Performance global e resiliência começam na borda. Route 53 (DNS), CloudFront (CDN) e Global Accelerator (rede anycast) são os 3 serviços de edge da AWS — com papéis complementares. O SAA-C03 testa quando usar cada um, as routing policies do Route 53, e como combinar para HA global.

Onde isso entra no exame

📘 Domain 3 — Design High-Performing Architectures· 24%

Edge services cobrem performance E resiliência. Questões típicas: escolher routing policy, decidir CloudFront vs Global Accelerator, configurar failover cross-region, bloquear ataques com WAF na borda.

Amazon Route 53 — muito mais que DNS

Route 53 é DNS altamente disponível (SLA 100%) com health checks e 7 routing policies. É o único serviço AWS com SLA de 100% de uptime.

Tipo de registro	Uso
A	IPv4 → domínio
AAAA	IPv6 → domínio
CNAME	Alias para outro domínio (NÃO pode ser root/apex)
Alias (AWS)	Alias nativo AWS — pode ser no apex (exemplo.com); sem custo de query
MX	Mail exchanger
TXT	Texto (SPF, DKIM, domain verification)
NS	Nameservers autoritativos da zona
SOA	Start of Authority — metadata da zona

Tipo de registroA

UsoIPv4 → domínio

Tipo de registroAAAA

UsoIPv6 → domínio

Tipo de registroCNAME

UsoAlias para outro domínio (NÃO pode ser root/apex)

Tipo de registroAlias (AWS)

UsoAlias nativo AWS — pode ser no apex (exemplo.com); sem custo de query

Tipo de registroMX

UsoMail exchanger

Tipo de registroTXT

UsoTexto (SPF, DKIM, domain verification)

Tipo de registroNS

UsoNameservers autoritativos da zona

Tipo de registroSOA

UsoStart of Authority — metadata da zona

💡

CNAME vs Alias: CNAME não pode ser usado no apex (root) de um domínio. Alias (tipo AWS) pode — é como um CNAME mágico para recursos AWS (ALB, CloudFront, S3 website, API GW), sem custo de query DNS.

As 7 Routing Policies do Route 53

Policy	Quando usar
Simple	1 registro, 1 ou mais IPs (retorna todos aleatoriamente)
Weighted	Split de tráfego por peso (ex: 90% v1, 10% v2 para canary)
Latency-based	Menor latência entre múltiplas regiões
Failover	Active-passive DR (primário + secundário via health check)
Geolocation	Baseado em país/continente do usuário
Geoproximity	Geografia + bias (aumentar/diminuir "atração" de uma região)
Multi-value answer	Retorna até 8 healthy records, simulando LB com health check

PolicySimple

Quando usar1 registro, 1 ou mais IPs (retorna todos aleatoriamente)

PolicyWeighted

Quando usarSplit de tráfego por peso (ex: 90% v1, 10% v2 para canary)

PolicyLatency-based

Quando usarMenor latência entre múltiplas regiões

PolicyFailover

Quando usarActive-passive DR (primário + secundário via health check)

PolicyGeolocation

Quando usarBaseado em país/continente do usuário

PolicyGeoproximity

Quando usarGeografia + bias (aumentar/diminuir "atração" de uma região)

PolicyMulti-value answer

Quando usarRetorna até 8 healthy records, simulando LB com health check

Health Checks do Route 53

• Endpoint — HTTP/HTTPS/TCP a um domínio/IP com intervalo 10s ou 30s
• CloudWatch Alarm — health baseado em estado de um alarme CW
• Calculated — combinação lógica (AND/OR) de outros health checks
• Global, executados de vários pontos — você configura quantos devem falhar para marcar unhealthy
• SNS integration: notifica quando estado muda

Amazon CloudFront — CDN da AWS

🗺️ CloudFront: conteúdo cacheado perto do usuário

UsuárioSão Paulo · Londres · qualquer região

Edge LocationGRU, LHR… Cache hit → responde. Miss → busca origin

OriginS3 bucket · ALB · EC2 · on-prem

Conceitos-chave:

