AWS Certified Security Specialty
275 практических вопросов
Последняя проверка: April 2026
Личные заметки и ссылки на ресурсы для вашего учебного пути
Фильтр по сертификации
AWS Certified Security Specialty (SCS-C03) — это высокоуровневая, ориентированная на безопасность сертификация и одна из наиболее уважаемых сертификаций в области облачной безопасности. Она подтверждает способность проектировать и эксплуатировать безопасные рабочие нагрузки AWS, включая управление идентификацией, защиту данных, безопасность инфраструктуры, обнаружение угроз, реагирование на инциденты и управление. Экзамен предназначен для инженеров по облачной безопасности, архитекторов облачной безопасности и инженеров DevSecOps с многолетним опытом работы с AWS и в области безопасности. Ожидайте длинных, насыщенных сценариями вопросов, которые объединяют IAM, KMS, сетевые и службы обнаружения, и требуют ЛУЧШЕГО решения по безопасности в реалистичных условиях. SCS-C03 запущен в июле 2023 года, обновив SCS-C01 более широким охватом обнаружения, управлением, смежным с GenAI, и модернизированным охватом защиты данных. Экзамен концептуальный; без практических лабораторных работ.
Архитектура логирования (журналы CloudTrail организации, VPC Flow Logs, журналы запросов DNS, журналы доступа S3), централизованное логирование с агрегацией Security Hub и запросы Athena над CloudTrail. Распространенное препятствие: различение CloudTrail Lake и компромиссов Athena-on-CloudTrail.
Шаблоны локализации (изоляция скомпрометированных рабочих нагрузок EC2/ECS, смена учетных данных, помещение в карантин корзин S3), сохранение судебно-медицинских доказательств и сценарии действий с SSM. Часто упускается: точная последовательность действий при компрометации учетных данных IAM.
Безопасность VPC (группы безопасности, NACL, конечные точки, PrivateLink), AWS WAF и Shield, Network Firewall и защита периметра. Особый акцент на многоуровневую защиту.
Крупнейшая область — 20%. Границы разрешений, SCP, ключи условий (особенно aws:PrincipalOrgID, aws:SourceVpce, aws:CalledVia), STS, Identity Center и политики на основе ресурсов. Область с самой высокой плотностью вопросов на экзамене.
KMS (политики ключей, гранты, мультирегиональные ключи, BYOK), шифрование при передаче (ACM, управление сертификатами), Macie и шаблоны защиты S3. Нюансированная оценка политик ключей KMS является частым камнем преткновения.
Управление несколькими учетными записями с помощью Organizations, Control Tower, пакетов соответствия Config и Audit Manager. Меньший вес, но проверяет стратегическое мышление в области безопасности.
Сервисы, с которыми вы столкнётесь на экзамене, и почему каждый из них важен.
Примитив идентификации, ролей и политик — управляемые и встроенные политики, политики доверия, ABAC-теги, политики сессий и границы разрешений обеспечивают каждое решение об авторизации.
Почему он на экзамене: Домен 4 (Управление идентификацией и доступом) полностью посвящён механике IAM — разработка политик наименьших привилегий, кросс-аккаунтные роли и порядок оценки политик являются наиболее часто проверяемыми темами на экзамене.
Централизованный SSO для сотрудников и распределение наборов разрешений между несколькими аккаунтами, федерация из внешних IdP (Entra ID, Okta) в аккаунты AWS Organizations.
Почему он на экзамене: Вопросы Домена 4 о федерации, ABAC в масштабе и замене долгоживущих пользователей IAM на короткоживущие сессии ролей указывают на Identity Center как нативное AWS-решение.
Непрерывное обнаружение угроз на основе журналов VPC Flow Logs, DNS-журналов, CloudTrail, S3, аудита EKS и среды выполнения Lambda — выдаёт результаты о скомпрометированных учётных данных, криптомайнинге и известных плохих IP-адресах.
Почему он на экзамене: Домен 1 (Обнаружение угроз и реагирование на инциденты) называет GuardDuty основным сигналом непрерывного обнаружения, а автоматизацию на основе EventBridge — каноническим шаблоном реагирования.
Непрерывная оценка уязвимостей для EC2, образов контейнеров ECR и функций Lambda — оценка CVE и результатов сетевой доступности на основе обнаруженного программного обеспечения.
Почему он на экзамене: Домен 3 (Безопасность инфраструктуры) проверяет Inspector для оценки уязвимостей рабочих нагрузок; отличайте его от GuardDuty (угрозы во время выполнения) и Macie (классификация данных).
