CC
📚 Explorer Plus de MatĂ©riel d'Étude:
📋Aperçu de la Certification📝Aide-MĂ©moire📚RĂ©viseur✅Tests Pratiques

Guide officiel de l'examen SCS-C02

Format de l'examen, domaines et conseils de pr\u00E9paration

Guide d'examen AWS Certified Security - Specialty (SCS-C02)

Version 1.1 SCS-C02

Introduction

L'examen AWS Certified Security - Specialty (SCS-C02) est destiné aux personnes occupant un rÎle de sécurité. L'examen valide la capacité d'un candidat à démontrer efficacement ses connaissances sur la sécurisation des produits et services AWS.

L'examen valide également si un candidat possÚde les éléments suivants :

  • Une comprĂ©hension des classifications de donnĂ©es spĂ©cialisĂ©es et des mĂ©canismes de protection des donnĂ©es AWS
  • Une comprĂ©hension des mĂ©thodes de chiffrement des donnĂ©es et des mĂ©canismes AWS pour les mettre en Ɠuvre
  • Une comprĂ©hension des protocoles Internet sĂ©curisĂ©s et des mĂ©canismes AWS pour les mettre en Ɠuvre
  • Une connaissance pratique des services de sĂ©curitĂ© AWS et des fonctionnalitĂ©s des services pour fournir un environnement de production sĂ©curisĂ©
  • Une compĂ©tence acquise Ă  partir de 2 annĂ©es ou plus d'expĂ©rience de dĂ©ploiement en production dans l'utilisation des services et fonctionnalitĂ©s de sĂ©curitĂ© AWS
  • La capacitĂ© de prendre des dĂ©cisions d'arbitrage concernant les coĂ»ts, la sĂ©curitĂ© et la complexitĂ© de dĂ©ploiement pour rĂ©pondre Ă  un ensemble d'exigences applicatives
  • Une comprĂ©hension des opĂ©rations de sĂ©curitĂ© et des risques

Description du candidat cible

Le candidat cible devrait avoir l'Ă©quivalent de 3 Ă  5 annĂ©es d'expĂ©rience dans la conception et la mise en Ɠuvre de solutions de sĂ©curitĂ©. De plus, le candidat cible devrait avoir un minimum de 2 annĂ©es d'expĂ©rience pratique dans la sĂ©curisation des charges de travail AWS.

Connaissances AWS recommandées

Le candidat cible devrait avoir les connaissances suivantes :

  • Le modĂšle de responsabilitĂ© partagĂ©e AWS et son application
  • Connaissance gĂ©nĂ©rale des services AWS et du dĂ©ploiement de solutions cloud
  • ContrĂŽles de sĂ©curitĂ© pour les environnements et les charges de travail AWS
  • StratĂ©gies de journalisation et de surveillance
  • Gestion des vulnĂ©rabilitĂ©s et automatisation de la sĂ©curitĂ©
  • Moyens d'intĂ©grer les services de sĂ©curitĂ© AWS avec des outils tiers
  • ContrĂŽles de reprise aprĂšs sinistre, y compris les stratĂ©gies de sauvegarde
  • Cryptographie et gestion des clĂ©s
  • Gestion des identitĂ©s et des accĂšs
  • RĂ©tention des donnĂ©es et gestion du cycle de vie
  • Comment rĂ©soudre les problĂšmes de sĂ©curitĂ©
  • Gouvernance multi-comptes et conformitĂ© organisationnelle
  • DĂ©tection des menaces et stratĂ©gies d'intervention en cas d'incident

TĂąches professionnelles hors du champ d'application du candidat cible

La liste suivante contient des tùches professionnelles que le candidat cible n'est pas censé pouvoir effectuer. Cette liste n'est pas exhaustive. Ces tùches sont hors du champ d'application de l'examen :

  • DĂ©velopper des logiciels dans un langage spĂ©cifique (par exemple, Python, Java)
  • Confirmer la conformitĂ© rĂ©glementaire
  • GĂ©rer les cycles de vie du dĂ©veloppement de logiciels
  • Concevoir des topologies de rĂ©seau
  • Architecturer les dĂ©ploiements cloud dans leur ensemble
  • Configurer les services de stockage en fonction des exigences de rĂ©sidence des donnĂ©es (par exemple, RĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es [RGPD])

Reportez-vous à l'annexe pour une liste des technologies et concepts susceptibles d'apparaßtre à l'examen, une liste des services et fonctionnalités AWS dans le champ d'application et une liste des services et fonctionnalités AWS hors du champ d'application.

