# Domaine du contenu 1 : conception d’architectures sécurisées
**Topics**
+ [Tâche 1.1 : concevoir un accès sécurisé aux ressources AWS](#solutions-architect-associate-03-domain1-task1)
+ [Tâche 1.2 : concevoir des charges de travail et des applications sécurisées](#solutions-architect-associate-03-domain1-task2)
+ [Tâche 1.3 : déterminer les contrôles de sécurité des données appropriés](#solutions-architect-associate-03-domain1-task3)
## Tâche 1.1 : concevoir un accès sécurisé aux ressources AWS
Connaissance des éléments suivants :
+ Contrôles d’accès et gestion sur plusieurs comptes
+ Services d’accès et d’identité fédérés AWS (par exemple, IAM, AWS IAM Identity Center)
+ Infrastructure globale AWS (par exemple, zones de disponibilité [AZ], régions AWS)
+ Bonnes pratiques de sécurité AWS (par exemple, principe du moindre privilège)
+ Modèle de responsabilité partagée AWS
Compétences dans les domaines suivants :
+ Application des bonnes pratiques de sécurité AWS aux utilisateurs IAM et aux utilisateurs racine (par exemple, authentification multifacteur [MFA])
+ Conception d’un modèle d’autorisation flexible incluant les utilisateurs, groupes, rôles et politiques IAM
+ Conception d’une stratégie de contrôle d’accès basée sur les rôles (par exemple, AWS STS, changement de rôle, accès intercompte)
+ Conception d’une stratégie de sécurité pour plusieurs comptes AWS (par exemple, AWS Control Tower, stratégies de contrôle des services [SCP])
+ Détermination de l’utilisation appropriée des politiques de ressources pour les services AWS
+ Détermination du moment opportun pour fédérer un service d’annuaire avec des rôles IAM
## Tâche 1.2 : concevoir des charges de travail et des applications sécurisées
Connaissance des éléments suivants :
+ Configuration de l’application et sécurité des informations d’identification
+ Points de terminaison de service AWS
+ Contrôle des ports, des protocoles et du trafic réseau sur AWS
+ Accès sécurisé aux applications
+ Services de sécurité avec cas d’utilisation appropriés (par exemple, AWS Cognito, AWS GuardDuty, AWS Macie)
+ Vecteurs de menace externes à AWS (par exemple, attaque par déni de service [DDoS], injection SQL)
Compétences dans les domaines suivants :
+ Conception d’architectures VPC avec des composants de sécurité (par exemple, groupes de sécurité, tables de routage, ACL réseau, passerelles NAT)
+ Détermination des stratégies de segmentation du réseau (par exemple, en utilisant des sous-réseaux publics et des sous-réseaux privés)
+ Intégration des services AWS pour sécuriser les applications (par exemple, AWS Shield, AWS WAF, IAM Identity Center, AWS Secrets Manager)
+ Sécurisation des connexions réseau externes vers et depuis le Cloud AWS (par exemple, VPN, AWS Direct Connect)
## Tâche 1.3 : déterminer les contrôles de sécurité des données appropriés
Connaissance des éléments suivants :
+ Accès aux données et gouvernance
+ Récupération des données
+ Conservation et classification des données
+ Chiffrement et gestion appropriée des clés
Compétences dans les domaines suivants :
+ Alignement des technologies AWS pour répondre aux exigences de conformité
+ Chiffrement des données au repos (par exemple, AWS KMS)
+ Chiffrement des données en transit (par exemple, AWS Certificate Manager [ACM] à l’aide de TLS)
+ Mise en œuvre de stratégies d’accès pour les clés de chiffrement
+ Mise en œuvre de sauvegardes et de réplications des données
+ Mise en œuvre de stratégies pour l’accès aux données, leur cycle de vie et leur protection
+ Rotation des clés de chiffrement et renouvellement des certificats