Jembatan antara membuat resource dan mengoperasikan resource

Membuat resource itu seperti membuka toko, sedangkan monitoring dan governance adalah CCTV, buku tamu, SOP kasir, teknisi gedung, dan audit harian.

Bayangkan kamu punya online shop skincare. Server menyala, database berjalan, bucket S3 menyimpan gambar produk, dan API menerima pesanan. Masalahnya, bisnis tidak berhenti di tahap “resource berhasil dibuat”. Kamu perlu tahu apakah aplikasi sehat, siapa mengubah pengaturan, konfigurasi mana yang melanggar standar, kapan AWS punya maintenance, apakah kuota hampir habis, dan apakah resource terlalu besar sehingga biaya bocor.

Di AWS, kumpulan layanan monitoring, logging, operasi, dan governance membantu menjawab pertanyaan itu. Amazon CloudWatch melihat metrik, log, alarm, dan dashboard. AWS CloudTrail mencatat aktivitas API dan tindakan akun. AWS X-Ray membantu menelusuri perjalanan request. AWS Config merekam konfigurasi resource dan mengevaluasi kepatuhan. AWS Systems Manager membantu mengelola node dan menjalankan operasi rutin. Amazon EventBridge menghubungkan event dengan tindakan otomatis. AWS Health Dashboard, Trusted Advisor, Service Quotas, Compute Optimizer, dan AWS Well-Architected Tool memberi konteks kesehatan, rekomendasi, batas layanan, optimasi, dan evaluasi arsitektur.

Untuk CLF-C02, kamu tidak diminta menjadi operator senior yang menulis query log rumit. Fokusnya adalah mengenali layanan yang tepat untuk skenario yang tepat. Jika soal bertanya “siapa menghapus security group?”, pikirkan CloudTrail. Jika soal bertanya “CPU melewati threshold dan perlu alarm”, pikirkan CloudWatch. Jika soal bertanya “bucket berubah menjadi public dan harus dievaluasi terhadap aturan”, pikirkan AWS Config.

Sumber resmi yang relevan: Exam Guide CLF-C02, In-Scope AWS Services CLF-C02, dan Content Domain 2 Security and Compliance.

Satu masalah operasional biasanya butuh lebih dari satu layanan

Cara cepat memahami modul ini adalah memisahkan sinyal teknis, jejak tindakan, perubahan konfigurasi, dan rekomendasi perbaikan.

Ada empat kelompok besar yang perlu kamu bedakan. Pertama, observability adalah kemampuan melihat keadaan sistem dari luar lewat metrik, log, dan trace. Kedua, auditability adalah kemampuan menelusuri tindakan yang terjadi di akun. Ketiga, operations adalah kemampuan menjalankan pekerjaan rutin dengan aman. Keempat, governance adalah kemampuan memastikan lingkungan tetap sesuai aturan, batas, dan best practice.

Dalam praktik, layanan ini saling melengkapi. CloudTrail bisa mengirim log ke CloudWatch Logs atau S3. CloudWatch bisa membuat alarm dan memicu notifikasi. AWS Config bisa mendeteksi resource noncompliant. Systems Manager bisa menjalankan patching atau automation. Service Quotas dan Trusted Advisor membantu mencegah kejutan operasional sebelum aplikasi gagal di hari ramai.

Tiga “log” yang sering tertukar

Banyak pemula menyangka semua jejak digital itu sama. Padahal CloudWatch, CloudTrail, dan Config menjawab tiga pertanyaan berbeda atas satu kejadian yang sama. Inilah pembedaan paling penting di seluruh modul, jadi pegang erat ketiga kata kerja ini.

Metrik, log, alarm, dashboard, dan pandangan kesehatan operasional

CloudWatch adalah panel instrumen mobil, kamu melihat kecepatan, suhu mesin, indikator bahan bakar, dan lampu peringatan sebelum mobil mogok.

