Glossário AWS em PT-BR

Termos e siglas comuns da AWS explicados em português brasileiro. Use o sumário lateral ou Ctrl/Cmd+F para encontrar um termo específico.

IAM: Identity and Access Management. Serviço da AWS para gerenciar identidades, grupos, roles e permissões via políticas JSON. Cada usuário ou serviço recebe uma identidade IAM com permissões granulares: quem pode fazer o quê em quais recursos. IAM é global, sem regiões. Cai bastante em CLF-C02 e em todas as provas AWS pelo modelo de responsabilidade compartilhada (você cuida das permissões). MFA, IAM Roles e políticas attached são conceitos centrais.
EC2: Elastic Compute Cloud. Servidores virtuais (instances) na AWS, com sistemas operacionais Linux ou Windows. Modelos de pricing: On-Demand (pagamento por hora ou segundo, sem compromisso), Reserved (compromisso de 1 ou 3 anos, desconto até 72%), Spot (capacidade ociosa, desconto até 90%) e Savings Plans (compromisso flexível). Famílias de instance type variam por workload: M para uso geral, C para CPU intensivo, R para memória, G e P para GPU. Cai em CLF-C02 e em todas as Associates.
S3: Simple Storage Service. Object storage da AWS, com durabilidade de 99,999999999% (11 noves). Dados são armazenados em buckets e organizados por key. Storage classes principais: Standard (acesso frequente), Intelligent-Tiering (movimentação automática entre classes), Standard-IA (acesso infrequente), Glacier Instant Retrieval, Glacier Flexible Retrieval e Deep Archive (arquivamento de longo prazo). Cobra por GB armazenado por mês, GETs, PUTs e transferência de saída. Cai em CLF-C02 com foco em storage classes e modelos de cobrança.
VPC: Virtual Private Cloud. Rede virtual isolada dentro de uma região AWS. Você define o range de IPs (CIDR), divide em subnets (public ou private), configura route tables, attacha internet gateway para tráfego público e NAT gateway para saída de subnets privadas. Security groups e NACLs controlam o tráfego. VPC é o alicerce de qualquer arquitetura AWS séria. Cai bastante em SAA-C03 e em qualquer prova com tópicos de networking ou segurança em camada de rede.
RDS: Relational Database Service. Banco de dados relacional gerenciado pela AWS. Suporta seis engines: MySQL, PostgreSQL, MariaDB, Oracle, SQL Server e Aurora (proprietário AWS, compatível com MySQL ou PostgreSQL). A AWS cuida de backup automático, patching, replicação Multi-AZ para alta disponibilidade e read replicas para escala de leitura. Cobra por instance type, storage provisionado e I/O. Cai em CLF-C02 no nível conceitual (gerenciado vs auto-gerenciado) e em SAA-C03 com profundidade em failover e escala.
DynamoDB: Banco NoSQL key-value e document gerenciado pela AWS. Latência single-digit milliseconds em qualquer escala, totalmente serverless (sem instâncias para gerenciar). Cobra por capacidade provisionada (read capacity units e write capacity units) ou modo on-demand (pague apenas pelas operações). Suporta global tables (replicação multi-região), streams (CDC para Lambda) e DAX (cache em memória). É escolha padrão para workloads serverless e microsserviços com escala imprevisível. Cai em DVA-C02 com foco em modelagem de partition keys e índices.
Lambda: Functions-as-a-Service serverless. Você sobe código em Node.js, Python, Java, Go, Ruby, .NET ou container image, a AWS executa sob demanda em resposta a eventos (API Gateway, S3, DynamoDB Streams, EventBridge, etc.). Sem servidor para gerenciar. Cobra por invocação e por duração de execução (medida em GB-segundo). Limite de timeout de 15 minutos e memória de até 10 GB. É pilar de arquitetura serverless. Cai em DVA-C02 com foco em invocação síncrona vs assíncrona, concurrency e dead letter queues.
