# 内容领域 4： 身份和访问管理
<a name="security-specialty-03-domain4"></a>

**Topics**
+ [任务 4.1： 设计和实施身份验证策略，以及进行故障排除](#security-specialty-03-domain4-task1)
+ [任务 4.2： 设计和实施授权策略，以及进行故障排除](#security-specialty-03-domain4-task2)

## 任务 4.1： 设计和实施身份验证策略，以及进行故障排除
<a name="security-specialty-03-domain4-task1"></a>

具备以下技能：
+ 技能 4.1.1： 设计并建立用于人员、应用程序和系统身份验证的身份解决方案（例如，AWS IAM Identity Center、Amazon Cognito、多重身份验证 [MFA]、身份提供商 [IdP] 集成）。
+ 技能 4.1.2： 配置颁发临时凭证的机制（例如，AWS STS、Amazon S3 预签名 URL）。
+ 技能 4.1.3： 排查身份验证问题（例如，CloudTrail、Amazon Cognito、IAM Identity Center 权限集、AWS Directory Service）。

## 任务 4.2： 设计和实施授权策略，以及进行故障排除
<a name="security-specialty-03-domain4-task2"></a>

具备以下技能：
+ 技能 4.2.1： 设计并评估面向人员、应用程序和系统访问的授权控制措施（例如，Amazon Verified Permissions、IAM 路径、IAM Roles Anywhere、跨账户访问的资源策略、IAM 角色信任策略）。
+ 技能 4.2.2： 设计基于属性的访问控制 (ABAC) 策略和基于角色的访问控制 (RBAC) 策略（例如，配置基于标签或属性的资源访问）。
+ 技能 4.2.3： 遵循最低权限原则来设计、解释和实施 IAM 策略（例如，权限边界、会话策略）。
+ 技能 4.2.4： 分析授权故障来确定原因或影响（例如，IAM 策略模拟器、IAM 访问权限分析器）。
+ 技能 4.2.5： 调查并更正向资源、服务或实体意外授予的权限、授权或特权（例如 IAM 访问权限分析器）。