🔐 Domain 1-3: Determine Appropriate Data Security Controls

✨ 핵심 주제

• 데이터 보호(Data Protection) 는 AWS 보안 설계의 중심
• 데이터는 저장 시(At Rest) 와 전송 중(In Transit) 모두 암호화 필요
• 최소 권한 원칙(Least Privilege)과 키 관리가 핵심

🧱 암호화 Fundamentals

• 암호화 유형
  • At Rest: 저장 데이터 보호 (S3, EBS, RDS 등)
  • In Transit: 전송 중 데이터 보호 (TLS/SSL, ACM 인증서)
• 용어
  • Plaintext: 암호화 전 데이터 (문서, 이미지, 앱 등)
  • Algorithm: 암호화 처리 로직
  • Key: 암호화/복호화 비밀 (대칭/비대칭)
  • Ciphertext: 암호화된 데이터
• 암호화 키
  • 대칭키 (Symmetric): 하나의 키로 암호화·복호화
  • 비대칭키 (Asymmetric): 공개키/개인키 분리

🔑 AWS 암호화 서비스

• KMS (Key Management Service)
  • Managed key 관리, 자동 회전 지원
  • 통합 서비스 많음 (EBS, S3, RDS, Lambda 등)
• CloudHSM
  • 고객 전용 HSM(Hardware Security Module)
  • 규제·보안성 높은 환경에서 사용
• KMS + CloudHSM → 하이브리드 키 관리 가능
• AWS Certificate Manager (ACM)
  • SSL/TLS 인증서 발급 및 자동 갱신
• S3 암호화
  • Client-side Encryption (클라이언트에서 암호화 후 업로드)
  • Server-side Encryption (SSE)
    • SSE-S3: S3 관리 키
    • SSE-KMS: KMS 키
    • SSE-C: 고객 제공 키

📋 데이터 보안 & 컴플라이언스

• 공유 책임 모델: AWS(인프라 보안) + 고객(데이터/접근 관리)
• AWS Artifact: 컴플라이언스 보고서/인증서 확인
• Cloud Adoption Framework (CAF) – Security Perspective
  • IAM
  • Detective Controls
  • Infrastructure Security
  • Data Protection
  • Incident Response

🛡 데이터 보호 패턴

• 방어 심층(Defense in Depth) → 예방(Preventive) + 탐지(Detective)
• 데이터 분류 → 민감도에 따른 보안 정책 적용
• 접근 패턴 기반 제어 → S3 버킷/객체 단위 정책, Lifecycle 관리

💾 스토리지 보안 & DR

• 스토리지 유형: Object(S3), File(EFS), Block(EBS)
• 활용 사례: Backup/Recovery, Migration, Compliance, Data Lakes
• DR 전략 (Disaster Recovery)
  1. Backup & Restore (저비용, 기본 DR)
  2. Pilot Light (최소 핵심만 유지, 필요 시 확장)
  3. Warm Standby (축소 버전 운영, 장애 시 확장)
  4. Multi-site Active-Active (고비용, 고가용성)
• AWS Backup (중앙 관리)
  • 지원: EBS, EC2, RDS, Aurora, DynamoDB, EFS, Storage Gateway, FSx
  • 크로스 리전 백업, 복구 시점 선택 지원
• 스냅샷/복제 기능
  • EBS Snapshot
  • RDS/Aurora Snapshot
  • DynamoDB Backup
  • S3 Cross-Region Replication (버전 관리 포함)
• Hybrid 환경 → AWS Storage Gateway

📊 시험 대비 핵심 비교

• KMS vs CloudHSM → 관리형 vs 전용 HSM
• S3 암호화 방식 → SSE-S3 / SSE-KMS / SSE-C / Client-side
• Secrets Manager vs Parameter Store (이전 Task Statement 연결)
• DR 전략 4단계 → Backup→Pilot Light→Warm Standby→Multi-site
• 데이터 성능 영향 → KMS/RDS 일부 성능 영향 가능, EBS 암호화 영향 미미

📊 시각화 다이어그램

✅ 정리

• 데이터 보호는 At Rest + In Transit 암호화가 기본
• KMS, CloudHSM, ACM, S3 Encryption 방식 숙지
• AWS Artifact와 CAF Security 관점 이해
• DR 전략(Backup → Active-Active) 암기 필수
• AWS Backup, Snapshots, Replication 서비스 활용법 숙지