CloudWatch: Plataforma de observability da AWS: métricas, logs, alarms, dashboards e events. CloudWatch Metrics coleta dados de qualquer serviço AWS automaticamente, e custom metrics via API. CloudWatch Logs centraliza logs de Lambda, EC2, ECS e aplicações via agente. CloudWatch Alarms dispara ações (SNS, Auto Scaling) quando uma métrica cruza um threshold. CloudWatch Logs Insights faz queries em logs com sintaxe própria. Cai em CLF-C02 no conceito de monitoring e em SOA-C02 com profundidade em alarms compostos e métricas custom.
CloudTrail: Audit log de todas as chamadas de API feitas dentro de uma conta AWS. Para cada chamada, registra quem fez (identidade IAM), quando, de qual IP, qual ação foi executada e em qual recurso. Habilitado por padrão em todas as contas AWS com retenção de 90 dias. Para retenção longa, exporte para S3 e analise com Athena. Essencial para compliance (LGPD, SOC2, ISO 27001) e investigação de incidentes de segurança. Cai em CLF-C02 e em SCS-C02 (Security Specialty) com foco em event types e integração com Lake Formation.
Route 53: DNS gerenciado da AWS, com SLA de 100% de disponibilidade. Suporta zonas públicas (DNS da internet) e privadas (resolução dentro de VPCs). Políticas de roteamento avançadas: simple, weighted (load balancing entre endpoints), latency-based (roteia para a região mais próxima), geolocation (por país ou continente), geoproximity (com bias configurável), failover (ativo-passivo) e multivalue answer. Também registra domínios. Cai em SAA-C03 com foco em arquiteturas multi-region e estratégias de DR (disaster recovery).
CloudFront: CDN (Content Delivery Network) da AWS. Distribui conteúdo HTTP e HTTPS via 400+ edge locations globais, com cache que reduz latência e custo de transferência. Integra com S3 (sites estáticos), Application Load Balancer, EC2 e Lambda@Edge (executa funções nas edges, antes de cache miss). Suporta certificados SSL gerenciados via ACM, signed URLs e signed cookies para conteúdo privado. Cai em CLF-C02 no conceito de edge e em SAA-C03 com foco em origin failover, OAI e integração com WAF.
ELB: Elastic Load Balancing. Distribui tráfego entre múltiplos targets (EC2, ECS, Lambda, IPs). Três variantes: Application Load Balancer (camada 7, HTTP/HTTPS, com routing por path, host, header), Network Load Balancer (camada 4, TCP/UDP, ultra-baixa latência e milhões de requests por segundo) e Gateway Load Balancer (camada 3, para appliances virtuais como firewalls de terceiros). Suporta health checks, integração com Auto Scaling e SSL termination. Cai em SAA-C03 com foco em quando escolher cada variante.
Auto Scaling: Provisionamento e desprovisionamento automático de instâncias EC2 com base em métricas (CPU, RAM, network, custom). Garante elasticidade horizontal: sobe instâncias quando a demanda cresce, desliga quando cai. Trabalha com Launch Templates (definição de instance type, AMI, security group, user data) e Auto Scaling Groups (define min, desired, max instances e políticas de scaling). Integra com ELB para registrar novos targets automaticamente. Cai em CLF-C02 no conceito de elasticidade e em SAA-C03 com foco em scaling policies e cooldown periods.
KMS: Key Management Service. Gerencia chaves de criptografia simétricas e assimétricas usadas para criptografar dados em S3, EBS, RDS, Lambda env vars, Secrets Manager, etc. Duas categorias de keys: Customer Managed Keys (você controla rotação e políticas) e AWS Managed Keys (criadas e geridas pela AWS, sem custo de management). Cobra por key por mês e por requisição. Integra com CloudTrail para audit. Cai em SCS-C02 (Security Specialty) com foco em key policies, grants e envelope encryption.
SQS: Simple Queue Service. Fila de mensagens distribuída e gerenciada. Duas variantes: Standard (best-effort ordering, throughput quase ilimitado, possível entrega duplicada) e FIFO (strict ordering, exactly-once delivery, throughput de até 3.000 mensagens por segundo com batching). Mensagens ficam disponíveis por até 14 dias. Suporta visibility timeout, dead letter queues e long polling. É o pilar de desacoplamento em arquiteturas event-driven. Cai em DVA-C02 com foco em integração com Lambda e em strategies de retry.
