logo
AWS专家级🔒 安全76% 通过率

AWS Certified Security - Specialty (SCS-C02)

验证您在 AWS 平台上设计和实施安全解决方案的专业能力。涵盖威胁检测、身份管理、数据保护与安全治理等高级安全技能。

开始刷题查看学习路径
$300
考试费
65
题量
170m
考试时长
750/1000
及格分
?
一句话定论 · 看情况

AWS 安全工程师和 AWS 栈 SOC 分析师的必考证,但对非 AWS 深度使用者 ROI 一般 — 300 美元只换一个窄领域专家标签。

会员权益

JR 会员全站通

一个会员解锁全部认证题库、课程折扣和专属工具

  • 全部认证题库免费刷
  • 课程最高 5 折优惠
  • AI 工具 & Chrome 插件
  • 优先预约 1v1 导师
查看会员方案

这张认证到底考什么

先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。

AWS Certified Security - Specialty(SCS-C02)是 AWS 认证体系里 Specialty 级别的安全专项证,2023 年 7 月替换了 2020 年发布的 SCS-C01。考试费 300 USD(是 Associate 级 SAA 的两倍),65 题 170 分钟,1000 分制 750 通过,证书有效期 3 年。

官方说没有前置认证要求,任何人都可以直接报 — 但这句话是陷阱。AWS 自己在 exam guide 里推荐考生"至少 2 年设计和实施 AWS 安全方案的实战经验"。现实中,裸考 SCS-C02 基本必挂:考纲 6 个域全都假设你熟悉 IAM 策略评估顺序、知道 VPC Flow Log 怎么读、会分析 CloudTrail 的 Event JSON。没过 SAA 或没摸过生产 AWS 账号的人,看 70% 的场景题会直接懵。

SCS-C02 相比 C01 最大的变化是把威胁检测和事件响应单独拎出来做一个域(14%),并显著加重了 GuardDuty、Security Hub、Detective 这套"检测-调查-响应"工具链的考察。C01 时代还能靠把 IAM + KMS 刷透过线,C02 要求你把整个"日志采集(CloudTrail/VPC Flow/Config)→ 检测(GuardDuty/Macie/Inspector)→ 集中(Security Hub)→ 响应(EventBridge + Lambda)"的链路讲清楚。

6 大考试域权重:基础设施安全 20%、安全日志与监控 18%、数据保护 18%、身份与访问管理 16%、威胁检测与事件响应 14%、管理与治理 14%。IAM 和 KMS 虽然只在"身份"和"数据保护"里显式出现,但它们是隐形的主角 — 几乎每个域的题目都会绕回到"这个策略应该写在 IAM 还是 KMS 密钥策略里"、"跨账户访问怎么配 trust policy"、"SSE-KMS 用 AWS 托管 key 还是 CMK"这类判断。

你会反复碰到的核心服务

GuardDutySecurity HubKMSWAFShieldIAMVPC SecurityCloudTrailConfigMacieInspectorSecrets ManagerCertificate Manager

学完以后你能带走什么

  • 获得 AWS 官方认可的 Security Specialty 认证
  • 掌握 AWS 环境的威胁检测与事件响应流程
  • 熟练配置 IAM、KMS、WAF 等核心安全服务
  • 具备设计端到端 AWS 安全架构的能力

考试详情

考试代码
SCS-C02
发证机构
Amazon Web Services
时长
170 分钟
题目数
65
及格分
750/1000
有效期
3
考试费用
$300 USD
题型
单选题、多选题
考试语言
English, 日本語, 한국어, 简体中文
官方页面
打开官方页面

适合谁考

适合人群

  • 负责 AWS 环境安全的安全工程师
  • 设计云安全架构的安全架构师
  • 执行安全审计与合规检查的合规人员
  • 希望深入 AWS 安全领域的 DevSecOps 工程师
  • 已持有 AWS Associate 认证希望获得安全专项认证的学员

