AWS 보안 및 액세스 관리 서비스 핵심 요약
1. 신원 및 접근 관리 (Identity & Access Management)
AWS 리소스에 접근할 수 있는 사용자, 그룹, 서비스의 권한을 제어하는 서비스입니다.
| 리소스 | 주요 역할 및 특징 |
| AWS Identity and Access Management (IAM) | AWS 서비스 및 리소스에 대한 신원 및 접근 권한을 안전하게 관리합니다. (누가 무엇을 할 수 있는지 정의) |
| AWS IAM Identity Center | 기존 조직의 신원 소스(예: Active Directory)를 연결하고 **싱글 사인온(SSO)**을 통해 AWS 환경에 대한 접근을 중앙 집중식으로 관리합니다. |
2. 비밀 정보 및 키 관리 (Secrets & Key Management)
애플리케이션에 필요한 민감한 정보와 암호화 키를 관리합니다.
| 리소스 | 주요 역할 및 특징 |
| AWS Secrets Manager | 데이터베이스 자격 증명, API 키 및 기타 비밀 정보를 중앙에서 저장, 관리, 자동 교체합니다. |
| AWS Key Management Service (AWS KMS) | 데이터를 암호화하고 복호화하는 데 사용되는 암호화 키를 생성하고 관리합니다. |
3. 데이터 보호 및 네트워크 보안 (Data & Network Protection)
데이터의 암호화, 민감 정보 보호, 네트워크 방어에 사용되는 서비스입니다.
| 리소스 | 주요 역할 및 특징 |
| AWS Certificate Manager (ACM) | 전송 중 데이터 암호화를 제공하는 SSL/TLS 인증서를 생성하고 관리합니다. |
| Amazon Macie | Amazon S3에 저장된 데이터에서 민감한 정보를 검색하고 보호되었는지 확인합니다. |
| AWS Shield | 가장 일반적이고 자주 발생하는 **DDoS 공격(분산 서비스 거부 공격)**으로부터 네트워크와 애플리케이션을 보호합니다. |
| AWS WAF | 웹 ACL(접근 제어 목록)에 의해 정의된 차단된 IP 주소 또는 웹 취약점 패턴으로부터 네트워크와 애플리케이션을 보호합니다. |
4. 위협 탐지 및 분석 (Threat Detection & Analysis)
AWS 환경 내의 보안 위협을 모니터링하고 분석합니다.
| 리소스 | 주요 역할 및 특징 |
| Amazon GuardDuty | 지능적인 위협 탐지를 통해 AWS 환경을 지속적으로 모니터링합니다. |
| Amazon Inspector | 애플리케이션의 보안 취약점과 보안 모범 사례 준수 여부를 확인합니다. |
| Amazon Detective | 통합된 시각화를 통해 위협을 분석하고, 보안 조사에 도움을 줍니다. |
| AWS Security Hub | 여러 AWS 서비스의 보안 결과를 집계하고 이를 실행 가능한 인사이트로 정리합니다. |
5. 운영 관리 (Operations Management)
대규모 인프라 관리를 위한 서비스입니다.
| 리소스 | 주요 역할 및 특징 |
| AWS Systems Manager | AWS 및 멀티 클라우드, 하이브리드 환경에서 **노드(연결 지점)**를 대규모로 관리하고 운영을 자동화합니다. |
이 요약본을 통해 AWS 환경에서 보안을 구현할 때, 접근 관리(IAM), 비밀 정보 관리(Secrets Manager), 암호화(KMS, ACM), 위협 대응(GuardDuty, Shield) 등 여러 계층의 서비스를 어떻게 조합해야 하는지 이해하실 수 있을 겁니다.
A software development team needs to centrally manage its database credentials and API keys on AWS.
Which of these services should the team choose?
- AWS Identity and Access Management (IAM) >> 신원 및 접근 권한
- AWS IAM Identity Center >> 기존 조직의 신원 소스(예: Active Directory)를 연결하고 **싱글 사인온(SSO)**을 통해 AWS 환경에 대한 접근을 중앙 집중식으로 관리합니다.
- AWS Secrets Manager >> 데이터베이스 자격 증명, API 키 및 기타 비밀 정보를 중앙에서 저장, 관리, 자동 교체
- AWS Systems Manager >> 하이브리드 환경에서 노드를 대규모로 관리/ 운영 자동화
정답: AWS Secrets Manager
AWS Secrets Manager의 역할
AWS Secrets Manager는 데이터베이스 자격 증명, API 키, 기타 중요한 암호 같은 정보를 자동으로 교체(Rotation), 감사(Audit) 및 관리하여 애플리케이션에 대한 접근을 안전하게 보호하는 데 특화된 서비스입니다.
이 시나리오에 적합한 이유
- 중앙 집중식 관리: 개발팀이 모든 데이터베이스 비밀번호와 서드파티 API 키를 한 곳에 안전하게 저장하고 접근 권한을 제어할 수 있습니다.
