SCS-C03

核心服务

• AWS Identity and Access Management (IAM)AWS 文档 ↗

  身份、角色和策略基础服务——托管和内联策略、信任策略、ABAC 标签、会话策略和权限边界强制执行每个授权决策。

  为什么会出现在考试中： 领域 4 (身份与访问管理) 完全围绕 IAM 机制展开——最小权限策略编写、跨账户角色以及策略评估顺序是考试中最常考的主题。

• AWS IAM Identity CenterAWS 文档 ↗

  集中式企业 SSO 和多账户权限集分发，将外部 IdP（Entra ID、Okta）联合到 AWS Organizations 账户中。

  为什么会出现在考试中： 领域 4 中关于联合身份、大规模 ABAC 以及用短期角色会话取代长期 IAM 用户的题目，都将 Identity Center 列为 AWS 原生解决方案。

• Amazon GuardDutyAWS 文档 ↗

  对 VPC Flow Logs、DNS 日志、CloudTrail、S3、EKS 审计和 Lambda 运行时进行持续威胁检测——针对受损凭证、加密货币挖矿和已知恶意 IP 发出发现结果。

  为什么会出现在考试中： 领域 1 (威胁检测与事件响应) 将 GuardDuty 列为主要的持续检测信号，并以 EventBridge 驱动的自动化作为规范的响应模式。

• Amazon InspectorAWS 文档 ↗

  对 EC2、ECR 容器镜像和 Lambda 函数进行持续漏洞评估——根据已发现的软件清单对 CVE 和网络可达性发现结果进行评分。

  为什么会出现在考试中： 领域 3 (基础设施安全) 考察 Inspector 的工作负载漏洞态势；将其与 GuardDuty（运行时威胁）和 Macie（数据分类）区分开来。

• AWS Security HubAWS 文档 ↗

  跨服务发现结果聚合器，内置标准检查（CIS、PCI DSS、AWS FSBP、NIST 800-53），并集成了 GuardDuty、Inspector、Macie 和合作伙伴工具。

  为什么会出现在考试中： 领域 2 (安全日志记录与监控) 和领域 6 (治理) 将 Security Hub 列为组织级别的单一管理平台，用于优先处理的发现结果和合规性评分。

• Amazon MacieAWS 文档 ↗

  基于 ML 的 S3 敏感数据发现服务——自动化识别 PII、凭证、财务和健康数据，并提供持续的存储桶清单和态势评估。

  为什么会出现在考试中： 领域 5 (数据保护) 考察 Macie 作为在 S3 中发现和分类敏感数据的指定服务，用于在应用加密、保留或访问控制之前进行操作。

• AWS WAFAWS 文档 ↗

  用于 CloudFront、ALB、API Gateway、AppSync 和 App Runner 的七层 Web ACL——提供托管规则组（OWASP、机器人控制、账户盗用），以及基于速率和自定义规则。

  为什么会出现在考试中： 领域 3 (基础设施安全) 中关于保护公共 Web 端点免受注入、抓取和凭证填充攻击的题目，将 WAF 列为 AWS 原生的边缘防御。

• AWS ShieldAWS 文档 ↗

  托管式 DDoS 防护——Standard 版在边缘免费提供，Advanced 版为 CloudFront、Route 53、ALB 和 Global Accelerator 增加 24×7 SRT 响应、成本保护和三/四/七层攻击分析。

  为什么会出现在考试中： 领域 3 区分了 Shield Standard（始终开启、免费、三/四层）和 Shield Advanced（付费、SRT、成本保护）——这是关于 DDoS 弹性能力的常见场景题。

专用服务

• AWS Key Management Service (KMS)AWS 文档 ↗

  托管式加密密钥服务——提供 AWS 托管密钥、客户托管密钥和外部/导入密钥，支持授权、密钥策略和跨 100 多个服务的 CloudTrail 记录使用情况。

  为什么会出现在考试中： 领域 5 (数据保护) 在每次考试中都考察信封加密、跨账户密钥共享、密钥轮换以及密钥策略与 IAM 策略之间的区别。

• AWS Certificate Manager (ACM)AWS 文档 ↗

  为 CloudFront、ALB、API Gateway 和 App Runner 提供并自动续订公共 TLS 证书；ACM Private CA 颁发具有托管 CRL/OCSP 的内部证书。

  为什么会出现在考试中： 领域 5 中关于传输中数据加密以及领域 3 中关于内部 mTLS 私有 CA 层次结构的题目，都将 ACM 和 ACM Private CA 列为 AWS 原生解决方案。

• AWS Secrets ManagerAWS 文档 ↗

  加密密钥存储，为 RDS、Redshift、DocumentDB 提供自动轮换，并支持自定义 Lambda 驱动的轮换；提供精细的 IAM 访问控制和 CloudTrail 审计。

  为什么会出现在考试中： 领域 4 和领域 5 引用 Secrets Manager 用于短期数据库凭证，并且其与 Parameter Store（免费，无轮换）的对比是常见的干扰项组合。

• Amazon VPCAWS 文档 ↗

  网络隔离基础服务——包括子网、路由表、安全组（有状态）、NACL（无状态）、VPC Flow Logs、VPC 端点和用于数据包捕获的 Traffic Mirroring。