开始前最好先有

  • 至少 2 年 AWS 安全相关工作经验
  • 熟悉 IAM 策略、角色和权限管理
  • 了解加密基础概念(对称/非对称加密、PKI)
  • 具备网络安全基础知识(防火墙、VPN、TLS)
  • 建议先通过 AWS Solutions Architect Associate 认证

值不值得考?职业价值

AWS Security Specialty 持证人的薪资区间、对应岗位、以及真实的职业影响。

澳洲
$135K-185KAUD
美国
$150K-220KUSD
中国
¥400K-700KCNY
新加坡
$115K-170KSGD
Cloud Security EngineerAWS Security EngineerSOC Analyst (AWS)DevSecOps EngineerCloud Security ArchitectSecurity Consultant云安全工程师云安全架构师

AWS 安全岗比普通 AWS 架构岗溢价多少

根据 2025-2026 年 Dice 和 Foote Partners 的云技能薪资报告,持有 AWS Security Specialty 的工程师平均薪资比仅持 SAA 的同级别架构师高出约 15-22%。原因不复杂:AWS 云安全的活比写 Terraform 更细、更敏感(出事就是合规事件),市场上真正懂 IAM 策略调试 + KMS 加密全栈 + GuardDuty 调优的人永远缺。

但"AWS 安全溢价"有一个非常明确的前提:雇主必须是深度使用 AWS 的公司。这张证在一个跑 Azure 为主的银行、或者用 GCP 的 AI 公司,几乎就是简历上一行普通文字 — 不会加分也不会减分。和 AZ-500 的差别就在这:AZ-500 的雇主池跟着 Microsoft 企业客户走,全球覆盖广;SCS-C02 跟着 AWS 的 Tier-1 客户走(Netflix、Airbnb、Capital One、Stripe 这种),地理和行业集中度高。

适合考的三类人

  1. 已经在 AWS 栈里做 SOC 或 IR 的安全工程师:你每天看 GuardDuty finding、写 Athena 查 CloudTrail,但 title 里没有"Cloud"两个字。这张证是最直接的"把工作经验翻译成市场通用货币"的工具,很多公司内部加薪或晋升明确挂钩 Specialty 认证。

  2. 已经过 SAA 的 AWS 架构师想走安全专家路线:SAA 是横向架构师的入门券,SCS-C02 是纵向专家的身份标签。在澳洲和美国市场,同时持有 SAA + SCS 的人在 principal security engineer 岗位的简历通过率明显高于只有 SAA 的。

  3. MSP 或咨询公司面向 AWS 大客户做安全咨询的顾问:给金融、医疗、政府客户落地 AWS 时,客户明确要求供应商团队有 Specialty 认证。这时候 SCS 就是商务合同里的硬指标,不是你想不想考的问题。

不适合考的人

  • 普通的 AWS 架构师(非安全方向):你每周花在安全上的时间不超过 10%,考这张证投入产出比远低于 SAP(Solutions Architect Professional)。
  • 完全做 on-prem 或非 AWS 云的安全工程师:CISSP、OSCP、或 AZ-500 都比 SCS 更对口。
  • 想通过一张证转行做云安全的新人:没有 AWS 实操经验的人,SCS-C02 考纲里 60% 的内容你根本理解不了,先考 CLF-C02 → SAA-C03 打基础。

和 CISSP 的关系:两张证不冲突。CISSP 考安全管理、风险、合规、密码学理论 — 是"manager 和架构师的横向思维证";SCS-C02 考 AWS 具体服务怎么配 — 是"engineer 的纵向动手证"。一个在大厂做 Cloud Security Engineer 的典型简历画像:CISSP + AWS SCS-C02 + 3-5 年 AWS 安全实操,这个组合的薪资拉升远大于单张证。

