1️⃣고객 책임; 클라우드 내부의 보안
2️⃣AWS 책임; 클라우드 자체의 보안
: 서비스와 리소스에 대한 액세스 관리
1️⃣ 루트 사용자
: AWS 계정 첫 생성 시의 자격
-모든 서비스 및 리소스에 대한 전체 액세스 권한 소유
-첫번째 IAM 사용자 생성 후 사용자 생성 권한을 할당한 후 사용
- Multi-Factor Authentication(MFA) 사용 권장
2️⃣ IAM 사용자
: 사용자가 AWS에서 생성하는 자격 증명
-기본적으로 연결된 권한 없음
3️⃣ IAM 정책
: AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서
-IAM 정책을 사용해 리소스에 액세스할 사용자 지정
4️⃣ IAM 그룹
: IAM 사용자의 모음
-해당 그룹의 모든 사용자에게 정책에 지정된 권한을 일괄적으로 부여
5️⃣ IAM 역할
: 임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명
-이전 역할에 지정된 모든 권한을 포기하고 새 역할에 지정된 권한을 수임
: 여러 AWS 계정을 관리하는 중앙 위치
-여러 계정을 하나의 조직으로 결합해 중앙에서 관리
-계정 계층적 그룹화 구현 가능; 조직 단위인 OU 또는 비즈니스 단위인 BU
➡ 계정을 조직 단위(OU)로 그룹화하면 정책 적용 시 OU의 모든 계정이 정책에 지정된 권한을 자동 상속
-서비스 제어 정책 SCP를 사용하여 각 멤버 계정에서 액세스할 수 있는 서비스 제한
1️⃣ AWS Artifact
: AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디맨드 액세스를 제공하는 서비스
-두가지 섹션으로 구성
AWS Artifact Agreements | 특정 규정의 적용을 받는 고객의 요구 사항을 해결하기 위한 다양한 유형의 계약이 제공 |
AWS Artifact Reports | 외부 감사 기관이 작성한 규정 준수 보고서를 제공 |
2️⃣ Customer Compliance Center
: AWS 규정 준수에 대해 자세히 알아볼 수 있는 리소스가 포함
: DDoS 공격으로부터 애플리케이션을 보호하는 서비스
-두가지 보호 수준을 제공
AWS Shield Standard | -무료 서비스 -실시간으로 악성 트래픽을 탐지하고 자동으로 완화 |
AWS Shield Advenced | -유료 서비스 -Amazon CloudFront, Amazon Route 53, Elastic Load Balancing과 같은 다른 서비스와도 통합 -사용자 지정 규칙을 작성해 AWS WAF와 통합 |
1️⃣ AWS Key Management Service (AWS KMS)
: 암호화 키를 사용하여 암호화 작업 수행 서비스
-암호화 키 생성 및 관리
-광범위한 서비스에서 키 사용을 제어
- 키를 관리할 수 있는 IAM 사용자 및 역할을 지정
2️⃣ AWS WAF
: 웹 애플리케이션 방화벽
- Amazon CloudFront 및 Application Load Balancer와 함께 작동
-웹ACL을 이용해 특정 요청을 차단
3️⃣ Amazon Inspector
: 자동 보안 평가 수행 및 보안 및 규정 준수 개선 서비스
-평가 수행 후 보안 탐지 결과 목록 제공
-보안 문제 해결은 미보장
- Amazon EC2 인스턴스에 대한 오픈 액세스, 취약한 소프트웨어 버전 설치와 같은 보안 모범 사례 위반 및 보안 취약성 검사
4️⃣ Amazon GuardDuty
: AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능 제공 서비스
-네트워크 활동 및 계정 동작 지속적으로 모니터링, 위협 식별
-위협을 탐지한 경우 AWS Management Console에서 탐지 결과를 검토
-GuardDuty 보안 탐지 결과에 대해 자동으로 문제 해결 단계를 수행하도록 AWS Lambda 함수 구성
[AWS Cloud Practitioner] CH.8 Pricing & Support (0) | 2023.05.10 |
---|---|
[AWS Cloud Practitioner] CH.7 Monitoring & Analytics (0) | 2023.05.10 |
[AWS Cloud Practitioner] CH.5 Storage and Database (0) | 2023.05.10 |
[AWS Cloud Practitioner] CH.4 Networking (0) | 2023.05.10 |
[AWS Cloud Practitioner] CH.3 AWS global infrastructure (0) | 2023.05.06 |