AWS Certified Security Specialty
275 perguntas de prática
Última revisão: April 2026
Notas pessoais e links de recursos para sua jornada de estudo
Filtrar por Certificação
A AWS Certified Security Specialty (SCS-C03) é a credencial de nível sênior focada em segurança e uma das certificações de segurança em nuvem mais respeitadas. Ela valida a capacidade de projetar e operar workloads AWS seguros — incluindo identidade, proteção de dados, segurança de infraestrutura, detecção de ameaças, resposta a incidentes e governança. O exame é direcionado a engenheiros de segurança em nuvem, arquitetos de segurança em nuvem e engenheiros DevSecOps com vários anos de experiência em AWS e segurança. Espere perguntas longas e baseadas em cenários que combinam IAM, KMS, redes e serviços de detecção, e que pedem a MELHOR resposta de segurança sob restrições realistas. A SCS-C03 foi lançada em julho de 2023, atualizando a SCS-C01 com detecção mais ampla, governança adjacente à GenAI e cobertura modernizada de proteção de dados. O exame é conceitual; sem laboratórios práticos.
Arquitetura de logging (CloudTrail organization trails, VPC Flow Logs, DNS query logs, S3 access logs), logging centralizado com agregação do Security Hub, e queries Athena sobre CloudTrail. Obstáculo comum: distinguir CloudTrail Lake das compensações do Athena-on-CloudTrail.
Padrões de contenção (isolamento de workloads EC2/ECS comprometidas, rotação de credenciais, quarentena de S3 buckets), preservação de evidências forenses e runbooks com SSM. Frequentemente ignorado: a sequência precisa para comprometimento de credenciais IAM.
Segurança da VPC (security groups, NACLs, endpoints, PrivateLink), AWS WAF e Shield, Network Firewall e proteção de borda. Forte ênfase na estratificação de defesa em profundidade.
O maior domínio, com 20%. Permission boundaries, SCPs, condition keys (especialmente aws:PrincipalOrgID, aws:SourceVpce, aws:CalledVia), STS, Identity Center e políticas baseadas em recursos. A área de maior densidade no exame.
KMS (key policies, grants, multi-region keys, BYOK), criptografia em trânsito (ACM, gerenciamento de certificados), Macie e padrões de proteção S3. A avaliação de políticas de chave KMS é um obstáculo frequente.
Governança multi-conta com Organizations, Control Tower, Config conformance packs e Audit Manager. Menor peso, mas testa o pensamento estratégico de segurança.
Serviços que você encontrará no exame e por que cada um importa.
Primitiva de identidade, função e política — políticas gerenciadas e inline, políticas de confiança, tags ABAC, políticas de sessão e limites de permissão aplicam cada decisão de autorização.
Por que está no exame: O Domínio 4 (Gerenciamento de Identidade e Acesso) trata inteiramente da mecânica do IAM — a autoria de políticas de privilégio mínimo, as funções entre contas e a ordem de avaliação de políticas são os tópicos mais testados no exame.
SSO centralizado da força de trabalho e distribuição de conjuntos de permissões em várias contas, federando de IdPs externos (Entra ID, Okta) para contas do AWS Organizations.
Por que está no exame: Questões do Domínio 4 sobre federação, ABAC em escala e substituição de usuários IAM de longa duração por sessões de função de curta duração citam o Identity Center como a resposta nativa da AWS.
Detecção contínua de ameaças através de VPC Flow Logs, logs de DNS, CloudTrail, S3, auditoria EKS e runtime do Lambda — emite descobertas para credenciais comprometidas, criptomineração e IPs maliciosos conhecidos.
Por que está no exame: O Domínio 1 (Detecção de Ameaças e Resposta a Incidentes) nomeia o GuardDuty como o principal sinal de detecção contínua, com a automação orientada por EventBridge como o padrão de resposta canônico.
Avaliação contínua de vulnerabilidades para EC2, imagens de contêiner ECR e funções Lambda — pontuando CVEs e descobertas de alcançabilidade de rede contra o inventário de software descoberto.
Por que está no exame: O Domínio 3 (Segurança da Infraestrutura) testa o Inspector para a postura de vulnerabilidade da workload; distinga-o do GuardDuty (ameaças em tempo de execução) e do Macie (classificação de dados).