Amazon CloudWatch membantu mengumpulkan dan memantau data operasional seperti metrik, log, alarm, dashboard, dan insight dari resource AWS maupun aplikasi. Banyak layanan AWS mengirim metrik dasar ke CloudWatch secara otomatis, sedangkan aplikasi sendiri bisa mengirim custom metrics atau log dengan agent dan API.

Kenapa CloudWatch jadi pusat observability? Karena ia adalah tempat angka, log, dan grafik dari banyak layanan berkumpul tanpa kamu harus membuka tiap layanan satu per satu. Banyak layanan AWS sudah mendorong metrik dasar ke sana secara otomatis, jadi titik awal monitoring biasanya gratis dan langsung ada. Untuk hal yang tidak terkirim otomatis (misalnya log aplikasi atau metrik memori EC2), kamu memasang CloudWatch Agent atau mengirim custom metric lewat API.

Contoh nyata, API checkout skincare mulai lambat. CloudWatch bisa menunjukkan p95 latency meningkat, error rate naik, dan CPU instance backend mendekati penuh. Jika alarm sudah dibuat, tim bisa menerima notifikasi sebelum pelanggan ramai-ramai komplain. Dashboard membantu tim nonteknis melihat status umum tanpa membuka tiap layanan satu per satu.

Seberapa sering CloudWatch mengukur?

Detail yang sering muncul di soal adalah interval pengumpulan metrik. Secara default, EC2 memakai basic monitoring yang mengambil data tiap 5 menit dan gratis. Jika kamu mengaktifkan detailed monitoring, intervalnya menjadi 1 menit, tetapi berbayar. Untuk workload yang naik turun cepat, interval 1 menit membantu alarm bereaksi lebih sigap. Untuk lab belajar atau workload tenang, interval 5 menit sudah cukup dan tidak menambah biaya.

CloudWatch Logs Insights, contoh nyata

Saat investigasi, kamu jarang membaca log baris demi baris. CloudWatch Logs Insights adalah bahasa query untuk menyaring dan mengagregasi log dengan cepat. Misalnya, saat checkout error, kamu bisa menjalankan query yang mencari semua entri berstatus 500, menghitung jumlahnya per menit, lalu mengurutkan dari yang terbanyak. Dalam hitungan detik kamu tahu kapan lonjakan error dimulai, bukan menebak dari ribuan baris log mentah.

Kapan memakai CloudWatch?

• Saat perlu memantau performa EC2, Lambda, RDS, DynamoDB, SQS, atau layanan lain.
• Saat perlu alarm berbasis metrik, misalnya CPU tinggi, error rate tinggi, atau antrean SQS menumpuk.
• Saat perlu menyimpan dan mencari log aplikasi.
• Saat perlu dashboard operasional untuk tim.
• Saat perlu mengirim custom metric dari aplikasi sendiri.

Jebakan umum CloudWatch

CloudWatch bukan alat utama untuk menjawab “siapa mengubah konfigurasi IAM policy?”. Untuk aktivitas API dan audit tindakan akun, pilih CloudTrail. CloudWatch juga bukan alat utama untuk mengevaluasi apakah resource compliant terhadap aturan organisasi, pilih AWS Config. CloudWatch bisa menyimpan log dan menampilkan alarm, tetapi bukan pengganti semua governance.

Jejak audit aktivitas akun dan API

CloudTrail adalah buku tamu dan CCTV pintu admin, mencatat siapa masuk, lewat pintu mana, dan tindakan apa yang dilakukan.

AWS CloudTrail mencatat aktivitas akun AWS dalam bentuk event. Aktivitas ini bisa berasal dari AWS Management Console, AWS CLI, SDK, API call, atau layanan AWS lain. Bagi pemula, kalimat paling penting adalah: CloudTrail menjawab siapa melakukan apa, kapan, dari mana, dan terhadap resource apa. CloudTrail aktif secara default, jadi jejak management events sudah terekam meski kamu belum mengatur apa pun.

