. Y si ya eres un experto, piénsalo como un repaso refrescante con una nueva perspectiva.
Service Control Policies (SCPs) – La Parte Técnica
Muy bien, veamos lo que dice la documentación de AWS sobre Service Control Policies (SCPs) pero de una forma más fácil de digerir:
- Parte de AWS Organizations
- Las SCPs viven dentro de AWS Organizations, el servicio que usas para manejar múltiples cuentas de AWS en un solo lugar.
- Importante: las SCPs solo funcionan si activas “todas las características”. Si solo tienes la facturación consolidada, las SCPs no estarán disponibles.
- Las SCPs No Otorgan Permisos
- Esto es lo más importante: las SCPs no dan acceso.
- Simplemente definen los límites máximos de permisos que una cuenta puede tener.
- Ejemplo: si IAM dice “sí” pero SCP dice “no”, el resultado es no.
- Jerarquía y Herencia
- Las SCPs se pueden aplicar en el root, a Organizational Units (OUs) o a cuentas individuales.
- Las reglas bajan en cascada: una SCP en root afecta todo; una SCP en un OU afecta todas las cuentas dentro de ese OU.
- Los permisos efectivos = la intersección de SCPs + IAM. Para que una acción funcione, debe estar permitida en toda la cadena.
- Lista de Permitir vs Lista de Denegar
- Lista de Permitir (denegar por defecto): Todo está denegado a menos que lo permitas. Muy estricto, mucho trabajo.
- Lista de Denegar (permitir por defecto): Todo está permitido a menos que lo deniegues. Más fácil de manejar y lo más común.
- Impacto en Permisos
- Las SCPs afectan a usuarios y roles IAM en cuentas miembro, incluso al usuario root.
- No afectan la cuenta de administración ni a los roles vinculados a servicios.
- Control Centralizado
-
Las SCPs ayudan a mantener las cuentas bajo control:
- Bloqueando servicios específicos
- Restringiendo regiones
- Asegurando cumplimiento
- Buenas Prácticas
- No empieces en root. Haz pruebas en un OU primero para evitar bloquear servicios críticos.
- Usa IAM last accessed data o CloudTrail para revisar uso antes de aplicar restricciones.
🏠 La Analogía de la Casa Familiar (Root, OUs, SCPs)
- Root = la casa de los padres.
- Cada OU = un dormitorio diferente.
- Cada cuenta = el niño que vive en ese dormitorio.
Escenario 1: Denegar en Root (mala idea)
- Los padres ponen candado al refri: “Nadie puede comer helado.”
- Aunque las reglas del niño digan que sí, la regla de la casa aplica → nadie come helado.
- Eso pasa si niegas en root: no hay excepciones.
Escenario 2: Root Full Access + Denegar en OU (mejor práctica)
- Los padres dicen: “Todos pueden comer lo que sea.” (FullAWSAccess por defecto).
-
Cada dormitorio (OU) pone sus propias reglas:
- Niño #1 → No helado.
- Niño #2 → No dulces.
- Niño #3 → Acceso completo.
Si Niño #1 de repente necesita helado para un proyecto de la escuela, lo mueves al cuarto del Niño #3.
Eso es denegar a nivel OU: flexible y más fácil de manejar.
Escenario 3: Lista de Permitir en Root (demasiado estricto)
- Los padres ponen un pizarrón gigante: “Solo pizza y manzanas permitidas.”
- Cada comida nueva = actualizar el pizarrón. Demasiado trabajo.
- Eso es una lista de permitir en root → alto mantenimiento.
✅ La estrategia ganadora: Root = deja FullAWSAccess. OU = aplica listas de denegar. Excepciones = mueve cuentas.
Migraciones – Lo Que Necesitas Saber para el Examen AWS SAP
1. Planeación de Migración
Cuando AWS habla de migraciones, no significa solo “mueve todo a la nube y espera que funcione.” Quieren que lo hagas como un pro:
- Descubre lo que tienes (servidores, bases de datos, apps).
- Agrupa las cosas lógicamente (aplicaciones, dependencias).
- Elige la estrategia correcta de migración (las famosas 6 R’s).