Agregador de descobertas entre serviços com verificações de padrões integradas (CIS, PCI DSS, AWS FSBP, NIST 800-53) e integrações de GuardDuty, Inspector, Macie e ferramentas de parceiros.
Por que está no exame: O Domínio 2 (Registro e Monitoramento de Segurança) e o Domínio 6 (Governança) nomeiam o Security Hub como o painel único em nível de organização para descobertas priorizadas e pontuação de conformidade.
Descoberta de dados sensíveis para S3, impulsionada por ML — detecção automatizada de PII, credenciais, dados financeiros e de saúde, além de inventário contínuo de buckets e avaliação de postura.
Por que está no exame: O Domínio 5 (Proteção de Dados) testa o Macie como o serviço nomeado para descobrir e classificar dados sensíveis no S3 antes de aplicar criptografia, retenção ou controles de acesso.
ACL da web de Camada 7 para CloudFront, ALB, API Gateway, AppSync e App Runner — grupos de regras gerenciados (OWASP, controle de bots, aquisição de contas), além de regras baseadas em taxa e personalizadas.
Por que está no exame: Questões do Domínio 3 (Segurança da Infraestrutura) sobre a proteção de endpoints web públicos contra injeção, raspagem e preenchimento de credenciais nomeiam o WAF como a defesa de borda nativa da AWS.
Proteção DDoS gerenciada — o Standard incluído gratuitamente na borda, o Advanced adiciona resposta SRT 24×7, proteção de custos e análise de ataques de Camada 3/4/7 para CloudFront, Route 53, ALB e Global Accelerator.
Por que está no exame: O Domínio 3 distingue o Shield Standard (sempre ativo, gratuito, L3/L4) do Shield Advanced (pago, SRT, proteção de custos) — uma questão de cenário recorrente sobre resiliência a DDoS.
Serviço gerenciado de chaves criptográficas — chaves gerenciadas pela AWS, gerenciadas pelo cliente e externas/importadas com concessões, políticas de chave e uso registrado no CloudTrail em mais de 100 serviços.
Por que está no exame: O Domínio 5 (Proteção de Dados) testa criptografia de envelope, compartilhamento de chaves entre contas, rotação de chaves e a diferença entre políticas de chave e políticas IAM em todas as formas de exame.
Provisiona e auto-renova certificados TLS públicos para CloudFront, ALB, API Gateway e App Runner; o ACM Private CA emite certificados internos com CRL/OCSP gerenciado.
Por que está no exame: Questões do Domínio 5 sobre criptografia de dados em trânsito e do Domínio 3 sobre hierarquias de CA privada para mTLS interno nomeiam o ACM e o ACM Private CA como as respostas nativas da AWS.
Armazenamento de segredos criptografados com rotação automática para RDS, Redshift, DocumentDB e rotação personalizada orientada por Lambda; acesso IAM granular e auditoria CloudTrail.
Por que está no exame: O Domínio 4 + Domínio 5 citam o Secrets Manager para credenciais de banco de dados de curta duração e o contraste com o Parameter Store (gratuito, sem rotação) é um par de distratores frequente.
Primitiva de isolamento de rede — sub-redes, tabelas de rotas, security groups (com estado), NACLs (sem estado), VPC Flow Logs, VPC endpoints e Traffic Mirroring para captura de pacotes.
Por que está no exame: O Domínio 3 (Segurança da Infraestrutura) trata em grande parte da mecânica da VPC — defesa em profundidade entre SGs e NACLs, conectividade privada via interface endpoints e Flow Logs para análise forense.
Firewall com estado gerenciado para VPCs — regras compatíveis com Suricata para inspeção profunda de pacotes, filtragem de domínio, IPS e filtragem de egresso centralizada em uma Organization.
Por que está no exame: Cenários do Domínio 3 sobre inspeção L3-L7 com estado além do que SGs/NACLs oferecem — filtragem apenas de egresso e VPCs de inspeção centralizada — nomeiam o Network Firewall como a resposta.
Aplicação de políticas em toda a organização para regras WAF, Shield Advanced, Network Firewall, Route 53 Resolver DNS Firewall e security groups em todas as contas no AWS Organizations.
Por que está no exame: Questões do Domínio 6 (Governança) sobre a aplicação de baselines de segurança em muitas contas citam o Firewall Manager + Organizations como o plano de controle multi-conta.
