# コンテンツ分野 1: セキュアなアーキテクチャの設計
**Topics**
+ [タスク 1.1: AWS リソースへのセキュアなアクセスを設計する。](#solutions-architect-associate-03-domain1-task1)
+ [タスク 1.2: セキュアなワークロードとアプリケーションを設計する。](#solutions-architect-associate-03-domain1-task2)
+ [タスク 1.3: 適切なデータセキュリティ管理を判断する。](#solutions-architect-associate-03-domain1-task3)
## タスク 1.1: AWS リソースへのセキュアなアクセスを設計する。
対象知識:
+ 複数のアカウントにまたがるアクセス制御と管理
+ AWS フェデレーションアクセスとアイデンティティサービス (IAM、AWS IAM アイデンティティセンターなど)
+ AWS グローバルインフラストラクチャ (アベイラビリティーゾーン、AWS リージョンなど)
+ AWS セキュリティのベストプラクティス (最小権限の原則など)
+ AWS 責任共有モデル
対象スキル:
+ AWS セキュリティのベストプラクティスを IAM ユーザーとルートユーザーに適用する [多要素認証 (MFA) など]。
+ IAM ユーザー、グループ、ロール、ポリシーを含む柔軟な認可モデルを設計する。
+ ロールベースのアクセスコントロール戦略 (AWS STS、ロールスイッチング、クロスアカウントアクセスなど) を設計する。
+ 複数の AWS アカウント [AWS Control Tower、サービスコントロールポリシー (SCP) など] のセキュリティ戦略を設計する。
+ AWS のサービスに対するリソースポリシーの適切な使用を判断する。
+ IAM ロールを使用して Directory Service をフェデレートする場面を判断する。
## タスク 1.2: セキュアなワークロードとアプリケーションを設計する。
対象知識:
+ アプリケーション設定と認証情報のセキュリティ
+ AWS サービスエンドポイント
+ AWS の制御ポート、プロトコル、ネットワークトラフィック
+ セキュアなアプリケーションアクセス
+ 適切なユースケースを備えたセキュリティサービス (AWS Cognito、AWS GuardDuty、AWS Macie など)
+ AWS 外部の脅威ベクトル (DDoS、SQL インジェクションなど)
対象スキル:
+ セキュリティコンポーネント (セキュリティグループ、ルートテーブル、ネットワーク ACL、NAT ゲートウェイなど) を使用した VPC アーキテクチャの設計
+ ネットワークセグメンテーション戦略の決定 (パブリックサブネットとプライベートサブネットの使用など)
+ AWS のサービスとの統合によるアプリケーションの保護 (AWS Shield、AWS WAF、IAM アイデンティティセンター、AWS Secrets Manager など)
+ AWS クラウドと外部ネットワーク接続の保護 (VPN、AWS Direct Connect など)
## タスク 1.3: 適切なデータセキュリティ管理を判断する。
対象知識:
+ データアクセスとガバナンス
+ データ復旧
+ データ保持と分類
+ 暗号化と適切なキー管理
対象スキル:
+ コンプライアンス要件を満たすために AWS テクノロジーを調整する。
+ 保管中のデータを暗号化する (AWS KMS など)。
+ 転送中のデータを暗号化する [TLS を使用した AWS Certificate Manager (ACM) など]。
+ 暗号化キーにアクセスポリシーを実装する。
+ データバックアップとレプリケーションを実装する。
+ データアクセス、ライフサイクル、保護に関するポリシーを実装する。
+ 暗号化キーのローテーションと証明書を更新する。