Contenu de l'examen

Types de réponses

Il y a deux types de questions Ă  l'examen :

  • Choix multiple : Une seule rĂ©ponse correcte et trois rĂ©ponses incorrectes (distracteurs)
  • Choix multiple avec rĂ©ponses multiples : Deux rĂ©ponses correctes ou plus parmi cinq rĂ©ponses ou plus

Sélectionnez une ou plusieurs réponses qui complÚtent le mieux l'énoncé ou répondent à la question. Les distracteurs, ou réponses incorrectes, sont des options de réponse qu'un candidat ayant des connaissances ou des compétences incomplÚtes pourrait choisir. Les distracteurs sont généralement des réponses plausibles qui correspondent au domaine de contenu.

Les questions sans réponse sont considérées comme incorrectes ; il n'y a pas de pénalité pour deviner. L'examen comprend 50 questions qui influencent votre score.

Contenu non noté

L'examen comprend 15 questions non notées qui n'affectent pas votre score. AWS collecte des informations sur les performances de ces questions non notées afin de les évaluer pour une utilisation future en tant que questions notées. Ces questions non notées ne sont pas identifiées dans l'examen.

RĂ©sultats de l'examen

L'examen AWS Certified Security - Specialty (SCS-C02) a une désignation de réussite ou d'échec. L'examen est noté par rapport à une norme minimale établie par les professionnels AWS qui suivent les meilleures pratiques et lignes directrices de l'industrie de la certification.

Vos rĂ©sultats pour l'examen sont rapportĂ©s sous la forme d'un score normalisĂ© de 100 Ă  1 000. Le score minimum de passage est de 750. Votre score indique comment vous vous ĂȘtes comportĂ© dans l'ensemble de l'examen et si vous avez rĂ©ussi. Les modĂšles de notation normalisĂ©s permettent d'Ă©quivalencer les scores entre plusieurs formulaires d'examen qui peuvent avoir des niveaux de difficultĂ© lĂ©gĂšrement diffĂ©rents.

Votre rapport de score pourrait contenir un tableau de classifications de votre performance au niveau de chaque section. L'examen utilise un modÚle de notation compensatoire, ce qui signifie que vous n'avez pas besoin d'obtenir un score de passage dans chaque section. Vous devez réussir uniquement l'examen dans son ensemble.

Chaque section de l'examen a une pondération spécifique, de sorte que certaines sections comportent plus de questions que d'autres. Le tableau des classifications contient des informations générales qui mettent en évidence vos points forts et vos points faibles. Soyez prudent lors de l'interprétation des commentaires au niveau des sections.

Plan de contenu

Ce guide d'examen comprend les pondérations, les domaines de contenu et les énoncés de tùches pour l'examen. Ce guide ne fournit pas une liste exhaustive du contenu de l'examen. Cependant, un contexte supplémentaire pour chaque énoncé de tùche est disponible pour vous aider à vous préparer à l'examen.

L'examen comporte les domaines de contenu et les pondérations suivants :

  • Domaine 1 : DĂ©tection des menaces et intervention en cas d'incident (14 % du contenu notĂ©)
  • Domaine 2 : Journalisation et surveillance de la sĂ©curitĂ© (18 % du contenu notĂ©)
  • Domaine 3 : SĂ©curitĂ© des infrastructures (20 % du contenu notĂ©)
  • Domaine 4 : Gestion des identitĂ©s et des accĂšs (16 % du contenu notĂ©)
  • Domaine 5 : Protection des donnĂ©es (18 % du contenu notĂ©)
  • Domaine 6 : Gestion et gouvernance de la sĂ©curitĂ© (14 % du contenu notĂ©)

Domaine 1 : DĂ©tection des menaces et intervention en cas d'incident

ÉnoncĂ© de tĂąche 1.1 : Concevoir et mettre en Ɠuvre un plan d'intervention en cas d'incident.

