# 内容领域 5： 数据保护
<a name="security-specialty-03-domain5"></a>

**Topics**
+ [任务 5.1： 为传输中的数据设计和实施控制措施](#security-specialty-03-domain5-task1)
+ [任务 5.2： 针对静态数据设计和实施控制措施](#security-specialty-03-domain5-task2)
+ [任务 5.3： 设计和实施控制措施，用于保护机密数据、凭证、密钥和加密密钥材料。](#security-specialty-03-domain5-task3)

## 任务 5.1： 为传输中的数据设计和实施控制措施
<a name="security-specialty-03-domain5-task1"></a>

具备以下技能：
+ 技能 5.1.1： 设计并配置在连接资源时要求进行加密的机制（例如，配置弹性负载均衡 [ELB] 安全策略，强制执行 TLS 配置）。
+ 技能 5.1.2： 设计并配置用于安全私密地访问资源的机制（例如，AWS PrivateLink、VPC 端点、AWS Client VPN、AWS Verified Access）。
+ 技能 5.1.3： 设计并配置资源间的传输中加密（例如，针对 Amazon EMR、Amazon EKS、SageMaker AI 的节点间加密配置，Nitro 加密）。

## 任务 5.2： 针对静态数据设计和实施控制措施
<a name="security-specialty-03-domain5-task2"></a>

具备以下技能：
+ 技能 5.2.1： 根据特定要求，设计、实施和配置静态数据加密（例如，选择 AWS CloudHSM 或 AWS KMS 等合适的加密密钥服务，或者选择客户端加密或服务器端加密等合适的加密类型）。
+ 技能 5.2.2： 设计并配置保护数据完整性的机制（例如，S3 对象锁定、S3 Glacier 文件库锁定、版本控制、数字代码签名、文件验证）。
+ 技能 5.2.3： 为数据设计自动生命周期管理和保留解决方案（例如，S3 生命周期策略、S3 对象锁定、Amazon EFS 生命周期策略、适用于 Lustre 的 Amazon FSx 备份策略）。
+ 技能 5.2.4： 设计并配置安全的数据复制和备份解决方案（例如，Amazon Data Lifecycle Manager、AWS Backup、勒索软件防护、AWS DataSync）。

## 任务 5.3： 设计和实施控制措施，用于保护机密数据、凭证、密钥和加密密钥材料。
<a name="security-specialty-03-domain5-task3"></a>

具备以下技能：
+ 技能 5.3.1： 设计凭证及密钥的管理和轮换机制（例如，AWS Secrets Manager）。
+ 技能 5.3.2： 管理和使用导入的密钥材料（例如，管理和轮换导入的密钥材料，管理和配置外部密钥存储）。
+ 技能 5.3.3： 说明导入的密钥材料与 AWS 生成的密钥材料之间的区别。
+ 技能 5.3.4： 掩蔽敏感数据（例如，CloudWatch Logs 数据保护策略、Amazon SNS 消息数据保护）。
+ 技能 5.3.5： 在单个或多个 AWS 区域中，创建并管理加密密钥和证书（例如，AWS KMS 客户自主管理型 AWS KMS 密钥、AWS 私有证书颁发机构）。