# 内容领域 6： 安全性与合规性
<a name="devops-engineer-professional-02-domain6"></a>

## 任务说明 6.1： 批量实施身份和访问管理技术。
<a name="dop-02-task-6-1"></a>

### 掌握以下知识：
<a name="dop-02-task-6-1-knowledge"></a>
+ 相应地使用不同的 IAM 实体以进行人和机器访问（例如，用户、组、角色、身份提供程序、基于身份的策略、基于资源的策略、会话策略）
+ 身份联合验证技术（例如，使用 IAM 身份提供商和 AWS IAM Identity Center）
+ 使用 IAM 权限边界进行权限管理委派
+ 企业 SCP

### 具备以下技能：
<a name="dop-02-task-6-1-skills"></a>
+ 设计策略以实施最低权限访问
+ 实施基于角色和基于属性的访问控制模式
+ 自动为机器身份执行凭证轮换（例如 AWS Secrets Manager）
+ 管理权限以控制对人和机器身份的访问（例如，启用多重身份验证 [MFA]、AWS Security Token Service [AWS STS]、IAM 配置文件）

## 任务说明 6.2： 应用自动化功能以进行安全控制和数据保护。
<a name="dop-02-task-6-2"></a>

### 掌握以下知识：
<a name="dop-02-task-6-2-knowledge"></a>
+ 网络安全组件（例如，安全组、网络 ACL、路由、AWS Network Firewall、AWS WAF、AWS Shield）
+ 证书和公有密钥基础设施 (PKI)
+ 数据管理（例如，数据分类、加密、密钥管理、访问控制）

### 具备以下技能：
<a name="dop-02-task-6-2-skills"></a>
+ 在多账户和多区域环境中自动应用安全控制措施（例如 AWS Security Hub、AWS Organizations、AWS Control Tower、AWS Systems Manager）
+ 结合使用安全控制措施以应用纵深防御（例如 AWS Certificate Manager [ACM]、AWS WAF、AWS Config、AWS Config 规则、Security Hub、Amazon GuardDuty、安全组、网络 ACL、Amazon Detective、Network Firewall）
+ 自动批量查找敏感数据（例如 Amazon Macie）
+ 加密传输中的数据和静态数据（例如 AWS Key Management Service [AWS KMS]、AWS CloudHSM、ACM）

## 任务说明 6.3： 实施安全监控和审计解决方案。
<a name="dop-02-task-6-3"></a>

### 掌握以下知识：
<a name="dop-02-task-6-3-knowledge"></a>
+ 安全审计服务和功能（例如 AWS CloudTrail、AWS Config、VPC 流日志、AWS CloudFormation 偏差检测）
+ 用于查找安全漏洞和事件的 AWS 服务（例如 GuardDuty、Amazon Inspector、IAM 访问权限分析器、AWS Config）
+ 常见的云安全威胁（例如，不安全的 Web 流量、AWS 访问密钥暴露、启用了公有访问或禁用了加密的 S3 存储桶）

### 具备以下技能：
<a name="dop-02-task-6-3-skills"></a>
+ 实施强大的安全审计措施
+ 配置基于意外或异常安全事件的警报
+ 配置服务和应用程序日志记录（例如 CloudTrail、Amazon CloudWatch Logs）
+ 分析日志、指标和安全发现