內容領域 1： 設計安全架構

跨多個帳戶的存取控制和管理

AWS 聯合存取和身分服務 (例如：IAM、AWS IAM Identity Center)

AWS 全球基礎設施 (例如：可用區域、AWS 區域)

AWS 安全最佳實務 (例如：最低權限原則)

AWS 共同責任模式

將 AWS 安全最佳實務應用於 IAM 使用者和根使用者 (例如：多重要素驗證 [MFA])

設計一項靈活的授權模式，其中須包括 IAM 使用者、群組、角色和政策

設計一項以角色為基礎的存取控制策略 (例如：AWS STS、角色切換、跨帳戶存取權)

針對多個 AWS 帳戶設計一項安全策略 (例如：AWS Control Tower、服務控制政策 [SCP])

確定適用於 AWS 服務的資源政策

確定何時將目錄服務與 IAM 角色結合

應用程式配置和憑證安全

AWS 服務端點

控制 AWS 上的連接埠、通訊協定和網路流量

安全應用程式存取

具有適當使用案例的安全服務 (例如：AWS Cognito、AWS GuardDuty、AWS Macie)

AWS 外部的威脅媒介 (例如：DDoS、SQL injection 隱碼攻擊)

設計具有安全元件的 VPC 架構 (例如：安全群組、路由表、network ACL、NAT 閘道)

確定網路分段策略 (例如：使用公有子網路和私有子網路)

將 AWS 服務整合到安全應用程式中 (例如：AWS Shield、AWS WAF、IAM Identity Center、AWS Secrets Manager)

保護來往 AWS 雲端的外部網路連線 (例如：VPN、AWS Direct Connect)

資料存取和管控

資料復原

資料保留和分類

加密和適當的金鑰管理

調整 AWS 技術以滿足合規要求

將靜態資料加密 (例如：AWS KMS)

加密傳輸中的資料 (例如：使用 TLS 的 AWS Certificate Manager [ACM])

實施加密金鑰的存取政策

執行資料備份和複寫

實施針對資料存取、生命週期和保護的政策

輪換加密金鑰及更新憑證