AWS Certified Security Specialty
275 שאלות תרגול
נבדק לאחרונה: April 2026
הערות אישיות וקישורים למשאבים למסע הלמידה שלך
סנן לפי הסמכה
ההסמכה AWS Certified Security Specialty (SCS-C03) היא הסמכת אבטחה ברמה בכירה ואחת מההסמכות המכובדות ביותר בתחום אבטחת הענן. היא מאמתת את היכולת לתכנן ולהפעיל עומסי עבודה מאובטחים ב-AWS — כולל ניהול זהויות, הגנת נתונים, אבטחת תשתית, זיהוי איומים, תגובה לאירועים וממשל. הבחינה מיועדת למהנדסי אבטחת ענן, אדריכלי אבטחת ענן ומהנדסי DevSecOps עם ניסיון של מספר שנים ב-AWS ובאבטחה. צפו לשאלות ארוכות ועמוסות בתרחישים המשלבים שירותי IAM, KMS, רשתות וזיהוי, ומבקשות את התשובה הטובה ביותר בתחום האבטחה תחת אילוצים ריאליסטיים. SCS-C03 הושקה ביולי 2023, וריעננה את SCS-C01 עם כיסוי רחב יותר של זיהוי, ממשל בסמוך ל-GenAI וכיסוי מודרני של הגנת נתונים. הבחינה היא מושגית; אין מעבדות מעשיות.
ארכיטקטורת רישום (CloudTrail organization trails, VPC Flow Logs, יומני שאילתות DNS, יומני גישה ל-S3), רישום מרכזי עם צבירה ב-Security Hub, ושאילתות Athena מעל CloudTrail. מכשול נפוץ: הבחנה בין CloudTrail Lake לבין פשרות של Athena-on-CloudTrail.
תבניות הכלה (בידוד עומסי עבודה פגועים של EC2/ECS, סיבוב אישורים, הסגר דליי S3), שימור ראיות פורנזיות, ו-runbooks עם SSM. לעיתים קרובות מוחמץ: הרצף המדויק לפגיעה באישור IAM.
אבטחת VPC (קבוצות אבטחה, NACLs, נקודות קצה, PrivateLink), AWS WAF ו-Shield, Network Firewall, והגנת קצה. דגש חזק על שכבות הגנה לעומק.
התחום הגדול ביותר עם 20%. גבולות הרשאות (Permission boundaries), SCPs, מפתחות תנאי (במיוחד aws:PrincipalOrgID, aws:SourceVpce, aws:CalledVia), STS, Identity Center, ומדיניות מבוססת משאבים (resource-based policies). האזור בעל הצפיפות הגבוהה ביותר בבחינה.
KMS (מדיניות מפתח, מענקים, מפתחות רב-אזוריים, BYOK), הצפנה במעבר (ACM, ניהול אישורים), Macie, ותבניות הגנה ל-S3. הערכה מורכבת של מדיניות מפתח KMS היא מכשול נפוץ.
ממשל רב-חשבונות עם Organizations, Control Tower, Config conformance packs, ו-Audit Manager. משקל קטן יותר אך בוחן חשיבה אסטרטגית באבטחה.
שירותים שתפגוש במבחן ומדוע כל אחד מהם חשוב.
פרימיטיב זהות, תפקיד ומדיניות — מדיניות מנוהלת ומוטבעת, מדיניות אמון, תגי ABAC, מדיניות סשן וגבולות הרשאות אוכפים כל החלטת הרשאה.
מדוע הוא במבחן: דומיין 4 (Identity and Access Management) עוסק כולו במכניקת IAM — יצירת מדיניות הרשאה מינימלית, תפקידים בין-חשבונאות וסדר הערכת המדיניות הם הנושאים הנבדקים ביותר בבחינה.
SSO מרוכז לכוח עבודה והפצת קבוצות הרשאות מרובות-חשבונות, פדרציה מ-IdPs חיצוניים (Entra ID, Okta) לחשבונות AWS Organizations.
מדוע הוא במבחן: שאלות בדומיין 4 על פדרציה, ABAC בקנה מידה גדול והחלפת משתמשתי IAM ארוכי-טווח בסשני תפקיד קצרי-טווח מצביעות על Identity Center כתשובה המקומית של AWS.
