Специализация AWS по безопасности (SCS-C03): насколько сложна, как готовиться
SCS-C03 — одна из самых сложных специализаций AWS. Вот что на самом деле проверяется, сколько времени нужно выделить на подготовку и какие темы большинство кандидатов недооценивают.
SCS-C03 сложнее, чем большинство людей ожидают. Не на уровне Pro, но сложнее, чем Architect Associate, и характер отказов отличается — кандидаты проваливаются не потому, что вопросы каверзные, а потому, что темы затрагивают гораздо более глубокие аспекты, чем те, к которым они готовились. Политики ключей KMS, логика условий IAM, обнаружения GuardDuty, многоаккаунтное обнаружение угроз — это не поверхностные темы. Экзамен требует от вас умения работать, а не просто описывать.
Если вы сдали SAA-C03 и подумали «Я разбираюсь в безопасности AWS», эта специализация быстро перенастроит ваше понимание.
Краткая история: переход SCS-C02 → SCS-C03
Предыдущая версия, SCS-C02, была выведена из эксплуатации в октябре 2023 года. Текущая SCS-C03 запущена в июле 2023 года и добавила явное покрытие AWS Security Hub, расширенный набор обнаружений GuardDuty (EKS Audit, RDS Login Events, Lambda runtime), AWS Network Firewall и IAM Identity Center (ранее AWS SSO) как официальное решение для SSO. Более старые учебные пособия, написанные для SCS-C02, по-прежнему в основном применимы, но упускают из виду новые сервисы обнаружения. Если курс или руководство не упоминает IAM Identity Center, оно устарело.
Формат
65 вопросов, 170 минут, $300, проходной балл 750/1000. Шесть доменов, взвешенных следующим образом:
- Обнаружение угроз и реагирование на инциденты (Detection 16% + Incident Response 14% = 30%)
- Логирование и мониторинг безопасности (в новых руководствах это объединено с Detection)
- Безопасность инфраструктуры (18%)
- Управление идентификацией и доступом (20%)
- Защита данных (18%)
- Управление и руководство безопасностью / Основы (14%)
IAM — это самый большой отдельный домен. Не стоит его недооценивать.
Насколько сложно, конкретно
AWS не публикует статистику сдачи экзаменов. Опросы сообщества на Reddit и внутренние данные AWS Partner Network показывают, что процент успешной сдачи с первой попытки составляет около 55–60%, что сложнее, чем SAA-C03 (60–65%), но легче, чем SAP-C02 (50–55%). Сам экзамен справедлив — никаких каверзных вопросов — но глубина тем застает врасплох тех, кто изучал широту, а не глубину.
170 минут достаточно, если вы быстро читаете. Большинство людей заканчивают, имея в запасе более 30 минут. Время не является ограничением; ограничением является глубина знаний.
Что на самом деле проверяется наиболее тщательно
KMS, от начала до конца. Симметричные и асимметричные ключи, ключи, управляемые клиентом (customer-managed) и AWS (AWS-managed), политики ключей (key policies) против политик IAM (IAM policies) (важно их взаимодействие), гранты, ротация ключей (автоматическая для симметричных, ручная для асимметричных), многорегиональные ключи, совместное использование ключей между аккаунтами, условия kms:ViaService и kms:CallerAccount. Политики ключей представляют собой JSON; вы увидите их на экзамене. Потренируйтесь читать их, пока не сможете предсказывать результат доступа без выполнения.
Самая распространенная ловушка с KMS: по умолчанию, субъект IAM нуждается в разрешении как в политике IAM, так и в политике ключа, чтобы использовать ключ, управляемый клиентом (customer-managed key). Политики ключей по умолчанию включают root-пользователя, что позволяет делегировать управление IAM аккаунтом. Если вы удалите root-пользователя из политики ключа, вы можете заблокировать себе доступ. Экзамен проверяет это.
Логика условий IAM и оценка политик. Явный запрет (explicit deny) перевешивает явное разрешение (explicit allow), которое перевешивает запрет по умолчанию (default deny). SCP в AWS Organizations применяются на границе аккаунта и не предоставляют разрешений, а только ограничивают их. Границы разрешений (permission boundaries) похожи, но применяются на уровне пользователя/роли. Политики ресурсов (resource policies) для S3, KMS, Secrets Manager, SQS, SNS — когда они предоставляют доступ, когда требуют разрешения IAM, а когда и то, и другое? Это очень часто проверяется.
Федерация: SAML 2.0, OIDC, IAM Identity Center, Cognito Identity Pools против User Pools (да, оба — они делают разные вещи). Экзамен будет спрашивать, какой тип федерации подходит для сценария, например, «внешним подрядчикам нужен временный доступ к одному аккаунту на 90 дней».
GuardDuty, Security Hub, Macie, Inspector, Detective. Знайте, какой сервис что обнаруживает. GuardDuty для угроз из VPC Flow Logs, DNS, CloudTrail; с опциональным EKS Audit, RDS Login, Lambda, Malware Protection. Security Hub агрегирует и проводит проверки соответствия (CIS, AWS Foundational, PCI DSS). Macie для классификации данных S3. Inspector для сканирования уязвимостей EC2, ECR, Lambda. Detective для расследования после обнаружения. Экзамен любит цепочки вопросов типа «вы получили оповещение; какой следующий сервис проверить?».
