AWS CLF-02 #6 상세 정리

공유 책임 모델

AWS 공유 책임 모델

리소스에는 Amazon EC2 인스턴스, Amazon S3 버킷 및 Amazon RDS 데이터베이스가 포함됩니다. 이러한 리소스의 보안 유지 책임은 고객과 AWS 중 누구에게 있을까요?

정답은 둘 다입니다. 그 이유는 AWS 환경을 단일 개체로 취급하지 않기 때문입니다. 그보다는 환경을 서로를 기반으로 하는 여러 부분의 집합으로 취급합니다. AWS는 환경의 일부에 대한 책임을 지고, 고객(고객)은 다른 부분에 대한 책임을 집니다. 이 개념을공유 책임 모델이라고 합니다.

공유 책임 모델은 고객 책임(일반적으로 "클라우드의 보안"이라고 함)과 AWS 책임(일반적으로 "클라우드의 보안"이라고 함)으로 나뉩니다.

 

이 모델은 주택 소유자와 주택 건설업자 간의 책임 분담과 유사하다고 생각할 수 있습니다. 건축업자(AWS)는 집을 짓고 견고하게 지을 책임이 있습니다. 주택 소유자(고객)는 문을 닫고 잠그는 등 집 안의 모든 것을 안전하게 보호할 책임이 있습니다.

고객 : 클라우드 보안

고객은 AWS클라우드에생성하고 저장하는 모든 것의 보안에 대한 책임이 있습니다.

AWS 서비스를 사용할 때 고객은 자신의 콘텐츠에 대한 완전한 통제권을 유지합니다. 고객은 AWS에 저장하기로 선택한 콘텐츠, 사용하는 AWS 서비스, 해당 콘텐츠에 액세스할 수 있는 사용자를 포함하여 콘텐츠에 대한 보안 요구 사항을 관리할 책임이 있습니다. 또한 액세스 권한을 부여, 관리 및 취소하는 방법도 제어할 수 있습니다.

보안 단계는 사용하는 서비스, 시스템의 복잡성, 회사의 특정 운영 및 보안 요구 사항과 같은 요인에 따라 달라집니다. 단계에는 Amazon EC2 인스턴스에서 실행할 운영 체제 선택, 구성 및 패치 적용, 보안 그룹 구성 및 사용자 계정 관리가 포함됩니다.

AWS: 클라우드 보안

AWS는 클라우드의 보안을 책임집니다.

AWS는 인프라의 모든 계층에서 구성 요소를 운영, 관리 및 제어합니다. 여기에는 호스트 운영 체제, 가상화 계층, 심지어 서비스가 운영되는 데이터 센터의 물리적 보안과 같은 영역이 포함됩니다.

AWS는 AWS 클라우드에서 제공되는 모든 서비스를 실행하는 글로벌 인프라를 보호할 책임이 있습니다. 이 인프라에는 AWS 리전, 가용 영역, 에지 위치가 포함됩니다.

AWS는 클라우드의 보안, 특히 리소스를 호스팅하는 물리적 인프라를 관리하며, 여기에는 다음이 포함됩니다:

• 데이터 센터의 물리적 보안
• 하드웨어 및 소프트웨어 인프라
• 네트워크 인프라
• 가상화 인프라

AWS 데이터 센터를 직접 방문하여 이러한 보안을 직접 확인할 수는 없지만, AWS는 타사 감사자가 작성한 여러 보고서를 제공합니다. 이러한 감사자는 다양한 컴퓨터 보안 표준 및 규정을 준수하는지 확인했습니다.

 

사용자 권한 및 액세스

AWS ID 및 액세스 관리(IAM)

AWS ID 및 액세스 관리(IAM)를 사용하면 AWS 서비스 및 리소스에 대한 액세스를 안전하게 관리할 수 있습니다.

IAM을 사용하면 회사의 특정 운영 및 보안 요구 사항에 따라 액세스를 유연하게 구성할 수 있습니다. 

• IAM 사용자, 그룹 및 역할
• IAM 정책
• 다단계 인증

또한 이러한 각 기능에 대한 모범 사례도 배웁니다.

AWS 계정 루트 사용자

AWS 계정을 처음 만들면루트 사용자라는 ID로 시작합니다.

루트 사용자는 AWS 계정을 만들 때 사용한 이메일 주소와 비밀번호로 로그인하여 액세스할 수 있습니다. 루트 사용자는 커피숍의 주인과 비슷하다고 생각하시면 됩니다. 계정의 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있습니다.

