AWS Security Specialty (SCS-C03): כמה קשה, איך ללמוד
SCS-C03 הוא אחד מההתמחויות הקשות יותר של AWS. הנה מה שהוא בודק בפועל, כמה זמן להקדיש, והנושאים שרוב המועמדים מזלזלים בהם.
SCS-C03 קשה יותר ממה שרוב האנשים מצפים. לא קשה ברמת Pro, אבל קשה יותר מה-Architect Associate, ומצב הכישלון שונה — מועמדים לא נכשלים כי השאלות מורכבות, הם נכשלים כי הנושאים מעמיקים יותר ממה שהתכוננו אליו. מדיניות מפתחות של KMS, לוגיקת תנאים של IAM, ממצאי GuardDuty, זיהוי איומים מרובי-חשבונות — אלה אינם נושאים שטחיים. הבחינה רוצה שתפעיל, לא רק שתתאר.
אם ניגשת ל-SAA-C03 וחשבת "אני מכיר את אבטחת AWS", ההתמחות תכייל אותך מחדש במהירות.
היסטוריה קצרה: המעבר מ-SCS-C02 ל-SCS-C03
הגרסה הקודמת, SCS-C02, יצאה לגמלאות באוקטובר 2023. ה-SCS-C03 הנוכחי הושק ביולי 2023 והוסיף כיסוי מפורש ל-AWS Security Hub, הרחבת יכולות הזיהוי של GuardDuty (EKS Audit, RDS Login Events, Lambda runtime), AWS Network Firewall, ו-IAM Identity Center (לשעבר AWS SSO) כפתרון ה-SSO הרשמי. מדריכי לימוד ישנים שנכתבו עבור SCS-C02 עדיין רלוונטיים ברובם אך מפספסים את שירותי הזיהוי החדשים יותר. אם קורס או מדריך אינו מזכיר את IAM Identity Center, הוא מיושן.
פורמט
65 שאלות, 170 דקות, $300, ציון מעבר מותאם 750/1000. שישה תחומים, במשקל כדלקמן:
- זיהוי איומים ותגובה לאירועים (זיהוי 16% + תגובה לאירועים 14% = 30%)
- רישום וניטור אבטחה (זה כלול בזיהוי במדריכים חדשים יותר)
- אבטחת תשתית (18%)
- ניהול זהויות וגישה (20%)
- הגנת נתונים (18%)
- ניהול וממשל אבטחה / יסודות (14%)
IAM הוא התחום הגדול ביותר. אל תזלזלו בו.
כמה קשה, בדיוק
AWS אינה מפרסמת שיעורי מעבר. סקרי קהילה ב-Reddit ונתונים פנימיים של AWS Partner Network מראים ששיעור המעבר בניסיון הראשון הוא בסביבות 55–60%, מה שקשה יותר מ-SAA-C03 (60–65%) אך קל יותר מ-SAP-C02 (50–55%). הבחינה עצמה הוגנת — ללא שאלות מכשילות — אך עומק הנושאים תופס אנשים שלמדו רוחב במקום עומק.
שעון ה-170 דקות נדיב אם אתם קוראים מהר. רוב האנשים מסיימים עם 30+ דקות מיותרות. זמן אינו האילוץ; עומק הידע הוא כן.
מה באמת נבחן בכבדות
KMS, מקצה לקצה. סימטרי מול אסימטרי, מפתחות מנוהלים על ידי לקוח מול מנוהלים על ידי AWS, מדיניות מפתח מול מדיניות IAM (האינטראקציה חשובה), הרשאות (grants), סיבוב מפתחות (אוטומטי לסימטרי, ידני לאסימטרי), מפתחות רב-אזוריים, שיתוף מפתחות בין חשבונות, תנאים kms:ViaService ו-kms:CallerAccount. מדיניות מפתחות היא JSON; תראו אותן בבחינה. התאמנו בקריאתן עד שתוכלו לחזות את תוצאת הגישה מבלי להריץ אותה.