Агрегатор результатов между сервисами со встроенными проверками стандартов (CIS, PCI DSS, AWS FSBP, NIST 800-53) и интеграциями от GuardDuty, Inspector, Macie и партнёрских инструментов.
Почему он на экзамене: Домен 2 (Журналирование и мониторинг безопасности) и Домен 6 (Управление) называют Security Hub единым центром управления на уровне организации для приоритизации результатов и оценки соответствия.
Обнаружение конфиденциальных данных в S3 на основе машинного обучения — автоматическое выявление PII, учётных данных, финансовой и медицинской информации, а также непрерывная инвентаризация корзин и оценка их состояния.
Почему он на экзамене: Домен 5 (Защита данных) проверяет Macie как сервис для обнаружения и классификации конфиденциальных данных в S3 перед применением шифрования, политик хранения или контроля доступа.
Web ACL уровня 7 для CloudFront, ALB, API Gateway, AppSync и App Runner — управляемые группы правил (OWASP, контроль ботов, захват учётных записей) плюс правила на основе скорости и пользовательские правила.
Почему он на экзамене: Вопросы Домена 3 по защите публичных веб-конечных точек от инъекций, скрапинга и подбора учётных данных называют WAF нативной AWS-защитой на границе сети.
Управляемая защита от DDoS — Standard включён бесплатно на границе, Advanced добавляет круглосуточное реагирование SRT, защиту от затрат и аналитику атак уровня 3/4/7 для CloudFront, Route 53, ALB и Global Accelerator.
Почему он на экзамене: Домен 3 различает Shield Standard (всегда активен, бесплатно, L3/L4) от Shield Advanced (платно, SRT, защита от затрат) — повторяющийся сценарный вопрос об устойчивости к DDoS.
Управляемый сервис криптографических ключей — ключи, управляемые AWS, клиентом и внешние/импортированные, с грантами, политиками ключей и использованием, логируемым CloudTrail, в более чем 100 сервисах.
Почему он на экзамене: Домен 5 (Защита данных) проверяет шифрование конвертов, совместное использование ключей между аккаунтами, ротацию ключей и разницу между политиками ключей и IAM-политиками в каждой форме экзамена.
Предоставляет и автоматически продлевает публичные TLS-сертификаты для CloudFront, ALB, API Gateway и App Runner; ACM Private CA выдаёт внутренние сертификаты с управляемыми CRL/OCSP.
Почему он на экзамене: Вопросы Домена 5 о шифровании данных при передаче и Домена 3 об иерархиях частных CA для внутреннего mTLS называют ACM и ACM Private CA нативными AWS-решениями.
Зашифрованное хранилище секретов с автоматической ротацией для RDS, Redshift, DocumentDB и пользовательской ротацией на основе Lambda; детальный доступ IAM и аудит CloudTrail.
Почему он на экзамене: Домен 4 + Домен 5 упоминают Secrets Manager для короткоживущих учётных данных баз данных, а его отличие от Parameter Store (бесплатно, без ротации) часто является отвлекающей парой.
Примитив сетевой изоляции — подсети, таблицы маршрутизации, группы безопасности (stateful), NACL (stateless), VPC Flow Logs, VPC endpoints и Traffic Mirroring для захвата пакетов.
Почему он на экзамене: Домен 3 (Безопасность инфраструктуры) в значительной степени посвящён механике VPC — многоуровневая защита между SG и NACL, частное подключение через интерфейсные конечные точки и Flow Logs для криминалистики.
Управляемый stateful-межсетевой экран для VPC — правила, совместимые с Suricata, для глубокой инспекции пакетов, фильтрации доменов, IPS и централизованной фильтрации исходящего трафика в Organization.
Почему он на экзамене: Сценарии Домена 3 по stateful-инспекции L3-L7 за пределами возможностей SG/NACL — фильтрация только исходящего трафика и централизованные VPC инспекции — называют Network Firewall ответом.
Применение политик на уровне организации для правил WAF, Shield Advanced, Network Firewall, Route 53 Resolver DNS Firewall и групп безопасности в аккаунтах AWS Organizations.
Почему он на экзамене: Вопросы Домена 6 (Управление) по принудительному применению базовых показателей безопасности в нескольких аккаунтах ссылаются на Firewall Manager + Organizations как на плоскость управления несколькими аккаунтами.