 

 

모범 사례:

• 일상적인 작업에는 루트 사용자를 사용하지마세요.
• 대신 루트 사용자를 사용하여 첫 번째 IAM 사용자를 만들고 다른 사용자를 만들 수 있는 권한을 할당하세요.
• 그런 다음 다른 IAM 사용자를 계속 생성하고 해당 ID에 액세스하여 AWS 전반에서 일반적인 작업을 수행하세요. 루트 사용자만 사용할 수 있는 제한된 수의 작업을 수행해야 하는 경우에만 루트 사용자를 사용하세요. 이러한 작업의 예로는 루트 사용자 이메일 주소 변경 및 AWS 지원 플랜 변경 등이 있습니다.

 

IAM 사용자

IAM 사용자는 AWS에서 생성하는 ID입니다. 이는 AWS 서비스 및 리소스와 상호 작용하는 사람 또는 애플리케이션을 나타냅니다. 이름과 자격 증명으로 구성됩니다.

기본적으로 AWS에서 새 IAM 사용자를 생성하면 해당 사용자에 연결된 권한이 없습니다. IAM 사용자가 AWS에서 Amazon EC2 인스턴스를 시작하거나 Amazon S3 버킷을 만드는 등의 특정 작업을 수행할 수 있도록 하려면 해당 사용자에게 필요한 권한을 부여해야 합니다.

모범 사례:

• AWS에 액세스해야 하는 각 사람에 대해 개별 IAM 사용자를 만드는 것이 좋습니다.
• 동일한 수준의 액세스가 필요한 직원이 여러 명 있는 경우에도 각 직원에 대해 개별 IAM 사용자를 만들어야 합니다. 이렇게 하면 각 IAM 사용자가 고유한 보안 자격 증명 집합을 가질 수 있어 보안이 강화됩니다.

 

IAM 정책

IAM 정책은 AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서입니다.

IAM 정책을 사용하면 리소스에 대한 사용자의 액세스 수준을 사용자 지정할 수 있습니다. 예를 들어 사용자가 AWS 계정 내의 모든 Amazon S3 버킷에 액세스하도록 허용하거나 특정 버킷에만 액세스하도록 허용할 수 있습니다.

모범 사례:

• 권한을 부여할 때는최소 권한의 보안 원칙을 따르세요.
• 이 원칙을 따르면 사용자나 역할이 작업을 수행하는 데 필요한 것보다 더 많은 권한을 갖지 못하도록 방지할 수 있습니다.
• 예를 들어 직원이 특정 버킷에만 액세스해야 하는 경우 IAM 정책에서 버킷을 지정하세요. 직원에게 AWS 계정의 모든 버킷에 대한 액세스 권한을 부여하는 대신 이렇게 하세요.

IAM 그룹

IAM 그룹은 IAM 사용자의 모음입니다. 그룹에 IAM 정책을 할당하면 그룹의 모든 사용자에게 정책에 지정된 권한이 부여됩니다.

다음은 커피숍에서 이것이 어떻게 작동하는지에 대한 예입니다. 소유자는 계산원에게 한 번에 하나씩 권한을 할당하는 대신 "계산원" IAM 그룹을 만들 수 있습니다. 그런 다음 소유자는 그룹에 IAM 사용자를 추가한 다음 그룹 수준에서 권한을 연결할 수 있습니다.

 

 

그룹 수준에서 IAM 정책을 할당하면 직원이 다른 직종으로 이동하는 경우에도 권한을 쉽게 조정할 수 있습니다. 예를 들어, 계산원이 재고 전문가가 되는 경우 커피숍 소유자는 해당 직원을 '계산원' IAM 그룹에서 제거하고 '재고 전문가' IAM 그룹에 추가할 수 있습니다. 이렇게 하면 직원이 현재 역할에 필요한 권한만 갖도록 할 수 있습니다.

커피숍 직원이 영구적으로 직무를 전환하지 않고 하루 종일 다른 워크스테이션으로 순환하는 경우 어떻게 해야 할까요? 이 직원은IAM 역할을 통해 필요한 액세스 권한을 얻을 수 있습니다.

