# Dominio de contenido 1: Diseño de arquitecturas seguras
<a name="solutions-architect-associate-03-domain1"></a>

**Topics**
+ [Tarea 1.1: Diseñar un acceso seguro a los recursos de AWS.](#solutions-architect-associate-03-domain1-task1)
+ [Tarea 1.2: Diseñar cargas de trabajo y aplicaciones seguras.](#solutions-architect-associate-03-domain1-task2)
+ [Tarea 1.3: Determinar los controles de seguridad de datos adecuados.](#solutions-architect-associate-03-domain1-task3)

## Tarea 1.1: Diseñar un acceso seguro a los recursos de AWS.
<a name="solutions-architect-associate-03-domain1-task1"></a>

Conocimientos de:
+ Controles y administración de acceso en varias cuentas
+ Servicios de identidad y acceso federados de AWS (por ejemplo, IAM, AWS IAM Identity Center)
+ Infraestructura global de AWS (por ejemplo, zonas de disponibilidad, regiones de AWS)
+ Prácticas recomendadas de seguridad de AWS (por ejemplo, el principio de mínimo privilegio)
+ El modelo de responsabilidad compartida de AWS

Habilidades para:
+ Aplicar las prácticas recomendadas de seguridad de AWS a los usuarios de IAM y a los usuarios raíz (por ejemplo, autenticación multifactor [MFA]).
+ Diseñar un modelo de autorización flexible que incluya usuarios, grupos, roles y políticas de IAM.
+ Diseñar una estrategia de control de acceso basada en roles (por ejemplo, AWS STS, cambio de roles, acceso entre cuentas).
+ Diseñar una estrategia de seguridad para varias cuentas de AWS (por ejemplo, AWS Control Tower, políticas de control de servicios [SCP]).
+ Determinar el uso adecuado de las políticas de recursos para los servicios de AWS.
+ Determinar cuándo federar un servicio de directorio con roles de IAM.

## Tarea 1.2: Diseñar cargas de trabajo y aplicaciones seguras.
<a name="solutions-architect-associate-03-domain1-task2"></a>

Conocimientos de:
+ Configuración de aplicaciones y seguridad de credenciales
+ Puntos de enlace de servicios de AWS
+ Puertos de control, protocolos y tráfico de red en AWS
+ Acceso seguro a las aplicaciones
+ Servicios de seguridad con casos de uso adecuados (por ejemplo, AWS Cognito, AWS GuardDuty, AWS Macie)
+ Vectores de amenazas externas a AWS (por ejemplo, denegación de servicio distribuido [DDoS], inyección de código SQL)

Habilidades para:
+ Diseñar arquitecturas de VPC con componentes de seguridad (por ejemplo, grupos de seguridad, tablas de enrutamiento, ACL de red, gateways NAT).
+ Determinar las estrategias de segmentación de red (por ejemplo, el uso de subredes públicas y subredes privadas).
+ Integrar a los servicios de AWS para proteger las aplicaciones (por ejemplo, AWS Shield, AWS WAF, IAM Identity Center, AWS Secrets Manager).
+ Proteger las conexiones de red externas desde la nube de AWS y hacia ella (por ejemplo, VPN, AWS Direct Connect).

## Tarea 1.3: Determinar los controles de seguridad de datos adecuados.
<a name="solutions-architect-associate-03-domain1-task3"></a>

Conocimientos de:
+ Acceso a los datos y gobernanza
+ Recuperación de datos
+ Retención y clasificación de datos
+ Cifrado y administración adecuada de claves

Habilidades para:
+ Alinear las tecnologías de AWS para satisfacer los requisitos de cumplimiento.
+ Cifrar datos en reposo (por ejemplo, AWS KMS).
+ Cifrar datos en tránsito (por ejemplo, AWS Certificate Manager [ACM] mediante TLS).
+ Implementar políticas de acceso para claves de cifrado.
+ Implementar copias de respaldo y replicaciones de datos.
+ Implementar políticas de acceso, ciclo de vida y protección de datos.
+ Rotar claves de cifrado y renovar certificados.