🛡️ Domain 1-2: Design Secure Workloads and Applications

✨ 핵심 주제

• 사람, 도구, 애플리케이션이 안전하게 AWS 서비스에 접근하도록 설계
• VPC 보안 아키텍처 및 네트워크 계층 보안이 중심

🌐 Amazon VPC Fundamentals

• VPC 유형: Default VPC vs Custom VPC (초기 보안 설정 다름)
• VPC 범위: Regional 서비스
• Subnet: AZ 단위(= Zonal 서비스)
• 구성 요소
  • Security Group (SG): 인스턴스 단위 가상 방화벽
  • NACL (Network ACL): 서브넷 단위 네트워크 필터
  • Route Table: 트래픽 라우팅 제어
  • NAT Gateway: 프라이빗 서브넷 → 아웃바운드 인터넷 액세스

네트워크 설계 고려사항

• Public Subnet ↔ Private Subnet 구분
• CIDR, 라우팅, 보안 필터 설계
• VPN, Direct Connect, Transit Gateway, VPC Peering, PrivateLink 활용

🔒 외부 연결 보안

• VPN 연결
  • Site-to-Site VPN
  • Client VPN
• Direct Connect: 전용선, 안정적·보안적 연결
• PrivateLink
  • 서비스 공유 시 인터넷 노출 없이 다른 VPC에서 접근 가능
  • VPC Peering보다 보안적이고 관리 효율적

📂 데이터 보안 & 개인 정보 (PII)

• Amazon Macie: ML 기반 S3 내 PII(개인정보) 탐지/보호
• Amazon Cognito: 인증·인가 (User Pool, Identity Pool, Federation)
• Amazon GuardDuty: 위협 탐지 서비스

🔑 애플리케이션 보안

• Secrets 관리
  • AWS Secrets Manager: 자동 Credential Rotation, Secret 저장
  • SSM Parameter Store: 설정값/비밀 관리 (Secrets Manager보다 단순)
• 방화벽 & 보호 서비스
  • AWS WAF: ALB, API Gateway, CloudFront에 적용 가능
  • AWS Shield:
    • Standard (무료, 기본 DDoS 보호)
    • Advanced (추가 DDoS 보호, SLA 보장)

🔐 기타 보안 서비스 통합

• IAM Identity Center (SSO)
• AWS Systems Manager Parameter Store
• Amazon CloudWatch & CloudTrail (추적/모니터링)

📌 시험 대비 핵심 체크

• VPC = Regional / Subnet = Zonal
• SG vs NACL 차이 (상태 저장 여부, 적용 단위)
• Private Subnet ↔ NAT GW ↔ 인터넷 아웃바운드 구조
• PrivateLink vs VPC Peering → 대규모 확장 시 PrivateLink 선택
• Macie → PII 보호
• Cognito → Federation & User Pool
• Secrets Manager vs Parameter Store 차이
• WAF 배포 가능한 리소스 기억 (ALB, API GW, CloudFront)
• Shield Standard vs Shield Advanced 차이

📊 시각화 다이어그램

✅ 정리

• VPC 보안 설계 능력이 핵심 (SG, NACL, 서브넷, NAT, PrivateLink)
• 데이터 보호 서비스 (Macie, Cognito, GuardDuty 등) 숙지
• 비밀 관리 차이점 (Secrets Manager vs Parameter Store)
• 네트워크 보안 (VPN, Direct Connect, PrivateLink 활용)
• WAF/Shield의 특징과 배포 가능한 서비스 구분

🔐 Domain 1-1: Design Secure Access to AWS Resources

✨ 핵심 개념

• 보안은 아키텍처 설계 시 가장 먼저 고려해야 할 요소
• 사람, 도구, 애플리케이션이 어떻게 AWS 리소스와 데이터를 접근할지 정의해야 함
• 접근 제어 범위:
  • 누가/무엇이 리소스를 시작·중지할 수 있는지
  • 언제/어떻게 접근 권한을 주고 운영 권한을 제어할지

🧱 기본 지식 (Fundamentals)

• 공유 책임 모델 (Shared Responsibility Model)
• AWS 글로벌 인프라 (리전, AZ, 엣지 로케이션)
• 서비스 내구성 & 가용성

🧑‍💻 AWS 계정과 IAM

• AWS IAM은 Global 서비스 → 모든 리전 공통으로 적용
• Root User
  • 계정 생성 시 자동으로 생성되는 슈퍼 계정
  • 권한 변경 불가, 탈취 시 전체 환경이 위험 → 절대 일상 사용 금지
  • 보호 방법: MFA 활성화, 별도 권한이 제한된 IAM 사용자 생성
• IAM User / Group / Role
  • 신규 IAM 사용자는 기본 권한 없음
  • Least Privilege(최소 권한 원칙) 적용 → 필요 최소 권한만 부여
  • Users : 특정 사용자에게 직접 권한 부여
  • Groups : 공통 권한을 여러 사용자에게 부여
  • Roles : AWS 리소스나 외부 사용자/서비스가 임시로 권한 획득

🔑 권한 부여 (Policies)