המכשול הנפוץ ביותר ב-KMS: כברירת מחדל, ל-IAM principal נדרשת הרשאה הן במדיניות ה-IAM והן במדיניות המפתח כדי להשתמש במפתח המנוהל על ידי הלקוח. מדיניות מפתחות ברירת המחדל כוללת את משתמש ה-root, המאפשר לבקרת IAM בחשבון להאציל סמכויות. אם תסירו את משתמש ה-root ממדיניות המפתח, אתם עלולים לנעול את עצמכם. הבחינה בודקת זאת.
לוגיקת תנאים והערכת מדיניות ב-IAM. מניעה מפורשת גוברת על התרה מפורשת שגוברת על מניעת ברירת מחדל. SCPs ב-AWS Organizations חלים בגבול החשבון ואינם מעניקים הרשאות, אלא רק מגבילים. גבולות הרשאה דומים אך ברמת המשתמש/תפקיד. מדיניות משאבים (Resource policies) ב-S3, KMS, Secrets Manager, SQS, SNS — מתי הן מעניקות גישה מול דורשות הרשאת IAM מול שתיהן? זה נבחן בכבדות.
פדרציה: SAML 2.0, OIDC, IAM Identity Center, Cognito Identity Pools מול User Pools (כן, שניהם — הם עושים דברים שונים). הבחינה תשאל איזה סוג פדרציה מתאים לתרחיש כמו "קבלנים חיצוניים זקוקים לגישה זמנית לחשבון יחיד למשך 90 יום."
GuardDuty, Security Hub, Macie, Inspector, Detective. דעו איזה מהם מזהה מה. GuardDuty לאיומים מיומני VPC Flow Logs, DNS, CloudTrail; עם EKS Audit, RDS Login, Lambda, Malware Protection אופציונליים. Security Hub מאגד ומריץ בדיקות תאימות (CIS, AWS Foundational, PCI DSS). Macie לסיווג נתוני S3. Inspector לסריקת פגיעויות של EC2, ECR, Lambda. Detective לחקירה לאחר ממצא. הבחינה אוהבת שרשרות של "קיבלת התראה; מה השירות הבא לבדוק?"
ארכיטקטורה מרובת חשבונות. AWS Organizations, OUs, SCPs, ניהול מואצל לשירותי אבטחה (כן, אפשר להאציל ניהול Security Hub לחשבון חבר — הבחינה בודקת זאת), AWS Control Tower, AWS Config aggregator בין חשבונות. CloudTrail ארגוני חוצה חשבונות. תחום זה מבלבל אנשים שעבדו רק עם חשבון יחיד.
הגנת נתונים במנוחה ובתעבורה. וריאציות הצפנה של S3 — SSE-S3, SSE-KMS, SSE-C, DSSE-KMS, בנוסף לצד הלקוח. מדיניות דלי (Bucket policies) האוכפת הצפנה. AWS Certificate Manager (ACM) — ציבורי מול פרטי, אינטגרציה עם ALB, CloudFront, API Gateway. ACM Private CA. סיבוב Secrets Manager, במיוחד עבור RDS.
אבטחת רשת. Security groups מול NACLs (מבוסס מצב מול חסר מצב), VPC endpoints (שער מול ממשק), מדיניות VPC endpoint, AWS PrivateLink, AWS Network Firewall, AWS WAF, AWS Shield Standard מול Advanced, AWS Firewall Manager למדיניות ארגונית רחבה.
מכשולים נפוצים
מדיניות מפתחות KMS שנראית נכונה אך אינה כזו. הבחינה מציגה תרחישים שבהם מדיניות ה-IAM נראית נכונה אך מדיניות המפתח חסרה את ה-principal, או להיפך. האט בפתרון שאלות KMS. קרא את שתי המדיניות.
לבלבל בין Macie ל-GuardDuty. Macie מיועד לסיווג נתונים רגישים ב-S3. GuardDuty מיועד לזיהוי איומים. הם חופפים באווירה, לא בפונקציה.
