[AWS SAA-C03] Domain 1 Review : AWS Certified Solutions Architect - Associate

1. Introduction

🔐 Domain 1-1: Design Secure Access to AWS Resources

✨ 핵심 개념

• 보안은 아키텍처 설계 시 가장 먼저 고려해야 할 요소
• 사람, 도구, 애플리케이션이 어떻게 AWS 리소스와 데이터를 접근할지 정의해야 함
• 접근 제어 범위:
  • 누가/무엇이 리소스를 시작·중지할 수 있는지
  • 언제/어떻게 접근 권한을 주고 운영 권한을 제어할지

---

🧱 기본 지식 (Fundamentals)

• 공유 책임 모델 (Shared Responsibility Model)
• AWS 글로벌 인프라 (리전, AZ, 엣지 로케이션)
• 서비스 내구성 & 가용성

---

🧑‍💻 AWS 계정과 IAM

• AWS IAM은 Global 서비스 → 모든 리전 공통으로 적용
• Root User
  • 계정 생성 시 자동으로 생성되는 슈퍼 계정
  • 권한 변경 불가, 탈취 시 전체 환경이 위험 → 절대 일상 사용 금지
  • 보호 방법: MFA 활성화, 별도 권한이 제한된 IAM 사용자 생성
• IAM User / Group / Role
  • 신규 IAM 사용자는 기본 권한 없음
  • Least Privilege(최소 권한 원칙) 적용 → 필요 최소 권한만 부여
  • Users : 특정 사용자에게 직접 권한 부여
  • Groups : 공통 권한을 여러 사용자에게 부여
  • Roles : AWS 리소스나 외부 사용자/서비스가 임시로 권한 획득

---

🔑 권한 부여 (Policies)

• Policy = 권한을 정의하는 객체
• Identity-based Policy
  • User/Group/Role에 부착 → “누가 무엇을 할 수 있는가”
• Resource-based Policy
  • S3, SQS, KMS, VPC Endpoint 등에 부착 → “누가 이 리소스에 접근할 수 있는가”
  • 차이점: Principal 명시 필요
• IAM Policy 문서 구조
  • Version
  • Statement
    • Effect (Allow/Deny)
    • Action (어떤 API 호출 가능?)
    • Resource (대상 리소스)
    • Principal (리소스 정책에만 존재)

---

🌍 연동 & Federation

• STS(Security Token Service) → 임시 보안 자격 증명 제공
• Federation
  • 회사 AD(Active Directory)나 외부 IdP와 연동 → AWS 리소스 접근 위임
  • SAML 2.0, OIDC 기반 싱글사인온(SSO) 활용

---

🚫 잘못된 접근

• 앱 코드에 하드코딩된 AWS 키 ❌
• 대신 사용해야 하는 방법:
  • IAM Role + Instance Profile (EC2, Lambda 등)
  • AWS SDK + IAM Role 자동 인증
  • AWS Secrets Manager / SSM Parameter Store

---

📊 추적 & 모니터링 (Traceability)

• 누가, 무엇이, 언제, 어디서 접근했는지 기록/추적 필수
• 관련 서비스:
  • AWS CloudTrail (API 호출 기록)
  • AWS Config (리소스 변경 추적)
  • Amazon CloudWatch (로그/메트릭)
  • GuardDuty, Security Hub, Inspector, Macie (위협 탐지 & 보안 분석)

---

🏛 멀티 계정 관리

• AWS Organizations → 다계정 구조 관리
• Service Control Policies(SCP) → 계정 단위 권한 제한
• AWS Control Tower → 계정 생성·거버넌스 자동화

---

📌 정리

• IAM = 글로벌 서비스, Root User는 반드시 보호(MFA 필수, 사용 지양)
• 사용자 접근: Users / Groups / Roles 조합 + 최소 권한 원칙
• 권한 부여: Identity-based Policy vs Resource-based Policy 구분
• 외부 사용자 접근: Federation + STS
• 애플리케이션 접근: 절대 키 하드코딩 금지 → Role/Secrets Manager 활용
• 추적성(Traceability) 확보: CloudTrail, Config, GuardDuty 등
• 멀티 계정 전략: Organizations + SCP + Control Tower

---

 

2. Design Secure Workloads and Applications

🛡️ Domain 1-2: Design Secure Workloads and Applications

✨ 핵심 주제

• 사람, 도구, 애플리케이션이 안전하게 AWS 서비스에 접근하도록 설계
• VPC 보안 아키텍처 및 네트워크 계층 보안이 중심

---

🌐 Amazon VPC Fundamentals

• VPC 유형: Default VPC vs Custom VPC (초기 보안 설정 다름)
• VPC 범위: Regional 서비스
• Subnet: AZ 단위(= Zonal 서비스)
• 구성 요소
  • Security Group (SG): 인스턴스 단위 가상 방화벽
  • NACL (Network ACL): 서브넷 단위 네트워크 필터
  • Route Table: 트래픽 라우팅 제어
  • NAT Gateway: 프라이빗 서브넷 → 아웃바운드 인터넷 액세스