Grafo de investigação que ingere VPC Flow Logs, CloudTrail, GuardDuty e dados de auditoria EKS em um modelo comportamental para análise de causa raiz de atividades suspeitas.
Por que está no exame: O Domínio 1 (Detecção de Ameaças e Resposta a Incidentes) testa o Detective como o acompanhamento nomeado para uma descoberta do GuardDuty — pivotando para contexto, raio de impacto e recursos afetados.
Armazenamento hierárquico de configuração e segredos com tipos String, StringList e SecureString (apoiados por KMS); o nível gratuito cobre a maioria dos casos com parâmetros avançados opcionais em cotas mais altas.
Por que está no exame: Questões do Domínio 5 sobre o armazenamento de configuração e segredos de baixo volume comparam o Parameter Store (gratuito, sem rotação) com o Secrets Manager (pago, com rotação) — o trade-off é testado de forma confiável.
Log de auditoria de chamadas de API imutável — trilhas em toda a organização, eventos de gerenciamento/dados/Insights, validação de integridade de arquivo de log e Lake para retenção consultável por SQL.
Por que está no exame: O Domínio 2 (Registro e Monitoramento de Segurança) nomeia o CloudTrail como o sinal de auditoria fundamental; validação de integridade e trilhas centralizadas da organização são perguntas comuns em cenários de conformidade.
Histórico de configuração e avaliação contínua de conformidade — regras gerenciadas e personalizadas, correção automática via SSM e pacotes de conformidade para baselines CIS/PCI/HIPAA.
Por que está no exame: O Domínio 6 (Governança) testa o Config como o motor de drift de configuração e conformidade contínua que complementa o rastro de auditoria de chamadas de API do CloudTrail.
Coleta automatizada de evidências mapeadas para frameworks (PCI DSS, HIPAA, SOC 2, GDPR, FedRAMP) com escopo de avaliação e relatórios exportáveis prontos para auditoria.
Por que está no exame: Questões do Domínio 6 sobre a produção de evidências de auditoria e o mapeamento de controles para frameworks de conformidade citam o Audit Manager como o serviço nativo da AWS para coleta de evidências.
Gerenciamento multi-conta — OUs, Service Control Policies (SCPs), Resource Control Policies, faturamento consolidado e administração delegada para serviços de segurança.
Por que está no exame: O Domínio 6 (Governança) e o Domínio 4 (IAM) testam SCPs como o limite de permissão acima do IAM e o pré-requisito para agregação de GuardDuty, Security Hub e Config em toda a organização.
$140k–$200k–$290k USD anual
O intervalo abrange cargos de segurança em nuvem de nível médio a sênior nos EUA onde a proficiência em AWS é exigida. Serviços financeiros de primeira linha, FAANG e unicórnios focados em segurança frequentemente excedem $350k TC. Títulos de "engenheiro de segurança" de entrada em mercados não costeiros ficam abaixo do limite inferior. Certificações de especialidade em segurança geralmente garantem um prêmio em relação às certificações gerais em nuvem.
Fonte: Cargos de segurança em nuvem levels.fyi 2025–2026, U.S. BLS OEWS Maio 2024 (15-1212 analistas de segurança da informação). Os valores são aproximados; a compensação real depende da função, região e experiência.
A contratação em segurança em nuvem permaneceu forte entre 2024 e 2026, à medida que as empresas continuaram a amadurecer programas de segurança em torno de ambientes AWS multi-contas, padrões de confiança zero e risco da cadeia de suprimentos. O SCS-C03 é amplamente listado como preferencial para funções de engenheiro e arquiteto de segurança em nuvem, e é uma das credenciais de segurança mais universalmente respeitadas ao lado do CISSP e CCSP. Recrutadores em serviços financeiros, saúde e SaaS focados em segurança o tratam como um sinal credível de profundidade de segurança específica da AWS. Ele se combina naturalmente com SAA-C03 ou SAP-C02, o Advanced Networking Specialty (ANS-C01) e credenciais de múltiplos fornecedores. A certificação NÃO qualifica por si só os candidatos para funções de CISO ou VP de segurança — essas esperam uma liderança de programa mais ampla e experiência em gerenciamento de riscos.
Não há pré-requisitos formais. A AWS recomenda pelo menos 3 a 5 anos de experiência geral em segurança de TI e pelo menos 2 anos de experiência prática em segurança da AWS.