סוגי פדרציה. Cognito User Pools מאמתים משתמשי קצה. Cognito Identity Pools מנפיקים אישורי AWS זמניים למשתמשים מאומתים. IAM Identity Center מיועד ל-SSO של עובדים לחשבונות AWS. פדרציית SAML 2.0 היא הגרסה המיושנת/ארגונית של אותו דבר. בלבול ביניהם הוא הפסד נפוץ של 5 שאלות.
רישום חוצה חשבונות. CloudTrail מרכזי עם מסלול ארגוני, דלי S3 בחשבון ארכיון יומנים, הצפנת KMS עם CMK שכל חשבונות החברים יכולים להשתמש בו. הבחינה שואלת כיצד להגדיר זאת נכון עם גישת הרשאות מינימליות עבור צוותי אבטחה.
קדימות כללי WAF. כללים מותאמים אישית עם מספרי עדיפות — עדיפות נמוכה יותר רצה קודם. קבוצות כללים מנוהלות יכולות לדרוס. הבחינה שואלת תרחישים שבהם בקשה נחסמת או מאושרת ועליך להבין איזה כלל הופעל.
כמה זמן ללמוד
- כבר עובד באבטחה יומיומית, ~5 שעות/שבוע: 6–8 שבועות.
- מהנדס ענן עם עבודה קרובה לאבטחה, ~10 שעות/שבוע: 10–14 שבועות.
- ללא רקע באבטחה, ~10 שעות/שבוע: 16+ שבועות, ושקול להשיג את SAA-C03 תחילה.
משאבים: הקורס של Adrian Cantrill ל-SCS-C03 הוא המעמיק ביותר. של Stephane Maarek מוצק וקצר יותר. Tutorials Dojo למבחני תרגול. המסמכים הלבנים של AWS עצמה — Security Best Practices, Security Pillar of the Well-Architected Framework, AWS KMS Best Practices — קצרים ובעלי תפוקה גבוהה. קראו אותם.
מסלול קריירה
SCS-C03 הוא אחד מההסמכות של AWS עם פוטנציאל הרווח הישיר ביותר מכיוון שתפקידי אבטחה משלמים יותר מתפקידי ענן כלליים. מהנדס אבטחת ענן בשנת 2026 מרוויח בערך 130k–200k דולר כשכר בסיס במרכזי טכנולוגיה בארה"ב, עם תפקידי בכירים ב-180k–260k דולר. SCS-C03 הוא האות הסטנדרטי לתפקידים אלו, ולעתים קרובות מופיע לצד או במקום CISSP.
ההסמכה משתלבת היטב עם:
- CISSP לתפקידי אבטחה בכירים בתעשיות מוסדרות.
- AZ-500 אם אתה עובד בסביבת multi-cloud.
- CKS אם אתה מתקדם לכיוון אבטחת Kubernetes.
- HashiCorp Vault Associate לעומק בניהול סודות.
היא אינה משתלבת היטב במיוחד עם הסמכות DevOps כלליות — DOP-C02 רחבה יותר וחופפת אולי ב-20%. בחרו באחת מהן בהתבסס על העבודה בפועל שלכם.
בשורה התחתונה
SCS-C03 היא הקשה מבין התמחויות AWS שרוב האנשים שוקלים, מעט מעל ANS-C01 (Networking). הקדישו יותר זמן ממה שאתם חושבים — רוב המועמדים מזלזלים בעומק של KMS ובלוגיקת התנאים של IAM. הבחינה מתגמלת מפעילים שכיילו ממצאי GuardDuty, כתבו מדיניות מפתחות KMS, וניפוי באגים בבעיית פדרציה ב-11 בערב. אם זה אתם, ההכנה פשוטה. אם לא, צברו את הניסיון קודם.
אם אתם לומדים, עיינו בבנק השאלות של SCS-C03 ב-CertLabPro או הריצו סימולציה מתוזמנת. וקראו את מסמכי KMS פעמיים.