# 内容领域 4: 数据安全性和监管
**Topics**
+ [任务 4.1: 应用身份验证机制](#data-engineer-associate-01-domain4-task1)
+ [任务 4.2: 应用授权机制](#data-engineer-associate-01-domain4-task2)
+ [任务 4.3: 确保对数据进行加密和掩蔽](#data-engineer-associate-01-domain4-task3)
+ [任务 4.4: 准备日志用于审计](#data-engineer-associate-01-domain4-task4)
+ [任务 4.5: 了解数据隐私和监管](#data-engineer-associate-01-domain4-task5)
## 任务 4.1: 应用身份验证机制
+ 技能 4.1.1: 更新 VPC 安全组。
+ 技能 4.1.2: 创建和更新 AWS Identity and Access Management (IAM) 组、角色、终端节点和服务。
+ 技能 4.1.3: 创建和轮换凭证来管理密码(例如,AWS Secrets Manager)。
+ 技能 4.1.4: 设置 IAM 角色来进行访问(例如,AWS Lambda、Amazon API Gateway、AWS CLI、AWS CloudFormation)。
+ 技能 4.1.5: 将 IAM 策略应用于角色、终端节点和服务(例如,S3 接入点、AWS PrivateLink)。
+ 技能 4.1.6: 描述托管服务和非托管服务之间的差异。
+ 技能 4.1.7: 为 SageMaker 融通式合作开发工作室使用域、域单位和项目。
## 任务 4.2: 应用授权机制
+ 技能 4.2.1: 在托管策略不满足需求时创建自定义 IAM 策略。
+ 技能 4.2.2: 存储应用程序和数据库凭证(例如,Secrets Manager、AWS Systems Manager Parameter Store)。
+ 技能 4.2.3: 在数据库中为数据库用户、组和角色提供访问权限和授权(例如,对于 Amazon Redshift)。
+ 技能 4.2.4: 通过 AWS Lake Formation 管理权限(用于 Amazon Redshift、Amazon EMR、Amazon Athena 和 Amazon S3)。
+ 技能 4.2.5: 应用能够满足业务需求的授权方法(基于角色、基于标签和基于属性)。
+ 技能 4.2.6: 构建符合最低权限原则的自定义策略。
## 任务 4.3: 确保对数据进行加密和掩蔽
+ 技能 4.3.1: 根据合规法律或公司策略应用数据掩蔽和匿名化措施。
+ 技能 4.3.2: 使用加密密钥来加密或解密数据(例如,AWS Key Management Service [AWS KMS])。
+ 技能 4.3.3: 跨 AWS 账户边界配置加密。
+ 技能 4.3.4: 对传输中数据或在传输数据之前启用加密。
## 任务 4.4: 准备日志用于审计
+ 技能 4.4.1: 使用 AWS CloudTrail 跟踪 API 调用。
+ 技能 4.4.2: 使用 Amazon CloudWatch Logs 存储应用程序日志。
+ 技能 4.4.3: 使用 AWS CloudTrail Lake 进行集中式日志记录查询。
+ 技能 4.4.4: 使用 AWS 服务(例如,Athena、CloudWatch Logs Insights、Amazon OpenSearch Service)分析日志。
+ 技能 4.4.5: 集成各种 AWS 服务来执行日志记录(例如,在具有大量日志数据时集成 Amazon EMR)。
## 任务 4.5: 了解数据隐私和监管
+ 技能 4.5.1: 授予数据共享权限(例如,Amazon Redshift 数据共享)。
+ 技能 4.5.2: 实施 PII 识别(例如,将 Amazon Macie 与 Lake Formation 一起使用)。
+ 技能 4.5.3: 实施数据隐私策略来防止将数据备份或复制到不允许的 AWS 区域。
+ 技能 4.5.4: 查看账户中发生的配置更改(例如 AWS Config)。
+ 技能 4.5.5: 维护数据主权。
+ 技能 4.5.6: 通过 Amazon SageMaker Catalog 项目管理数据访问权限。
+ 技能 4.5.7: 描述监管数据框架和数据共享模式。