• Distribution — configuração central (domínio, origin, behaviors)
• Origin — de onde vem o conteúdo (S3, ALB, EC2, on-prem)
• Behavior — regra por path pattern (/*.jpg cachear 1 dia, /api/* nunca cachear)
• Cache key — o que identifica um cache hit (URL + headers + cookies selecionados)
• TTL — tempo que o objeto fica no cache (min/default/max)
• OAC (Origin Access Control) — força acesso ao S3 apenas via CloudFront (bloqueia direct access)
• Signed URLs / Cookies — conteúdo privado com expiração
• Lambda@Edge / CloudFront Functions — lógica customizada na borda
• Invalidation — força remoção de cache antes do TTL (primeiros 1000/mês grátis)

CloudFront Functions vs Lambda@Edge

Aspecto	CloudFront Functions	Lambda@Edge
Runtime	JavaScript (ES5) minimalista	Node.js ou Python
Duração max	1 ms	Viewer 5s / Origin 30s
Memória	2 MB	Até 10 GB (origin) / 128 MB (viewer)
Onde roda	Edge Locations (global)	Regional Edge Caches
Custo	$0,10 por milhão requests	$0,60 + duração
Uso típico	Header manipulation, URL rewrite, auth leve	Lógica complexa, chamadas a APIs, MD5

AspectoRuntime

CloudFront FunctionsJavaScript (ES5) minimalista

Lambda@EdgeNode.js ou Python

AspectoDuração max

CloudFront Functions1 ms

Lambda@EdgeViewer 5s / Origin 30s

AspectoMemória

CloudFront Functions2 MB

Lambda@EdgeAté 10 GB (origin) / 128 MB (viewer)

AspectoOnde roda

CloudFront FunctionsEdge Locations (global)

Lambda@EdgeRegional Edge Caches

AspectoCusto

CloudFront Functions$0,10 por milhão requests

Lambda@Edge$0,60 + duração

AspectoUso típico

CloudFront FunctionsHeader manipulation, URL rewrite, auth leve

Lambda@EdgeLógica complexa, chamadas a APIs, MD5

AWS Global Accelerator

🗺️ Global Accelerator: 2 IPs anycast globais

Usuárioqualquer lugar do mundo

IP Anycast estático2 IPs globais fixos

Edge AWSponto de entrada mais próximo

Backbone AWSrede privada de baixa latência

ALB / NLB / EC2endpoint na região específica

• Fornece 2 IPs anycast estáticos — mesmos IPs globalmente
• Tráfego entra no Edge mais próximo, atravessa a backbone AWS até o endpoint
• Health checks automáticos — failover para endpoints saudáveis
• Endpoints: ALB, NLB, EC2, Elastic IP
• Suporta qualquer TCP/UDP (ideal para gaming, IoT, VoIP, non-HTTP)
• Custo: $0,025/h + premium de data transfer

💡

Global Accelerator vs CloudFront: CloudFront é HTTP/HTTPS + cache. Global Accelerator é TCP/UDP + roteamento ótimo pela backbone (não cacheia). Para sites: CloudFront. Para gaming/VoIP/APIs com tráfego dinâmico que beneficia de redução de jitter: GA.

Padrões de arquitetura de edge

🗺️ Stack típico para app web global

Usuário

▼

Route 53

▼

CloudFront

▼

S3 / ALB

▼

EC2 / ECS / Lambda

CloudFront + WAF + Shield

Combo padrão para proteção na borda: Shield (DDoS L3/L4) é grátis e automático. WAF (L7) filtra requests maliciosos antes de chegarem no origin. CloudFront absorve picos antes do ALB. Reduz custo do origin e protege contra ataques.

Cenários de decisão

📋 Blog estático em S3, quer servir globalmente com HTTPS e custom domain

✓ CloudFront + ACM certificate + Alias Route 53 para distribution

CloudFront cacheia HTML/assets perto do usuário, suporta HTTPS com ACM grátis, integra direto com S3 via OAC. Route 53 Alias aponta apex sem custo.

