AWS SOA-C02 Domain 4 Review

📘 AWS Certified SysOps Administrator - Associate (SOA-C02)

Domain 4: 보안 및 규정 준수 (Security & Compliance)

> 이 도메인은 시험 점수의 **16%**를 차지하며, AWS 보안과 규정 준수 정책을 이해하고 구현하는 능력을 평가합니다.
> 핵심은 **비밀 유지(Secrets)** 와 **보안 유지(Security)** 입니다.

---

🔑 주요 학습 주제

1. 보안 정책 및 규정 준수 정책 구현

- **IAM 관리**

• 사용자(User), 그룹(Group), 역할(Role)의 차이 이해
• 암호 정책(Password Policy), MFA 적용
• IAM 정책 JSON 해석 능력
• IAM Access Analyzer, Policy Simulator 활용

- **감사 & 모니터링**

• AWS CloudTrail: 모든 API 호출 기록
• AWS Trusted Advisor: 보안 권장 사항 확인
• 다중 계정 전략: AWS Organizations, Control Tower
• 리전 선택 시 규정 준수 고려 (GDPR, PCI DSS 등)

---

2. 데이터 및 인프라 보호 전략

- **데이터 보호 & 분류**

• 민감 데이터 vs 공개 데이터 구분
• 보관 위치 및 암호화 의무화

- **암호화 & 키 관리**

• S3 암호화 옵션 (SSE-S3, SSE-KMS, SSE-C)
• AWS KMS, CloudHSM 키 관리
• 전송 중 데이터 암호화 (VPN, TLS, ACM 인증서)

- **비밀 관리 & 보안 서비스**

• AWS Secrets Manager → DB 비밀번호, API 키 저장
• SSM Parameter Store → 설정값 안전 관리
• AWS Config, GuardDuty, Security Hub, Inspector, Macie → 보안 상태 점검

---

{
  "Version": "2012-10-17", // 정책 버전 (항상 이 날짜 형식 고정)
  "Statement": [           // 권한을 정의하는 블록
    {
      "Effect": "Allow",   // 허용(Allow) 또는 거부(Deny)
      "Action": "s3:*",    // S3 서비스에서 모든 동작 허용
      "Resource": "*"      // 모든 S3 리소스에 적용
    }
  ]
}

🔎 라인별 설명

• "Version": "2012-10-17" → AWS 정책 문서 표준 버전
• "Statement" → 실제 권한 정의하는 배열
• "Effect": "Allow" → 동작을 허용한다는 의미
• "Action": "s3:*" → S3에서 가능한 모든 API 호출 허용 (GetObject, PutObject 등)
• "Resource": "*" → 모든 S3 버킷 및 객체에 적용

👉 실제 현업에서는 Resource 를 "arn:aws:s3:::my-bucket/*" 같이 특정 리소스로 제한하는 것이 보안 모범 사례입니다.

---

💼 현업 적용 사례

1. IAM & MFA
   • 사내 직원 계정에 MFA를 필수 적용하여 계정 탈취 위험 방지
2. CloudTrail & GuardDuty
   • 모든 API 호출을 기록 → 비정상 로그인 시도 탐지 가능
3. 데이터 암호화
   • 고객의 금융/의료 데이터는 반드시 KMS를 사용하여 암호화
   • GDPR 등 규정에 따라 특정 리전(EU) 내 데이터 저장
4. Secrets Manager
   • RDS 데이터베이스 비밀번호를 직접 코드에 넣지 않고 Secrets Manager에 저장 → 앱이 동적으로 불러와 사용
5. Security Hub & Inspector
   • 보안 취약점 자동 탐지 → 패치 미적용 서버를 알림으로 확인 가능

---

📌 핵심 키워드 요약

• IAM, MFA, JSON 정책, Access Analyzer
• CloudTrail, Trusted Advisor, AWS Organizations
• 데이터 분류, 암호화 (KMS, CloudHSM, ACM, VPN)
• Secrets Manager, Parameter Store
• Config, GuardDuty, Security Hub, Inspector, Macie

