考证- AWS SAA-C03 学习笔记

要成为一个国际范的甲方安全工程师,熟悉基于AWS云的基础架构绝对是一个必要选择。让我们一步一步学习吧~

SAA:全名叫做 AWS Certified Architect – Associate(AWS认证架构师助理级)。以前考试内容叫做C02,现在叫做C03,具体区别不是太清楚。先关注C03的考试吧~

先来看看AWS的官方要求,备考主要分为四个大块,分别是:

1)Design Secure Architectures – 设计安全的架构 占比30%

2) Design Resilient Architectures – 设计带容灾的架构 占比26%

3) Design High-Performing Architectures – 设计高性能的架构 占比 24%

4)Design Cost-Optimized Architectures – 设计成本优化的架构 占比 20%

设计安全架构

任务1:设置安全访问AWS的基础设施

需要如下知识:

  • 跨账号的权限控制
  • AWS用作访问控制和身份认证的服务(eg: IAM, AWS SSO)
  • AWS全球的基础设施
  • AWS的安全最佳实践(eg:最低权限的原理)
  • AWS责任共担模型

需要技能:

  • AWS安全最佳实践 – IAM User/Root User MFA
  • 设计一个灵活的权限控制模型:包括IAM Users,groups,roles,policies
  • 设计一个基于权限的访问控制策略。(eg: AWS STS & 跨账号访问)
  • 决定为AWS资源设置设计合适的访问policie
  • 决定在IAM Role设置时候何时使用 Directory Service(组策略?)

Task2: 设计安全的负载和应用

需要知识:

  • 应用配置和证书安全
  • AWS 服务的Endpoint
  • 控制AWS上的端口、权限、网络流量
  • 加固应用访问途径
  • 选用合适的安全服务(eg: GuardDuty, Macle)
  • AWS 上的攻击向量

技能

  • 设计VPC的安全架构(eg: 安全组,路由表等)
  • 设计网络,给网络分段
  • 使用AWS自带的服务提升安全性(eg: waf, Shield, SSO)
  • AWS外部网络的安全(eg: VPN, AWS Direct Connect)

Task3: 数据安全的控制

知识:

  • 数据访问和治理
  • 数据恢复
  • 数据保留和分类
  • 加密和密钥管理

技能:

  • 使用AWS技术,满足合规需求
  • 使用数据加密(自动的),eg: AWS KMS
  • 使用数据加密(手动的),eg: ACM
  • 实现加密密钥的权限管理
  • 实现数据备份和副本
  • 实现数据的访问策略,生命周期,和保护
  • 实现密钥和证书的Renew

发表回复

您的电子邮箱地址不会被公开。