# 内容领域 1： 设计安全的架构
<a name="solutions-architect-associate-03-domain1"></a>

**Topics**
+ [任务 1.1： 设计对 AWS 资源的安全访问](#solutions-architect-associate-03-domain1-task1)
+ [任务 1.2： 设计安全的工作负载和应用程序](#solutions-architect-associate-03-domain1-task2)
+ [任务 1.3： 确定合适的数据安全控制措施](#solutions-architect-associate-03-domain1-task3)

## 任务 1.1： 设计对 AWS 资源的安全访问
<a name="solutions-architect-associate-03-domain1-task1"></a>

掌握以下知识：
+ 跨多个账户的访问控制和管理
+ AWS 联合访问和身份联合验证服务（例如：IAM、AWS IAM Identity Center）
+ AWS 全球基础设施（例如：可用区、AWS 区域）
+ AWS 安全最佳实践（例如：最低权限原则）
+ AWS 责任共担模式

具备以下技能：
+ 将 AWS 安全最佳实践应用于 IAM 用户和根用户（例如：多重身份验证 [MFA]）
+ 设计一个包含 IAM 用户、组、角色和策略的灵活授权模型
+ 设计基于角色的访问控制策略（例如：AWS STS、角色切换、跨账户访问）
+ 为多个 AWS 账户设计安全策略（例如：AWS Control Tower、服务控制策略 [SCP]）
+ 确定 AWS 服务的资源策略的正确用法
+ 确定何时将目录服务与 IAM 角色联合

## 任务 1.2： 设计安全的工作负载和应用程序
<a name="solutions-architect-associate-03-domain1-task2"></a>

掌握以下知识：
+ 应用程序配置和凭证安全
+ AWS 服务终端节点
+ 控制 AWS 上的端口、协议和网络流量
+ 安全应用程序访问
+ 具有合适使用案例的安全服务（例如：AWS Cognito、AWS GuardDuty、AWS Macie）
+ AWS 外部的威胁向量（例如：DDoS、SQL 注入）

具备以下技能：
+ 设计带安全组件（例如：安全组、路由表、网络 ACL、NAT 网关）的 VPC 架构
+ 确定网络分段策略（例如：使用公有子网和私有子网）
+ 将 AWS 服务集成到安全应用程序（例如：AWS Shield、AWS WAF、IAM Identity Center、AWS Secrets Manager）
+ 保护与 AWS 云的外部网络连接（例如：VPN、AWS Direct Connect）

## 任务 1.3： 确定合适的数据安全控制措施
<a name="solutions-architect-associate-03-domain1-task3"></a>

掌握以下知识：
+ 数据访问和监管
+ 数据恢复
+ 数据留存和分类
+ 加密和合适的密钥管理

具备以下技能：
+ 调整 AWS 技术以满足合规性要求
+ 对静态数据进行加密（例如：AWS KMS）
+ 对数据进行传输中加密（例如：使用 TLS 的 AWS Certificate Manager [ACM]）
+ 对加密密钥实施访问策略
+ 实施数据备份和复制
+ 实施数据访问、生命周期和保护策略
+ 轮换加密密钥和续订证书