考证- AWS SAA-C03 学习笔记

要成为一个国际范的甲方安全工程师，熟悉基于AWS云的基础架构绝对是一个必要选择。让我们一步一步学习吧～

SAA：全名叫做 AWS Certified Architect – Associate（AWS认证架构师助理级）。以前考试内容叫做C02，现在叫做C03，具体区别不是太清楚。先关注C03的考试吧～

先来看看AWS的官方要求，备考主要分为四个大块，分别是：

1）Design Secure Architectures – 设计安全的架构 占比30%

2） Design Resilient Architectures – 设计带容灾的架构 占比26%

3） Design High-Performing Architectures – 设计高性能的架构 占比 24%

4）Design Cost-Optimized Architectures – 设计成本优化的架构 占比 20%

设计安全架构

任务1：设置安全访问AWS的基础设施

需要如下知识：

• 跨账号的权限控制
• AWS用作访问控制和身份认证的服务（eg: IAM, AWS SSO）
• AWS全球的基础设施
• AWS的安全最佳实践（eg：最低权限的原理）
• AWS责任共担模型

需要技能：

• AWS安全最佳实践 – IAM User/Root User MFA
• 设计一个灵活的权限控制模型：包括IAM Users，groups，roles，policies
• 设计一个基于权限的访问控制策略。（eg: AWS STS & 跨账号访问）
• 决定为AWS资源设置设计合适的访问policie
• 决定在IAM Role设置时候何时使用 Directory Service（组策略？）

Task2: 设计安全的负载和应用

需要知识：

• 应用配置和证书安全
• AWS 服务的Endpoint
• 控制AWS上的端口、权限、网络流量
• 加固应用访问途径
• 选用合适的安全服务（eg: GuardDuty, Macle）
• AWS 上的攻击向量

技能

• 设计VPC的安全架构（eg: 安全组，路由表等）
• 设计网络，给网络分段
• 使用AWS自带的服务提升安全性（eg: waf, Shield, SSO）
• AWS外部网络的安全（eg: VPN, AWS Direct Connect）

Task3: 数据安全的控制

知识：

• 数据访问和治理
• 数据恢复
• 数据保留和分类
• 加密和密钥管理

技能：

• 使用AWS技术，满足合规需求
• 使用数据加密（自动的），eg: AWS KMS
• 使用数据加密（手动的），eg: ACM
• 实现加密密钥的权限管理
• 实现数据备份和副本
• 实现数据的访问策略，生命周期，和保护
• 实现密钥和证书的Renew

更新：拿到证了