# AWS Certified Security - Specialty (SCS-C03)
El examen AWS Certified Security - Specialty está dirigido a personas que tienen la responsabilidad de proteger las soluciones en la nube. El examen certifica la capacidad de un candidato para demostrar eficazmente sus conocimientos sobre seguridad en los productos y servicios de AWS.
**Topics**
+ [Introducción](#security-specialty-03-intro)
+ [Descripción del candidato objetivo](#security-specialty-03-target)
+ [Contenido del examen](#security-specialty-03-exam-content)
+ [Descripción del contenido](#security-specialty-03-domains)
+ [Referencias de servicios](#scs-service-references)
+ [Dominio de contenido 1: Detección](security-specialty-03-domain1.md)
+ [Dominio de contenido 2: Respuesta ante incidentes](security-specialty-03-domain2.md)
+ [Dominio de contenido 3: Seguridad de la infraestructura](security-specialty-03-domain3.md)
+ [Dominio de contenido 4: Identity and Access Management](security-specialty-03-domain4.md)
+ [Dominio de contenido 5: Protección de datos](security-specialty-03-domain5.md)
+ [Dominio de contenido 6: Aspectos básicos y gobernanza de la seguridad](security-specialty-03-domain6.md)
+ [Servicios de AWS dentro del alcance](scs-02-in-scope-services.md)
+ [Servicios de AWS fuera del alcance](scs-02-out-of-scope-services.md)
+ [Tecnologías y conceptos](scs-technologies-concepts.md)
+ [Apéndice: Comparación entre SCS-C02 y SCS-C03](security-specialty-03-appendix-b.md)
+ [Revisiones](scs03-revisions.md)
+ [Encuesta](#security-specialty-03-survey)
## Introducción
El examen [AWS Certified Security - Specialty](https://aws.amazon.com/certification/certified-security-specialty/) está dirigido a personas que tienen la responsabilidad de proteger las soluciones en la nube. El examen certifica la capacidad de un candidato para demostrar eficazmente sus conocimientos sobre seguridad en los productos y servicios de AWS.
En este examen, también se certifica la capacidad del candidato para completar las siguientes tareas:
+ Aplicar las clasificaciones de datos especializadas y los mecanismos de protección de datos de AWS.
+ Implementar métodos de cifrado de datos y mecanismos de cifrado de AWS.
+ Implementar los mecanismos de AWS para seguir protocolos de internet seguros.
+ Utilizar los servicios y las características de seguridad de AWS para garantizar entornos de producción seguros.
+ Tomar decisiones que tengan en cuenta las compensaciones entre el costo, la seguridad y la complejidad de la implementación para cumplir con un conjunto de requisitos de aplicación.
+ Comprender las operaciones y los riesgos de seguridad.
## Descripción del candidato objetivo
El candidato objetivo debe tener el equivalente a entre 3 y 5 años de experiencia en la protección de soluciones en la nube.
### Conocimientos recomendados de AWS
El candidato objetivo debe tener los siguientes conocimientos sobre AWS:
+ El modelo de responsabilidad compartida de AWS y su aplicación
+ La administración de identidad a escala
+ La gobernanza de varias cuentas
+ La administración de los riesgos de la cadena de suministro de software
+ Las estrategias de prevención de incidentes de seguridad y la respuesta a ellos
+ La administración de vulnerabilidades en la nube
+ El desarrollo de reglas de firewall a escala para las capas de la 3 a la 7
+ El análisis de la causa raíz del incidente
+ Experiencia en responder a una auditoría
+ Las estrategias de registro y supervisión
+ Metodologías de cifrado de datos, tanto en reposo como en tránsito
+ Los controles de recuperación de desastres, incluidas estrategias de copia de seguridad
### Tareas de trabajo que están fuera del alcance del candidato objetivo
A continuación, se muestra una lista que contiene las tareas de trabajo que no se espera que el candidato pueda realizar. Esta lista no es exhaustiva. Estas tareas están fuera del alcance del examen:
+ Diseñar algoritmos criptográficos.
+ Analizar el tráfico a nivel de paquete.
+ Diseñar las implementaciones generales de la nube.
+ Administrar los recursos de computación de los usuarios finales.
+ Entrenar modelos de machine learning.
## Contenido del examen
### Tipos de respuesta
El examen contiene uno o más de los siguientes tipos de preguntas:
+ **Opciones múltiples:** hay una respuesta correcta y tres incorrectas (distractoras)
+ **Respuesta múltiple:** hay dos o más respuestas correctas entre cinco o más opciones
+ **Preguntas de orden:** hay una lista de 3 a 5 respuestas para completar una tarea específica. Debe seleccionar las respuestas correctas y colocarlas en el orden correcto para recibir crédito por la pregunta.
+ **Preguntas de comparación:** hay una lista de respuestas que coinciden con una lista de 3 a 7 peticiones. Debe hacer coincidir todos los pares correctamente para recibir crédito por la pregunta.
Las preguntas no respondidas se califican como incorrectas. No hay penalización por adivinar. El examen incluye 50 preguntas que afectarán el puntaje.
### Contenido sin puntaje
El examen incluye 15 preguntas sin puntaje que no afectan su puntaje. AWS recopila información sobre el desempeño en estas preguntas sin puntaje a fin de evaluarlas para su uso como preguntas con puntaje en el futuro. Estas preguntas sin puntaje no están identificadas en el examen.
### Resultados del examen
El examen AWS Certified Security - Specialty (SCS-C03) tiene una calificación de aprobado o reprobado. El puntaje del examen se obtiene según un estándar mínimo que establecen los profesionales de AWS en función de las prácticas recomendadas y las pautas del sector de la certificación.