CloudTrail punya beberapa konsep yang sering muncul di ujian. Event history memberi riwayat management events selama 90 hari per Region, bisa dilihat, dicari, dan diunduh, dan gratis. Trail mengirim event ke bucket S3 untuk penyimpanan jangka panjang dan bisa dikirim juga ke CloudWatch Logs atau EventBridge. Penyimpanan jangka panjang lewat trail ke S3 inilah yang berbiaya, bukan event history-nya. CloudTrail Lake adalah event data store terkelola untuk menyimpan dan menganalisis aktivitas audit dengan query SQL. Management events mencatat operasi control plane seperti membuat bucket atau mengubah IAM role. Data events mencatat aktivitas data plane, misalnya akses object S3 atau invoke Lambda, dan perlu dikonfigurasi karena lebih detail dan volumenya bisa sangat besar.

Contoh skenario, tiba-tiba bucket gambar produk menjadi public. CloudWatch mungkin menunjukkan lonjakan traffic, tetapi CloudTrail membantu mencari event PutBucketPolicy atau perubahan ACL yang menjelaskan siapa atau role mana yang mengubahnya. Jika perusahaan butuh audit, CloudTrail adalah salah satu layanan pertama yang harus dikenali. Untuk menilai apakah bucket itu melanggar aturan, barulah AWS Config masuk. Lihat gambar berikut untuk membandingkan tiga sudut pandang atas kejadian yang sama.

Kapan memakai CloudTrail?

• Saat perlu audit aktivitas akun dan API.
• Saat perlu mencari siapa menghapus, membuat, atau mengubah resource.
• Saat perlu bukti aktivitas untuk compliance dan investigasi keamanan.
• Saat perlu menyimpan log aktivitas jangka panjang di S3.
• Saat perlu mendeteksi pola API yang tidak biasa dengan CloudTrail Insights.

Distributed tracing untuk aplikasi modern

X-Ray seperti pelacak paket ekspedisi, kamu bisa melihat paket berhenti di gudang mana dan berapa lama menunggu di tiap titik.

Aplikasi modern jarang hanya satu server. Satu request checkout bisa melewati API Gateway, Lambda, service backend, DynamoDB, SQS, dan service pembayaran. Saat lambat, metrik rata-rata saja tidak cukup. AWS X-Ray membantu melakukan distributed tracing, yaitu menelusuri perjalanan request melewati beberapa komponen.

Konsep dasar X-Ray adalah segment, subsegment, trace, dan service map. Segment adalah data kerja dari satu komponen. Beberapa segment yang punya request sama dikelompokkan menjadi trace. Dari trace itu, X-Ray membuat service map, sehingga kamu bisa melihat hubungan antar service dan menemukan bottleneck.

Untuk CLF-C02, kamu cukup tahu bahwa X-Ray membantu debugging performa aplikasi terdistribusi, terutama untuk mengetahui latency, error, dan dependency antar service. Kamu tidak perlu menguasai detail SDK atau instrumentation tingkat lanjut.

X-Ray makin terintegrasi sebagai bagian observability CloudWatch (lewat fitur seperti Application Signals dan Transaction Search). Narasinya tetap sama: CloudWatch melihat kesehatan umum lewat angka dan log, X-Ray mengikuti satu request melewati banyak komponen, dan kini keduanya berada di bawah satu payung observability.

Kapan memakai X-Ray?

• Saat request melewati banyak microservice atau layanan AWS.
• Saat perlu tahu bagian mana yang menyebabkan latency.
• Saat perlu visual service map.
• Saat perlu trace detail untuk debugging performa aplikasi.

Riwayat konfigurasi dan evaluasi compliance resource

AWS Config seperti petugas audit gedung yang memotret kondisi tiap ruangan dari waktu ke waktu dan membandingkannya dengan aturan.

AWS Config memberi tampilan detail tentang konfigurasi resource AWS, relasi antar resource, dan perubahan konfigurasi dari waktu ke waktu. Ia membantu menjawab pertanyaan: “Konfigurasi resource ini dulu seperti apa?”, “Apa yang berubah?”, dan “Apakah konfigurasi ini sesuai aturan?”.

