# 內容領域 1： 設計安全架構
<a name="solutions-architect-associate-03-domain1"></a>

**Topics**
+ [任務 1.1： 設計 AWS 資源的安全存取權](#solutions-architect-associate-03-domain1-task1)
+ [任務 1.2： 設計安全的工作負載和應用程式](#solutions-architect-associate-03-domain1-task2)
+ [任務 1.3： 確定適當的資料安全控制措施](#solutions-architect-associate-03-domain1-task3)

## 任務 1.1： 設計 AWS 資源的安全存取權
<a name="solutions-architect-associate-03-domain1-task1"></a>

知識：
+ 跨多個帳戶的存取控制和管理
+ AWS 聯合存取和身分服務 (例如：IAM、AWS IAM Identity Center)
+ AWS 全球基礎設施 (例如：可用區域、AWS 區域)
+ AWS 安全最佳實務 (例如：最低權限原則)
+ AWS 共同責任模式

技能：
+ 將 AWS 安全最佳實務應用於 IAM 使用者和根使用者 (例如：多重要素驗證 [MFA])
+ 設計一項靈活的授權模式，其中須包括 IAM 使用者、群組、角色和政策
+ 設計一項以角色為基礎的存取控制策略 (例如：AWS STS、角色切換、跨帳戶存取權)
+ 針對多個 AWS 帳戶設計一項安全策略 (例如：AWS Control Tower、服務控制政策 [SCP])
+ 確定適用於 AWS 服務的資源政策
+ 確定何時將目錄服務與 IAM 角色結合

## 任務 1.2： 設計安全的工作負載和應用程式
<a name="solutions-architect-associate-03-domain1-task2"></a>

知識：
+ 應用程式配置和憑證安全
+ AWS 服務端點
+ 控制 AWS 上的連接埠、通訊協定和網路流量
+ 安全應用程式存取
+ 具有適當使用案例的安全服務 (例如：AWS Cognito、AWS GuardDuty、AWS Macie)
+ AWS 外部的威脅媒介 (例如：DDoS、SQL injection 隱碼攻擊)

技能：
+ 設計具有安全元件的 VPC 架構 (例如：安全群組、路由表、network ACL、NAT 閘道)
+ 確定網路分段策略 (例如：使用公有子網路和私有子網路)
+ 將 AWS 服務整合到安全應用程式中 (例如：AWS Shield、AWS WAF、IAM Identity Center、AWS Secrets Manager)
+ 保護來往 AWS 雲端的外部網路連線 (例如：VPN、AWS Direct Connect)

## 任務 1.3： 確定適當的資料安全控制措施
<a name="solutions-architect-associate-03-domain1-task3"></a>

知識：
+ 資料存取和管控
+ 資料復原
+ 資料保留和分類
+ 加密和適當的金鑰管理

技能：
+ 調整 AWS 技術以滿足合規要求
+ 將靜態資料加密 (例如：AWS KMS)
+ 加密傳輸中的資料 (例如：使用 TLS 的 AWS Certificate Manager [ACM])
+ 實施加密金鑰的存取政策
+ 執行資料備份和複寫
+ 實施針對資料存取、生命週期和保護的政策
+ 輪換加密金鑰及更新憑證