El informe de los resultados del examen es un puntaje en la escala del 100 al 1000. El puntaje mínimo para aprobar es 750. El puntaje muestra cómo le fue en el examen en general y si lo aprobó o no. Los modelos de puntaje en escala ayudan a equiparar los puntajes de varios formularios de examen que pueden tener niveles de dificultad un poco diferentes.
En el informe de puntaje, podría haber una tabla de clasificación de su desempeño en cada nivel de sección. En el examen, se usa un modelo de puntaje compensatorio, lo que significa que no es necesario aprobar cada sección. Solo necesita aprobar el examen general.
Cada sección del examen tiene una ponderación específica, por lo que algunas contienen más preguntas que otras. En la tabla de clasificaciones, se presenta información general que resalta sus fortalezas y debilidades. Interprete los comentarios de cada sección con prudencia.
## Descripción del contenido
Esta guía de examen incluye ponderaciones, dominios de contenido y enunciados de tareas para el examen. En esta guía, no se proporciona una lista completa del contenido del examen.
El examen tiene los siguientes dominios de contenido y ponderaciones:
+ [Dominio de contenido 1: Detección (el 16 % del contenido con puntaje)](security-specialty-03-domain1.md)
+ [Dominio de contenido 2: Respuesta ante incidentes (el 14 % del contenido con puntaje)](security-specialty-03-domain2.md)
+ [Dominio de contenido 3: Seguridad de infraestructura (el 18 % del contenido con puntaje)](security-specialty-03-domain3.md)
+ [Dominio de contenido 4: Identity and Access Management (el 20 % del contenido con puntaje)](security-specialty-03-domain4.md)
+ [Dominio de contenido 5: Protección de datos (el 18 % del contenido con puntaje)](security-specialty-03-domain5.md)
+ [Dominio de contenido 6: Aspectos básicos y gobernanza de la seguridad (el 14 % del contenido con puntaje)](security-specialty-03-domain6.md)
## Referencias de servicios
Las siguientes secciones proporcionan información detallada sobre los servicios de AWS, las tecnologías y los conceptos relevantes para este examen de certificación:
+ [Servicios de AWS dentro del alcance](scs-02-in-scope-services.md)
+ [Servicios de AWS fuera del alcance](scs-02-out-of-scope-services.md)
+ [Tecnologías y conceptos](scs-technologies-concepts.md)
# Dominio de contenido 1: Detección
**Topics**
+ [Tarea 1.1: Diseñar e implementar soluciones de supervisión y alertas para una cuenta u organización de AWS.](#security-specialty-03-domain1-task1)
+ [Tarea 1.2: Diseñar e implementar soluciones de registro.](#security-specialty-03-domain1-task2)
+ [Tarea 1.3: Solucionar problemas con las soluciones de supervisión, registro y alertas de seguridad.](#security-specialty-03-domain1-task3)
## Tarea 1.1: Diseñar e implementar soluciones de supervisión y alertas para una cuenta u organización de AWS.
Habilidades para:
+ Habilidad 1.1.1: Analizar las cargas de trabajo para determinar los requisitos de supervisión.
+ Habilidad 1.1.2: Diseñar e implementar estrategias de supervisión de cargas de trabajo (por ejemplo, mediante la configuración de comprobaciones de estado de los recursos).
+ Habilidad 1.1.3: Agregar eventos de seguridad y supervisión.
+ Habilidad 1.1.4: Crear métricas, alertas y paneles para detectar datos y eventos anómalos (por ejemplo, Amazon GuardDuty, Amazon Security Lake, AWS Security Hub, Amazon Macie).
+ Habilidad 1.1.5: Crear y administrar automatizaciones para realizar evaluaciones e investigaciones periódicas (por ejemplo, mediante la implementación de paquetes de conformidad de AWS Config, Security Hub o AWS Systems Manager State Manager).
## Tarea 1.2: Diseñar e implementar soluciones de registro.
Habilidades para:
+ Habilidad 1.2.1: Identificar las fuentes de ingesta y almacenamiento de registros en función de los requisitos.
+ Habilidad 1.2.2: Configurar el registro para los servicios y aplicaciones de AWS (por ejemplo, configurando una pista de AWS CloudTrail para una organización, creando una cuenta de registro de Amazon CloudWatch dedicada o configurando el agente de Amazon CloudWatch Logs).
+ Habilidad 1.2.3: Implementar el almacenamiento de registros y los lagos de datos de registro (por ejemplo, Security Lake) e intégrelos con herramientas de seguridad de terceros.
+ Habilidad 1.2.4: Utilizar los servicios de AWS para analizar registros (por ejemplo, los hallazgos de CloudWatch Logs Insights, Amazon Athena y Security Hub).
+ Habilidad 1.2.5: Utilizar los servicios de AWS para normalizar, analizar y correlacionar los registros (por ejemplo, Amazon OpenSearch Service, AWS Lambda, Amazon Managed Grafana).
+ Habilidad 1.2.6: Determinar y configurar las fuentes de registro adecuadas en función del diseño de la red, las amenazas y los ataques (por ejemplo, los registros de flujo de VPC, los registros de flujo de la puerta de enlace de tránsito y los registros de Amazon Route 53 Resolver).
## Tarea 1.3: Solucionar problemas con las soluciones de supervisión, registro y alertas de seguridad.
Habilidades para:
+ Habilidad 1.3.1: Analizar la funcionalidad, los permisos y la configuración de los recursos (por ejemplo, los registros de funciones de Lambda, los registros de Amazon API Gateway, las comprobaciones de estado y los registros de Amazon CloudFront).