Komponen penting AWS Config adalah configuration recorder, configuration item, AWS Config rules, conformance packs, aggregator, dan remediation. Untuk CLF-C02, cukup pahami bahwa Config merekam konfigurasi resource, mengevaluasi resource terhadap rules, menandai resource compliant atau noncompliant, dan dapat membantu remediation. Soal harga jarang ditanya detail, tetapi enak diketahui bahwa Config menagih berdasarkan jumlah configuration items yang direkam, jumlah evaluasi Config rule, dan jumlah evaluasi conformance pack (halaman pricing Config).

Contoh nyata, perusahaan ingin semua bucket S3 tidak public. AWS Config dapat menggunakan rule terkait public access untuk mengevaluasi bucket. Jika ada bucket noncompliant, tim security bisa menerima sinyal dan menindaklanjuti. Ini berbeda dari CloudTrail. CloudTrail mencari tindakan yang menyebabkan perubahan. Config menilai kondisi akhir resource terhadap aturan.

Dari deteksi ke perbaikan otomatis

Config tidak hanya menandai masalah, ia bisa menutup masalahnya. Saat sebuah rule menandai resource NONCOMPLIANT, kamu bisa menempelkan remediation action yang menjalankan dokumen SSM Automation untuk memperbaiki resource secara otomatis. Contoh konkret: rule mendeteksi sebuah security group membuka SSH (port 22) ke 0.0.0.0/0, lalu remediation memanggil runbook Systems Manager yang menutup aturan terbuka itu. Inilah jembatan antara governance (Config menilai) dan operations (Systems Manager bertindak).

Conformance packs

Daripada mengaktifkan rule satu per satu, conformance pack mengemas sekumpulan Config rules plus remediation action sebagai satu paket compliance yang bisa di-deploy lintas akun dan Region. Bayangkan template “PCI-DSS dasar” atau “best practice keamanan S3” yang siap pakai, sehingga satu tim governance bisa menetapkan standar yang sama di seluruh organisasi tanpa menyalin konfigurasi berulang.

Kapan memakai AWS Config?

• Saat perlu inventory dan riwayat konfigurasi resource.
• Saat perlu mengevaluasi compliance otomatis.
• Saat perlu mengetahui perubahan konfigurasi dari waktu ke waktu.
• Saat perlu melihat relasi resource, misalnya security group terkait EC2 tertentu.
• Saat perlu governance lintas akun dan Region dengan aggregator.

Pusat operasi untuk node, parameter, patch, command, dan automation

Systems Manager seperti ruang kontrol teknisi gedung, dari sana teknisi bisa memeriksa mesin, menjalankan perintah, mengatur jadwal patch, dan menyimpan catatan konfigurasi.

AWS Systems Manager membantu melihat, mengelola, dan mengoperasikan managed nodes dalam skala besar di AWS, on-premises, dan multicloud. Node bisa berupa EC2 instance, server on-premises, atau mesin lain yang didukung. Agar node dikelola Systems Manager, umumnya perlu SSM Agent dan koneksi ke layanan Systems Manager. Untuk EC2 modern, Default Host Management Configuration (DHMC) kini bisa otomatis menjadikan instance ber-IMDSv2 sebagai managed node tanpa kamu memasang instance profile secara manual.

Contoh nyata, kamu punya beberapa EC2 instance untuk worker image processing. Daripada SSH satu per satu, Systems Manager Run Command bisa menjalankan perintah massal. Daripada membuka port 22 ke internet, Session Manager bisa memberi akses administratif yang lebih aman dan tercatat. Daripada patch manual, Patch Manager membantu jadwal patching yang lebih terkontrol.

Parameter Store vs Secrets Manager

Parameter Store sering dipakai untuk konfigurasi aplikasi seperti endpoint, environment name, feature flag, atau nilai sensitif sederhana. Secrets Manager lebih fokus pada secret lifecycle, termasuk rotasi secret otomatis untuk database dan kredensial. Dalam soal CLF-C02, jika kata kunci adalah configuration data atau parameter hierarchy, pikirkan Systems Manager Parameter Store. Jika kata kunci adalah automatic secret rotation, pikirkan Secrets Manager.

