콘텐츠 도메인 6: 보안 및 규정 준수

사람 및 시스템 액세스를 위한 서로 다른 IAM 엔터티의 적절한 사용(예: 사용자, 그룹, 역할, ID 공급자, ID 기반 정책, 리소스 기반 정책, 세션 정책)

ID 페더레이션 기술(예: IAM ID 공급자 및 AWS IAM Identity Center)

IAM 권한 경계를 사용한 권한 관리 위임

조직 SCP

최소 권한 액세스를 적용하는 정책 설계

역할 기반 및 속성 기반 액세스 제어 패턴 구현

시스템 ID에 대한 ID 회전 자동화(예: AWS Secrets Manager)

사람 및 시스템 ID 액세스를 제어하기 위한 권한 관리(예: 다중 인증(MFA), AWS Security Token Service(AWS STS), IAM 프로필 활성화)

네트워크 보안 구성 요소(예: 보안 그룹, 네트워크 ACL, 라우팅, AWS Network Firewall, AWS WAF, AWS Shield)

인증서 및 퍼블릭 키 인프라(PKI)

데이터 관리(예: 데이터 분류, 암호화, 키 관리, 액세스 제어)

다중 계정 및 다중 리전 환경에서 보안 제어 적용 자동화(예: AWS Security Hub, AWS Organizations, AWS Control Tower, AWS Systems Manager)

보안 제어를 결합하여 심층 방어 적용(예: AWS Certificate Manager(ACM), AWS WAF, AWS Config, AWS Config 규칙, Security Hub, Amazon GuardDuty, 보안 그룹, 네트워크 ACL, Amazon Detective, Network Firewall)

대규모 민감한 데이터 검색 자동화(예: Amazon Macie)

전송 중인 데이터 및 미사용 데이터 암호화(예: AWS Key Management Service(AWS KMS), AWS CloudHSM, ACM)

보안 감사 서비스 및 기능(예: AWS CloudTrail, AWS Config, VPC 흐름 로그, AWS CloudFormation 드리프트 탐지)

보안 취약성 및 이벤트를 파악하기 위한 AWS 서비스(예: GuardDuty, Amazon Inspector, IAM Access Analyzer, AWS Config)

일반적인 클라우드 보안 위협(예: 안전하지 않은 웹 트래픽, 노출된 AWS 액세스 키, 퍼블릭 액세스를 사용하거나 암호화가 사용 중지된 S3 버킷)

강력한 보안 감사 구현

예상치 못했거나 비정상적인 보안 이벤트를 기반으로 경고 구성

서비스 및 애플리케이션 로깅 구성(예: CloudTrail, Amazon CloudWatch Logs)

로그, 지표 및 보안 결과 분석