考试域分布

这里不是装饰信息,它决定你应该先把时间砸在哪些知识域上。

学习内容分布

14%

1. 威胁检测与事件响应

Threat Detection and Incident Response

核心知识点
GuardDutySecurity HubDetectiveMacie事件响应流程取证分析
18%

2. 安全日志与监控

Security Logging and Monitoring

核心知识点
CloudTrailCloudWatchVPC Flow LogsConfigS3 访问日志Athena 查询
20%

3. 基础设施安全

Infrastructure Security

核心知识点
VPC 安全WAFShieldNetwork FirewallSecurity GroupsNACLs
16%

4. 身份与访问管理

Identity and Access Management

核心知识点
IAM 策略STSOrganizations SCPSSO跨账户访问Cognito
18%

5. 数据保护

Data Protection

核心知识点
KMSCloudHSMACMSecrets ManagerS3 加密传输加密
14%

6. 管理与安全治理

Management and Security Governance

核心知识点
Control TowerOrganizationsService CatalogConfig Rules合规审计

备考节奏

有 AWS 实操经验

6-10

零基础切入

14-20

建议日投入

1.5-2 小时/天

学习路径预览

8
1
SCS-C02 考试概述与备考指南
45 min
2
威胁检测与事件响应
110 min
3
安全日志与监控
130 min
4
基础设施安全
150 min
5
身份与访问管理
130 min
6
数据保护
130 min
+ 还有 2 章在完整学习路径里

分阶段备考路径

过来人总结的分阶段备考节奏,按周拆分,不是空话。

1

第一阶段:SAA 基础回顾 + AWS 安全服务全景(1-2 周)

如果你 SAA 证书是 2 年前考的,先花一周把 IAM 策略语法、VPC 路由/子网/SG/NACL、S3 bucket policy、CloudWatch/CloudTrail 这套基础回炉一遍。SCS-C02 所有题目都默认你这些东西已经烂熟。然后把 AWS Security 相关的 15+ 个服务(GuardDuty、Security Hub、Macie、Inspector、Detective、WAF、Shield、Network Firewall、Firewall Manager、KMS、CloudHSM、Secrets Manager、ACM、Config、Control Tower)画成一张全景图,知道每个解决什么问题。

2

第二阶段:IAM 高阶 + KMS 深度实操(2-3 周)

IAM 和 KMS 是整个考试的真正主角,必须在真账号里把每个场景配出来,不能只看文档。IAM 必须动手的场景:跨账户 assume role chain(A 账号 role → B 账号 role → C 账号资源)、permissions boundary 约束最大权限、SCP + identity policy + resource policy 三层叠加后的最终生效权限、condition key 写法(aws:PrincipalOrgID、aws:SourceIp、aws:MultiFactorAuthPresent)。KMS 必须搞清楚:key policy vs IAM policy vs grant 三种授权方式的优先级、跨账户/跨区域 key 使用、SSE-S3 vs SSE-KMS(AWS 托管)vs SSE-KMS(CMK)vs SSE-C 的适用场景和计费差异、key rotation 对老密文的影响(答案是不影响,老密文永远能解密)。

3

第三阶段:检测、监控、响应服务链路(2-3 周)

把"日志采集 → 集中 → 检测 → 响应"整条链路在一个实验账号里跑通一次。具体动作:CloudTrail 开 organization trail 写到集中 S3;VPC Flow Logs 写到 CloudWatch Logs + Athena 查询;GuardDuty 开全区域 + 委托 delegated admin;Security Hub 开 CIS、AWS Foundational、PCI DSS 三个标准 + 聚合到安全账号;写一个 EventBridge rule 捕获 GuardDuty finding(severity ≥ 7)→ 触发 Lambda 自动隔离 EC2(把 SG 换成 quarantine SG)。这一段是 C02 相比 C01 权重涨最多的部分,题目会大量出"要求自动化响应,怎么配"。

4

第四阶段:网络安全 + 数据保护 + 治理(2-3 周)

VPC 安全:Gateway Endpoint vs Interface Endpoint 区别、PrivateLink 跨账户访问、Network Firewall 的 stateful/stateless 规则、WAF 的 managed rule group(AWS Managed、Marketplace)和 rate-based rule 配额。数据保护:S3 bucket policy 拒绝所有非 HTTPS 请求的标准写法、S3 Object Lock 的 governance vs compliance 模式、Macie 扫描敏感数据(PII/PHI)的触发机制。治理:Control Tower Landing Zone 生成的默认 OU 结构(Security OU 下 Log Archive 和 Audit 账号)、SCP 常见陷阱(SCP 只能限制 IAM user/role,不能授权;对 root 账号也生效但不影响 service-linked role)。