זיהוי איומים מתמשך על פני VPC Flow Logs, יומני DNS, CloudTrail, S3, ביקורת EKS וזמן ריצה של Lambda — מפיק ממצאים עבור אישורים שנפגעו, כריית מטבעות קריפטו וכתובות IP ידועות כזדוניות.
מדוע הוא במבחן: דומיין 1 (Threat Detection and Incident Response) מציין את GuardDuty כאות הזיהוי המתמשך העיקרי, עם אוטומציה מבוססת EventBridge כדפוס התגובה הקנוני.
הערכת פגיעויות מתמשכת עבור EC2, תמונות קונטיינרים של ECR ופונקציות Lambda — ניקוד CVEs וממצאי נגישות רשת מול מלאי תוכנה שנמצא.
מדוע הוא במבחן: דומיין 3 (Infrastructure Security) בוחן את Inspector עבור מצב פגיעות עומסי עבודה; יש להבדיל אותו מ-GuardDuty (איומי זמן ריצה) ומ-Macie (סיווג נתונים).
מצטבר ממצאים חוצה שירותים עם בדיקות תקנים מובנות (CIS, PCI DSS, AWS FSBP, NIST 800-53) ואינטגרציות מ-GuardDuty, Inspector, Macie וכלי שותפים.
מדוע הוא במבחן: דומיין 2 (Security Logging and Monitoring) ודומיין 6 (Governance) מציינים את Security Hub כ"חלון ראווה" ארגוני יחיד לממצאים מועדפים וניקוד תאימות.
גילוי נתונים רגישים מבוסס ML עבור S3 — זיהוי אוטומטי של PII, אישורים, נתונים פיננסיים ובריאותיים, בתוספת מלאי דליים מתמשך והערכת מצב.
מדוע הוא במבחן: דומיין 5 (Data Protection) בוחן את Macie כשירות הנקוב לגילוי וסיווג נתונים רגישים ב-S3 לפני החלת הצפנה, שמירה או בקרות גישה.
ACL אינטרנטי שכבה 7 עבור CloudFront, ALB, API Gateway, AppSync ו-App Runner — קבוצות כללים מנוהלות (OWASP, בקרת בוטים, השתלטות על חשבונות) בתוספת כללים מבוססי-שיעור וכללים מותאמים אישית.
מדוע הוא במבחן: שאלות בדומיין 3 (Infrastructure Security) על הגנת נקודות קצה אינטרנטיות ציבוריות מפני הזרקה, גירוד (scraping) ו-credential stuffing מציינות את WAF כהגנת הקצה המקומית של AWS.
הגנת DDoS מנוהלת — Standard כלול בחינם בקצה, Advanced מוסיף תגובת SRT 24×7, הגנה על עלויות וניתוח התקפות שכבה 3/4/7 עבור CloudFront, Route 53, ALB ו-Global Accelerator.
מדוע הוא במבחן: דומיין 3 מבחין בין Shield Standard (תמיד פעיל, חינם, L3/L4) לבין Shield Advanced (בתשלום, SRT, הגנת עלויות) — שאלת תרחיש חוזרת על חוסן DDoS.
שירות מפתחות קריפטוגרפיים מנוהל — מפתחות בניהול AWS, מנוהלי לקוחות וחיצוניים/מיובאים עם grants, מדיניות מפתחות ושימוש המתועד ב-CloudTrail על פני 100+ שירותים.
מדוע הוא במבחן: דומיין 5 (Data Protection) בוחן הצפנת מעטפות, שיתוף מפתחות בין חשבונות, סיבוב מפתחות וההבדל בין מדיניות מפתחות למדיניות IAM בכל טופס בחינה.
מספק ומחדש אוטומטית אישורי TLS ציבוריים עבור CloudFront, ALB, API Gateway ו-App Runner; ACM Private CA מנפיק אישורים פנימיים עם CRL/OCSP מנוהלים.
מדוע הוא במבחן: שאלות בדומיין 5 על הצפנת נתונים במעבר ובדומיין 3 על היררכיות CA פרטיות עבור mTLS פנימי מציינות את ACM ו-ACM Private CA כתשובות המקומית של AWS.