- 보안 강화: 코드가 비밀 정보를 하드코딩(Hardcode)할 필요 없이, 실행 시 Secrets Manager API를 통해 동적으로 가져와 사용합니다.
- 자동 교체: Secrets Manager는 설정된 주기에 따라 비밀 정보를 자동으로 교체하여 보안 위험을 최소화합니다.
오답이 부적절한 이유
| 오답 서비스 | 주요 역할 | 부적합한 이유 |
| AWS Identity and Access Management (IAM) | AWS 리소스에 대한 사용자 및 서비스의 접근 권한을 관리합니다. | IAM은 사용자와 역할에 대한 권한을 정의하지, 데이터베이스 비밀번호나 API 키 같은 애플리케이션 비밀 정보 자체를 저장하고 관리하는 서비스는 아닙니다. |
| AWS IAM Identity Center | AWS 및 클라우드 애플리케이션 전반에 걸쳐 싱글 사인온(SSO) 접근을 중앙에서 관리합니다. | 사용자 인증(로그인)에 초점을 맞춘 서비스이며, 애플리케이션이 사용하는 DB 비밀번호나 API 키 관리와는 무관합니다. |
| AWS Systems Manager | AWS 및 온프레미스 인프라를 운영 및 관리하고, 구성을 자동화합니다. | Systems Manager 내에 Parameter Store 기능이 비밀 정보를 저장할 수 있지만, Secrets Manager는 자동 교체 기능과 강력한 감사 기능을 제공하며 자격 증명 관리에 특화되어 있기 때문에 이 시나리오에 더 적합한 BEST 솔루션입니다. |
A tax preparation company needs to secure sensitive customer data moving from its database to its web application on AWS.
Which of these services can help them secure the data in transit?
- Amazon S3
- Amazon DynamoDB
- Amazon Macie >> 민감한 정보를 식별하고 분류
- AWS Certificate Manager (ACM) >> 디지털 인증서를 프로비저닝, 관리 및 배포하는 완전 관리형 서비스
정답: AWS Certificate Manager (ACM)
선택 근거: 전송 중 암호화 (Data in Transit Security)
민감한 고객 데이터가 데이터베이스에서 웹 애플리케이션으로 이동하는 전송 중에 안전하게 보호되려면 SSL/TLS(HTTPS) 암호화가 필수입니다. 이 암호화를 구현하는 데 필요한 핵심 요소는 디지털 인증서입니다.
**AWS Certificate Manager (ACM)**는 바로 이 디지털 인증서를 프로비저닝, 관리 및 배포하는 완전 관리형 서비스입니다.
- ACM의 역할: ACM은 웹 애플리케이션에 SSL/TLS 인증서를 제공합니다. 이 인증서는 로드 밸런서(ALB/CLB)나 CloudFront와 통합되어, 데이터가 웹 클라이언트(브라우저)에서 AWS 애플리케이션으로 이동하거나, 내부적으로 서비스 간에 이동할 때 암호화된 터널을 생성하는 데 사용됩니다.
- 보호 메커니즘: 이 TLS 암호화 터널 덕분에 데이터가 전송되는 동안 가로채이더라도 내용을 읽을 수 없게 됩니다.
오답이 부적절한 이유
| 오답 서비스 | 주요 역할 | 부적합한 이유 |
| Amazon S3 | 객체 스토리지 서비스 (미사용 데이터 저장) | S3는 데이터를 저장하는 곳이지, 웹 애플리케이션과 데이터베이스 사이의 실시간 통신 경로를 암호화하는 서비스가 아닙니다. |
| Amazon DynamoDB | NoSQL 데이터베이스 서비스 | DynamoDB는 데이터베이스 자체이며, 데이터를 저장하는 역할(미사용 데이터 보안)은 하지만, 이 서비스가 전송 중인 통신 자체를 암호화하는 메커니즘을 제공하는 주체는 아닙니다. (DB 연결 보안은 SSL/TLS를 통해 구현됩니다.) |
| Amazon Macie | 데이터 검색 및 분류 | Macie는 S3와 같은 스토리지에 저장된 데이터에서 민감한 정보를 식별하고 분류하는 데 중점을 둡니다. 전송 중 암호화를 직접 처리하지 않습니다. |
따라서 전송 중 보안을 위해 SSL/TLS 인증서를 제공하는 **AWS Certificate Manager (ACM)**가 정답입니다.
'Cloud > AWS' 카테고리의 다른 글
| AWS 요금, 거버넌스 및 지원 리소스 (0) | 2025.10.14 |
|---|---|
| Monitoring, Compliance, and Governance in the AWS Cloud (0) | 2025.10.13 |
| AWS AI/ML 및 데이터 서비스 핵심 요약 (0) | 2025.10.13 |
| AWS AI ML and Data Analytics (0) | 2025.10.13 |
| AWS 데이터베이스 및 관련 서비스 학습 자료 (0) | 2025.10.13 |