Domaine du contenu 1 : conception d’architectures sécurisées

Contrôles d’accès et gestion sur plusieurs comptes

Services d’accès et d’identité fédérés AWS (par exemple, IAM, AWS IAM Identity Center)

Infrastructure globale AWS (par exemple, zones de disponibilité [AZ], régions AWS)

Bonnes pratiques de sécurité AWS (par exemple, principe du moindre privilège)

Modèle de responsabilité partagée AWS

Application des bonnes pratiques de sécurité AWS aux utilisateurs IAM et aux utilisateurs racine (par exemple, authentification multifacteur [MFA])

Conception d’un modèle d’autorisation flexible incluant les utilisateurs, groupes, rôles et politiques IAM

Conception d’une stratégie de contrôle d’accès basée sur les rôles (par exemple, AWS STS, changement de rôle, accès intercompte)

Conception d’une stratégie de sécurité pour plusieurs comptes AWS (par exemple, AWS Control Tower, stratégies de contrôle des services [SCP])

Détermination de l’utilisation appropriée des politiques de ressources pour les services AWS

Détermination du moment opportun pour fédérer un service d’annuaire avec des rôles IAM

Configuration de l’application et sécurité des informations d’identification

Points de terminaison de service AWS

Contrôle des ports, des protocoles et du trafic réseau sur AWS

Accès sécurisé aux applications

Services de sécurité avec cas d’utilisation appropriés (par exemple, AWS Cognito, AWS GuardDuty, AWS Macie)

Vecteurs de menace externes à AWS (par exemple, attaque par déni de service [DDoS], injection SQL)

Conception d’architectures VPC avec des composants de sécurité (par exemple, groupes de sécurité, tables de routage, ACL réseau, passerelles NAT)

Détermination des stratégies de segmentation du réseau (par exemple, en utilisant des sous-réseaux publics et des sous-réseaux privés)

Intégration des services AWS pour sécuriser les applications (par exemple, AWS Shield, AWS WAF, IAM Identity Center, AWS Secrets Manager)

Sécurisation des connexions réseau externes vers et depuis le Cloud AWS (par exemple, VPN, AWS Direct Connect)

Accès aux données et gouvernance

Récupération des données

Conservation et classification des données

Chiffrement et gestion appropriée des clés

Alignement des technologies AWS pour répondre aux exigences de conformité

Chiffrement des données au repos (par exemple, AWS KMS)

Chiffrement des données en transit (par exemple, AWS Certificate Manager [ACM] à l’aide de TLS)

Mise en œuvre de stratégies d’accès pour les clés de chiffrement

Mise en œuvre de sauvegardes et de réplications des données

Mise en œuvre de stratégies pour l’accès aux données, leur cycle de vie et leur protection

Rotation des clés de chiffrement et renouvellement des certificats