אחסון סודות מוצפן עם סיבוב אוטומטי עבור RDS, Redshift, DocumentDB וסיבוב מותאם אישית מונחה Lambda; גישת IAM מדויקת וביקורת CloudTrail.
מדוע הוא במבחן: דומיין 4 ודומיין 5 מציינים את Secrets Manager עבור אישורי מסד נתונים קצרי-טווח וההשוואה עם Parameter Store (חינם, ללא סיבוב) היא צמד מסיחים נפוץ.
פרימיטיב בידוד רשת — תת-רשתות, טבלאות ניתוב, קבוצות אבטחה (stateful), NACLs (stateless), VPC Flow Logs, נקודות קצה של VPC ו-Traffic Mirroring ללכידת חבילות.
מדוע הוא במבחן: דומיין 3 (Infrastructure Security) הוא במידה רבה מכניקת VPC — הגנה רב-שכבתית בין SGs ל-NACLs, קישוריות פרטית באמצעות נקודות קצה של ממשקים, ו-Flow Logs עבור פורנזיה.
חומת אש stateful מנוהלת עבור VPCs — כללים תואמי Suricata לבדיקת חבילות עמוקה, סינון דומיינים, IPS וסינון יציאה מרוכז על פני Organization.
מדוע הוא במבחן: תרחישים בדומיין 3 על בדיקת L3-L7 stateful מעבר למה ש-SGs/NACLs מציעים — סינון יציאה בלבד ו-VPCs לבדיקה מרוכזת — מציינים את Network Firewall כתשובה.
אכיפת מדיניות כלל-ארגונית עבור כללי WAF, Shield Advanced, Network Firewall, Route 53 Resolver DNS Firewall וקבוצות אבטחה על פני חשבונות ב-AWS Organizations.
מדוע הוא במבחן: שאלות בדומיין 6 (Governance) על אכיפת קווי בסיס אבטחה על פני חשבונות רבים מציינות את Firewall Manager + Organizations כמישור הבקרה מרובה-החשבונות.
גרף חקירה שקולט VPC Flow Logs, CloudTrail, GuardDuty ונתוני ביקורת EKS לתוך מודל התנהגותי לניתוח שורש-הגורם של פעילות חשודה.
מדוע הוא במבחן: דומיין 1 (Threat Detection and Incident Response) בוחן את Detective כהמשך הנקוב לממצא GuardDuty — מעבר להקשר, רדיוס פיצוץ ומשאבים מושפעים.
מאגר תצורה וסודות היררכי עם סוגי String, StringList ו-SecureString (מגובה ב-KMS); שכבת החינם מכסה את רוב המקרים עם פרמטרים מתקדמים אופציונליים במכסות גבוהות יותר.
מדוע הוא במבחן: שאלות בדומיין 5 על אחסון תצורה וסודות בנפח נמוך משוות את Parameter Store (חינם, ללא סיבוב) מול Secrets Manager (בתשלום, סיבוב) — הפשרה נבדקת באופן מהימן.
יומן ביקורת קריאות API בלתי ניתן לשינוי — trails כלל-ארגוניים, אירועי ניהול/נתונים/Insights, אימות תקינות קבצי יומן, ו-Lake לשמירה ניתנת לשאילתות SQL.
מדוע הוא במבחן: דומיין 2 (Security Logging and Monitoring) מציין את CloudTrail כאות הביקורת הבסיסי; אימות תקינות ו-trails ארגוניים מרוכזים הם שאלות תרחיש תאימות נפוצות.
היסטוריית תצורה והערכת תאימות מתמשכת — כללים מנוהלים ומותאמים אישית, תיקון אוטומטי באמצעות SSM, וחבילות תאימות עבור קווי בסיס של CIS/PCI/HIPAA.
מדוע הוא במבחן: דומיין 6 (Governance) בוחן את Config כמנוע סחף התצורה והתאימות המתמשכת המשלים את יומן ביקורת קריאות ה-API של CloudTrail.
איסוף ראיות אוטומטי הממופה לפריימוורקים (PCI DSS, HIPAA, SOC 2, GDPR, FedRAMP) עם הגדרת היקף הערכה ודוחות הניתנים לייצוא עבור מבקרים.