Connaissances de :

  • Meilleures pratiques AWS pour l'intervention en cas d'incident
  • Incidents cloud
  • RĂŽles et responsabilitĂ©s dans le plan d'intervention en cas d'incident
  • Format AWS Security Finding (ASFF)

Compétences en :

  • Mise en Ɠuvre de stratĂ©gies d'invalidation et de rotation des informations d'identification en rĂ©ponse Ă  des compromettre (par exemple, en utilisant IAM et AWS Secrets Manager)
  • Isolation des ressources AWS
  • Conception et mise en Ɠuvre de livrets et de cahiers des charges pour les rĂ©ponses aux incidents de sĂ©curitĂ©
  • DĂ©ploiement de services de sĂ©curitĂ© (par exemple, AWS Security Hub, Amazon Macie, Amazon GuardDuty, Amazon Inspector, AWS Config, Amazon Detective, Analyseur d'accĂšs IAM)
  • Configuration des intĂ©grations avec les services AWS natifs et les services tiers (par exemple, en utilisant Amazon EventBridge et l'ASFF)

ÉnoncĂ© de tĂąche 1.2 : DĂ©tecter les menaces et les anomalies de sĂ©curitĂ© Ă  l'aide des services AWS.

Connaissances de :

  • Services de sĂ©curitĂ© gĂ©rĂ©s par AWS qui dĂ©tectent les menaces
  • Techniques d'anomalie et de corrĂ©lation pour joindre les donnĂ©es entre les services
  • Visualisations pour identifier les anomalies
  • StratĂ©gies pour centraliser les conclusions de sĂ©curitĂ©

Compétences en :

  • Évaluation des conclusions des services de sĂ©curitĂ© (par exemple, GuardDuty, Security Hub, Macie, AWS Config, Analyseur d'accĂšs IAM)
  • Recherche et corrĂ©lation des menaces de sĂ©curitĂ© Ă  travers les services AWS (par exemple, en utilisant Detective)
  • Effectuer des requĂȘtes pour valider les Ă©vĂ©nements de sĂ©curitĂ© (par exemple, en utilisant Amazon Athena)
  • CrĂ©ation de filtres de mĂ©triques et de tableaux de bord pour dĂ©tecter les activitĂ©s anormales (par exemple, en utilisant Amazon CloudWatch)

ÉnoncĂ© de tĂąche 1.3 : RĂ©pondre aux ressources et aux charges de travail compromises.

Connaissances de :

  • Guide d'intervention en cas d'incident de sĂ©curitĂ© AWS
  • MĂ©canismes d'isolation des ressources
  • Techniques d'analyse des causes profondes
  • MĂ©canismes de capture de donnĂ©es
  • Analyse des journaux pour la validation des Ă©vĂ©nements

Compétences en :

  • Automatisation des mesures correctives en utilisant des services AWS (par exemple, AWS Lambda, AWS Step Functions, EventBridge, AWS Systems Manager, Security Hub, AWS Config)
  • RĂ©ponse aux ressources compromises (par exemple, en isolant les instances Amazon EC2)
  • EnquĂȘte et analyse pour mener une analyse des causes profondes (par exemple, en utilisant Detective)
  • Capture des donnĂ©es forensiques pertinentes Ă  partir d'une ressource compromise (par exemple, instantanĂ©s du volume Amazon Elastic Block Store [Amazon EBS], vidage de mĂ©moire)
  • Interrogation des journaux dans Amazon S3 pour obtenir des informations contextuelles liĂ©es aux Ă©vĂ©nements de sĂ©curitĂ© (par exemple, en utilisant Athena)
  • Protection et prĂ©servation des artefacts forensiques (par exemple, en utilisant le verrouillage des objets S3, des comptes forensiques isolĂ©s, le cycle de vie S3 et la rĂ©plication S3)
  • PrĂ©paration des services aux incidents et rĂ©cupĂ©ration des services aprĂšs des incidents

Domaine 2 : Journalisation et surveillance de la sécurité

ÉnoncĂ© de tĂąche 2.1 : Concevoir et mettre en Ɠuvre une surveillance et des alertes pour traiter les Ă©vĂ©nements de sĂ©curitĂ©.