Hub event-driven yang menghubungkan sinyal dengan tindakan otomatis

EventBridge seperti operator radio pusat gedung, ia mendengar berbagai laporan masuk lalu meneruskannya ke petugas yang tepat sesuai aturan.

Monitoring dan governance jadi jauh lebih kuat ketika sinyal bisa langsung memicu tindakan tanpa manusia menatap layar terus-menerus. Di sinilah Amazon EventBridge berperan. EventBridge adalah event bus yang menerima event dari layanan AWS, aplikasi sendiri, dan SaaS, lalu memakai rules untuk mencocokkan event tertentu ke targets yang akan menjalankan aksi.

Kenapa EventBridge penting untuk operasi?

Layanan-layanan di modul ini menghasilkan event, dan EventBridge mengubah event itu menjadi otomasi. Beberapa pola yang sering muncul: CloudWatch alarm (lewat SNS) memicu remediation, AWS Config menandai resource noncompliant lalu EventBridge menjalankan SSM Automation untuk memperbaiki, AWS Health event memicu notifikasi tim, dan Trusted Advisor check result diteruskan ke Lambda untuk ditindaklanjuti. Dengan begitu, tim tidak perlu memelototi dashboard sepanjang hari.

Informasi kesehatan layanan AWS dan event yang memengaruhi akun

AWS Health Dashboard seperti papan pengumuman resmi dari pengelola gedung, memberi tahu ada perbaikan lift, gangguan listrik area tertentu, atau jadwal maintenance.

AWS Health Dashboard memberi informasi tentang event AWS Health yang bisa memengaruhi layanan AWS atau akun kamu. Tanpa sign-in, kamu bisa melihat status layanan umum. Setelah sign-in, dashboard memberi informasi yang lebih personal, seperti event akun, event organisasi, scheduled changes, notifikasi, dan event log.

Contoh, aplikasi tiba-tiba terganggu di satu Region. CloudWatch menunjukkan error naik, tetapi penyebabnya mungkin bukan kode kamu. AWS Health Dashboard bisa menunjukkan apakah ada event layanan AWS yang relevan, misalnya maintenance terjadwal atau gangguan layanan yang memengaruhi resource tertentu.

Rekomendasi best practice untuk akun AWS

Trusted Advisor seperti konsultan gedung yang berkeliling dan memberi daftar saran, ada lampu boros, pintu darurat kurang aman, kapasitas lift hampir penuh, dan sistem backup perlu diperbaiki.

AWS Trusted Advisor memeriksa lingkungan AWS dan memberi rekomendasi berdasarkan best practice. Rekomendasinya membantu menghemat biaya, meningkatkan keamanan, memperbaiki fault tolerance, meningkatkan performance, memantau service limits, dan mendukung operational excellence. Akses ke checks bergantung pada AWS Support plan yang digunakan.

Contoh nyata, akun development punya security group yang membuka SSH ke internet, root account belum pakai MFA, dan beberapa EBS volume tidak terpakai. Trusted Advisor dapat membantu memberi peringatan dan rekomendasi. Namun, jangan menganggap Trusted Advisor sebagai monitoring real-time utama. Untuk metrik dan alarm operasional, tetap gunakan CloudWatch.

Akses checks bergantung support plan

Ini jebakan favorit. Akun pada plan dasar tidak mendapat semua checks, sehingga untuk mengakses seluruh rekomendasi kamu perlu meng-upgrade support plan, bukan mengganti layanan.

Melihat dan mengelola batas layanan AWS

Service Quotas seperti batas kapasitas gedung, ada jumlah lift, kapasitas parkir, dan batas orang masuk yang harus diketahui sebelum acara besar.

Di AWS, banyak layanan punya quota atau batas jumlah resource yang bisa dibuat dalam akun dan Region tertentu. Contohnya bisa berupa jumlah VPC, Elastic IP, on-demand instance tertentu, atau batas API tertentu. Service Quotas membantu melihat dan mengelola quota layanan AWS secara lebih terpusat, termasuk meminta kenaikan untuk quota yang adjustable.