  为什么会出现在考试中： 领域 3 (基础设施安全) 主要涉及 VPC 机制——安全组和 NACL 之间的纵深防御、通过接口端点的私有连接以及用于取证的 Flow Logs。

• AWS Network FirewallAWS 文档 ↗

  用于 VPC 的托管有状态防火墙——提供 Suricata 兼容规则，用于深度数据包检测、域名过滤、IPS 和跨组织集中式出站过滤。

  为什么会出现在考试中： 领域 3 中关于超越安全组/NACL 功能的有状态三到七层检查场景——例如仅出站过滤和集中式检查 VPC——都将 Network Firewall 列为解决方案。

• AWS Firewall ManagerAWS 文档 ↗

  在 AWS Organizations 的账户中，对 WAF 规则、Shield Advanced、Network Firewall、Route 53 Resolver DNS Firewall 和安全组进行组织范围的策略强制执行。

  为什么会出现在考试中： 领域 6 (治理) 中关于在多个账户中强制执行安全基线的题目，都将 Firewall Manager + Organizations 列为多账户控制平面。

• Amazon DetectiveAWS 文档 ↗

  调查图，将 VPC Flow Logs、CloudTrail、GuardDuty 和 EKS 审计数据摄取到行为模型中，用于可疑活动的根本原因分析。

  为什么会出现在考试中： 领域 1 (威胁检测与事件响应) 考察 Detective 作为 GuardDuty 发现结果的指定后续服务——用于转向上下文、影响范围和受影响资源。

• AWS Systems Manager Parameter StoreAWS 文档 ↗

  分层配置和密钥存储，支持 String、StringList 和 SecureString（KMS 支持）类型；免费层覆盖大多数情况，更高配额下可选择高级参数。

  为什么会出现在考试中： 领域 5 中关于存储配置和低量密钥的题目会将 Parameter Store（免费，无轮换）与 Secrets Manager（付费，有轮换）进行比较——这种权衡是可靠的考点。

安全与治理

• AWS CloudTrailAWS 文档 ↗

  不可变 API 调用审计日志——提供组织范围的跟踪、管理/数据/Insights 事件、日志文件完整性验证以及用于 SQL 可查询保留的 Lake。

  为什么会出现在考试中： 领域 2 (安全日志记录与监控) 将 CloudTrail 列为基础审计信号；完整性验证和集中式组织跟踪是常见的合规性场景题。

• AWS ConfigAWS 文档 ↗

  配置历史和持续合规性评估——提供托管和自定义规则、通过 SSM 进行自动修复以及用于 CIS/PCI/HIPAA 基线的合规包。

  为什么会出现在考试中： 领域 6 (治理) 考察 Config 作为配置漂移和持续合规性引擎，它补充了 CloudTrail 的 API 调用审计追踪。

• AWS Audit ManagerAWS 文档 ↗

  自动化证据收集，可映射到各种框架（PCI DSS、HIPAA、SOC 2、GDPR、FedRAMP），并提供评估范围界定和可导出审计就绪报告。

  为什么会出现在考试中： 领域 6 中关于生成审计证据并将控制措施映射到合规性框架的题目，都将 Audit Manager 列为 AWS 原生的证据收集服务。

• AWS OrganizationsAWS 文档 ↗

  多账户管理——包括组织单元 (OU)、服务控制策略 (SCP)、资源控制策略、整合账单以及安全服务的委托管理。

  为什么会出现在考试中： 领域 6 (治理) 和领域 4 (IAM) 考察 SCP 作为 IAM 之上的权限边界后盾，以及组织范围 GuardDuty、Security Hub 和 Config 聚合的先决条件。

典型职位

• 云安全工程师
• 云安全架构师
• DevSecOps 工程师
• AWS 安全专家
• 高级信息安全工程师
• 云合规工程师
• 首席安全架构师

薪资范围（美国，估算）

$140k–$200k–$290k USD 每年

此范围涵盖美国境内需要 AWS 熟练度的中高级云安全职位。顶级的金融服务公司、FAANG 和专注于安全的独角兽公司经常超过 35 万美元的总薪酬。非沿海市场中入门级“安全工程师”职位的薪资低于低端。安全专业认证相对于通用云认证，通常能获得更高的溢价。

来源：levels.fyi 2025–2026 云安全职位，U.S. BLS OEWS 2024 年 5 月 (15-1212 information security analysts)。数据为估算值；实际薪酬取决于职位、地区和经验。

市场需求

2024 年至 2026 年，云安全招聘需求依然强劲，因为企业围绕多账户 AWS 资产、零信任模式和供应链风险，持续完善安全计划。SCS-C03 被广泛列为云安全工程师和架构师职位的首选，也是与 CISSP 和 CCSP 并列的更受普遍尊重的单一安全凭证之一。金融服务、医疗保健和专注于安全的 SaaS 公司的招聘人员将其视为 AWS 特定安全深度的可信信号。它与 SAA-C03 或 SAP-C02、Advanced Networking Specialty (ANS-C01) 以及跨厂商凭证自然搭配。该认证本身并不能使候选人胜任 CISO 或安全副总裁职位——这些职位需要更广泛的计划领导和风险管理经验。