מדוע הוא במבחן: שאלות בדומיין 6 על הפקת ראיות ביקורת ומיפוי בקרות לפריימוורקים של תאימות מציינות את Audit Manager כשירות איסוף הראיות המקומית של AWS.
ניהול מרובה חשבונות — OUs, מדיניות בקרת שירות (SCPs), מדיניות בקרת משאבים, חיוב מאוחד, וניהול מואצל עבור שירותי אבטחה.
מדוע הוא במבחן: דומיין 6 (Governance) ודומיין 4 (IAM) בוחנים SCPs כגבול ההרשאות מעל IAM והתנאי המוקדם לאגרגציה כלל-ארגונית של GuardDuty, Security Hub ו-Config.
$140k–$200k–$290k USD שנתי
הטווח מכסה תפקידי אבטחת ענן בינוניים-בכירים בארה"ב שבהם נדרשת מיומנות ב-AWS. שירותים פיננסיים מובילים, FAANG, וחד-קרן המתמקדים באבטחה עוברים לעיתים קרובות את סף ה-350 אלף דולר TC. תארי "מהנדס אבטחה" התחלתיים בשווקים שאינם חופיים נופלים מתחת לקצה התחתון. הסמכות אבטחה מיוחדות דורשות באופן אמין פרמיה יחסית להסמכות ענן כלליות.
מקור: תפקידי אבטחת ענן ב-levels.fyi 2025–2026, הלשכה האמריקאית לסטטיסטיקת עבודה OEWS מאי 2024 (15-1212 information security analysts). הנתונים משוערים; התגמול בפועל תלוי בתפקיד, באזור ובניסיון.
גיוסי עובדים בתחום אבטחת הענן נותרו חזקים בשנים 2024–2026 כאשר ארגונים המשיכו להבשיל תוכניות אבטחה סביב סביבות AWS מרובות חשבונות, דפוסי Zero-Trust וסיכוני שרשרת אספקה. SCS-C03 רשום באופן נרחב כמועדף לתפקידי מהנדס ואדריכל אבטחת ענן, והוא אחת מההסמכות האבטחה היחידות המכובדות יותר באופן אוניברסלי לצד CISSP ו-CCSP. מגייסים בשירותים פיננסיים, שירותי בריאות ו-SaaS המתמקדים באבטחה מתייחסים אליו כאות אמין לעומק אבטחה ספציפי ל-AWS. הוא משתלב באופן טבעי עם SAA-C03 או SAP-C02, עם Advanced Networking Specialty (ANS-C01), ועם אישורים בין-ספקים. ההסמכה אינה מכשירה בפני עצמה מועמדים לתפקידי CISO או סמנכ"ל אבטחה — תפקידים אלה דורשים ניסיון רחב יותר בהנהגת תוכניות ובניהול סיכונים.
אין דרישות קדם רשמיות. AWS ממליצה על לפחות 3–5 שנות ניסיון באבטחת IT כללית ולפחות שנתיים ניסיון מעשי באבטחת AWS.
רוב המועמדים ניגשים ל-SCS-C03 לאחר SAA-C03 (יסודות ארכיטקטוניים) ובאופן אידיאלי לאחר SAP-C02 או DOP-C02 לעומק נוסף. מועמדים עם רקע אבטחה כללי חזק (CISSP, CompTIA Security+) אך עם חשיפה מוגבלת ל-AWS צריכים לתכנן זמן נוסף ניכר על IAM (במיוחד גבולות הרשאות ו-SCPs), מדיניות מפתחות KMS, וטקסונומיית שירותי הזיהוי של AWS. סביבת מעבדה עובדת של AWS Organizations מרובת חשבונות עם Control Tower, Config conformance packs ורישום מרכזי היא כלי ההכנה בעל התשואה הגבוהה ביותר (ROI).
SCS-C03 מדורג כ-Specialty והוא אחת מבחינות AWS הקשות יותר. תכננו 80–140 שעות על פני 10–14 שבועות למועמדים שכבר עובדים באבטחת ענן; 160–220+ שעות לאלה המגיעים מרקע אבטחה כללי או רקע AWS כללי. הבחינה כוללת 65 שאלות מדורגות ב-170 דקות — שאלות רב-ברירה ורב-תשובות, ללא מעבדות.