📋 Game online que precisa de baixa latência UDP e failover entre regiões

✓ AWS Global Accelerator com endpoints em múltiplas regiões

UDP não passa por CloudFront. GA oferece 2 IPs anycast, roteamento pela backbone (estável), health checks com failover automático. Ideal para jogo stateful.

📋 Site SaaS com usuários globais precisa preferir us-east-1 mas ir para eu-west-1 se us cair

✓ Route 53 com Failover routing + health checks

Failover policy é purpose-built para active-passive. Health check no primário; se unhealthy, Route 53 responde com secundário automaticamente.

📋 Canary deploy — mandar 5% do tráfego para nova versão, 95% para estável

✓ Route 53 Weighted routing

Weighted policy com weights 5 e 95 faz split percentual por DNS. Ajuste gradual aumentando weight da nova versão.

📋 Streaming de vídeo com usuários em 40 países — deve servir do ponto mais próximo geograficamente

✓ CloudFront (com Regional Edge Caches)

CloudFront cacheia vídeo segmentado em Edge Locations. Usuário baixa chunks do Edge mais próximo. Streaming ganha 10x em latência e bandwidth vs origin direto.

⚠️

Pegadinhas de edge no SAA:

Perguntas típicas (Q&A)

❓ Como bloquear o acesso direto ao S3 e forçar tráfego via CloudFront?

Use Origin Access Control (OAC). CloudFront assina requests ao S3; bucket policy permite apenas requests com assinatura válida do distribution. Acesso direto ao S3 retorna 403.

❓ Route 53 pode hospedar domínio comprado em outro registrar (ex: GoDaddy)?

Sim. Crie a Hosted Zone no Route 53; você recebe 4 nameservers (NS records). No registrar de origem, aponte os NS para esses — zero downtime se bem feito.

❓ Diferença entre private e public Hosted Zone?

Public = resolve na internet. Private = associada a VPCs, resolve apenas dentro delas. Ideal para domínios internos (ex: db.internal.corp) que não devem aparecer publicamente.

❓ Como reduzir custo de transferência de dados em CloudFront?

(1) Aumentar TTL para reduzir origin fetches. (2) Usar ou para servir só de regiões mais baratas (sacrifica latência para regiões caras). (3) Compressão automática (Brotli/Gzip). (4) Origin Shield (adiciona camada intermediária reduzindo origin load).

✅

Take-aways: Route 53 = DNS com health checks + 7 routing policies (Simple, Weighted, Latency, Failover, Geo, Geoproximity, Multi-value). Alias permite registros no apex. CloudFront = CDN HTTP/S com edges globais, OAC para S3, WAF/Shield na borda. Global Accelerator = 2 IPs anycast + backbone AWS, ideal para TCP/UDP non-HTTP. Stack típico: Route 53 → CloudFront (cache) → ALB → compute. Para non-HTTP: Route 53 → GA → NLB/EC2.

Amazon Route 53 — muito mais que DNS

Route 53 é DNS altamente disponível (SLA 100%) com health checks e 7 routing policies. É o único serviço AWS com SLA de 100% de uptime.

Tipo de registro	Uso
A	IPv4 → domínio
AAAA	IPv6 → domínio
CNAME	Alias para outro domínio (NÃO pode ser root/apex)
Alias (AWS)	Alias nativo AWS — pode ser no apex (exemplo.com); sem custo de query
MX	Mail exchanger
TXT	Texto (SPF, DKIM, domain verification)
NS	Nameservers autoritativos da zona
SOA	Start of Authority — metadata da zona

Tipo de registroA

UsoIPv4 → domínio

Tipo de registroAAAA

UsoIPv6 → domínio

Tipo de registroCNAME

UsoAlias para outro domínio (NÃO pode ser root/apex)

Tipo de registroAlias (AWS)

UsoAlias nativo AWS — pode ser no apex (exemplo.com); sem custo de query

Tipo de registroMX

UsoMail exchanger

Tipo de registroTXT

UsoTexto (SPF, DKIM, domain verification)