Esta etapa es como planear una mudanza familiar grande. No agarras cajas al azar — haces una lista, decides qué se va, qué se queda y qué se actualiza.
2. AWS Application Discovery Service (ADS)
Esta herramienta es tu inventario antes de la mudanza. Escanea automáticamente tu entorno on-premises y recoge detalles de servidores, VMs, bases de datos e incluso conexiones de red.
Tiene tres formas principales de recolectar datos:
-
Agentless Collector:
- No requiere instalar nada en cada servidor.
- Ideal para entornos VMware.
- Recolecta datos básicos: hostname, IP, CPU, RAM, uso de disco.
- Limitación: no ve procesos ni dependencias de red.
-
Discovery Agent (basado en agente):
- Instalado en cada servidor.
- Da datos detallados: procesos, flujos de red, rendimiento.
- Perfecto para entender cómo se comunican los servidores.
-
Importación basada en archivos:
- Cuando ya tienes un inventario de otro sistema.
- Lo importas directo a Migration Hub.
📊 ¿Qué pasa después del descubrimiento?
- Los datos van a tu Migration Hub Home Region.
- Puedes agrupar servidores en aplicaciones.
- Exportar los datos a S3, Athena o QuickSight para análisis de costos.
- Usar la info para dimensionar bien EC2s y planear costos.
3. Servicios de Migración: De VMware u On-Prem a AWS
Cuando ya tienes el plan, es hora de mover las cajas. Para el examen SAP, necesitas conocer estos servicios clave:
-
AWS Application Migration Service (MGN)
- El campeón del lift-and-shift.
- Replica servidores en AWS y los convierte en EC2s.
- Minimiza downtime.
- Funciona con Migration Hub para seguimiento.
- Bonus: después de rehost, puedes replatform o refactor fácilmente.
-
AWS Database Migration Service (DMS)
- Especial para bases de datos.
- Soporta migraciones homogéneas (Oracle → Oracle) y heterogéneas (SQL Server → Aurora).
- Integra con Fleet Advisor para planear migraciones de DB.
-
AWS Migration Hub
- El panel central de todos los proyectos de migración.
- Muestra el estado de servidores y apps, sin importar qué herramienta uses.
- Piensa en él como el coordinador de la mudanza que rastrea cada camión y caja.
4. Estrategias de Migración (Las 6 R’s)
Estas seguro aparecen en el examen:
- Rehost (Lift & Shift): Mover tal cual. Ej: VM → EC2.
- Replatform: Pequeños cambios. Ej: App → Elastic Beanstalk, DB → RDS.
- Refactor (Re-arquitectar): Cambios grandes. Ej: Monolito → microservicios con Lambda.
- Repurchase: Reemplazar con SaaS. Ej: CRM on-prem → Salesforce.
- Retire: Dar de baja apps que no se usan.
- Retain: Mantener on-prem por ahora.
✅ Conclusiones
- Service Control Policies (SCPs): Son las barandillas de AWS Organizations. No dan acceso, pero definen los límites máximos de permisos. La mejor práctica: dejar FullAWSAccess en root y aplicar listas de denegar en OUs para flexibilidad y seguridad.
- Migraciones: No es solo levantar y mover servidores. Requiere planeación, descubrir con ADS, mover con MGN o DMS, dar seguimiento con Migration Hub y finalmente aplicar la estrategia adecuada de las 6 R’s. Así la migración es predecible y costo-eficiente.
¡Eso es todo! 🎬 Ya viste dos de los temas más pesados del examen AWS SAP: SCPs y Migraciones. Ambos son críticos no solo para aprobar el examen, sino también para trabajar como un verdadero Solutions Architect en el mundo real.
Si este artículo te ayudó, aquí está lo que puedes hacer después:
Sígueme en X and YouTube para más contenido de AWS, DevOps y Terraform, amigable para principiantes pero también útil para el examen.
Deja un comentario con tus pensamientos, tu propio camino en el AWS SAP o preguntas que quieras que cubra después.
Pronto crearé un repositorio en GitHub. donde compartiré recursos y ejemplos de práctica.
¡Éxito en tu camino al AWS SAP, y recuerda: preparación + práctica = aprobar como un pro! 🚀
Top comments (0)