Многоаккаунтная архитектура. AWS Organizations, OU, SCP, делегированное администрирование для сервисов безопасности (да, вы можете делегировать администрирование Security Hub дочернему аккаунту — экзамен проверяет это), AWS Control Tower, агрегатор AWS Config между аккаунтами. Организационный трейл CloudTrail между аккаунтами. Этот домен ставит в тупик людей, которые работали только с одним аккаунтом.
Защита данных в состоянии покоя и в процессе передачи. Варианты шифрования S3 — SSE-S3, SSE-KMS, SSE-C, DSSE-KMS, плюс клиентское шифрование. Политики бакетов, принуждающие к шифрованию. AWS Certificate Manager (ACM) — публичные и приватные, интеграция с ALB, CloudFront, API Gateway. ACM Private CA. Ротация Secrets Manager, особенно для RDS.
Безопасность сети. Security groups против NACL (stateful против stateless), VPC endpoints (gateway против interface), политики VPC endpoint, AWS PrivateLink, AWS Network Firewall, AWS WAF, AWS Shield Standard против Advanced, AWS Firewall Manager для политик на уровне организации.
Распространенные ошибки
Политики ключей KMS, которые выглядят правильными, но таковыми не являются. Экзамен предлагает сценарии, где политика IAM выглядит правильно, но в политике ключа отсутствует principal, или наоборот. Уделите больше внимания вопросам по KMS. Прочитайте обе политики.
Путаница Macie с GuardDuty. Macie предназначен для классификации конфиденциальных данных в S3. GuardDuty — для обнаружения угроз. Они похожи по ощущению, но отличаются по функциям.
Виды федерации. Cognito User Pools аутентифицируют конечных пользователей. Cognito Identity Pools выдают временные учетные данные AWS аутентифицированным пользователям. IAM Identity Center предназначен для SSO сотрудников в аккаунты AWS. Федерация SAML 2.0 — это устаревшая / корпоративная версия того же. Путаница в этих вопросах может стоить 5 вопросов.
Кросс-аккаунтное логирование. Централизованный CloudTrail с организационным трейлом, S3 бакет в аккаунте для архивации логов, шифрование KMS с помощью CMK, который могут использовать все дочерние аккаунты. Экзамен спрашивает, как правильно настроить это с доступом с наименьшими привилегиями для команд безопасности.
Приоритет правил WAF. Пользовательские правила с номерами приоритета — чем ниже приоритет, тем раньше выполняется правило. Управляемые группы правил могут переопределять их. Экзамен спрашивает сценарии, где запрос блокируется или разрешается, и вам нужно выяснить, какое правило сработало.
Сколько времени на подготовку
- Ежедневно работаете в сфере безопасности, ~5 часов/неделю: 6–8 недель.
- Облачный инженер со смежными задачами по безопасности, ~10 часов/неделю: 10–14 недель.
- Без опыта в безопасности, ~10 часов/неделю: 16+ недель, и рассмотрите возможность сначала получить SAA-C03.
Ресурсы: Курс SCS-C03 от Адриана Кантррилла (Adrian Cantrill) — самый глубокий. Курс Стефана Марека (Stephane Maarek) надежный и короче. Tutorials Dojo для практических экзаменов. Собственные белые книги AWS — Security Best Practices, Security Pillar of the Well-Architected Framework, AWS KMS Best Practices — кратки и очень полезны. Прочитайте их.
Карьерный путь
SCS-C03 — одна из наиболее прямо монетизируемых сертификаций AWS, поскольку роли в сфере безопасности оплачиваются выше, чем общие облачные роли. Зарплата инженера по облачной безопасности (Cloud Security Engineer) в 2026 году составляет примерно $130k–$200k в технологических центрах США, а для старших специалистов — $180k–$260k. SCS-C03 является стандартным индикатором для этих ролей, часто указывается наряду с CISSP или вместо него.
Сертификация хорошо сочетается с:
- CISSP для старших ролей в сфере безопасности в регулируемых отраслях.
- AZ-500, если вы работаете в мультиоблачной среде.
- CKS, если вы движетесь в сторону безопасности Kubernetes.
- HashiCorp Vault Associate для глубокого понимания управления секретами.
Она не очень хорошо сочетается с общими сертификациями DevOps — DOP-C02 более обширна и пересекается, возможно, на 20%. Выбирайте одну из них в зависимости от вашей фактической работы.
Итог
SCS-C03 — это более сложная из специализаций AWS, которую большинство людей рассматривают, немного превосходящая ANS-C01 (Networking). Заложите больше времени, чем вы думаете — большинство кандидатов недооценивают глубину KMS и логику условий IAM. Экзамен вознаграждает операторов, которые настраивали обнаружения GuardDuty, писали политики ключей KMS и отлаживали проблемы федерации в 23:00. Если это про вас, подготовка будет простой. Если нет, сначала получите опыт.
Если вы готовитесь, просмотрите банк вопросов SCS-C03 на CertLabPro или запустите симуляцию по времени. И прочитайте документацию по KMS дважды.