IAM 역할

커피숍에서 직원은 하루 종일 다른 워크스테이션으로 교대 근무를 합니다. 커피숍의 직원 배치에 따라 이 직원은 금전 등록기 작업, 재고 시스템 업데이트, 온라인 주문 처리 등 여러 가지 업무를 수행할 수 있습니다.

직원이 다른 업무로 전환해야 하는 경우 한 워크스테이션에 대한 액세스 권한을 포기하고 다음 워크스테이션에 액세스 권한을 얻습니다. 직원은 워크스테이션 간에 쉽게 전환할 수 있지만 특정 시점에서는 하나의 워크스테이션에만 액세스할 수 있습니다. 이와 동일한 개념이 AWS의 IAM 역할에도 존재합니다.

IAM 역할은 권한에 대한 임시 액세스 권한을 얻기 위해 가정할 수 있는 ID입니다.

IAM 사용자, 애플리케이션 또는 서비스가 IAM 역할을 맡으려면 먼저 해당 역할로 전환할 수 있는 권한을 부여받아야 합니다. 누군가가 IAM 역할을 맡으면 이전 역할에서 가지고 있던 모든 이전 권한이 포기되고 새 역할의 권한을 갖게 됩니다.

모범 사례:

• IAM 역할은 서비스나 리소스에 대한 액세스 권한을 장기간이 아닌 일시적으로 부여해야 하는 상황에 이상적입니다.

 

다단계 인증

신원 확인을 위해 여러 가지 정보를 제공해야 하는 웹사이트에 로그인한 적이 있나요? 비밀번호를 입력한 다음 휴대폰으로 전송된 임의의 코드와 같은 두 번째 인증 수단을 제공해야 했을 수도 있습니다. 이것이 바로다단계 인증의 예입니다.

IAM에서 다단계 인증(MFA)은 AWS 계정에 대한 추가 보안 계층을 제공합니다.

 

AWS 조직

AWS 조직

회사에 여러 개의 AWS 계정이 있다고 가정해 보세요.AWS 조직을 사용하여 중앙 위치에서 여러 AWS 계정을 통합하고 관리할수 있습니다.

조직을 만들면 AWS 조직이 자동으로루트를 생성하며, 이루트는 조직의 모든 계정에 대한 상위 컨테이너입니다.

AWS 조직에서는SCP(서비스 제어 정책)를 사용하여 조직 내 계정에 대한 권한을 중앙에서 제어할 수 있습니다. SCP를 사용하면 각 계정의 사용자 및 역할이 액세스할 수 있는 AWS 서비스, 리소스 및 개별 API 작업을 제한할 수 있습니다.

통합 청구는 AWS 조직의 또 다른 기능입니다. 이후 모듈에서 통합 청구에 대해 배우게 됩니다.

조직 단위

AWS 조직에서는 계정을 OU(조직 단위)로 그룹화하여 비즈니스 또는 보안 요구 사항이 유사한 계정을 더 쉽게 관리할 수 있습니다. OU에 정책을 적용하면 OU의 모든 계정이 정책에 지정된 권한을 자동으로 상속받습니다.

별도의 계정을 OU로 구성하면 특정 보안 요구 사항이 있는 워크로드나 애플리케이션을 더 쉽게 격리할 수 있습니다. 예를 들어, 회사에서 특정 규제 요건을 충족하는 AWS 서비스에만 액세스할 수 있는 계정이 있는 경우, 이러한 계정을 하나의 OU에 넣을 수 있습니다. 그런 다음 규제 요구 사항을 충족하지 않는 다른 모든 AWS 서비스에 대한 액세스를 차단하는 정책을 OU에 첨부할 수 있습니다.

 

규정 준수

AWS 아티팩트

회사의 업종에 따라 특정 표준을 준수해야 할 수도 있습니다. 감사 또는 점검을 통해 회사가 이러한 표준을 충족했는지 확인할 수 있습니다.

AWS 아티팩트는 AWS 보안 및 규정 준수 보고서와 일부 온라인 계약에 대한 온디맨드 액세스를 제공하는 서비스입니다. AWS 아티팩트는 크게 두 가지 섹션으로 구성됩니다: AWS 아티팩트 계약과 AWS 아티팩트 보고서입니다.

AWS 아티팩트 계약

회사에서 AWS 서비스 전반에 걸쳐 특정 유형의 정보 사용과 관련하여 AWS와 계약을 체결해야 한다고 가정해 보겠습니다.AWS 아티팩트 계약을 통해 이를 수행할 수 있습니다.