네트워크 설계 고려사항

• Public Subnet ↔ Private Subnet 구분
• CIDR, 라우팅, 보안 필터 설계
• VPN, Direct Connect, Transit Gateway, VPC Peering, PrivateLink 활용

---

🔒 외부 연결 보안

• VPN 연결
  • Site-to-Site VPN
  • Client VPN
• Direct Connect: 전용선, 안정적·보안적 연결
• PrivateLink
  • 서비스 공유 시 인터넷 노출 없이 다른 VPC에서 접근 가능
  • VPC Peering보다 보안적이고 관리 효율적

---

📂 데이터 보안 & 개인 정보 (PII)

• Amazon Macie: ML 기반 S3 내 PII(개인정보) 탐지/보호
• Amazon Cognito: 인증·인가 (User Pool, Identity Pool, Federation)
• Amazon GuardDuty: 위협 탐지 서비스

---

🔑 애플리케이션 보안

• Secrets 관리
  • AWS Secrets Manager: 자동 Credential Rotation, Secret 저장
  • SSM Parameter Store: 설정값/비밀 관리 (Secrets Manager보다 단순)
• 방화벽 & 보호 서비스
  • AWS WAF: ALB, API Gateway, CloudFront에 적용 가능
  • AWS Shield:
    • Standard (무료, 기본 DDoS 보호)
    • Advanced (추가 DDoS 보호, SLA 보장)

---

🔐 기타 보안 서비스 통합

• IAM Identity Center (SSO)
• AWS Systems Manager Parameter Store
• Amazon CloudWatch & CloudTrail (추적/모니터링)

---

📌 시험 대비 핵심 체크

• VPC = Regional / Subnet = Zonal
• SG vs NACL 차이 (상태 저장 여부, 적용 단위)
• Private Subnet ↔ NAT GW ↔ 인터넷 아웃바운드 구조
• PrivateLink vs VPC Peering → 대규모 확장 시 PrivateLink 선택
• Macie → PII 보호
• Cognito → Federation & User Pool
• Secrets Manager vs Parameter Store 차이
• WAF 배포 가능한 리소스 기억 (ALB, API GW, CloudFront)
• Shield Standard vs Shield Advanced 차이

---

📊 시각화 다이어그램

 

flowchart TD A[Secure Workloads & Applications] A --> B[VPC Security] B --> B1[Default vs Custom VPC] B --> B2[SG / NACL / Route Tables] B --> B3[Subnet (Public vs Private)] B --> B4[NAT GW, IGW] A --> C[Secure Connections] C --> C1[Site-to-Site VPN] C --> C2[Client VPN] C --> C3[Direct Connect] C --> C4[PrivateLink] A --> D[Data Security] D --> D1[Amazon Macie - PII] D --> D2[Encryption / Keys] D --> D3[Backup & DR] A --> E[App Security Services] E --> E1[Secrets Manager] E --> E2[Parameter Store] E --> E3[AWS WAF] E --> E4[AWS Shield] A --> F[Identity & Monitoring] F --> F1[Amazon Cognito] F --> F2[IAM Identity Center] F --> F3[GuardDuty] F --> F4[CloudWatch & CloudTrail]

---

✅ 정리

• VPC 보안 설계 능력이 핵심 (SG, NACL, 서브넷, NAT, PrivateLink)
• 데이터 보호 서비스 (Macie, Cognito, GuardDuty 등) 숙지
• 비밀 관리 차이점 (Secrets Manager vs Parameter Store)
• 네트워크 보안 (VPN, Direct Connect, PrivateLink 활용)
• WAF/Shield의 특징과 배포 가능한 서비스 구분

---

 3. Determine Appropriate Data Security Controls

🔐 Domain 1-3: Determine Appropriate Data Security Controls

✨ 핵심 주제

• 데이터 보호(Data Protection) 는 AWS 보안 설계의 중심
• 데이터는 저장 시(At Rest) 와 전송 중(In Transit) 모두 암호화 필요
• 최소 권한 원칙(Least Privilege)과 키 관리가 핵심