Tipo de registroNS

UsoNameservers autoritativos da zona

Tipo de registroSOA

UsoStart of Authority — metadata da zona

💡

As 7 Routing Policies do Route 53

Policy	Quando usar
Simple	1 registro, 1 ou mais IPs (retorna todos aleatoriamente)
Weighted	Split de tráfego por peso (ex: 90% v1, 10% v2 para canary)
Latency-based	Menor latência entre múltiplas regiões
Failover	Active-passive DR (primário + secundário via health check)
Geolocation	Baseado em país/continente do usuário
Geoproximity	Geografia + bias (aumentar/diminuir "atração" de uma região)
Multi-value answer	Retorna até 8 healthy records, simulando LB com health check

PolicySimple

Quando usar1 registro, 1 ou mais IPs (retorna todos aleatoriamente)

PolicyWeighted

Quando usarSplit de tráfego por peso (ex: 90% v1, 10% v2 para canary)

PolicyLatency-based

Quando usarMenor latência entre múltiplas regiões

PolicyFailover

Quando usarActive-passive DR (primário + secundário via health check)

PolicyGeolocation

Quando usarBaseado em país/continente do usuário

PolicyGeoproximity

Quando usarGeografia + bias (aumentar/diminuir "atração" de uma região)

PolicyMulti-value answer

Quando usarRetorna até 8 healthy records, simulando LB com health check

Health Checks do Route 53

• Endpoint — HTTP/HTTPS/TCP a um domínio/IP com intervalo 10s ou 30s
• CloudWatch Alarm — health baseado em estado de um alarme CW
• Calculated — combinação lógica (AND/OR) de outros health checks
• Global, executados de vários pontos — você configura quantos devem falhar para marcar unhealthy
• SNS integration: notifica quando estado muda

Amazon CloudFront — CDN da AWS

🗺️ CloudFront: conteúdo cacheado perto do usuário

UsuárioSão Paulo · Londres · qualquer região

Edge LocationGRU, LHR… Cache hit → responde. Miss → busca origin

OriginS3 bucket · ALB · EC2 · on-prem

Conceitos-chave:

• Distribution — configuração central (domínio, origin, behaviors)
• Origin — de onde vem o conteúdo (S3, ALB, EC2, on-prem)
• Behavior — regra por path pattern (/*.jpg cachear 1 dia, /api/* nunca cachear)
• Cache key — o que identifica um cache hit (URL + headers + cookies selecionados)
• TTL — tempo que o objeto fica no cache (min/default/max)
• OAC (Origin Access Control) — força acesso ao S3 apenas via CloudFront (bloqueia direct access)
• Signed URLs / Cookies — conteúdo privado com expiração
• Lambda@Edge / CloudFront Functions — lógica customizada na borda
• Invalidation — força remoção de cache antes do TTL (primeiros 1000/mês grátis)

CloudFront Functions vs Lambda@Edge

Aspecto	CloudFront Functions	Lambda@Edge
Runtime	JavaScript (ES5) minimalista	Node.js ou Python
Duração max	1 ms	Viewer 5s / Origin 30s
Memória	2 MB	Até 10 GB (origin) / 128 MB (viewer)
Onde roda	Edge Locations (global)	Regional Edge Caches
Custo	$0,10 por milhão requests	$0,60 + duração
Uso típico	Header manipulation, URL rewrite, auth leve	Lógica complexa, chamadas a APIs, MD5

AspectoRuntime

CloudFront FunctionsJavaScript (ES5) minimalista

Lambda@EdgeNode.js ou Python

AspectoDuração max

CloudFront Functions1 ms

Lambda@EdgeViewer 5s / Origin 30s

AspectoMemória

CloudFront Functions2 MB

Lambda@EdgeAté 10 GB (origin) / 128 MB (viewer)

AspectoOnde roda

CloudFront FunctionsEdge Locations (global)

