View a markdown version of this page

Dominio de contenido 1: Diseño de arquitecturas seguras - AWS Certified Solutions Architect - Associate
Tarea 1.1: Diseñar un acceso seguro a los recursos de AWS.Tarea 1.2: Diseñar cargas de trabajo y aplicaciones seguras.Tarea 1.3: Determinar los controles de seguridad de datos adecuados.

Dominio de contenido 1: Diseño de arquitecturas seguras

Tarea 1.1: Diseñar un acceso seguro a los recursos de AWS.

Conocimientos de:

  • Controles y administración de acceso en varias cuentas

  • Servicios de identidad y acceso federados de AWS (por ejemplo, IAM, AWS IAM Identity Center)

  • Infraestructura global de AWS (por ejemplo, zonas de disponibilidad, regiones de AWS)

  • Prácticas recomendadas de seguridad de AWS (por ejemplo, el principio de mínimo privilegio)

  • El modelo de responsabilidad compartida de AWS

Habilidades para:

  • Aplicar las prácticas recomendadas de seguridad de AWS a los usuarios de IAM y a los usuarios raíz (por ejemplo, autenticación multifactor [MFA]).

  • Diseñar un modelo de autorización flexible que incluya usuarios, grupos, roles y políticas de IAM.

  • Diseñar una estrategia de control de acceso basada en roles (por ejemplo, AWS STS, cambio de roles, acceso entre cuentas).

  • Diseñar una estrategia de seguridad para varias cuentas de AWS (por ejemplo, AWS Control Tower, políticas de control de servicios [SCP]).

  • Determinar el uso adecuado de las políticas de recursos para los servicios de AWS.

  • Determinar cuándo federar un servicio de directorio con roles de IAM.

Tarea 1.2: Diseñar cargas de trabajo y aplicaciones seguras.

Conocimientos de:

  • Configuración de aplicaciones y seguridad de credenciales

  • Puntos de enlace de servicios de AWS

  • Puertos de control, protocolos y tráfico de red en AWS

  • Acceso seguro a las aplicaciones

  • Servicios de seguridad con casos de uso adecuados (por ejemplo, AWS Cognito, AWS GuardDuty, AWS Macie)

  • Vectores de amenazas externas a AWS (por ejemplo, denegación de servicio distribuido [DDoS], inyección de código SQL)

Habilidades para:

  • Diseñar arquitecturas de VPC con componentes de seguridad (por ejemplo, grupos de seguridad, tablas de enrutamiento, ACL de red, gateways NAT).

  • Determinar las estrategias de segmentación de red (por ejemplo, el uso de subredes públicas y subredes privadas).

  • Integrar a los servicios de AWS para proteger las aplicaciones (por ejemplo, AWS Shield, AWS WAF, IAM Identity Center, AWS Secrets Manager).

  • Proteger las conexiones de red externas desde la nube de AWS y hacia ella (por ejemplo, VPN, AWS Direct Connect).

Tarea 1.3: Determinar los controles de seguridad de datos adecuados.

Conocimientos de:

  • Acceso a los datos y gobernanza

  • Recuperación de datos

  • Retención y clasificación de datos

  • Cifrado y administración adecuada de claves

Habilidades para:

  • Alinear las tecnologías de AWS para satisfacer los requisitos de cumplimiento.

  • Cifrar datos en reposo (por ejemplo, AWS KMS).

  • Cifrar datos en tránsito (por ejemplo, AWS Certificate Manager [ACM] mediante TLS).

  • Implementar políticas de acceso para claves de cifrado.

  • Implementar copias de respaldo y replicaciones de datos.

  • Implementar políticas de acceso, ciclo de vida y protección de datos.

  • Rotar claves de cifrado y renovar certificados.