内容领域 5： 数据保护

技能 5.1.1： 设计并配置在连接资源时要求进行加密的机制（例如，配置弹性负载均衡 [ELB] 安全策略，强制执行 TLS 配置）。

技能 5.1.2： 设计并配置用于安全私密地访问资源的机制（例如，AWS PrivateLink、VPC 端点、AWS Client VPN、AWS Verified Access）。

技能 5.1.3： 设计并配置资源间的传输中加密（例如，针对 Amazon EMR、Amazon EKS、SageMaker AI 的节点间加密配置，Nitro 加密）。

技能 5.2.1： 根据特定要求，设计、实施和配置静态数据加密（例如，选择 AWS CloudHSM 或 AWS KMS 等合适的加密密钥服务，或者选择客户端加密或服务器端加密等合适的加密类型）。

技能 5.2.2： 设计并配置保护数据完整性的机制（例如，S3 对象锁定、S3 Glacier 文件库锁定、版本控制、数字代码签名、文件验证）。

技能 5.2.3： 为数据设计自动生命周期管理和保留解决方案（例如，S3 生命周期策略、S3 对象锁定、Amazon EFS 生命周期策略、适用于 Lustre 的 Amazon FSx 备份策略）。

技能 5.2.4： 设计并配置安全的数据复制和备份解决方案（例如，Amazon Data Lifecycle Manager、AWS Backup、勒索软件防护、AWS DataSync）。

技能 5.3.1： 设计凭证及密钥的管理和轮换机制（例如，AWS Secrets Manager）。

技能 5.3.2： 管理和使用导入的密钥材料（例如，管理和轮换导入的密钥材料，管理和配置外部密钥存储）。

技能 5.3.3： 说明导入的密钥材料与 AWS 生成的密钥材料之间的区别。

技能 5.3.4： 掩蔽敏感数据（例如，CloudWatch Logs 数据保护策略、Amazon SNS 消息数据保护）。

技能 5.3.5： 在单个或多个 AWS 区域中，创建并管理加密密钥和证书（例如，AWS KMS 客户自主管理型 AWS KMS 密钥、AWS 私有证书颁发机构）。