AWS 아티팩트 계약에서 개별 계정 및 AWS 조직의 모든 계정에 대한 계약을 검토, 수락 및 관리할 수 있습니다. 건강 보험 양도 및 책임에 관한 법률(HIPAA)과 같은 특정 규정의 적용을 받는 고객의 요구 사항을 해결하기 위해 다양한 유형의 계약이 제공됩니다.

AWS 아티팩트 보고서

다음으로, 귀사의 개발 팀원이 애플리케이션을 구축 중이며 특정 규제 표준을 준수해야 하는 책임에 대한 자세한 정보가 필요하다고 가정해 보겠습니다. 이 팀원에게AWS 아티팩트 보고서에서 이 정보에 액세스하도록 조언할 수 있습니다.

AWS 아티팩트 보고서는 타사 감사자의 규정 준수 보고서를 제공합니다. 이러한 감사자는 AWS가 다양한 글로벌, 지역 및 산업별 보안 표준 및 규정을 준수하는지 테스트하고 확인했습니다. AWS 아티팩트 보고서는 최신 보고서로 최신 상태를 유지합니다. AWS 감사 아티팩트를 감사자 또는 규제 기관에 AWS 보안 제어의 증거로 제공할 수 있습니다.

 

서비스 거부 공격

고객은 커피숍에 전화하여 주문할 수 있습니다. 각 전화를 받은 계산원이 주문을 받아 바리스타에게 전달합니다.

그러나 한 장난꾸러기가 여러 번 전화를 걸어 주문만 하고 음료를 받지 않는다고 가정해 보겠습니다. 이로 인해 계산원은 다른 고객의 전화를 받을 수 없게 됩니다. 커피숍은 장난꾼이 사용하는 전화번호를 차단하여 잘못된 요청을 중지할 수 있습니다.

이 시나리오에서 장난꾼의 행동은서비스 거부 공격과 유사합니다.

서비스 거부 공격

서비스 거부(DoS) 공격은 사용자가 웹사이트나 애플리케이션을 사용할 수 없도록 의도적으로 시도하는 것입니다.

 

 

예를 들어, 공격자는 표적이 된 웹사이트나 애플리케이션이 과부하가 걸려 더 이상 응답할 수 없을 때까지 과도한 네트워크 트래픽을 웹사이트나 애플리케이션에 쏟아 부을 수 있습니다. 웹사이트나 애플리케이션을 사용할 수 없게 되면 합법적인 요청을 하려는 사용자에 대한 서비스가 거부됩니다.

분산 서비스 거부 공격

이제 장난꾼이 친구들의 도움을 받았다고 가정해 보겠습니다.

장난꾼과 친구들은 주문을 받을 의도가 없음에도 불구하고 커피숍에 반복적으로 전화를 걸어 주문을 요청합니다. 이러한 요청은 서로 다른 전화번호로 걸려오기 때문에 커피숍에서 이를 모두 차단하는 것은 불가능합니다. 또한 전화가 폭주하면서 고객이 전화를 연결하기가 점점 더 어려워지고 있습니다. 이는분산 서비스 거부 공격과 유사합니다.

 

 

분산 서비스 거부(DDoS) 공격에서는 여러 소스를 사용하여 웹사이트나 애플리케이션을 사용할 수 없게 만드는 것을 목표로 공격을 시작합니다. 이는 공격자 그룹 또는 한 명의 공격자로부터 시작될 수 있습니다. 한 명의 공격자가 여러 대의 감염된 컴퓨터("봇"이라고도 함)를 사용하여 웹사이트 또는 애플리케이션에 과도한 트래픽을 전송할 수 있습니다.

애플리케이션에 대한 DoS 및 DDoS 공격의 영향을 최소화하기 위해AWS Shield를 사용할 수 있습니다.

AWS 쉴드

AWS Shield는 DDoS 공격으로부터 애플리케이션을 보호하는 서비스입니다. AWS Shield는 두 가지 보호 수준을 제공합니다: 스탠다드 및 어드밴스드.

AWS Shield 스탠다드

AWS Shield Standard는 모든 AWS 고객을 무료로 자동으로 보호합니다. 가장 일반적이고 빈번하게 발생하는 DDoS 공격 유형으로부터 AWS 리소스를 보호합니다.

네트워크 트래픽이 애플리케이션으로 유입될 때 AWS Shield Standard는 다양한 분석 기법을 사용하여 악성 트래픽을 실시간으로 탐지하고 자동으로 완화합니다.