Connaissances de :

  • Services AWS qui surveillent les Ă©vĂ©nements et fournissent des alarmes (par exemple, CloudWatch, EventBridge)
  • Services AWS qui automatisent les alertes (par exemple, Lambda, Amazon Simple Notification Service [Amazon SNS], Security Hub)
  • Outils qui surveillent les mĂ©triques et les lignes de base (par exemple, GuardDuty, Systems Manager)

Compétences en :

  • Analyse des architectures pour identifier les exigences de surveillance et les sources de donnĂ©es pour la surveillance de la sĂ©curitĂ©
  • Analyse des environnements et des charges de travail pour dĂ©terminer les exigences de surveillance
  • Conception de la surveillance de l'environnement et de la surveillance des charges de travail en fonction des exigences commerciales et de sĂ©curitĂ©
  • Configuration d'outils et de scripts automatisĂ©s pour effectuer des audits rĂ©guliers (par exemple, en crĂ©ant des analyses personnalisĂ©es dans Security Hub)
  • DĂ©finition des mĂ©triques et des seuils qui gĂ©nĂšrent des alertes

ÉnoncĂ© de tĂąche 2.2 : RĂ©soudre les problĂšmes de surveillance et d'alerte de sĂ©curitĂ©.

Connaissances de :

  • Configuration des services de surveillance (par exemple, Security Hub)
  • DonnĂ©es pertinentes indiquant des Ă©vĂ©nements de sĂ©curitĂ©

Compétences en :

  • Analyse du fonctionnement du service, des autorisations et de la configuration des ressources aprĂšs un Ă©vĂ©nement qui n'a pas fourni de visibilitĂ© ou d'alerte
  • Analyse et remĂ©diation de la configuration d'une application personnalisĂ©e qui ne signale pas ses statistiques
  • Évaluation des services de journalisation et de surveillance pour l'alignement avec les exigences de sĂ©curitĂ©

ÉnoncĂ© de tĂąche 2.3 : Concevoir et mettre en Ɠuvre une solution de journalisation.

Connaissances de :

  • Services et fonctionnalitĂ©s AWS qui offrent des capacitĂ©s de journalisation (par exemple, VPC Flow Logs, journaux DNS, AWS CloudTrail, journaux Amazon CloudWatch)
  • Attributs des capacitĂ©s de journalisation (par exemple, niveaux de journalisation, type, verbositĂ©)
  • Destinations des journaux et gestion du cycle de vie (par exemple, pĂ©riode de rĂ©tention)

Compétences en :

  • Configuration de la journalisation pour les services et les applications
  • Identification des exigences de journalisation et des sources pour l'ingestion des journaux
  • Mise en Ɠuvre du stockage des journaux et de la gestion du cycle de vie conformĂ©ment aux meilleures pratiques AWS et aux exigences organisationnelles

ÉnoncĂ© de tĂąche 2.4 : RĂ©soudre les problĂšmes des solutions de journalisation.

Connaissances de :

  • CapacitĂ©s et cas d'utilisation des services AWS qui fournissent des sources de donnĂ©es (par exemple, niveau de journalisation, type, verbositĂ©, cadence, rapiditĂ©, immuabilitĂ©)
  • Services et fonctionnalitĂ©s AWS qui offrent des capacitĂ©s de journalisation (par exemple, VPC Flow Logs, journaux DNS, CloudTrail, journaux CloudWatch)
  • Autorisations d'accĂšs nĂ©cessaires Ă  la journalisation

Compétences en :

  • Identification de la mauvaise configuration et dĂ©termination des Ă©tapes de remĂ©diation pour les autorisations d'accĂšs manquantes nĂ©cessaires Ă  la journalisation (par exemple, en gĂ©rant les autorisations de lecture/Ă©criture, les autorisations de seau S3, l'accĂšs public et l'intĂ©gritĂ©)
  • DĂ©termination de la cause de l'absence de journaux et mise en Ɠuvre des Ă©tapes de remĂ©diation

ÉnoncĂ© de tĂąche 2.5 : Concevoir une solution d'analyse des journaux.

Connaissances de :

  • Services et outils pour analyser les journaux capturĂ©s (par exemple, Athena, filtres des journaux CloudWatch)
  • FonctionnalitĂ©s d'analyse des journaux des services AWS (par exemple, CloudWatch Logs Insights, CloudTrail Insights, insights Security Hub)
  • Format et composants des journaux (par exemple, journaux CloudTrail)

Compétences en :

  • Identification des modĂšles dans les journaux pour indiquer les anomalies et les menaces connues
  • Normalisation, analyse et corrĂ©lation des journaux

Domaine 3 : Sécurité des infrastructures

ÉnoncĂ© de tĂąche 3.1 : Concevoir et mettre en Ɠuvre des contrĂŽles de sĂ©curitĂ© pour les services Edge.

