# 内容领域 6： 安全基础与监管
<a name="security-specialty-03-domain6"></a>

**Topics**
+ [任务 6.1： 制定策略来集中部署和管理 AWS 账户](#security-specialty-03-domain6-task1)
+ [任务 6.2： 为云资源实施安全且一致的部署策略](#security-specialty-03-domain6-task2)
+ [任务 6.3： 评估 AWS 资源的合规性](#security-specialty-03-domain6-task3)

## 任务 6.1： 制定策略来集中部署和管理 AWS 账户
<a name="security-specialty-03-domain6-task1"></a>

具备以下技能：
+ 技能 6.1.1： 使用 AWS Organizations 部署和配置企业。
+ 技能 6.1.2： 在新环境和现有环境中实施并管理 AWS Control Tower，部署可选和自定义的控制措施。
+ 技能 6.1.3： 实施企业策略来管理权限（例如，SCP、RCP、AI 服务选择退出策略、声明性策略）。
+ 技能 6.1.4： 集中管理安全服务（例如，委派管理员帐户）。
+ 技能 6.1.5： 管理 AWS 账户根用户凭证（例如，集中成员账户的根访问权限、管理 MFA、设计破译程序）。

## 任务 6.2： 为云资源实施安全且一致的部署策略
<a name="security-specialty-03-domain6-task2"></a>

具备以下技能：
+ 技能 6.2.1： 使用基础设施即代码 (IaC)，以一致的方式，安全地跨账户部署云资源（例如，CloudFormation 堆栈集、第三方 IaC 工具、CloudFormation Guard、cfn-lint）。
+ 技能 6.2.2： 使用标签将 AWS 资源分组，方便进行管理（例如，按部门、成本中心、环境分组）。
+ 技能 6.2.3： 从中心来源部署并执行策略和配置（例如 AWS Firewall Manager）。
+ 技能 6.2.4： 在 AWS 账户之间安全地共享资源（例如，AWS Service Catalog、AWS Resource Access Manager [AWS RAM]）。

## 任务 6.3： 评估 AWS 资源的合规性
<a name="security-specialty-03-domain6-task3"></a>

具备以下技能：
+ 技能 6.3.1： 创建或启用规则，用于检测和修复不合规的 AWS 资源并发送通知（例如，使用 AWS Config 汇总警报和修复不合规资源，Security Hub）。
+ 技能 6.3.2： 使用 AWS 审计服务来收集和整理证据（例如 AWS Audit Manager、AWS Artifact）。
+ 技能 6.3.3： 使用 AWS 服务，根据 AWS 安全最佳实践评估架构的合规性（例如，AWS Well-Architected Framework 工具）。