5

第五阶段:模考冲刺 + 错题复盘(最后 1-2 周)

Tutorials Dojo(Jon Bonso)的 SCS-C02 题库是公认最接近真实考试难度的,配合 WhizLabs 或 ExamTopics 的讨论区交叉验证。做题目标:至少 5 套全真模考,每套后把错题按域分类记录,找出自己最弱的 1-2 个域集中复习。稳定 78% 以上再去考 — 300 美元一次,挂了要隔 14 天才能重考,还要再交一次钱。考试当天用 Mark for Review 先快过一遍,案例题不要死磕。

通过者的真实经验

过来人的备考时长、分数、以及踩过的坑。

本来在传统 SOC 看 Splunk,公司上 AWS 后被派去管 GuardDuty 和 Security Hub。实际干了半年再考 SCS-C02,感觉"题目在描述我每天工作的场景"。唯一没准备好的是 IAM 高级 condition key — 平时工作很少写 aws:PrincipalOrgPaths 这种,考前专门刷了一周 IAM 策略题才补上。

J. Liu812/1000
SOC Analyst → AWS Cloud Security Engineer · 备考 10 周

已经有 SAA 和 DVA 再考 SCS,最难的其实是 KMS。key policy 和 IAM policy 那套叠加关系,光看文档永远搞不清楚,必须在账号里建 customer managed key、故意改策略制造 access denied、然后一步步排错。我在 sandbox 里折腾了整整一周 KMS,考试的时候 6 道 KMS 题全对。

M. Tan867/1000
AWS Security Engineer at FinTech · 备考 8 周

我是架构师,不是专职安全。考这张证是因为客户要求项目团队至少一人持证。难度比想象的大很多 — 作为架构师我对 VPC、IAM 很熟,但 GuardDuty finding type、Macie job scope、Security Hub control 这些细节非常吃记忆。考 758 险过。建议如果不是专门做安全的,直接考 SAP 投入产出比更高。

R. Sharma758/1000
Cloud Architect(主要做 AWS) · 备考 14 周

同赛道认证对比

AWS Security SpecialtyAWS SAA考证AWS SAP考证
机构AWSAWSAWS
级别专家级助理级专业级
考试费$300$150$300
时长170 min130 min180 min
题量656575
有效期3 3 3

备考技巧与常见失误

💡

**申请 ESL +30 分钟加时**:母语非英语的考生可以免费申请,考试总时长 200 分钟,案例题吃时间,这 30 分钟非常关键。报名后在 Pearson VUE 账号里额外提交 Accommodation 请求。

💡

**遇到 IAM 策略 JSON 先看 Deny** — AWS 策略评估顺序是"显式 Deny > 显式 Allow > 默认 Deny",任何一条 Deny 都直接 override 所有 Allow。题目给你一大段 JSON 时,先扫 `"Effect": "Deny"` 再看 Allow,能快速排除干扰选项。

💡

**关键词条件反射**:看到"**autonomously detect account compromise**"选 GuardDuty;"**discover PII in S3**"选 Macie;"**patch vulnerability scan**"选 Inspector;"**centralized security findings**"选 Security Hub;"**investigate root cause of incident**"选 Detective;"**rotate database credentials automatically**"选 Secrets Manager;"**long-lived sensitive config values**"选 Parameter Store with SecureString。