+ Habilidad 1.3.2: Corregir la configuración incorrecta de los recursos (por ejemplo, solucionando los problemas de configuración del agente de CloudWatch o solucionando los registros faltantes).
# Dominio de contenido 2: Respuesta ante incidentes
**Topics**
+ [Tarea 2.1: Diseñar y probar un plan de respuesta ante incidentes.](#security-specialty-03-domain2-task1)
+ [Tarea 2.2: Responder a eventos de seguridad.](#security-specialty-03-domain2-task2)
## Tarea 2.1: Diseñar y probar un plan de respuesta ante incidentes.
Habilidades para:
+ Habilidad 2.1.1: Diseñar e implementar planes de respuesta y manuales de procedimientos para responder a los incidentes de seguridad (por ejemplo, Systems Manager OpsCenter, cuadernos de Amazon SageMaker AI).
+ Habilidad 2.1.2: Utilizar las capacidades y características de los servicios de AWS para configurar los servicios a fin de que estén preparados para los incidentes (por ejemplo, aprovisionando el acceso, implementando herramientas de seguridad, minimizando el radio de acción o configurando las protecciones de AWS Shield Advanced).
+ Habilidad 2.1.3: Recomendar procedimientos para probar y validar la eficacia de un plan de respuesta ante incidentes (por ejemplo, AWS Fault Injection Service, AWS Resilience Hub).
+ Habilidad 2.1.4: Utilizar los servicios de AWS para corregir los incidentes automáticamente (por ejemplo, Systems Manager, Automated Forensics Orchestrator para Amazon EC2, AWS Step Functions, Controlador de recuperación de aplicaciones de Amazon y funciones de Lambda).
## Tarea 2.2: Responder a eventos de seguridad.
Habilidades para:
+ Habilidad 2.2.1: Capturar y almacenar los registros relevantes del sistema y las aplicaciones como artefactos forenses.
+ Habilidad 2.2.2: Buscar y correlacionar los registros de eventos de seguridad en las aplicaciones y los servicios de AWS.
+ Habilidad 2.2.3: Validar los hallazgos de los servicios de seguridad de AWS para evaluar el alcance y el impacto de un evento.
+ Habilidad 2.2.4: Responder a los recursos afectados conteniendo y erradicando las amenazas, y recuperando los recursos (por ejemplo, mediante la implementación de controles de contención de red o la restauración de las copias de seguridad).
+ Habilidad 2.2.5: Describir los métodos para realizar un análisis de la causa raíz (por ejemplo, Amazon Detective).
# Dominio de contenido 3: Seguridad de la infraestructura
**Topics**
+ [Tarea 3.1: Diseñar, implementar y solucionar los problemas de los controles de seguridad para los servicios periféricos de la red.](#security-specialty-03-domain3-task1)
+ [Tarea 3.2: Diseñar, implementar y solucionar los problemas de los controles de seguridad para las cargas de trabajo de computación.](#security-specialty-03-domain3-task2)
+ [Tarea 3.3: Diseñar y solucionar los problemas de los controles de seguridad de red.](#security-specialty-03-domain3-task3)
## Tarea 3.1: Diseñar, implementar y solucionar los problemas de los controles de seguridad para los servicios periféricos de la red.
Habilidades para:
+ Habilidad 3.1.1: Definir y seleccionar estrategias de seguridad de la periferia en función de las amenazas y los ataques anticipados.
+ Habilidad 3.1.2: Implementar una protección adecuada de la periferia de red (por ejemplo, encabezados de CloudFront, AWS WAF, políticas de AWS IoT, protección contra las amenazas del OWASP Top 10, intercambio de recursos entre orígenes de Amazon S3 [cross-origin resource sharing, CORS], Shield Advanced).
+ Habilidad 3.1.3: Diseñar e implementar reglas y controles de la periferia de AWS en función de los requisitos (por ejemplo, la ubicación geográfica, la geolocalización, la limitación de velocidad y la toma de huellas dactilares de los clientes).
+ Habilidad 3.1.4: Configurar las integraciones con servicios periféricos de AWS y servicios de terceros (por ejemplo, mediante la ingesta de datos en formato de marco de trabajo de esquema de ciberseguridad abierto [Open Cybersecurity Schema Framework, OCSF], mediante el uso de reglas de WAF de terceros).
## Tarea 3.2: Diseñar, implementar y solucionar los problemas de los controles de seguridad para las cargas de trabajo de computación.
Habilidades para:
+ Habilidad 3.2.1: Diseñar e implementar AMI de Amazon EC2 e imágenes de contenedores reforzados para proteger las cargas de trabajo de computación e incorporar controles de seguridad (por ejemplo, Systems Manager o el Generador de imágenes de EC2).
+ Habilidad 3.2.2: Aplicar los perfiles de instancia, los roles de servicio y los roles de ejecución de forma adecuada para autorizar las cargas de trabajo de computación.
+ Habilidad 3.2.3: Analizar los recursos de computación en busca de vulnerabilidades conocidas (por ejemplo, escanee imágenes de contenedores y funciones de Lambda con Amazon Inspector, supervise los tiempos de ejecución de computación con GuardDuty).
+ Habilidad 3.2.4: Implementar parches en todos los recursos de computación para mantener entornos seguros y conformes mediante la automatización de los procesos de actualización y la integración de la validación continua (por ejemplo, Administrador de parches de Systems Manager, Amazon Inspector).