Connaissances de :

  • FonctionnalitĂ©s de sĂ©curitĂ© des services Edge (par exemple, AWS WAF, Ă©quilibreurs de charge, Amazon Route 53, Amazon CloudFront, AWS Shield)
  • Attaques, menaces et exploits courants (par exemple, OWASP Top 10, DDoS)
  • Architecture en couches des applications web

Compétences en :

  • DĂ©finition de stratĂ©gies de sĂ©curitĂ© Edge pour des cas d'utilisation courants (par exemple, site web public, application serverless, backend d'application mobile)
  • SĂ©lection des services Edge appropriĂ©s en fonction des menaces et des attaques anticipĂ©es (par exemple, OWASP Top 10, DDoS)
  • SĂ©lection des protections appropriĂ©es en fonction des vulnĂ©rabilitĂ©s et des risques anticipĂ©s (par exemple, logiciels, applications et bibliothĂšques vulnĂ©rables)
  • DĂ©finition des couches de dĂ©fense en combinant les services de sĂ©curitĂ© Edge (par exemple, CloudFront avec AWS WAF et les Ă©quilibreurs de charge)
  • Application de restrictions au niveau Edge en fonction de divers critĂšres (par exemple, gĂ©ographie, gĂ©olocalisation, limitation du taux)
  • Activation des journaux, des mĂ©triques et de la surveillance autour des services Edge pour indiquer les attaques

ÉnoncĂ© de tĂąche 3.2 : Concevoir et mettre en Ɠuvre des contrĂŽles de sĂ©curitĂ© rĂ©seau.

Connaissances de :

  • MĂ©canismes de sĂ©curitĂ© VPC (par exemple, groupes de sĂ©curitĂ©, listes de contrĂŽle d'accĂšs rĂ©seau, AWS Network Firewall)
  • ConnectivitĂ© inter-VPC (par exemple, AWS Transit Gateway, points de terminaison VPC)
  • Sources de tĂ©lĂ©mĂ©trie de sĂ©curitĂ© (par exemple, Traffic Mirroring, VPC Flow Logs)
  • Technologie, terminologie et utilisation des VPN
  • Options de connectivitĂ© locale (par exemple, AWS VPN, AWS Direct Connect)

Compétences en :

  • Mise en Ɠuvre de la segmentation rĂ©seau en fonction des exigences de sĂ©curitĂ© (par exemple, sous-rĂ©seaux publics, sous-rĂ©seaux privĂ©s, VPC sensibles, connectivitĂ© locale)
  • Conception des contrĂŽles rĂ©seau pour autoriser ou empĂȘcher le trafic rĂ©seau selon les besoins (par exemple, en utilisant des groupes de sĂ©curitĂ©, des listes de contrĂŽle d'accĂšs rĂ©seau et le pare-feu rĂ©seau)
  • Conception des flux rĂ©seau pour garder les donnĂ©es hors d'Internet public (par exemple, en utilisant Transit Gateway, des points de terminaison VPC et Lambda dans les VPC)
  • DĂ©termination des sources de tĂ©lĂ©mĂ©trie Ă  surveiller en fonction de la conception du rĂ©seau, des menaces et des attaques (par exemple, journaux des Ă©quilibreurs de charge, VPC Flow Logs, Traffic Mirroring)
  • DĂ©termination des exigences de redondance et de charge de travail de sĂ©curitĂ© pour la communication entre les environnements locaux et le cloud AWS (par exemple, en utilisant AWS VPN, AWS VPN sur Direct Connect et MACsec)
  • Identification et suppression des accĂšs rĂ©seau inutiles
  • Gestion des configurations rĂ©seau Ă  mesure que les exigences changent (par exemple, en utilisant AWS Firewall Manager)

ÉnoncĂ© de tĂąche 3.3 : Concevoir et mettre en Ɠuvre des contrĂŽles de sĂ©curitĂ© pour les charges de travail de calcul.