A maioria dos candidatos aborda o SCS-C03 após o SAA-C03 (base arquitetônica) e, idealmente, após o SAP-C02 ou DOP-C02 para profundidade adicional. Candidatos com forte formação em segurança geral (CISSP, CompTIA Security+) mas com exposição limitada à AWS devem planejar um tempo extra substancial em IAM (especialmente permission boundaries e SCPs), políticas de chave KMS e a taxonomia de serviços de detecção da AWS. Um laboratório funcional de AWS Organizations multi-conta com Control Tower, Config conformance packs e logging centralizado é o artefato de preparação de maior ROI.
O SCS-C03 é classificado como Especialidade e é um dos exames mais difíceis da AWS. Planeje 80–140 horas ao longo de 10–14 semanas para candidatos que já trabalham com segurança em nuvem; 160–220+ horas para aqueles que vêm de backgrounds de segurança geral ou AWS geral. O exame tem 65 perguntas pontuadas em 170 minutos — múltipla escolha e múltipla resposta, sem laboratórios.
O maior obstáculo é a profundidade da avaliação de políticas IAM: entender precisamente como políticas de identidade, políticas de recurso, permission boundaries, SCPs e políticas de sessão se combinam, e como as condition keys interagem com o acesso entre contas. A avaliação de políticas de chave KMS é o segundo maior obstáculo. Os candidatos também perdem pontos rotineiramente na diferenciação de serviços de detecção (GuardDuty vs. Security Hub vs. Detective vs. Inspector) e em questões sutis de fluxo de tráfego VPC envolvendo endpoints e PrivateLink.
Versão atual. Cobertura modernizada de serviços de detecção, governança multi-conta, chaves KMS multi-região e Network Firewall. Padrões de resposta a incidentes atualizados refletindo a maturidade do EventBridge / SSM Automation.
Breve revisão intermediária. Aposentado em 2023.
Especialidade de Segurança Original. Aposentado há muito tempo; ferramentas de detecção da era pré-Security Hub.
SCS-C03 (AWS Certified Security Specialty) é um exame de nível Specialty um exame profundamente especializado que abrange tópicos avançados em um domínio restrito — espere que a experiência prática seja um pré-requisito. A maioria dos candidatos precisa de 100 a 200 horas de estudo distribuídas em 2 a 4 meses para exames de especialidade. Estes pressupõem experiência prática no domínio da especialidade. A maioria dos candidatos que pontuam consistentemente acima do limite de aprovação em exames práticos é aprovada na primeira tentativa.
A maioria dos candidatos precisa de 100 a 200 horas de estudo distribuídas em 2 a 4 meses para exames de especialidade. Estes pressupõem experiência prática no domínio da especialidade. O tempo para aprovação varia amplamente de acordo com a experiência prévia. Engenheiros com experiência prática de produção na tecnologia subjacente geralmente precisam de menos tempo; candidatos novos na plataforma devem planejar-se para o limite superior dessa faixa.
SCS-C03 é uma credencial reconhecida no ecossistema AWS e sinaliza conhecimento validado para empregadores, recrutadores e clientes. Se vale a pena o tempo e a taxa para você, depende do seu papel e objetivos — geralmente compensa mais para engenheiros de nuvem, arquitetos e consultores que trabalham com AWS diariamente ou desejam mudar para funções que o fazem.
A pontuação de aprovação para SCS-C03 é 750 / 1000. O exame contém 65 questões e dura 2 h 50 min.
A taxa do exame SCS-C03 é $300 USD. As taxas são definidas por AWS e podem variar por região; sempre confirme o preço atual na página oficial de certificação AWS antes de agendar.
As certificações AWS são válidas por 3 anos. Recertifique-se passando na versão atual do mesmo exame, ou passando em um exame de nível superior no mesmo caminho antes do vencimento.
Sim. Você pode fazer o exame online (supervisionado através do navegador seguro do provedor, disponível 24 horas por dia, 7 dias por semana na maioria das regiões) ou em um centro de testes Pearson VUE presencial durante o horário comercial. Ambos os formatos usam as mesmas perguntas, limite de tempo e pontuação de aprovação.
A CertLabPro oferece 15 modos de estudo no banco de questões práticas para SCS-C03. O modo de simulação de exame espelha o exame real: 65 questões em 2 h 50 min, com o mesmo limite de aprovação de 750 / 1000. O modo de navegação permite que você leia todas as perguntas e respostas estaticamente.