# Dominio del contenuto 1: Progettazione di architetture sicure
**Topics**
+ [Attività 1.1: Progettazione dell'accesso sicuro alle risorse AWS](#solutions-architect-associate-03-domain1-task1)
+ [Attività 1.2: Progettazione di applicazioni e carichi di lavoro sicuri](#solutions-architect-associate-03-domain1-task2)
+ [Attività 1.3: Identificazione dei controlli di sicurezza dei dati appropriati](#solutions-architect-associate-03-domain1-task3)
## Attività 1.1: Progettazione dell'accesso sicuro alle risorse AWS
Conoscenza di:
+ Controllo e gestione degli accessi in più account
+ Servizi di identità e accesso federato AWS (ad esempio, IAM, Centro identità AWS IAM)
+ Infrastruttura globale AWS (ad esempio, le zone di disponibilità, le Regioni AWS)
+ Best practice per la sicurezza in AWS (ad esempio, il principio del privilegio minimo)
+ Modello di responsabilità condivisa di AWS
Competenze in:
+ Applicazione delle best practice per la sicurezza in AWS a utenti IAM e a utenti root, ad esempio l'autenticazione a più fattori (MFA)
+ Progettazione di un modello di autorizzazione flessibile che includa utenti, gruppi, ruoli e policy IAM
+ Progettazione di una strategia di controllo degli accessi in base ai ruoli (ad esempio AWS STS, il passaggio tra ruoli o l'accesso multi-account)
+ Progettazione di una strategia di sicurezza per più account AWS, ad esempio AWS Control Tower o le policy di controllo dei servizi (SCP)
+ Identificazione dell'uso appropriato di policy delle risorse per i servizi AWS
+ Identificazione dei casi in cui federare un servizio di directory con ruoli IAM
## Attività 1.2: Progettazione di applicazioni e carichi di lavoro sicuri
Conoscenza di:
+ Configurazione delle applicazioni e sicurezza delle credenziali
+ Endpoint del servizio AWS
+ Controllo di porte, protocolli e traffico di rete in AWS
+ Accesso sicuro alle applicazioni
+ Servizi di sicurezza con casi d'uso appropriati (ad esempio, AWS Cognito, AWS GuardDuty o AWS Macie)
+ Vettori di minacce esterni ad AWS (ad esempio, gli attacchi DDoS o iniezione SQL)
Competenze in:
+ Progettazione di architetture VPC con componenti di sicurezza (ad esempio, i gruppi di sicurezza, le tabelle di routing, le liste di controllo degli accessi di rete o i gateway NAT)
+ Identificazione delle strategie di segmentazione della rete (ad esempio, tramite sottoreti pubbliche e sottoreti private)
+ Integrazione di servizi AWS per applicazioni sicure (ad esempio, AWS Shield, AWS WAF, Centro identità IAM o AWS Secrets Manager)
+ Protezione delle connessioni di rete esterne da e verso il cloud AWS (ad esempio, VPN o AWS Direct Connect)
## Attività 1.3: Identificazione dei controlli di sicurezza dei dati appropriati
Conoscenza di:
+ Accesso ai dati e governance dei dati
+ Recupero dei dati
+ Conservazione e classificazione dei dati
+ Crittografia e gestione appropriata delle chiavi
Competenze in:
+ Allineamento delle tecnologie AWS per soddisfare i requisiti di conformità
+ Crittografia dei dati a riposo (ad esempio, AWS KMS)
+ Crittografia dei dati in transito, ad esempio Gestione certificati AWS (ACM) tramite TLS
+ Implementazione di policy di accesso per le chiavi di crittografia
+ Implementazione di backup e repliche dei dati
+ Implementazione di policy per l'accesso ai dati e per il ciclo di vita e la protezione dei dati
+ Rotazione delle chiavi di crittografia e rinnovo dei certificati