# 콘텐츠 도메인 6: 보안 및 규정 준수
<a name="devops-engineer-professional-02-domain6"></a>

## 작업 설명 6.1: 대규모 ID 및 액세스 관리를 위한 기술 구현
<a name="dop-02-task-6-1"></a>

### 관련 지식:
<a name="dop-02-task-6-1-knowledge"></a>
+ 사람 및 시스템 액세스를 위한 서로 다른 IAM 엔터티의 적절한 사용(예: 사용자, 그룹, 역할, ID 공급자, ID 기반 정책, 리소스 기반 정책, 세션 정책)
+ ID 페더레이션 기술(예: IAM ID 공급자 및 AWS IAM Identity Center)
+ IAM 권한 경계를 사용한 권한 관리 위임
+ 조직 SCP

### 관련 기술:
<a name="dop-02-task-6-1-skills"></a>
+ 최소 권한 액세스를 적용하는 정책 설계
+ 역할 기반 및 속성 기반 액세스 제어 패턴 구현
+ 시스템 ID에 대한 ID 회전 자동화(예: AWS Secrets Manager)
+ 사람 및 시스템 ID 액세스를 제어하기 위한 권한 관리(예: 다중 인증(MFA), AWS Security Token Service(AWS STS), IAM 프로필 활성화)

## 작업 설명 6.2: 보안 제어 및 데이터 보호를 위한 자동화 적용
<a name="dop-02-task-6-2"></a>

### 관련 지식:
<a name="dop-02-task-6-2-knowledge"></a>
+ 네트워크 보안 구성 요소(예: 보안 그룹, 네트워크 ACL, 라우팅, AWS Network Firewall, AWS WAF, AWS Shield)
+ 인증서 및 퍼블릭 키 인프라(PKI)
+ 데이터 관리(예: 데이터 분류, 암호화, 키 관리, 액세스 제어)

### 관련 기술:
<a name="dop-02-task-6-2-skills"></a>
+ 다중 계정 및 다중 리전 환경에서 보안 제어 적용 자동화(예: AWS Security Hub, AWS Organizations, AWS Control Tower, AWS Systems Manager)
+ 보안 제어를 결합하여 심층 방어 적용(예: AWS Certificate Manager(ACM), AWS WAF, AWS Config, AWS Config 규칙, Security Hub, Amazon GuardDuty, 보안 그룹, 네트워크 ACL, Amazon Detective, Network Firewall)
+ 대규모 민감한 데이터 검색 자동화(예: Amazon Macie)
+ 전송 중인 데이터 및 미사용 데이터 암호화(예: AWS Key Management Service(AWS KMS), AWS CloudHSM, ACM)

## 작업 설명 6.3: 보안 모니터링 및 감사 솔루션 구현
<a name="dop-02-task-6-3"></a>

### 관련 지식:
<a name="dop-02-task-6-3-knowledge"></a>
+ 보안 감사 서비스 및 기능(예: AWS CloudTrail, AWS Config, VPC 흐름 로그, AWS CloudFormation 드리프트 탐지)
+ 보안 취약성 및 이벤트를 파악하기 위한 AWS 서비스(예: GuardDuty, Amazon Inspector, IAM Access Analyzer, AWS Config)
+ 일반적인 클라우드 보안 위협(예: 안전하지 않은 웹 트래픽, 노출된 AWS 액세스 키, 퍼블릭 액세스를 사용하거나 암호화가 사용 중지된 S3 버킷)

### 관련 기술:
<a name="dop-02-task-6-3-skills"></a>
+ 강력한 보안 감사 구현
+ 예상치 못했거나 비정상적인 보안 이벤트를 기반으로 경고 구성
+ 서비스 및 애플리케이션 로깅 구성(예: CloudTrail, Amazon CloudWatch Logs)
+ 로그, 지표 및 보안 결과 분석