As políticas de identidade devem ser criadas diretamente em serviços como o Amazon S3.

As políticas baseadas em recurso necessitam obrigatoriamente possuir em seu documento o atributo principal.

As políticas baseadas em recurso necessitam obrigatoriamente possuir em seu documento o atributo condition.

As políticas de identidade devem ser criadas pelo Identity and Access Management (IAM).

Uma vez que o par de chaves, access key e secret access key é criado, esse par não pode ser desativado temporariamente.

Uma vez que o par de chaves, access key e secret access key é criado, esse par não pode ser removido permanentemente.

O par de chaves deve ser configurados em variáveis de ambiente do Sistema operacional.

Quando o par de chaves é configurado no AWS CLI, ele fica armazenado no formato de texto simples na pasta .aws dentro do perfil do usuário.

Apenas o principal que estiver especificado na trust policy que poderá executar a ação para assumir a função.

Quando o método de assumir uma função for executado com sucesso o usuário recebe as permissões de acesso que são adicionadas as suas permissões já existentes.

Quando o método de assumir uma função for executado com sucesso o usuário recebe as permissões de acesso por um período de tempo definido por uma data e hora inicial e final.

Quando o método de assumir uma função for executado com sucesso o AWS STS retorna um par de chaves de acesso e um session token.

A criptografia em repouso do lado do servidor (SSE-KMS) é habilitada por padrão em todos os novos buckets.

A criptografia em repouso do lado do servidor (SSE-S3) é habilitada por padrão em todos os novos buckets.

A criptografia do lado do cliente (SSE-C) permite que o cliente envie a chave criptográfica que será utilizada pelo S3 para cifrar o objeto.

A criptografia do lado do cliente é realizada apenas pelo AWS SDK, com a interação com o Key Management Service (KMS).

O Systems Manager Parameter Store possui um mecanismo de rotacionamento de segredos nativo ou customizável com a AWS Lambda.

O AWS Systems Manager Parameter Store possui integração com o AWS CloudFormation, permitindo a configuração dinâmica de parâmetros dos templates.

Um segredo armazenado no Systems Manager Parameter Store pode ser referenciado por um segredo no AWS Secrets Manager.

O AWS Secrets Manager possui um mecanismo de rotacionamento de segredos nativo ou customizável com a AWS Lambda.

O SigV4 adiciona informação de autenticação nas requisições feitas para a API da AWS.

O SigV4 utiliza a secret access key para assinar os dados da requisição

O SigV4 protege os usuários contra o replay attack, pois a informação com a assinatura da requisição possui um período de expiração, impedindo que a assinatura seja utilizada após o período de validade.

As aplicações que utilizam o AWS SDKs devem implementar a assinatura das requisições com o SigV4.

O KMS é um serviço de criação, guarda e gerenciamento de chaves criptográficas simétricas e assimétricas

O KMS é um serviço de criação, guarda e gerenciamento de chaves criptográficas simétricas.

Toda chave armazenada no KMS deve possuir uma resource-base policy chamada key policy que determina as permissões que os usuários possuem.

Toda chave armazenada no KMS deve possuir uma identity-base policy chamada key policy que determina as permissões que os usuários possuem.