内容领域 1： 设计安全的架构

跨多个账户的访问控制和管理

AWS 联合访问和身份联合验证服务（例如 IAM、AWS IAM Identity Center）

AWS 全球基础设施（例如，可用区、AWS 区域）

AWS 安全最佳实践（例如，最低权限原则）

AWS 责任共担模式

将 AWS 安全最佳实践应用于 IAM 用户和根用户（例如，多重身份验证 [MFA]）

设计一个包含 IAM 用户、组、角色和策略的灵活授权模型

设计基于角色的访问控制策略（例如，AWS STS、角色切换、跨账户访问）

为多个 AWS 账户设计安全策略（例如，AWS Control Tower、服务控制策略 [SCP]）

确定 AWS 服务的资源策略的正确用法

确定何时将目录服务与 IAM 角色联合

应用程序配置和凭证安全

AWS 服务终端节点

控制 AWS 上的端口、协议和网络流量

安全应用程序访问

具有合适使用案例的安全服务（例如，AWS Cognito、AWS GuardDuty、AWS Macie）

AWS 外部的威胁向量（例如，DDoS、SQL 注入）

设计带安全组件（例如，安全组、路由表、网络 ACL、NAT 网关）的 VPC 架构

确定网络分段策略（例如，使用公有子网和私有子网）

将 AWS 服务集成到安全应用程序（例如 AWS Shield、AWS WAF、IAM Identity Center、AWS Secrets Manager）

保护与 AWS 云的外部网络连接（例如 VPN、AWS Direct Connect）

数据访问和监管

数据恢复

数据留存和分类

加密和合适的密钥管理

调整 AWS 技术以满足合规性要求

对静态数据进行加密（例如 AWS KMS）

对数据进行传输中加密（例如，使用 TLS 的 AWS Certificate Manager [ACM]）

对加密密钥实施访问策略

实施数据备份和复制

实施数据访问、生命周期和保护策略

轮换加密密钥和续订证书