要成为一个国际范的甲方安全工程师,熟悉基于AWS云的基础架构绝对是一个必要选择。让我们一步一步学习吧~
SAA:全名叫做 AWS Certified Architect – Associate(AWS认证架构师助理级)。以前考试内容叫做C02,现在叫做C03,具体区别不是太清楚。先关注C03的考试吧~
先来看看AWS的官方要求,备考主要分为四个大块,分别是:
1)Design Secure Architectures – 设计安全的架构 占比30%
2) Design Resilient Architectures – 设计带容灾的架构 占比26%
3) Design High-Performing Architectures – 设计高性能的架构 占比 24%
4)Design Cost-Optimized Architectures – 设计成本优化的架构 占比 20%
设计安全架构
任务1:设置安全访问AWS的基础设施
需要如下知识:
- 跨账号的权限控制
- AWS用作访问控制和身份认证的服务(eg: IAM, AWS SSO)
- AWS全球的基础设施
- AWS的安全最佳实践(eg:最低权限的原理)
- AWS责任共担模型
需要技能:
- AWS安全最佳实践 – IAM User/Root User MFA
- 设计一个灵活的权限控制模型:包括IAM Users,groups,roles,policies
- 设计一个基于权限的访问控制策略。(eg: AWS STS & 跨账号访问)
- 决定为AWS资源设置设计合适的访问policie
- 决定在IAM Role设置时候何时使用 Directory Service(组策略?)
Task2: 设计安全的负载和应用
需要知识:
- 应用配置和证书安全
- AWS 服务的Endpoint
- 控制AWS上的端口、权限、网络流量
- 加固应用访问途径
- 选用合适的安全服务(eg: GuardDuty, Macle)
- AWS 上的攻击向量
技能
- 设计VPC的安全架构(eg: 安全组,路由表等)
- 设计网络,给网络分段
- 使用AWS自带的服务提升安全性(eg: waf, Shield, SSO)
- AWS外部网络的安全(eg: VPN, AWS Direct Connect)
Task3: 数据安全的控制
知识:
- 数据访问和治理
- 数据恢复
- 数据保留和分类
- 加密和密钥管理
技能:
- 使用AWS技术,满足合规需求
- 使用数据加密(自动的),eg: AWS KMS
- 使用数据加密(手动的),eg: ACM
- 实现加密密钥的权限管理
- 实现数据备份和副本
- 实现数据的访问策略,生命周期,和保护
- 实现密钥和证书的Renew
更新:拿到证了

更新:这个考试没有那么严肃。
有题库,刷题就能过。甚至还有高准确度题库,命中比例非常高。所以不用太紧张。
考试选了外国人监考,对方看到语言沟通有问题会把内容打到屏幕上。
整体感受下来,AWS云的易用性比国内的云还有不少差距。