Service Quotas berguna karena masalah quota sering muncul saat traffic tumbuh, deployment besar, atau event marketing. Misalnya online shop skincare mengadakan flash sale dan perlu menaikkan kapasitas. Jika quota tidak dicek dari awal, scaling bisa gagal bukan karena kode buruk, tetapi karena akun belum punya batas yang cukup.

Optimasi resource dan evaluasi best practice arsitektur

Compute Optimizer seperti mekanik yang menyarankan ukuran mesin paling pas, sedangkan Well-Architected Tool seperti checklist desain gedung sebelum dipakai jangka panjang.

AWS Compute Optimizer menganalisis konfigurasi resource dan metrik penggunaan untuk memberi rekomendasi rightsizing dan menemukan resource idle. Tujuannya adalah membantu mengurangi biaya dan meningkatkan performa. Layanan ini bisa memberi rekomendasi untuk resource seperti EC2 instances, Auto Scaling groups, EBS volumes, Lambda functions, ECS services on Fargate, software licenses, Aurora, dan RDS, bergantung dukungan dan persyaratan metric data.

AWS Well-Architected Tool membantu mengevaluasi workload terhadap AWS Well-Architected Framework. Framework ini membahas best practice untuk membangun dan menjalankan sistem yang reliable, secure, efficient, cost-effective, dan sustainable di cloud. Tool ini membantu review workload, mencatat improvement plan, dan melihat high-risk issues.

Perbedaan yang sering membingungkan

Menggabungkan semua layanan dalam satu cerita operasional

Satu aplikasi nyata biasanya memakai beberapa layanan sekaligus, karena tiap layanan menjawab pertanyaan berbeda.

Bayangkan online shop skincare berjalan di AWS. Frontend menyajikan katalog. API menerima checkout. Worker memproses gambar produk. Database menyimpan pesanan. S3 menyimpan gambar. Saat flash sale, tim harus memastikan aplikasi tetap sehat, aman, dan terkendali.

Skenario ini penting untuk ujian karena soal CLF-C02 sering tidak bertanya definisi langsung. Soal bisa berbentuk cerita bisnis, misalnya “sebuah perusahaan ingin menerima rekomendasi untuk mengurangi biaya dan meningkatkan performa EC2” atau “tim compliance ingin melihat konfigurasi security group dari waktu ke waktu”. Kamu harus mengubah cerita menjadi kata kunci layanan.

Walkthrough konseptual tanpa harus membangun lab mahal

Hands-on terbaik untuk pemula adalah memahami alur kerja operator, bukan sekadar menekan tombol console.

Berikut walkthrough konseptual yang bisa kamu lakukan di akun latihan dengan resource kecil atau sekadar dibaca sebagai simulasi. Tujuannya adalah mengenali layar dan keputusan, bukan menghabiskan biaya.

Latihan mental untuk ujian

Ambil satu kejadian dan jawab dengan layanan yang tepat. “CPU tinggi” berarti CloudWatch. “Siapa menjalankan DeleteBucket” berarti CloudTrail. “Bucket tidak sesuai aturan public access” berarti AWS Config. “Patch instance banyak sekaligus” berarti Systems Manager. “Kuota VPC kurang” berarti Service Quotas. “Butuh rekomendasi ukuran instance” berarti Compute Optimizer. “Picu otomasi saat Config noncompliant” berarti EventBridge. “Apakah ada gangguan layanan AWS” berarti Health Dashboard.

Bagian ini sering membedakan jawaban benar dan distraktor

Di ujian, pilihan jawaban sering terlihat mirip. Kuncinya adalah membaca kata kerja utama dalam skenario.

Daftar kata kunci cepat

Peta cepat untuk review terakhir sebelum latihan soal

Monitoring dan governance membuat cloud bukan hanya berjalan, tetapi bisa diamati, diaudit, diperbaiki, dan dikendalikan.

Pemetaan ke domain CLF-C02

Checklist sebelum lanjut modul berikutnya