Connaissances de :

  • Approvisionnement et maintenance des instances EC2 (par exemple, correction des failles, inspection, crĂ©ation d'instantanĂ©s et d'AMI, utilisation d'EC2 Image Builder)
  • RĂŽles d'instance IAM et rĂŽles de service IAM
  • Services qui analysent les vulnĂ©rabilitĂ©s des charges de travail de calcul (par exemple, Amazon Inspector, Amazon Elastic Container Registry [Amazon ECR])
  • SĂ©curitĂ© hĂŽte (par exemple, pare-feux, durcissement)

Compétences en :

  • CrĂ©ation d'AMI EC2 renforcĂ©es
  • Application des rĂŽles d'instance et des rĂŽles de service selon les besoins pour autoriser les charges de travail de calcul
  • Analyse des instances EC2 et des images de conteneurs pour dĂ©tecter les vulnĂ©rabilitĂ©s connues
  • Application des correctifs sur une flotte d'instances EC2 ou d'images de conteneurs
  • Activation des mĂ©canismes de sĂ©curitĂ© hĂŽte (par exemple, pare-feux hĂŽtes)
  • Analyse des conclusions d'Amazon Inspector et dĂ©termination des techniques d'attĂ©nuation appropriĂ©es
  • Transmission sĂ©curisĂ©e des secrets et des informations d'identification aux charges de travail de calcul

ÉnoncĂ© de tĂąche 3.4 : RĂ©soudre les problĂšmes de sĂ©curitĂ© rĂ©seau.

Connaissances de :

  • Comment analyser l'accessibilitĂ© (par exemple, en utilisant VPC Reachability Analyzer et Amazon Inspector)
  • Concepts fondamentaux de rĂ©seau TCP/IP (par exemple, UDP par rapport Ă  TCP, ports, modĂšle OSI, utilitaires du systĂšme d'exploitation rĂ©seau)
  • Comment lire les sources de journaux pertinentes (par exemple, journaux Route 53, journaux AWS WAF, VPC Flow Logs)

Compétences en :

  • Identification, interprĂ©tation et priorisation des problĂšmes de connectivitĂ© rĂ©seau (par exemple, en utilisant Amazon Inspector Network Reachability)
  • DĂ©termination de solutions pour produire le comportement rĂ©seau souhaitĂ©
  • Analyse des sources de journaux pour identifier les problĂšmes
  • Capture d'Ă©chantillons de trafic pour l'analyse des problĂšmes (par exemple, en utilisant Traffic Mirroring)

Domaine 4 : Gestion des identités et des accÚs

ÉnoncĂ© de tĂąche 4.1 : Concevoir, mettre en Ɠuvre et rĂ©soudre les problĂšmes d'authentification pour les ressources AWS.

Connaissances de :

  • MĂ©thodes et services pour crĂ©er et gĂ©rer des identitĂ©s (par exemple, fĂ©dĂ©ration, fournisseurs d'identitĂ©, AWS IAM Identity Center [AWS Single Sign-On], Amazon Cognito)
  • MĂ©canismes d'accrĂ©ditation Ă  long terme et temporaire
  • Comment rĂ©soudre les problĂšmes d'authentification (par exemple, en utilisant CloudTrail, IAM Access Advisor et IAM Policy Simulator)

Compétences en :

  • Établissement de l'identitĂ© par le biais d'un systĂšme d'authentification, en fonction des exigences
  • Configuration de l'authentification multifacteur (MFA)
  • DĂ©termination du moment oĂč il faut utiliser AWS Security Token Service (AWS STS) pour dĂ©livrer des informations d'identification temporaires

ÉnoncĂ© de tĂąche 4.2 : Concevoir, mettre en Ɠuvre et rĂ©soudre les problĂšmes d'autorisation pour les ressources AWS.

Connaissances de :

  • DiffĂ©rentes politiques IAM (par exemple, politiques gĂ©rĂ©es, politiques intĂ©grĂ©es, politiques basĂ©es sur l'identitĂ©, politiques basĂ©es sur les ressources, politiques de contrĂŽle de session)
  • Composants et impact d'une politique (par exemple, Principal, Action, Ressource, Condition)
  • Comment rĂ©soudre les problĂšmes d'autorisation (par exemple, en utilisant CloudTrail, IAM Access Advisor et IAM Policy Simulator)

Compétences en :