+ Habilidad 3.2.5: Configurar el acceso administrativo seguro a los recursos de computación (por ejemplo, Administrador de sesiones de Systems Manager, EC2 Instance Connect).
+ Habilidad 3.2.6: Configurar las herramientas de seguridad para descubrir y corregir las vulnerabilidades dentro de una canalización (por ejemplo, Amazon Q Developer, Amazon CodeGuru Security).
+ Habilidad 3.2.7: Implementar protecciones y barreras de protección para aplicaciones de IA generativa (por ejemplo, aplicando las protecciones de IA generativa del OWASP Top 10 para las aplicaciones de LLM).
## Tarea 3.3: Diseñar y solucionar los problemas de los controles de seguridad de red.
Habilidades para:
+ Habilidad 3.3.1: Diseñar y resolver los problemas de los controles de red adecuados para permitir o impedir el tráfico de red según sea necesario (por ejemplo, grupos de seguridad, ACL de red o AWS Network Firewall).
+ Habilidad 3.3.2: Diseñar una conectividad segura entre redes híbridas y multinube (por ejemplo, AWS Site-to-Site VPN, AWS Direct Connect, MAC Security [MACsec]).
+ Habilidad 3.3.3: Determinar y configurar los requisitos de carga de trabajo de seguridad para la comunicación entre entornos híbridos y AWS (por ejemplo, mediante Acceso verificado de AWS).
+ Habilidad 3.3.4: Diseñar la segmentación de la red en función de los requisitos de seguridad (por ejemplo, protecciones de tráfico norte/sur y este/oeste, subredes aisladas).
+ Habilidad 3.3.5: Identificar el acceso innecesario a la red (por ejemplo, los hallazgos de accesibilidad a la red del Acceso verificado de AWS, el analizador de acceso a la red, Amazon Inspector).
# Dominio de contenido 4: Identity and Access Management
**Topics**
+ [Tarea 4.1: Diseñar, implementar y solucionar los problemas de las estrategias de autenticación.](#security-specialty-03-domain4-task1)
+ [Tarea 4.2: Diseñar, implementar y solucionar los problemas de las estrategias de autorización.](#security-specialty-03-domain4-task2)
## Tarea 4.1: Diseñar, implementar y solucionar los problemas de las estrategias de autenticación.
Habilidades para:
+ Habilidad 4.1.1: Diseñar y establecer soluciones de identidad para la autenticación humana, de aplicaciones y de sistemas (por ejemplo, AWS IAM Identity Center, Amazon Cognito, autenticación multifactor [multi-factor authentication, MFA] e integración con proveedores de identidad [identity provider, IdP]).
+ Habilidad 4.1.2: Configurar los mecanismos para emitir credenciales temporales (por ejemplo, AWS STS, URL prefirmadas de Amazon S3).
+ Habilidad 4.1.3: Solucionar problemas de autenticación (por ejemplo, CloudTrail, Amazon Cognito, conjuntos de permisos de IAM Identity Center, AWS Directory Service).
## Tarea 4.2: Diseñar, implementar y solucionar los problemas de las estrategias de autorización.
Habilidades para:
+ Habilidad 4.2.1: Diseñar y evaluar los controles de autorización para el acceso humano, de aplicaciones y del sistema (por ejemplo, Amazon Verified Permissions, las rutas de IAM, los roles de IAM Roles Anywhere, las políticas de recursos para el acceso entre cuentas y las políticas de confianza de los roles de IAM).
+ Habilidad 4.2.2: Diseñar estrategias de control de acceso basado en atributos (attribute-based access control, ABAC) y control de acceso basado en roles (role-based access control, RBAC) (por ejemplo, configurando el acceso a los recursos en función de etiquetas o atributos).
+ Habilidad 4.2.3: Diseñar, interpretar e implementar políticas de IAM siguiendo el principio de mínimo privilegio (por ejemplo, límites de permisos, políticas de sesión).
+ Habilidad 4.2.4: Analizar los errores de autorización para determinar las causas o los efectos (por ejemplo, simulador de políticas de IAM, analizador de acceso de IAM).
+ Habilidad 4.2.5: Investigar y corregir los permisos, las autorizaciones o los privilegios no deseados otorgados a un recurso, servicio o entidad (por ejemplo, analizador de acceso de IAM).
# Dominio de contenido 5: Protección de datos
**Topics**
+ [Tarea 5.1: Diseñar e implementar controles para los datos en tránsito.](#security-specialty-03-domain5-task1)
+ [Tarea 5.2: Diseñar e implementar controles para los datos en reposo.](#security-specialty-03-domain5-task2)
+ [Tarea 5.3: Diseñar e implementar controles para proteger datos confidenciales, credenciales, secretos y materiales de claves criptográficas.](#security-specialty-03-domain5-task3)
## Tarea 5.1: Diseñar e implementar controles para los datos en tránsito.
Habilidades para:
+ Habilidad 5.1.1: Diseñar y configurar mecanismos para solicitar el cifrado al conectarse a los recursos (por ejemplo, configurando las políticas de seguridad de Elastic Load Balancing [ELB] o aplicando las configuraciones de TLS).
+ Habilidad 5.1.2: Diseñar y configurar mecanismos para un acceso seguro y privado a los recursos (por ejemplo, AWS PrivateLink, puntos de conexión de VPC, AWS Client VPN, Acceso verificado de AWS).
+ Habilidad 5.1.3: Diseñar y configurar el cifrado entre recursos en tránsito (por ejemplo, configuraciones de cifrado entre nodos para Amazon EMR, Amazon EKS, SageMaker AI, cifrado Nitro).