SNS: Simple Notification Service. Sistema pub/sub para distribuição de mensagens em fan-out. Você publica uma mensagem em um tópico, e a AWS entrega para todos os subscribers cadastrados: email, SMS, HTTP/HTTPS endpoints, Lambda, SQS, Kinesis Data Firehose e mobile push (APNs, FCM). Suporta filtros por atributo, mensagens FIFO e cross-region delivery. Combinado com SQS forma o padrão fan-out (SNS para SQS), comum em arquiteturas event-driven. Cai em DVA-C02 e SAA-C03 com foco em integração com Lambda.
ECS: Elastic Container Service. Orquestrador de containers AWS-native (proprietário, não Kubernetes). Roda containers Docker em duas modalidades de compute: EC2 (você gerencia as instâncias do cluster) ou Fargate (serverless, AWS gerencia o compute). Tasks são definidas em task definitions JSON. Services mantêm um número desejado de tasks rodando, com integração com Application Load Balancer. Cai em DVA-C02 com foco em task definitions, networking modes (awsvpc, bridge) e roles de task vs execução.
EKS: Elastic Kubernetes Service. Kubernetes gerenciado pela AWS. O control plane (API server, etcd, scheduler, controllers) é gerenciado e replicado em múltiplas AZs, com SLA de 99,95%. Worker nodes rodam em EC2 (managed node groups ou self-managed) ou em Fargate (serverless pods). Suporta kubectl, Helm e ferramentas Kubernetes padrão. Integra nativamente com IAM (via IRSA, IAM Roles for Service Accounts), VPC CNI e ALB Ingress Controller. Cai em DOP-C02 (DevOps Professional) com foco em deployment strategies e observability.
Fargate: Compute serverless para containers. Roda ECS tasks e EKS pods sem você precisar provisionar ou gerenciar EC2. Você define apenas vCPU e RAM por task, a AWS aloca o compute por baixo dos panos. Cobra por vCPU e RAM consumidos por segundo (com mínimo de 1 minuto). Ideal para workloads com tráfego variável ou para times que querem reduzir overhead operacional. Trade-off: custo unitário maior que EC2 reservado, mas zero gestão de cluster. Cai em DVA-C02 e SAA-C03 com foco em casos de uso (Fargate vs EC2 launch type).
IAM Role: Identidade IAM assumível com permissões temporárias, sem credenciais permanentes associadas. Diferente do IAM User (que tem access key e secret key permanentes), uma role é assumida via STS (Security Token Service), gerando credenciais de curta duração (15 minutos a 12 horas). Usada por EC2 (instance profile), Lambda (execution role), ECS task role, cross-account access e federação SAML/OIDC. É a forma recomendada de dar permissões para serviços e workloads, evitando hardcode de chaves no código. Veja também: IAM.
Security Group: Firewall stateful que controla tráfego de entrada (inbound) e saída (outbound) para uma instância EC2, ENI, RDS ou Lambda em VPC. Aceita apenas allow rules, sem deny (deny é o padrão implícito). Stateful significa que o retorno de uma conexão permitida é automaticamente liberado, sem precisar de regra de retorno. Diferente do NACL, que é stateless e opera no nível da subnet. Cada recurso pode ter múltiplos security groups attached. Cai bastante em SAA-C03 e SCS-C02 com foco em camadas de segurança em VPC. Veja também: VPC.
Responsabilidade Compartilhada: Modelo de segurança onde AWS cuida da segurança DA cloud (hardware físico, datacenter, hipervisor, infraestrutura de rede global, serviços gerenciados) e o cliente cuida da segurança NA cloud (dados, configuração de IAM, sistema operacional em EC2, aplicação, criptografia em repouso e em trânsito, gestão de patches em workloads não-gerenciados). Varia conforme o tipo de serviço: em SaaS como S3 ou DynamoDB, a AWS cobre quase tudo, restando ao cliente apenas IAM e dados. Em IaaS como EC2, o cliente cobre OS e aplicação. Cai pesadíssimo em CLF-C02, é um dos tópicos centrais.