• Policy = 권한을 정의하는 객체
• Identity-based Policy
  • User/Group/Role에 부착 → “누가 무엇을 할 수 있는가”
• Resource-based Policy
  • S3, SQS, KMS, VPC Endpoint 등에 부착 → “누가 이 리소스에 접근할 수 있는가”
  • 차이점: Principal 명시 필요
• IAM Policy 문서 구조
  • Version
  • Statement
    • Effect (Allow/Deny)
    • Action (어떤 API 호출 가능?)
    • Resource (대상 리소스)
    • Principal (리소스 정책에만 존재)

🌍 연동 & Federation

• STS(Security Token Service) → 임시 보안 자격 증명 제공
• Federation
  • 회사 AD(Active Directory)나 외부 IdP와 연동 → AWS 리소스 접근 위임
  • SAML 2.0, OIDC 기반 싱글사인온(SSO) 활용

🚫 잘못된 접근

• 앱 코드에 하드코딩된 AWS 키 ❌
• 대신 사용해야 하는 방법:
  • IAM Role + Instance Profile (EC2, Lambda 등)
  • AWS SDK + IAM Role 자동 인증
  • AWS Secrets Manager / SSM Parameter Store

📊 추적 & 모니터링 (Traceability)

• 누가, 무엇이, 언제, 어디서 접근했는지 기록/추적 필수
• 관련 서비스:
  • AWS CloudTrail (API 호출 기록)
  • AWS Config (리소스 변경 추적)
  • Amazon CloudWatch (로그/메트릭)
  • GuardDuty, Security Hub, Inspector, Macie (위협 탐지 & 보안 분석)

🏛 멀티 계정 관리

• AWS Organizations → 다계정 구조 관리
• Service Control Policies(SCP) → 계정 단위 권한 제한
• AWS Control Tower → 계정 생성·거버넌스 자동화

📌 정리

• IAM = 글로벌 서비스, Root User는 반드시 보호(MFA 필수, 사용 지양)
• 사용자 접근: Users / Groups / Roles 조합 + 최소 권한 원칙
• 권한 부여: Identity-based Policy vs Resource-based Policy 구분
• 외부 사용자 접근: Federation + STS
• 애플리케이션 접근: 절대 키 하드코딩 금지 → Role/Secrets Manager 활용
• 추적성(Traceability) 확보: CloudTrail, Config, GuardDuty 등
• 멀티 계정 전략: Organizations + SCP + Control Tower

IAM이란?

IAM(Identity and Access Management)은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스입니다. IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어합니다.

 출처

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction.html

1. udemy 홈페이지 접속

https://www.udemy.com/

2. 수강을 원하는 강의 들어가기

3. 우측 하단에 CC라고 되어있는 아이콘 마우스로 클릭

4. CC - 자막설정 [Caption settings] 마우스로 클릭

5. 자막설정 [Caption settings] - 동영상 아래 표시 [Display under video] 체크

6. 동영상 강의 아래 자막 확인

7. CC 옆에 문서모양 클릭하여 동영상 강의 전체 자막(Transcript) 확인

8. 동영상 강의 전체 자막(Transcript)에서 마우스 우클릭하여 한국어로 번역 선택

9. F12 Key로 개발자 모드로 들어간 다음 아래 코드 입력 후 Enter

if(typeof window.i==='undefined'){clearInterval(window.i)}
else{
let lastText='';
function check(){
let toEl=$('.well--container--2edq4 span');
let fromEl=$('p[data-purpose="transcript-cue-active"] span');
let currentText=fromEl.html();
if(lastText!==currentText){toEl.html(currentText)}lastText=fromEl.html()}window.i=setInterval(check,200)
}

10. Code 입력 후 Enter 친 다음 숫자가 나오면 성공적으로 적용된 것으로 다시 강의로 돌아와도 한국어로 번역되어 플레이됨

* 참고 링크 1 : https://fomaios.tistory.com/entry/Udemy-%EC%8B%A4%EC%8B%9C%EA%B0%84-%ED%95%9C%EA%B8%80-%EC%9E%90%EB%A7%89%EC%9C%BC%EB%A1%9C-%EB%B3%B4%EB%8A%94-%EB%B0%A9%EB%B2%95featChrome

* 참고 링크 2 : https://liberspiritus.tistory.com/14

============================================================================

https://chrome.google.com/webstore/detail/yakuu-automatic-subtitle/mfjgefhkaljdlpmnnfcaebgmchfhakcf?utm_source=chrome-ntp-icon 

2022.01.20 (목) 기준으로 크롬에서 한글로 번역 되었다가 말았다가 하네요.

edge로는 번역된게 적용이 잘되고 있습니다. 

크롬이 안되신다면 edge로 강의 들으시길 바랍니다.