AWS Shield Advanced

AWS Shield Advanced는 상세한 공격 진단과 정교한 DDoS 공격을 탐지하고 완화할 수 있는 기능을 제공하는 유료 서비스입니다.

또한 Amazon CloudFront, Amazon Route 53, Elastic Load Balancing과 같은 다른 서비스와 통합됩니다. 또한, 사용자 정의 규칙을 작성하여 복잡한 DDoS 공격을 완화하는 방식으로 AWS Shield를 AWS WAF와 통합할 수 있습니다.

 

추가 보안 서비스

AWS 키 관리 서비스(AWS KMS)

커피숍에는 커피 머신, 페이스트리, 금전 등록기의 돈 등 많은 물품이 있습니다. 이러한 품목을 데이터라고 생각할 수 있습니다. 커피숍 주인은 이러한 물품이 창고에 보관되어 있든 매장 간에 이동 중이든 모두 안전하게 보호되기를 원합니다.

마찬가지로 애플리케이션의 데이터가 저장소에 있는 동안(저장 중 암호화)과 전송되는 동안(전송 중 암호화)에도 보안을 유지해야 합니다.

AWS 키 관리 서비스(AWS KMS)를 사용하면암호화 키를 사용하여 암호화 작업을 수행할 수 있습니다. 암호화 키는 데이터를 잠그고(암호화) 잠금 해제(암호 해독)하는 데 사용되는 임의의 숫자 문자열입니다. AWS KMS를 사용하여 암호화 키를 생성, 관리 및 사용할 수 있습니다. 또한 다양한 서비스와 애플리케이션에서 키 사용을 제어할 수 있습니다.

AWS KMS를 사용하면 키에 필요한 특정 액세스 제어 수준을 선택할 수 있습니다. 예를 들어, 키를 관리할 수 있는 IAM 사용자 및 역할을 지정할 수 있습니다. 또는 키를 일시적으로 비활성화하여 누구도 더 이상 사용하지 못하도록 할 수도 있습니다. 키는 AWS KMS를 벗어나지 않으며, 항상 사용자가 키를 제어할 수 있습니다.

AWS WAF

AWS WAF는 웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽입니다.

AWS WAF는 Amazon CloudFront 및 애플리케이션 로드 밸런서와 함께 작동합니다. 이전 모듈에서 배운 네트워크 액세스 제어 목록을 기억하세요. AWS WAF는 트래픽을 차단하거나 허용하는 비슷한 방식으로 작동합니다. 하지만웹 액세스 제어 목록(ACL)을 사용하여 AWS 리소스를 보호합니다.

아마존 인스펙터

커피숍의 개발자가 새로운 주문 애플리케이션을 개발 및 테스트하고 있다고 가정해 보겠습니다. 개발자는 보안 모범 사례에 따라 애플리케이션을 설계하고 있는지 확인하려고 합니다. 그러나 개발해야 할 다른 애플리케이션이 여러 개 있기 때문에 수동 평가를 수행하는 데 많은 시간을 할애할 수 없습니다. 자동화된 보안 평가를 수행하기 위해Amazon Inspector를 사용하기로 결정합니다.

Amazon Inspector는 자동화된 보안 평가를 실행하여 애플리케이션의 보안 및 규정 준수를 개선하는 데 도움을 줍니다. 이 도구는 애플리케이션의 보안 취약성 및 보안 모범 사례(예: Amazon EC2 인스턴스에 대한 개방형 액세스 및 취약한 소프트웨어 버전 설치)에서 벗어난 부분이 있는지 확인합니다.

Amazon Inspector가 평가를 수행한 후에는 보안 결과 목록을 제공합니다. 이 목록에는 각 보안 문제에 대한 자세한 설명과 해결 방법에 대한 권장 사항을 포함하여 심각도 수준에 따라 우선 순위가 지정됩니다. 그러나 AWS는 제공된 권장 사항을 따른다고 해서 모든 잠재적 보안 문제가 해결된다고 보장하지 않습니다. 공유 책임 모델에 따라 고객은 AWS 서비스에서 실행되는 애플리케이션, 프로세스 및 도구의 보안에 대한 책임이 있습니다.

