コンテンツ分野 4: データセキュリティとガバナンス

スキル 4.1.1: VPC セキュリティグループを更新する。

スキル 4.1.2: AWS Identity and Access Management (IAM) グループ、ロール、エンドポイント、サービスを作成および更新する。

スキル 4.1.3: パスワード管理用の認証情報を作成およびローテーションする (AWS Secrets Manager など)。

スキル 4.1.4: アクセス用の IAM ロールをセットアップする (AWS Lambda、Amazon API Gateway、AWS CLI、AWS CloudFormation など)。

スキル 4.1.5: ロール、エンドポイント、サービスに IAM ポリシーを適用する (S3 Access Points、AWS PrivateLink など)。

スキル 4.1.6: マネージドサービスとアンマネージドサービスの違いを説明する。

スキル 4.1.7: SageMaker Unified Studio のドメイン、ドメインユニット、プロジェクトを使用する。

スキル 4.2.1: マネージドポリシーがニーズを満たさない場合のカスタム IAM ポリシーを作成する。

スキル 4.2.2: アプリケーションとデータベースの認証情報を保管する (Secrets Manager、AWS Systems Manager Parameter Store など)。

スキル 4.2.3: データベースユーザー、グループ、ロールにデータベースへのアクセス権と権限を付与する (Amazon Redshift など)。

スキル 4.2.4: AWS Lake Formation を通じてアクセス許可を管理する (Amazon Redshift、Amazon EMR、Amazon Athena、Amazon S3 用)。

スキル 4.2.5: ビジネスニーズに対応する認可方法 (ロールベース、タグベース、属性ベース) を適用する。

スキル 4.2.6: 最小権限の原則を満たすカスタムポリシーを構成する。

スキル 4.3.1: コンプライアンス法または企業ポリシーに従ってデータマスキングと匿名化を適用する。

スキル 4.3.2: 暗号化キーを使用してデータを暗号化または復号する [AWS Key Management Service (AWS KMS) など]。

スキル 4.3.3: AWS アカウントの境界を越えて暗号化を設定する。

スキル 4.3.4: データの転送中または転送前に暗号化を有効にする。

スキル 4.4.1: AWS CloudTrail を使用して API コールを追跡する。

スキル 4.4.2: Amazon CloudWatch Logs を使用してアプリケーションログを保存する。

スキル 4.4.3: 一元化されたログのクエリに AWS CloudTrail Lake を使用する。

スキル 4.4.4: AWS サービスを使用してログを分析する (Athena、CloudWatch Logs Insights、Amazon OpenSearch Service など)。

スキル 4.4.5: ログの記録のためにさまざまな AWS サービスを統合する (大容量ログデータの場合に Amazon EMR を使用するなど)。

スキル 4.5.1: データ共有のアクセス許可を付与する (Amazon Redshift のデータ共有など)。

スキル 4.5.2: PII 識別を実装する (Amazon Macie と Lake Formation など)。

スキル 4.5.3: 許可されていない AWS リージョンへのデータのバックアップやレプリケーションを防ぐためのデータプライバシー戦略を実装する。

スキル 4.5.4: アカウントで発生した設定変更を表示する (AWS Config など)。

スキル 4.5.5: データ主権を維持する。

スキル 4.5.6: Amazon SageMaker Catalog プロジェクトを通じてデータアクセスを管理する。

スキル 4.5.7: ガバナンスデータフレームワークとデータ共有パターンについて説明する。