  • Élaboration de stratĂ©gies de contrĂŽle d'accĂšs en fonction des attributs (ABAC) et de contrĂŽle d'accĂšs en fonction du rĂŽle (RBAC)
  • Évaluation des types de politiques IAM pour des exigences et des charges de travail donnĂ©es
  • InterprĂ©tation de l'effet d'une politique IAM sur les environnements et les charges de travail
  • Application du principe du moindre privilĂšge dans l'ensemble d'un environnement
  • Application d'une sĂ©paration appropriĂ©e des fonctions
  • Analyse des erreurs d'accĂšs ou d'autorisation pour dĂ©terminer la cause ou l'effet
  • EnquĂȘte sur les autorisations, les autorisations ou les privilĂšges non intentionnels accordĂ©s Ă  une ressource, un service ou une entitĂ©

Domaine 5 : Protection des données

ÉnoncĂ© de tĂąche 5.1 : Concevoir et mettre en Ɠuvre des contrĂŽles qui assurent la confidentialitĂ© et l'intĂ©gritĂ© des donnĂ©es en transit.

Connaissances de :

  • Concepts TLS
  • Concepts VPN (par exemple, IPsec)
  • MĂ©thodes d'accĂšs Ă  distance sĂ©curisĂ©es (par exemple, SSH, RDP via Systems Manager Session Manager)
  • Concepts de Systems Manager Session Manager
  • Fonctionnement des certificats TLS avec divers services et ressources rĂ©seau (par exemple, CloudFront, Ă©quilibreurs de charge)

Compétences en :

  • Conception d'une connectivitĂ© sĂ©curisĂ©e entre AWS et les rĂ©seaux locaux (par exemple, en utilisant Direct Connect et des passerelles VPN)
  • Conception de mĂ©canismes pour exiger le chiffrement lors de la connexion aux ressources (par exemple, Amazon RDS, Amazon Redshift, CloudFront, Amazon S3, Amazon DynamoDB, Ă©quilibreurs de charge, Amazon Elastic File System [Amazon EFS], Amazon API Gateway)
  • Exigence de TLS pour les appels d'API AWS (par exemple, avec Amazon S3)
  • Conception de mĂ©canismes pour transfĂ©rer le trafic sur des connexions sĂ©curisĂ©es (par exemple, en utilisant Systems Manager et EC2 Instance Connect)
  • Conception de la connectivitĂ© inter-RĂ©gion en utilisant des VIF privĂ©es et publiques

ÉnoncĂ© de tĂąche 5.2 : Concevoir et mettre en Ɠuvre des contrĂŽles qui assurent la confidentialitĂ© et l'intĂ©gritĂ© des donnĂ©es au repos.

Connaissances de :

  • SĂ©lection des techniques de chiffrement (par exemple, cĂŽtĂ© client, cĂŽtĂ© serveur, symĂ©trique, asymĂ©trique)
  • Techniques de vĂ©rification de l'intĂ©gritĂ© (par exemple, algorithmes de hachage, signatures numĂ©riques)
  • Politiques de ressources (par exemple, pour DynamoDB, Amazon S3 et AWS Key Management Service [AWS KMS])
  • RĂŽles et politiques IAM

Compétences en :

  • Conception de politiques de ressources pour restreindre l'accĂšs aux utilisateurs autorisĂ©s (par exemple, politiques de seau S3, politiques DynamoDB)
  • Conception de mĂ©canismes pour empĂȘcher l'accĂšs public non autorisĂ© (par exemple, blocage de l'accĂšs public S3, prĂ©vention des instantanĂ©s et AMI publics)
  • Configuration des services pour activer le chiffrement des donnĂ©es au repos (par exemple, Amazon S3, Amazon RDS, DynamoDB, Amazon Simple Queue Service [Amazon SQS], Amazon EBS, Amazon EFS)
  • Conception de mĂ©canismes pour protĂ©ger l'intĂ©gritĂ© des donnĂ©es en empĂȘchant les modifications (par exemple, en utilisant le verrouillage des objets S3, les politiques de clĂ© KMS, le verrouillage du coffre-fort Glacier S3 et le verrouillage du coffre-fort de sauvegarde AWS)
  • Conception du chiffrement au repos Ă  l'aide d'AWS CloudHSM pour les bases de donnĂ©es relationnelles (par exemple, Amazon RDS, RDS Custom, bases de donnĂ©es sur des instances EC2)
  • Choix des techniques de chiffrement en fonction des exigences commerciales

ÉnoncĂ© de tĂąche 5.3 : Concevoir et mettre en Ɠuvre des contrĂŽles pour gĂ©rer le cycle de vie des donnĂ©es au repos.