## Tarea 5.2: Diseñar e implementar controles para los datos en reposo.
Habilidades para:
+ Habilidad 5.2.1: Diseñar, implementar y configurar el cifrado de datos en reposo en función de requisitos específicos (por ejemplo, seleccionando el servicio de claves de cifrado adecuado, como AWS CloudHSM o AWS KMS, o seleccionando el tipo de cifrado adecuado, como el cifrado del cliente o el cifrado del servidor).
+ Habilidad 5.2.2: Diseñar y configurar mecanismos para proteger la integridad de los datos (por ejemplo, bloqueo de objetos de S3, bloqueo de almacenes de S3 Glacier, control de versiones, firma de código digital, validación de archivos).
+ Habilidad 5.2.3: Diseñar soluciones automáticas de administración y retención del ciclo de vida de los datos (por ejemplo, políticas de ciclo de vida de S3, bloqueo de objetos de S3, políticas de ciclo de vida de Amazon EFS y políticas de copia de seguridad de Amazon FSx para Lustre).
+ Habilidad 5.2.4: Diseñar y configurar soluciones seguras de copia de seguridad y replicación de datos (por ejemplo, Amazon Data Lifecycle Manager, AWS Backup, protección contra ransomware, AWS DataSync).
## Tarea 5.3: Diseñar e implementar controles para proteger datos confidenciales, credenciales, secretos y materiales de claves criptográficas.
Habilidades para:
+ Habilidad 5.3.1: Diseñar la administración y rotación de credenciales y secretos (por ejemplo, AWS Secrets Manager).
+ Habilidad 5.3.2: Administrar y usar el material de claves importado (por ejemplo, administrando y rotando el material de claves importado, administrando y configurando almacenes de claves externos).
+ Habilidad 5.3.3: Describir las diferencias entre el material de claves importado y el material de claves generado por AWS.
+ Habilidad 5.3.4: Enmascarar la información confidencial (por ejemplo, las políticas de protección de datos de CloudWatch Logs o la protección de datos de mensajes de Amazon SNS).
+ Habilidad 5.3.5: Crear y administrar claves y certificados de cifrado en una sola región de AWS o en varias regiones (por ejemplo, las claves de AWS KMS administradas por el cliente de AWS KMS o la Autoridad de certificación privada de AWS).
# Dominio de contenido 6: Aspectos básicos y gobernanza de la seguridad
**Topics**
+ [Tarea 6.1: Desarrollar una estrategia para implementar y administrar las cuentas de AWS de forma centralizada.](#security-specialty-03-domain6-task1)
+ [Tarea 6.2: Implementar una estrategia de implementación segura y coherente para los recursos en la nube.](#security-specialty-03-domain6-task2)
+ [Tarea 6.3: Evaluar el cumplimiento de los recursos de AWS.](#security-specialty-03-domain6-task3)
## Tarea 6.1: Desarrollar una estrategia para implementar y administrar las cuentas de AWS de forma centralizada.
Habilidades para:
+ Habilidad 6.1.1: Implementar y configurar organizaciones mediante AWS Organizations.
+ Habilidad 6.1.2: Implementar y administrar AWS Control Tower en entornos nuevos y existentes, e implementar controles opcionales y personalizados.
+ Habilidad 6.1.3: Implementar políticas de la organización para administrar los permisos (por ejemplo, SCP, RCP, políticas de exclusión de servicios de IA, políticas declarativas).
+ Habilidad 6.1.4: Administrar de forma centralizada los servicios de seguridad (por ejemplo, cuentas de administrador delegado).
+ Habilidad 6.1.5: Administrar las credenciales de los usuarios raíz de las cuentas de AWS (por ejemplo, centralizando el acceso raíz para las cuentas de miembros, administrando MFA y diseñando procedimientos innovadores).
## Tarea 6.2: Implementar una estrategia de implementación segura y coherente para los recursos en la nube.
Habilidades para:
+ Habilidad 6.2.1: Utilizar la infraestructura como código (IaC) para implementar los recursos de la nube de forma coherente y segura en todas las cuentas (por ejemplo, conjuntos de pilas de CloudFormation, herramientas de IaC de terceros, CloudFormation Guard, cfn-lint).
+ Habilidad 6.2.2: Utilizar etiquetas a fin de organizar los recursos de AWS en grupos para su administración (por ejemplo, agrupándolos por departamento, centro de costos o entorno).
+ Habilidad 6.2.3: Implementar y aplicar políticas y configuraciones desde una fuente central (por ejemplo, AWS Firewall Manager).
+ Habilidad 6.2.4: Compartir recursos de forma segura entre cuentas de AWS (por ejemplo, AWS Service Catalog, AWS Resource Access Manager [AWS RAM]).
## Tarea 6.3: Evaluar el cumplimiento de los recursos de AWS.
Habilidades para:
+ Habilidad 6.3.1: Crear o habilitar reglas para detectar y corregir los recursos de AWS no conformes y para enviar notificaciones (por ejemplo, mediante el uso de AWS Config para agregar alertas y corregir los recursos no conformes, Security Hub).
+ Habilidad 6.3.2: Utilizar los servicios de auditoría de AWS para recopilar y organizar las pruebas (por ejemplo, AWS Audit Manager o AWS Artifact).
+ Habilidad 6.3.3: Utilizar los servicios de AWS para evaluar el cumplimiento de la arquitectura de las prácticas recomendadas para la seguridad de AWS (por ejemplo, la herramienta Marco de AWS Well-Architected).