Amazon GuardDuty

Amazon GuardDuty는 AWS 인프라 및 리소스에 대한 지능적인 위협 탐지를 제공하는 서비스입니다. AWS 환경 내에서 네트워크 활동과 계정 동작을 지속적으로 모니터링하여 위협을 식별합니다.

AWS 계정에 대해 GuardDuty를 사용하도록 설정하면 GuardDuty가 네트워크 및 계정 활동을 모니터링하기 시작합니다. 추가 보안 소프트웨어를 배포하거나 관리할 필요가 없습니다. 그런 다음 GuardDuty는 VPC 플로우 로그 및 DNS 로그를 비롯한 여러 AWS 소스의 데이터를 지속적으로 분석합니다.

GuardDuty가 위협을 감지하면 AWS 관리 콘솔에서 해당 위협에 대한 자세한 결과를 검토할 수 있습니다. 결과에는 해결을 위한 권장 단계가 포함됩니다. 또한 GuardDuty의 보안 발견에 따라 자동으로 해결 단계를 수행하도록 AWS Lambda 함수를 구성할 수도 있습니다.

서비스명 정의 주요 특징 시험 키워드

서비스명	정의	주요 특징	시험 키워드
AWS Identity and Access Management (IAM)	AWS 리소스에 대한 접근을 안전하게 제어하는 서비스	사용자·그룹·역할 생성 / 세분화된 권한 / MFA 지원	인증, 권한, MFA, 역할, 정책
AWS IAM Identity Center (SSO)	여러 AWS 계정 및 애플리케이션에 대한 단일 로그인 제공	중앙 집중식 접근 제어 / SAML, OIDC 연동 / 사용자 관리	SSO, 통합 인증, 다계정 관리
AWS Organizations	여러 AWS 계정을 중앙에서 관리하는 서비스	계정 생성·조직 단위(OU) 관리 / 서비스 제어 정책(SCP) / 통합 결제	다계정 관리, OU, SCP, 통합 청구
AWS Key Management Service (KMS)	데이터 암호화 키 생성 및 관리 서비스	대칭/비대칭 키 지원 / AWS 서비스와 통합 / 규정 준수	암호화, KMS, 키 관리, 규정 준수
AWS CloudHSM	전용 하드웨어 기반 암호화 키 관리	HSM 클러스터 제공 / FIPS 140-2 Level 3 인증	HSM, 하드웨어 암호화, 보안 모듈
AWS Shield	DDoS 공격 방어 서비스	Standard(기본 제공) / Advanced(추가 보호 및 지원)	DDoS, 네트워크 보호
AWS WAF	웹 애플리케이션 방화벽	IP 차단/허용 / SQL Injection, XSS 방어 / CloudFront, ALB 통합	웹 방화벽, SQL Injection, XSS
Amazon GuardDuty	지능형 위협 탐지 서비스	악성 활동·무단 접근 감지 / 머신러닝 기반 / 지속 모니터링	위협 탐지, 지속 모니터링, AI 기반
Amazon Inspector	자동 보안 취약점 스캐닝 서비스	EC2, ECR 이미지, Lambda 스캔 / CVE 기반 취약점 분석	취약점 스캔, 보안 점검, 자동화
AWS Security Hub	AWS 보안 상태를 통합 관리하는 대시보드	GuardDuty, Inspector, Macie 통합 / 규정 준수 체크	보안 통합, 규정 준수, 대시보드
Amazon Macie	민감 데이터(PII) 자동 식별 서비스	S3 내 데이터 스캔 / 머신러닝 기반 PII 탐지	PII, 개인정보 보호, 데이터 식별
AWS Artifact	규정 준수 보고서와 인증서 제공	ISO, SOC, PCI 보고서 다운로드 / AWS 규정 준수 확인	규정 준수, 감사 보고서
AWS Secrets Manager	애플리케이션 비밀(Secret) 관리 서비스	DB 자격 증명, API 키 암호화 / 자동 회전 / 감사 가능	비밀번호 관리, 자동 회전, API 키
AWS Certificate Manager (ACM)	SSL/TLS 인증서 발급 및 관리 서비스	자동 갱신 / AWS 서비스와 통합	SSL/TLS, 인증서, 암호화

 

리소스

• AWS의 보안, ID 및 규정 준수
• 백서: AWS 보안 소개
• 백서: Amazon Web Services - 보안 프로세스 개요
• AWS 보안 블로그
• AWS 규정 준수
• AWS 고객 사례: 보안, 신원 확인 및 규정 준수