Lambda@EdgeRegional Edge Caches

AspectoCusto

CloudFront Functions$0,10 por milhão requests

Lambda@Edge$0,60 + duração

AspectoUso típico

CloudFront FunctionsHeader manipulation, URL rewrite, auth leve

Lambda@EdgeLógica complexa, chamadas a APIs, MD5

AWS Global Accelerator

🗺️ Global Accelerator: 2 IPs anycast globais

Usuárioqualquer lugar do mundo

IP Anycast estático2 IPs globais fixos

Edge AWSponto de entrada mais próximo

Backbone AWSrede privada de baixa latência

ALB / NLB / EC2endpoint na região específica

• Fornece 2 IPs anycast estáticos — mesmos IPs globalmente
• Tráfego entra no Edge mais próximo, atravessa a backbone AWS até o endpoint
• Health checks automáticos — failover para endpoints saudáveis
• Endpoints: ALB, NLB, EC2, Elastic IP
• Suporta qualquer TCP/UDP (ideal para gaming, IoT, VoIP, non-HTTP)
• Custo: $0,025/h + premium de data transfer

💡

Cenários de decisão

📋 Blog estático em S3, quer servir globalmente com HTTPS e custom domain

✓ CloudFront + ACM certificate + Alias Route 53 para distribution

CloudFront cacheia HTML/assets perto do usuário, suporta HTTPS com ACM grátis, integra direto com S3 via OAC. Route 53 Alias aponta apex sem custo.

📋 Game online que precisa de baixa latência UDP e failover entre regiões

✓ AWS Global Accelerator com endpoints em múltiplas regiões

UDP não passa por CloudFront. GA oferece 2 IPs anycast, roteamento pela backbone (estável), health checks com failover automático. Ideal para jogo stateful.

📋 Site SaaS com usuários globais precisa preferir us-east-1 mas ir para eu-west-1 se us cair

✓ Route 53 com Failover routing + health checks

Failover policy é purpose-built para active-passive. Health check no primário; se unhealthy, Route 53 responde com secundário automaticamente.

📋 Canary deploy — mandar 5% do tráfego para nova versão, 95% para estável

✓ Route 53 Weighted routing

Weighted policy com weights 5 e 95 faz split percentual por DNS. Ajuste gradual aumentando weight da nova versão.

📋 Streaming de vídeo com usuários em 40 países — deve servir do ponto mais próximo geograficamente

✓ CloudFront (com Regional Edge Caches)

CloudFront cacheia vídeo segmentado em Edge Locations. Usuário baixa chunks do Edge mais próximo. Streaming ganha 10x em latência e bandwidth vs origin direto.

Perguntas típicas (Q&A)

❓ Como bloquear o acesso direto ao S3 e forçar tráfego via CloudFront?

Use Origin Access Control (OAC). CloudFront assina requests ao S3; bucket policy permite apenas requests com assinatura válida do distribution. Acesso direto ao S3 retorna 403.

❓ Route 53 pode hospedar domínio comprado em outro registrar (ex: GoDaddy)?

Sim. Crie a Hosted Zone no Route 53; você recebe 4 nameservers (NS records). No registrar de origem, aponte os NS para esses — zero downtime se bem feito.

❓ Diferença entre private e public Hosted Zone?

Public = resolve na internet. Private = associada a VPCs, resolve apenas dentro delas. Ideal para domínios internos (ex: db.internal.corp) que não devem aparecer publicamente.

❓ Como reduzir custo de transferência de dados em CloudFront?

Route 53, CloudFront e Global Accelerator

Onde isso entra no exame

Amazon Route 53 — muito mais que DNS

As 7 Routing Policies do Route 53

Health Checks do Route 53

Amazon CloudFront — CDN da AWS

CloudFront Functions vs Lambda@Edge

AWS Global Accelerator

Padrões de arquitetura de edge

CloudFront + WAF + Shield

Cenários de decisão

Perguntas típicas (Q&A)

Discussão

Route 53, CloudFront e Global Accelerator

Onde isso entra no exame

Amazon Route 53 — muito mais que DNS

As 7 Routing Policies do Route 53

Health Checks do Route 53

Amazon CloudFront — CDN da AWS

CloudFront Functions vs Lambda@Edge

AWS Global Accelerator

Padrões de arquitetura de edge

CloudFront + WAF + Shield

Cenários de decisão

Perguntas típicas (Q&A)

Discussão