# Servicios de AWS dentro del alcance
**Nota:** La seguridad afecta a todos los servicios de AWS. Muchos servicios no aparecen en esta lista porque el servicio general está fuera del alcance, pero los aspectos de seguridad del servicio están dentro del alcance. Por ejemplo, a un candidato de este examen no se le preguntará sobre los pasos para configurar la replicación en un bucket de S3. Sin embargo, es posible que se le pregunte al candidato sobre la configuración de una política de un bucket de S3.
La siguiente lista contiene los servicios y las características de AWS que están dentro del alcance del examen. Esta lista no es exhaustiva y está sujeta a cambios. Las ofertas de AWS aparecen en categorías que se alinean con las funciones principales de las ofertas.
**Topics**
+ [Análisis](#scs-02-in-scope-analytics)
+ [Integración de aplicaciones](#scs-02-in-scope-application-integration)
+ [Computación](#scs-02-in-scope-compute)
+ [Herramientas para desarrolladores](#scs-02-in-scope-developer-tools)
+ [Internet de las cosas](#scs-02-in-scope-internet-of-things)
+ [Machine learning](#scs-02-in-scope-machine-learning)
+ [Administración y gobernanza](#scs-02-in-scope-management-governance)
+ [Redes y entrega de contenido](#scs-02-in-scope-networking-content-delivery)
+ [Seguridad, identidad y cumplimiento](#scs-02-in-scope-security-identity-compliance)
+ [Almacenamiento y administración de datos](#scs-02-in-scope-storage-data-management)
## Análisis
+ Amazon Athena
+ Amazon OpenSearch Service
## Integración de aplicaciones
+ Amazon SNS
+ AWS Step Functions
## Computación
+ Amazon API Gateway
+ Amazon EC2 (incluidos Generador de imágenes de EC2 y EC2 Instance Connect)
+ Amazon EKS
+ Amazon EMR
+ AWS Lambda
+ Amazon Data Lifecycle Manager
## Herramientas para desarrolladores
+ AWS Fault Injection Service
## Internet de las cosas
+ AWS IoT Core
## Machine learning
+ Amazon Bedrock
+ Seguridad de Amazon CodeGuru
+ Amazon Q Business
+ Amazon Q Developer
+ Amazon SageMaker AI
## Administración y gobernanza
+ AWS CloudFormation
+ AWS CloudTrail
+ AWS CloudTrail Lake
+ Amazon CloudWatch
+ AWS Config
+ AWS Control Tower
+ Amazon Managed Grafana
+ AWS Organizations
+ AWS Resilience Hub
+ AWS Resource Access Manager (AWS RAM)
+ AWS Service Catalog
+ AWS Systems Manager
+ AWS Trusted Advisor
+ AWS User Notifications
+ Herramienta de AWS Well-Architected
## Redes y entrega de contenido
+ Controlador de recuperación de aplicaciones de Amazon
+ Amazon VPC
+ Analizador de acceso a la red
+ ACL de red
+ Grupos de seguridad
+ Puntos de conexión de VPC
+ AWS Site-to-Site VPN
+ Registros de flujo
+ Puntos de conexión de VPC
+ Acceso verificado de AWS
+ AWS Client VPN
+ Amazon CloudFront
+ Amazon Verified Permissions
+ Amazon Route 53 (incluido el firewall de DNS de Route 53 Resolver)
+ AWS Direct Connect
+ Elastic Load Balancing (ELB)
+ Analizador de acceso a la red
+ AWS Transit Gateway
## Seguridad, identidad y cumplimiento
+ AWS Artifact
+ AWS Audit Manager
+ AWS Certificate Manager (ACM)
+ AWS CloudHSM
+ Amazon Cognito
+ Amazon Detective
+ AWS Directory Service
+ AWS Firewall Manager
+ Automated Forensics Orchestrator para Amazon EC2
+ Amazon GuardDuty
+ IAM
+ AWS IAM Identity Center
+ Amazon Inspector
+ AWSKMS
+ Amazon Macie
+ AWS Network Firewall
+ Autoridad de certificación privada de AWS
+ AWS Secrets Manager
+ AWS Security Hub
+ Amazon Security Lake
+ AWS Shield
+ AWS Shield Advanced
+ AWS STS
+ AWS WAF
## Almacenamiento y administración de datos
+ Amazon S3
+ AWS Backup
+ AWS DataSync
+ Amazon EFS (incluidas las políticas de ciclo de vida de EFS)
+ Amazon FSx para Lustre
# Servicios de AWS fuera del alcance
La siguiente lista contiene los servicios y las características de AWS que están fuera del alcance del examen. Esta lista no es exhaustiva y está sujeta a cambios. Las ofertas de AWS que no tienen ninguna relación con los roles laborales objetivo para el examen se excluyen de esta lista:
**Topics**
+ [Integración de aplicaciones](#scs-02-out-of-scope-application-integration)
+ [Seguridad, identidad y cumplimiento](#scs-02-out-of-scope-security-identity-compliance)
## Integración de aplicaciones
+ Amazon Managed Workflows para Apache Airflow (Amazon MWAA)
## Seguridad, identidad y cumplimiento
+ AWS Payment Cryptography
# Tecnologías y conceptos
La siguiente lista contiene las tecnologías y los conceptos que pueden aparecer en el examen. Esta lista no es exhaustiva y está sujeta a cambios. El orden y la ubicación de los elementos de esta lista no indican su ponderación ni importancia relativos en el examen:
+ AWS CLI
+ AWS SDK
+ Consola de administración de AWS
+ Acceso remoto seguro
+ Administración de certificados
+ Infraestructura como código (IaC)
# Apéndice: Comparación entre SCS-C02 y SCS-C03
## Comparación en paralelo
En la siguiente tabla, se muestran los dominios y el porcentaje de preguntas con puntaje en cada dominio para el examen SCS-C02 (en uso hasta el 1 de diciembre de 2025) y el examen SCS-C03 (en uso a partir del 2 de diciembre de 2025).