המכשול הגדול ביותר הוא עומק הערכת מדיניות IAM: הבנה מדויקת כיצד מדיניות זהויות, מדיניות משאבים, גבולות הרשאות, SCPs ומדיניות סשנים משתלבות, וכיצד מפתחות תנאי מקיימים אינטראקציה עם גישה בין חשבונות. הערכת מדיניות מפתח KMS נמצאת במקום השני. מועמדים גם מאבדים באופן שגרתי נקודות על הבחנה בין שירותי זיהוי (GuardDuty מול Security Hub מול Detective מול Inspector) ועל שאלות זרימת תעבורת VPC עדינות הכוללות נקודות קצה ו-PrivateLink.
גרסה נוכחית. כיסוי מודרני של שירותי זיהוי, ממשל רב-חשבונות, מפתחות KMS רב-אזוריים, ו-Network Firewall. דפוסי תגובה לאירועים מעודכנים המשקפים את הבגרות של EventBridge / SSM Automation.
עדכון ביניים קצר. הוצא משימוש ב-2023.
ה-Security Specialty המקורי. יצא משימוש מזמן; כלי זיהוי מתקופת טרום-Security Hub.
SCS-C03 (AWS Certified Security Specialty) הוא מבחן ברמת Specialty מבחן התמחות מעמיק המכסה נושאים מתקדמים בתחום צר – צפו שניסיון מעשי יהיה תנאי מוקדם. רוב המועמדים זקוקים ל-100–200 שעות לימוד הפרוסות על פני 2–4 חודשים עבור מבחני התמחות. אלו מניחים ניסיון מעשי בתחום ההתמחות. רוב המועמדים שמקבלים ציונים באופן עקבי מעל סף המעבר במבחני תרגול עוברים בניסיון הראשון.
רוב המועמדים זקוקים ל-100–200 שעות לימוד הפרוסות על פני 2–4 חודשים עבור מבחני התמחות. אלו מניחים ניסיון מעשי בתחום ההתמחות. משך הזמן למעבר משתנה מאוד בהתאם לניסיון קודם. מהנדסים בעלי ניסיון מעשי בסביבת ייצור בטכנולוגיה הבסיסית זקוקים בדרך כלל לפחות זמן; מועמדים חדשים לפלטפורמה צריכים לתכנן את לימודיהם לכיוון הקצה העליון של טווח זה.
SCS-C03 הוא אישור מוכר במערכת האקולוגית של AWS ומסמן ידע מאומת למעסיקים, מגייסים ולקוחות. האם זה שווה את הזמן והעמלה עבורך תלוי בתפקיד ובמטרות שלך – זה נוטה להשתלם ביותר עבור מהנדסי ענן, אדריכלים ויועצים שעובדים עם AWS על בסיס יומיומי או רוצים לעבור לתפקידים כאלה.
ציון המעבר עבור SCS-C03 הוא 750 / 1000. המבחן מכיל 65 שאלות ונמשך 2 שע' 50 דק'.
עמלת מבחן ה-SCS-C03 היא $300 USD. העמלות נקבעות על ידי AWS ועשויות להשתנות לפי אזור; תמיד אשרו את המחיר הנוכחי בדף ההסמכה הרשמי של AWS לפני ההזמנה.
הסמכות AWS תקפות למשך 3 שנים. ניתן לחדש הסמכה על ידי מעבר הגרסה הנוכחית של אותו מבחן, או על ידי מעבר מבחן ברמה גבוהה יותר באותו מסלול לפני התפוגה.
כן. ניתן לגשת למבחן באופן מקוון (בפיקוח דרך הדפדפן המאובטח של הספק, זמין 24/7 ברוב האזורים) או במרכז בחינה פיזי של Pearson VUE בשעות הפעילות. שני הפורמטים משתמשים באותן שאלות, מגבלת זמן וציון מעבר.
CertLabPro מספק 15 מצבי לימוד על פני בנק השאלות לתרגול עבור SCS-C03. מצב סימולציית המבחן משקף את המבחן האמיתי: 65 שאלות ב-2 שע' 50 דק', עם אותו סף מעבר של 750 / 1000. מצב עיון מאפשר לך לקרוא כל שאלה ותשובה באופן סטטי.