💡

**案例题不要一次读完** — SCS-C02 会有 1-2 个长案例题(500+ 词题干 + 3-5 问)。建议先看问题再带着问题回读题干,比顺读节省一半时间。

💡

**Mark for Review 用满** — 第一遍快速过,遇到吃不准的立刻 Mark,不要硬磕。170 分钟平均 2.6 分钟一题,卡超过 3 分钟必 Mark 跳过。第二遍回头往往豁然开朗,因为后面的题会给你前面题的提示。

⚠️

**Resource-based policy 和 identity-based policy 的叠加关系搞不清** — S3 bucket policy 是 resource-based,IAM user policy 是 identity-based。两者是"OR"关系:任一允许即生效(同账户内),但跨账户必须**两边都允许**。考试高频场景:A 账号用户访问 B 账号 bucket,B 账号 bucket policy 允许了但 A 账号 IAM policy 没写 → 拒绝;反之亦然。

⚠️

**KMS key policy 和 IAM policy 的优先级假设错误** — KMS 有个独特机制:默认情况下 key policy 必须显式授权 IAM principal,IAM policy 才能生效。也就是说,即使 user 有 `kms:Decrypt` 的 IAM 权限,如果 key policy 里没有 `"Principal": {"AWS": "root"}` 或显式列出该 user,依然拒绝。这是 AWS 全家桶里唯一一个"资源策略必须主动授权"的服务,考试必考。

⚠️

**GuardDuty、Macie、Inspector 用途混为一谈** — GuardDuty 看**网络流量和 API 调用异常**(比如 EC2 连接已知恶意 IP、IAM 凭证被滥用);Macie 扫描 **S3 里的敏感数据内容**(PII、PHI、信用卡号);Inspector 扫描 **EC2/ECR/Lambda 的漏洞和 CVE**。题目出"S3 里可能有泄露的客户身份证号"选 Macie;"EC2 镜像有没过期的 OpenSSL"选 Inspector;"有人用偷来的 access key 在凌晨从俄罗斯 IP 调用 API"选 GuardDuty。

⚠️

**跨账户 assume role 的信任链搞反** — 跨账户假设角色有两边:A 账号 user 要假设 B 账号 role,则 B 账号的 role **trust policy** 必须列 A 账号为 Principal,且 A 账号 user 的 IAM policy 必须有 `sts:AssumeRole` 到 B 账号 role 的权限。这两边缺一不可。题目经常给你三个账号的嵌套场景(A → B → C 的 role chaining),每一跳都要两边都配。

⚠️

**SCP 的作用域和生效对象理解错** — SCP 只能**限制**最大权限,不能**授予**权限。一个账号即使 SCP 允许了 `s3:*`,如果 IAM policy 没有对应权限,用户依然没权限。SCP 对 root 账号也生效,但不影响 service-linked role 和 AWS 内部 trust。题目常问"SCP 加了之后为什么用户还是没权限" — 答案是 SCP 不授权。

⚠️

**把 Shield Advanced 当成"自动开启就能防 DDoS"** — Shield Standard 是所有账号自动启用且免费的,只防 L3/L4 常见攻击。Shield Advanced 是 **3000 USD/月**(按 organization 计费),必须显式订阅,才能拿到 24/7 SRT 响应团队、成本保护(DDoS 导致的 Route53/CloudFront/EC2 额外费用可申请退还)、以及和 WAF 的联动。题目里提到"DDoS 攻击期间产生的费用想被 AWS 报销"就必须是 Shield Advanced。

⚠️

**忘记 KMS key 有 7-30 天的 pending deletion 窗口** — KMS key 不能立即删除,最短 7 天、最长 30 天的等待期。等待期内可以取消删除。考试场景:"误删 KMS key 后怎么办" → 答案是在等待期内 cancel key deletion;"想立刻无法使用某个 key 但保留可恢复性" → disable key 而不是 schedule deletion。

FAQ

常见问题

如果你准备考 AWS Security Specialty,先从真题型练习开始。

588+ 练习题、章节学习路径、模考、错题复盘和 AI 导师都在备考页里。

进入备考页

$29 起 · 前 2 章可免费试学

你可能顺手也会看这些

AWS SAA考证

AWS · 助理级
$15065 130 min

AWS SAP考证

AWS · 专业级
$30075 180 min

CISSP

其他 · 大师级
$749150 180 min