---

🔐 AWS Certified SysOps Administrator - Associate (SOA-C02)

Domain 4: 보안 및 규정 준수에 대한 이해

---

📌 핵심 요약

• 보안은 AWS 인프라의 모든 단계(계획 → 구축 → 운영) 에 걸쳐 반드시 고려해야 함
• IAM 은 AWS 액세스 관리의 중심 → 최소 권한 원칙 적용 필수
• CloudTrail, CloudWatch 를 통한 감사 및 모니터링으로 규정 준수 유지
• 시험에서는 “보안성이 더 높은 선택지가 있으면 그것이 정답”인 경우가 많음

---

🛡️ 주요 학습 포인트

1. IAM (Identity & Access Management)

• 최소 권한 원칙 (Least Privilege)
  • 사용자에게 꼭 필요한 권한만 부여
  • Production 계정 직접 액세스는 극히 제한
• MFA(멀티 팩터 인증)
  • 콘솔 로그인 시 추가 인증 단계 요구
• 역할(Role)과 페더레이션(Federation)
  • 임시 권한 부여 / 외부 IdP 연동

---

2. 변경 관리 & 자동화

• 리소스 시작·종료 권한은 개인이 아닌 자동화 도구를 통해 수행
• 변경 관리 프로세스를 통해 실수·오류를 최소화

---

3. 감사 & 추적

• AWS CloudTrail
  • 모든 API 호출 및 이벤트 로깅
  • “누가, 언제, 무엇을” 했는지 추적 가능
• Amazon CloudWatch
  • CloudTrail 이벤트와 연동 → 알람·경보 생성
• 규정 준수 미준수 활동 탐지 및 알림 자동화 가능

---

📊 보안 & 규정 준수 흐름 (Mermaid)

flowchart TD
    A["보안 & 규정 준수 고려"] --> B["IAM 관리"]
    A --> C["변경 관리 & 자동화"]
    A --> D["감사 & 추적"]

    B --> B1["최소 권한 원칙"]
    B --> B2["MFA 적용"]
    B --> B3["Role / Federation 활용"]

    C --> C1["자동화 도구를 통한 리소스 제어"]
    C --> C2["프로덕션 계정 직접 액세스 최소화"]

    D --> D1["CloudTrail 로그"]
    D --> D2["CloudWatch 알람"]
    D --> D3["규정 준수 상태 점검"]


📝 예시 IAM 정책 JSON

{
"Version": "2012-10-17", // 정책 버전 (고정된 표준)
"Statement": [
{
"Effect": "Allow", // 허용 규칙
"Action": [ // 허용할 액션 목록
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "arn:aws:ec2:ap-northeast-2:123456789012:instance/*"
// 특정 계정의 모든 EC2 인스턴스
}
]
}

```

👉 실무 포인트

• Production 환경에서는 ec2:TerminateInstances 권한은 절대 직접 부여 금지
• Terraform, CloudFormation 같은 IaC 도구를 통해 관리하는 것이 안전

---

💼 현업 적용 사례

1. 금융회사: 고객 데이터 저장 시 반드시 KMS 키로 암호화
2. 게임사: 운영자가 실수로 서버를 종료하지 않도록 EC2 종료 권한은 자동화 도구에만 부여
3. 의료기관: CloudTrail + GuardDuty로 의심스러운 API 호출 탐지
4. 스타트업: Secrets Manager로 DB 비밀번호 관리 → 코드에 하드코딩 금지

---

📌 시험 대비 팁

• “두 옵션 중 하나가 보안성이 더 높다” → 보안 강화된 옵션 선택
• IAM, CloudTrail, CloudWatch, Config, GuardDuty, Security Hub 등 보안 서비스의 목적과 차이점 숙지
• Least Privilege 는 항상 답안에서 핵심 키워드

---

✅ 결론: 보안 및 규정 준수는 AWS 인프라의 기초 체력
시험뿐 아니라 실무에서도 IAM, 감사, 암호화는 반드시 숙지해야 하는 핵심입니다.