Граф расследования, который принимает VPC Flow Logs, CloudTrail, GuardDuty и данные аудита EKS в поведенческую модель для анализа первопричин подозрительной активности.
Почему он на экзамене: Домен 1 (Обнаружение угроз и реагирование на инциденты) проверяет Detective как названное продолжение для результатов GuardDuty — переход к контексту, радиусу поражения и затронутым ресурсам.
Иерархическое хранилище конфигураций и секретов с типами String, StringList и SecureString (с поддержкой KMS); бесплатный уровень покрывает большинство случаев с опциональными расширенными параметрами при более высоких квотах.
Почему он на экзамене: Вопросы Домена 5 по хранению конфигураций и малообъёмных секретов сравнивают Parameter Store (бесплатно, без ротации) с Secrets Manager (платно, с ротацией) — компромисс надёжно проверяется.
Неизменяемый журнал аудита API-вызовов — трейлы на уровне организации, события управления/данных/Insights, проверка целостности файлов журналов и Lake для хранения с возможностью SQL-запросов.
Почему он на экзамене: Домен 2 (Журналирование и мониторинг безопасности) называет CloudTrail основополагающим аудиторским сигналом; проверка целостности и централизованные трейлы организации — распространённые вопросы по сценариям соответствия.
История конфигураций и непрерывная оценка соответствия — управляемые и пользовательские правила, автоматическая коррекция через SSM и пакеты соответствия для базовых показателей CIS/PCI/HIPAA.
Почему он на экзамене: Домен 6 (Управление) проверяет Config как движок для обнаружения дрейфа конфигураций и непрерывного соответствия, который дополняет журнал аудита API-вызовов CloudTrail.
Автоматизированный сбор доказательств, сопоставленных с фреймворками (PCI DSS, HIPAA, SOC 2, GDPR, FedRAMP), с определением области оценки и экспортируемыми отчётами, готовыми для аудитора.
Почему он на экзамене: Вопросы Домена 6 по предоставлению аудиторских доказательств и сопоставлению контролей с фреймворками соответствия ссылаются на Audit Manager как нативный AWS-сервис для сбора доказательств.
Управление несколькими аккаунтами — OU, политики управления сервисами (SCP), политики управления ресурсами, консолидированная оплата и делегированное администрирование для сервисов безопасности.
Почему он на экзамене: Домен 6 (Управление) и Домен 4 (IAM) проверяют SCP как ограничение разрешений выше IAM и как предварительное условие для агрегации GuardDuty, Security Hub и Config на уровне организации.
$140k–$200k–$290k USD годовая
Диапазон охватывает должности среднего и высшего звена в области облачной безопасности в США, где требуется знание AWS. Ведущие финансовые компании, FAANG и стартапы-«единороги», ориентированные на безопасность, часто превышают $350k TC. Должности начального уровня "инженер по безопасности" на рынках, не относящихся к прибрежным, находятся ниже нижнего предела. Специализированные сертификаты по безопасности надежно обеспечивают надбавку по сравнению с общими облачными сертификатами.
Источник: levels.fyi 2025–2026 (должности в облачной безопасности), Бюро трудовой статистики США OEWS май 2024 (15-1212 аналитики информационной безопасности). Цифры приблизительны; фактическая компенсация зависит от роли, региона и опыта.
Найм в области облачной безопасности оставался сильным в течение 2024–2026 годов, поскольку предприятия продолжали развивать программы безопасности вокруг многоаккаунтных сред AWS, моделей нулевого доверия и рисков цепочки поставок. SCS-C03 широко указывается как предпочтительный для инженеров и архитекторов облачной безопасности и является одним из наиболее уважаемых единичных сертификатов безопасности наряду с CISSP и CCSP. Рекрутеры в финансовых услугах, здравоохранении и SaaS-компаниях, ориентированных на безопасность, считают его надежным свидетельством глубоких знаний в области безопасности AWS. Он естественным образом сочетается с SAA-C03 или SAP-C02, Advanced Networking Specialty (ANS-C01) и кросс-вендорными сертификатами. Сертификат сам по себе НЕ квалифицирует кандидатов на должности CISO или VP по безопасности — эти роли требуют более широкого опыта в управлении программами и рисками.
Формальных предварительных требований нет. AWS рекомендует иметь не менее 3–5 лет общего опыта в IT-безопасности и не менее 2 лет практического опыта работы с безопасностью AWS.