Connaissances de :

  • Politiques de cycle de vie
  • Normes de rĂ©tention des donnĂ©es

Compétences en :

  • Conception de mĂ©canismes de cycle de vie S3 pour conserver les donnĂ©es pendant les pĂ©riodes de rĂ©tention requises (par exemple, verrouillage des objets S3, verrouillage du coffre-fort Glacier S3, politique de cycle de vie S3)
  • Conception de la gestion automatique du cycle de vie pour les services et ressources AWS (par exemple, Amazon S3, instantanĂ©s de volume EBS, instantanĂ©s de volume RDS, AMI, images de conteneurs, groupes de journaux CloudWatch, Amazon Data Lifecycle Manager)
  • Établissement de calendriers et de rĂ©tention pour AWS Backup dans l'ensemble des services AWS

ÉnoncĂ© de tĂąche 5.4 : Concevoir et mettre en Ɠuvre des contrĂŽles pour protĂ©ger les informations d'identification, les secrets et les matĂ©riels cryptographiques.

Connaissances de :

  • Secrets Manager
  • AWS Systems Manager Parameter Store
  • Utilisation et gestion des clĂ©s symĂ©triques et asymĂ©triques (par exemple, AWS KMS)

Compétences en :

  • Conception de la gestion et de la rotation des secrets pour les charges de travail (par exemple, informations d'identification d'accĂšs Ă  la base de donnĂ©es, clĂ©s d'API, clĂ©s d'accĂšs IAM, clĂ©s gĂ©rĂ©es par le client AWS KMS)
  • Conception de politiques de clĂ© KMS pour limiter l'utilisation des clĂ©s aux utilisateurs autorisĂ©s
  • Mise en place de mĂ©canismes pour importer et supprimer le matĂ©riel de clĂ© fourni par le client

Domaine 6 : Gestion et gouvernance de la sécurité

ÉnoncĂ© de tĂąche 6.1 : DĂ©velopper une stratĂ©gie pour dĂ©ployer et gĂ©rer de maniĂšre centralisĂ©e les comptes AWS.

Connaissances de :

  • StratĂ©gies multi-comptes
  • Services gĂ©rĂ©s permettant une administration dĂ©lĂ©guĂ©e
  • Garde-fous dĂ©finis par la politique
  • Meilleures pratiques pour le compte racine
  • RĂŽles inter-comptes

Compétences en :

  • DĂ©ploiement et configuration d'AWS Organizations
  • DĂ©termination du moment et de la maniĂšre de dĂ©ployer AWS Control Tower (par exemple, quels services doivent ĂȘtre dĂ©sactivĂ©s pour un dĂ©ploiement rĂ©ussi)
  • Mise en Ɠuvre de SCPs en tant que solution technique pour faire appliquer une politique (par exemple, limitations sur l'utilisation d'un compte racine, mise en Ɠuvre de contrĂŽles dans AWS Control Tower)
  • Gestion centralisĂ©e des services de sĂ©curitĂ© et agrĂ©gation des conclusions (par exemple, en utilisant l'administration dĂ©lĂ©guĂ©e et les agrĂ©gateurs AWS Config)
  • SĂ©curisation des informations d'identification du compte racine AWS

ÉnoncĂ© de tĂąche 6.2 : Mettre en Ɠuvre une stratĂ©gie de dĂ©ploiement sĂ©curisĂ©e et cohĂ©rente pour les ressources cloud.

Connaissances de :

  • Meilleures pratiques de dĂ©ploiement avec l'infrastructure en tant que code (IaC) (par exemple, durcissement des modĂšles CloudFormation et dĂ©tection des dĂ©rives)
  • Meilleures pratiques pour le balisage
  • Gestion, dĂ©ploiement et versionnage centralisĂ©s des services AWS
  • VisibilitĂ© et contrĂŽle sur l'infrastructure AWS

Compétences en :

  • Utilisation de CloudFormation pour dĂ©ployer de maniĂšre cohĂ©rente et sĂ©curisĂ©e les ressources cloud
  • Mise en Ɠuvre et application de stratĂ©gies de balisage multi-comptes