| Dominio de SCS-C02 | Dominio de SCS-C03 |
| --- | --- |
| Dominio 1: Detección de amenazas y respuesta ante incidentes (14 %) | Dominio de contenido 1: Detección (el 16 % del contenido con puntaje) |
| Dominio 2: Registro y supervisión de seguridad (18 %) | Dominio de contenido 2: Respuesta ante incidentes (14 %) |
| Dominio 3: Seguridad de la infraestructura (20 %) | Dominio de contenido 3: Seguridad de la infraestructura (18 %) |
| Dominio 4: Identity and Access Management (16 %) | Dominio de contenido 4: Identity and Access Management (20 %) |
| Dominio 5: Protección de datos (18 %) | Dominio de contenido 5: Protección de datos (18 %) |
| Dominio 6: Administración y gobernanza de seguridad (14 %) | Dominio de contenido 6: Aspectos básicos y gobernanza de la seguridad (14 %) |
## Adiciones de contenido para SCS-C03
En la tarea 2.2.3, se agregó el siguiente contenido:
+ 2.2.3 Validar los hallazgos de los servicios de seguridad de AWS para evaluar el alcance y el impacto de un evento.
En la tarea 3.1.4, se agregó el siguiente contenido:
+ 3.1.4 Configurar las integraciones con servicios periféricos de AWS y servicios de terceros (por ejemplo, mediante la ingesta de datos en formato de marco de trabajo de esquema de ciberseguridad abierto [Open Cybersecurity Schema Framework, OCSF], mediante el uso de reglas de WAF de terceros).
En la tarea 3.2.7, se agregó el siguiente contenido:
+ 3.2.7 Implementar protecciones y barreras de protección para aplicaciones de IA generativa (por ejemplo, aplicando las protecciones de IA generativa del OWASP Top 10 para las aplicaciones de LLM).
En la tarea 5.1.3, se agregó el siguiente contenido:
+ 5.1.3 Diseñar y configurar el cifrado entre recursos en tránsito (por ejemplo, configuraciones de cifrado entre nodos para Amazon EMR, Amazon Elastic Kubernetes Service [Amazon EKS], SageMaker IA, cifrado Nitro).
En la tarea 5.3.3, se agregó el siguiente contenido:
+ 5.3.3 Describir las diferencias entre el material de claves importado y el material de claves generado por AWS.
En la tarea 5.3.4, se agregó el siguiente contenido:
+ 5.3.4 Enmascarar la información confidencial (por ejemplo, las políticas de protección de datos de CloudWatch Logs o la protección de datos de mensajes de Amazon Simple Notification Service [Amazon SNS]).
En la tarea 5.3.5, se agregó el siguiente contenido:
+ 5.3.5 Crear y administrar claves y certificados de cifrado en una sola región de AWS o en varias regiones (por ejemplo, las claves de AWS KMS administradas por el cliente de AWS KMS o la Autoridad de certificación privada de AWS).
## Eliminaciones de contenido para SCS-C03
En la tarea 6.4, se eliminó el siguiente contenido:
+ Identificar las brechas de seguridad mediante revisiones de arquitectura y análisis de costos.
En la tarea 1.1, se eliminó el siguiente contenido:
+ Formato de búsqueda de seguridad de AWS (ASFF)
En la tarea 1.3, se eliminó el siguiente contenido:
+ Guía de respuesta ante incidentes de seguridad en AWS
En la tarea 2.5, se eliminó el siguiente contenido:
+ Formato y componentes de registro (por ejemplo, registros de CloudTrail)
En la tarea 3.3, se eliminó el siguiente contenido:
+ Seguridad basada en host (por ejemplo, firewalls, refuerzo)
+ Activar mecanismos de seguridad basados en host (por ejemplo, los firewalls basados en host)
En la tarea 3.4, se eliminó el siguiente contenido:
+ Cómo analizar la conectividad (por ejemplo, mediante VPC Reachability Analyzer y Amazon Inspector)
+ Conceptos fundamentales de redes TCP/IP (por ejemplo, UDP en comparación con TCP, puertos, modelo de interconexión de sistemas abiertos [Open Systems Interconnection, OSI], utilidades del sistema operativo de red)
+ Identificar, interpretar y priorizar los problemas de conectividad de red (por ejemplo, mediante conexiones de red de Amazon Inspector)
En la tarea 4.2, se eliminó el siguiente contenido:
+ Componentes e impacto de una política (por ejemplo, entidad principal, acción, recurso, condición)
En la tarea 5.1, se eliminó el siguiente contenido:
+ Conceptos de TLS
+ Diseñar redes entre regiones mediante el uso de VIF privadas y públicas.
En la tarea 5.2, se eliminó el siguiente contenido:
+ Configurar el alojamiento web de sitios web estáticos de S3.
## Recategorizaciones del contenido para SCS-C03
Durante la transición de SCS-C02 a SCS-C03 se produjeron las siguientes reorganizaciones importantes de contenido:
Los dominios 1 y 2 de SCS-C03 se reestructuraron:
+ “Detección de amenazas y respuesta ante incidentes” y “Registro y supervisión de seguridad” ahora son:
+ Dominio 1: Detección
+ Dominio 2: Respuesta ante incidentes
Se cambió el nombre del dominio 6 para SCS-C03:
+ De “Administración y gobernanza de la seguridad” a “Aspectos básicos y gobernanza de la seguridad”
Se recategorizaron los siguientes enunciados de tareas:
El enunciado de la tarea 1.1 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 1.1 Diseñar e implementar la supervisión y las alertas para una cuenta u organización de AWS.
