内容领域 4： 身份和访问管理

技能 4.1.1： 设计并建立用于人员、应用程序和系统身份验证的身份解决方案（例如，AWS IAM Identity Center、Amazon Cognito、多重身份验证 [MFA]、身份提供商 [IdP] 集成）。

技能 4.1.2： 配置颁发临时凭证的机制（例如，AWS STS、Amazon S3 预签名 URL）。

技能 4.1.3： 排查身份验证问题（例如，CloudTrail、Amazon Cognito、IAM Identity Center 权限集、AWS Directory Service）。

技能 4.2.1： 设计并评估面向人员、应用程序和系统访问的授权控制措施（例如，Amazon Verified Permissions、IAM 路径、IAM Roles Anywhere、跨账户访问的资源策略、IAM 角色信任策略）。

技能 4.2.2： 设计基于属性的访问控制 (ABAC) 策略和基于角色的访问控制 (RBAC) 策略（例如，配置基于标签或属性的资源访问）。

技能 4.2.3： 遵循最低权限原则来设计、解释和实施 IAM 策略（例如，权限边界、会话策略）。

技能 4.2.4： 分析授权故障来确定原因或影响（例如，IAM 策略模拟器、IAM 访问权限分析器）。

技能 4.2.5： 调查并更正向资源、服务或实体意外授予的权限、授权或特权（例如 IAM 访问权限分析器）。