Большинство кандидатов подходят к SCS-C03 после SAA-C03 (архитектурная основа) и, в идеале, после SAP-C02 или DOP-C02 для получения дополнительной глубины. Кандидаты с сильным общим опытом в области безопасности (CISSP, CompTIA Security+), но ограниченным опытом работы с AWS, должны выделить значительное дополнительное время на IAM (особенно на границы разрешений и SCP), политики ключей KMS и таксономию служб обнаружения AWS. Рабочая лаборатория AWS Organizations с несколькими учетными записями, Control Tower, пакетами соответствия Config и централизованным логированием является артефактом подготовки с самой высокой рентабельностью инвестиций.
SCS-C03 имеет рейтинг Specialty и является одним из самых сложных экзаменов AWS. Планируйте 80–140 часов в течение 10–14 недель для кандидатов, уже работающих в области облачной безопасности; 160–220+ часов для тех, кто приходит из общей безопасности или общего опыта работы с AWS. Экзамен состоит из 65 оцениваемых вопросов за 170 минут — множественный выбор и множественный ответ, без лабораторных работ.
Самым большим камнем преткновения является глубина оценки политик IAM: точное понимание того, как сочетаются политики идентификации, политики ресурсов, границы разрешений, SCP и политики сессий, а также как ключи условий взаимодействуют с кросс-аккаунтным доступом. Оценка политик ключей KMS занимает второе место. Кандидаты также регулярно теряют баллы по вопросам дифференциации служб обнаружения (GuardDuty против Security Hub против Detective против Inspector) и по сложным вопросам потока трафика VPC, включающим конечные точки и PrivateLink.
Текущая версия. Модернизированное покрытие служб обнаружения, управление несколькими учетными записями, мультирегиональные ключи KMS и Network Firewall. Обновленные шаблоны реагирования на инциденты, отражающие зрелость EventBridge / SSM Automation.
Краткая промежуточная редакция. Выведена из эксплуатации в 2023 году.
Первоначальная версия Security Specialty. Давно выведена из эксплуатации; инструментарий обнаружения до появления Security Hub.
SCS-C03 (AWS Certified Security Specialty) — это Specialty-уровневый экзамен, глубоко специализированный экзамен, охватывающий продвинутые темы в узкой области — ожидается, что практический опыт является обязательным условием. Большинству кандидатов требуется 100–200 часов обучения, распределенных на 2–4 месяца, для специализированных экзаменов. Они предполагают практический опыт в области специализации. Большинство кандидатов, которые стабильно набирают баллы выше проходного порога на пробных экзаменах, сдают его с первой попытки.
Большинству кандидатов требуется 100–200 часов обучения, распределенных на 2–4 месяца, для специализированных экзаменов. Они предполагают практический опыт в области специализации. Время, необходимое для сдачи, сильно варьируется в зависимости от предыдущего опыта. Инженерам с практическим опытом работы с базовой технологией обычно требуется меньше времени; кандидатам, новым для платформы, следует ориентироваться на верхнюю границу этого диапазона.
SCS-C03 — это признанная квалификация в экосистеме AWS, которая подтверждает знания для работодателей, рекрутеров и клиентов. Стоит ли это затраченного времени и платы, зависит от вашей роли и целей — это чаще всего окупается для облачных инженеров, архитекторов и консультантов, которые ежедневно работают с AWS или хотят перейти на такие должности.
Проходной балл для SCS-C03 составляет 750 / 1000. Экзамен содержит 65 вопросов и длится 2 ч 50 мин.
Стоимость экзамена SCS-C03 составляет $300 USD. Сборы устанавливаются AWS и могут варьироваться в зависимости от региона; всегда уточняйте текущую цену на официальной странице сертификации AWS перед бронированием.
Сертификации AWS действительны в течение 3 лет. Пройдите повторную сертификацию, сдав текущую версию того же экзамена или сдав экзамен более высокого уровня в том же направлении до истечения срока действия.
Да. Вы можете сдать экзамен онлайн (с прокторингом через безопасный браузер провайдера, доступный 24/7 в большинстве регионов) или в очном центре тестирования Pearson VUE в рабочее время. Оба формата используют одни и те же вопросы, ограничение по времени и проходной балл.
CertLabPro предлагает 15 режимов обучения по банку практических вопросов для SCS-C03. Режим симуляции экзамена имитирует реальный экзамен: 65 вопросов за 2 ч 50 мин, с тем же проходным порогом 750 / 1000. Режим просмотра позволяет статически читать каждый вопрос и ответ.