+ 1.2 Diseñar e implementar el registro.
+ 2.1 Diseñar y probar un plan de respuesta ante incidentes.
+ 2.2 Responder a eventos de seguridad.
El enunciado de la tarea 1.2 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 1.1 Diseñar e implementar la supervisión y las alertas para una cuenta u organización de AWS.
+ 1.2 Diseñar e implementar el registro.
El enunciado de la tarea 1.3 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 2.1 Diseñar y probar un plan de respuesta ante incidentes.
+ 2.2 Responder a eventos de seguridad.
El enunciado de la tarea 2.1 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 1.1 Diseñar e implementar la supervisión y las alertas para una cuenta u organización de AWS.
El enunciado de la tarea 2.2 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 1.1 Diseñar e implementar la supervisión y las alertas para una cuenta u organización de AWS.
+ 1.2 Diseñar e implementar el registro.
+ 1.3 Solucionar problemas con la supervisión, el registro y las alertas de seguridad.
El enunciado de la tarea 2.3 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 1.2 Diseñar e implementar el registro.
El enunciado de la tarea 2.4 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 1.2 Diseñar e implementar el registro.
+ 1.3 Solucionar problemas con la supervisión, el registro y las alertas de seguridad.
El enunciado de la tarea 2.5 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 1.2 Diseñar e implementar el registro.
El enunciado de la tarea 3.1 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 1.2 Diseñar e implementar el registro.
+ 3.1 Diseñar, implementar y solucionar los problemas de los controles de seguridad para los servicios periféricos de la red.
El enunciado de la tarea 3.2 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 1.2 Diseñar e implementar el registro.
+ 3.3 Diseñar y solucionar los problemas de los controles de seguridad de red.
+ 5.1 Diseñar e implementar controles para los datos en tránsito.
+ 6.2 Implementar una estrategia de implementación segura y coherente para los recursos en la nube.
El enunciado de la tarea 3.3 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 3.2 Diseñar, implementar y solucionar los problemas de los controles de seguridad para las cargas de trabajo de computación.
+ 5.3 Diseñar e implementar controles para proteger datos confidenciales, credenciales, secretos y materiales de claves criptográficas.
El enunciado de la tarea 3.4 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 1.2 Diseñar e implementar el registro.
+ 3.3 Diseñar y solucionar los problemas de los controles de seguridad de red.
El enunciado de la tarea 4.1 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 4.1 Diseñar, implementar y solucionar los problemas de las estrategias de autenticación.
El enunciado de la tarea 4.2 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 4.2 Diseñar, implementar y solucionar los problemas de las estrategias de autorización.
El enunciado de la tarea 5.1 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 3.2 Diseñar, implementar y solucionar los problemas de los controles de seguridad para las cargas de trabajo de computación.
+ 3.3 Diseñar y solucionar los problemas de los controles de seguridad de red.
+ 5.1 Diseñar e implementar controles para los datos en tránsito.
El enunciado de la tarea 5.2 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 4.2 Diseñar, implementar y solucionar los problemas de las estrategias de autorización.
+ 5.2 Diseñar e implementar controles para los datos en reposo.
El enunciado de la tarea 5.3 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 5.2 Diseñar e implementar controles para los datos en reposo.
El enunciado de la tarea 5.4 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 5.2 Diseñar e implementar controles para los datos en reposo.
+ 5.3 Diseñar e implementar controles para proteger datos confidenciales, credenciales, secretos y materiales de claves criptográficas.
El enunciado de la tarea 6.1 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 4.2 Diseñar, implementar y solucionar los problemas de las estrategias de autorización.
+ 6.1 Desarrollar una estrategia para implementar y administrar las cuentas de AWS de forma centralizada.
El enunciado de la tarea 6.2 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 6.2 Implementar una estrategia de implementación segura y coherente para los recursos en la nube.
El enunciado de la tarea 6.3 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 1.1 Diseñar e implementar la supervisión y las alertas para una cuenta u organización de AWS.
+ 5.2 Diseñar e implementar controles para los datos en reposo.
+ 6.3 Evaluar el cumplimiento de los recursos de AWS.
El enunciado de la tarea 6.4 de SCS-C02 se asigna a las siguientes tareas en SCS-C03:
+ 2.1 Diseñar y probar un plan de respuesta ante incidentes.
+ 1.1 Diseñar e implementar la supervisión y las alertas para una cuenta u organización de AWS.
+ 6.3 Evaluar el cumplimiento de los recursos de AWS.
# Revisiones
Las guías de examen de AWS se revisan y actualizan periódicamente para garantizar que nuestros exámenes de certificación evalúen las habilidades, los servicios y las características de AWS que son relevantes para los roles laborales a los que se dirige una certificación. Las actualizaciones de la guía de examen se publicarán aproximadamente un mes antes de que las actualizaciones se reflejen en su examen.
**Topics**
+ [Historial de cambios](#scs-03-change-history)
## Historial de cambios
| Versión | Fecha de publicación |
| --- | --- |
| 1.0 | 26 de marzo de 2026 |
## Encuesta
¿Qué tan útil fue esta guía de examen? Infórmenos [realizando nuestra encuesta](https://amazonmr.au1.qualtrics.com/jfe/form/SV_8vLR1a9uG9zu9Po?course_title=Sec-Spec&course_id=SCS-C03&Q_Language=EN).