---

🧱 암호화 Fundamentals

• 암호화 유형
  • At Rest: 저장 데이터 보호 (S3, EBS, RDS 등)
  • In Transit: 전송 중 데이터 보호 (TLS/SSL, ACM 인증서)
• 용어
  • Plaintext: 암호화 전 데이터 (문서, 이미지, 앱 등)
  • Algorithm: 암호화 처리 로직
  • Key: 암호화/복호화 비밀 (대칭/비대칭)
  • Ciphertext: 암호화된 데이터
• 암호화 키
  • 대칭키 (Symmetric): 하나의 키로 암호화·복호화
  • 비대칭키 (Asymmetric): 공개키/개인키 분리

---

🔑 AWS 암호화 서비스

• KMS (Key Management Service)
  • Managed key 관리, 자동 회전 지원
  • 통합 서비스 많음 (EBS, S3, RDS, Lambda 등)
• CloudHSM
  • 고객 전용 HSM(Hardware Security Module)
  • 규제·보안성 높은 환경에서 사용
• KMS + CloudHSM → 하이브리드 키 관리 가능
• AWS Certificate Manager (ACM)
  • SSL/TLS 인증서 발급 및 자동 갱신
• S3 암호화
  • Client-side Encryption (클라이언트에서 암호화 후 업로드)
  • Server-side Encryption (SSE)
    • SSE-S3: S3 관리 키
    • SSE-KMS: KMS 키
    • SSE-C: 고객 제공 키

---

📋 데이터 보안 & 컴플라이언스

• 공유 책임 모델: AWS(인프라 보안) + 고객(데이터/접근 관리)
• AWS Artifact: 컴플라이언스 보고서/인증서 확인
• Cloud Adoption Framework (CAF) – Security Perspective
  • IAM
  • Detective Controls
  • Infrastructure Security
  • Data Protection
  • Incident Response

---

🛡 데이터 보호 패턴

• 방어 심층(Defense in Depth) → 예방(Preventive) + 탐지(Detective)
• 데이터 분류 → 민감도에 따른 보안 정책 적용
• 접근 패턴 기반 제어 → S3 버킷/객체 단위 정책, Lifecycle 관리

---

💾 스토리지 보안 & DR

• 스토리지 유형: Object(S3), File(EFS), Block(EBS)
• 활용 사례: Backup/Recovery, Migration, Compliance, Data Lakes
• DR 전략 (Disaster Recovery)
  1. Backup & Restore (저비용, 기본 DR)
  2. Pilot Light (최소 핵심만 유지, 필요 시 확장)
  3. Warm Standby (축소 버전 운영, 장애 시 확장)
  4. Multi-site Active-Active (고비용, 고가용성)
• AWS Backup (중앙 관리)
  • 지원: EBS, EC2, RDS, Aurora, DynamoDB, EFS, Storage Gateway, FSx
  • 크로스 리전 백업, 복구 시점 선택 지원
• 스냅샷/복제 기능
  • EBS Snapshot
  • RDS/Aurora Snapshot
  • DynamoDB Backup
  • S3 Cross-Region Replication (버전 관리 포함)
• Hybrid 환경 → AWS Storage Gateway

---

📊 시험 대비 핵심 비교

• KMS vs CloudHSM → 관리형 vs 전용 HSM
• S3 암호화 방식 → SSE-S3 / SSE-KMS / SSE-C / Client-side
• Secrets Manager vs Parameter Store (이전 Task Statement 연결)
• DR 전략 4단계 → Backup→Pilot Light→Warm Standby→Multi-site
• 데이터 성능 영향 → KMS/RDS 일부 성능 영향 가능, EBS 암호화 영향 미미

---

📊 시각화 다이어그램

 

flowchart TD A[Data Security Controls] A --> B[Encryption] B --> B1[At Rest] B --> B2[In Transit] B --> B3[Symmetric / Asymmetric] B --> B4[KMS vs CloudHSM] B --> B5[S3 SSE-S3 / SSE-KMS / SSE-C / Client-side] A --> C[Compliance] C --> C1[AWS Artifact] C --> C2[CAF - Security Perspective] A --> D[Storage & DR] D --> D1[Backup & Restore] D --> D2[Pilot Light] D --> D3[Warm Standby] D --> D4[Multi-site Active-Active] D --> D5[AWS Backup / Snapshots / Replication] A --> E[Access & Patterns] E --> E1[Least Privilege] E --> E2[Data Classification] E --> E3[Defense in Depth] E --> E4[S3 Lifecycle / Intelligent Tiering]

---

✅ 정리

• 데이터 보호는 At Rest + In Transit 암호화가 기본
• KMS, CloudHSM, ACM, S3 Encryption 방식 숙지
• AWS Artifact와 CAF Security 관점 이해
• DR 전략(Backup → Active-Active) 암기 필수
• AWS Backup, Snapshots, Replication 서비스 활용법 숙지