🛡️ 🔐 🔑
AWS Security & Compliance
IAM · Access · MFA · Encryption
AWS Certified Cloud Practitioner (CLF-C02)
발표자: Winter
키보드 좌우 방향키로 이동하세요
1 / 10
1. IAM (Identity and Access Management)
"누가(Who) 무엇을(What) 할 수 있는가"를 제어하는 AWS 보안의 심장입니다.
👤
Users (사용자)
Root User와 IAM User로 나뉨.
👥
Groups (그룹)
사용자들의 집합.
🎭
Roles (역할)
일시적인 권한 (EC2, Lambda 등).
🔥 시험 핵심: Root User (루트 사용자)
계정 생성 시 만들어지는 슈퍼 관리자. 절대 일상적인 작업에 사용하지 말 것!
처음에 IAM User 하나 만들고, 로그아웃 후 봉인해야 함.
2 / 10
2. IAM Policy (정책) 구조
권한은 JSON 문서로 정의됩니다. "최소 권한의 원칙(Least Privilege)"을 기억하세요.
Permissions policies (JSON Editor)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow", // 허용할 것인가? (Deny면 거부)
"Action": "s3:ListBucket", // 무엇을? (S3 목록 보기)
"Resource": "arn:aws:s3:::example_bucket" // 어디에? (특정 버킷)
}
]
}
📝 정책 해석
- Effect: "Allow" (허용) 혹은 "Deny" (거부)
- Action: 무엇을 할 수 있는가?
- Resource: 대상은 무엇인가?
3 / 10
3. AWS 접근 방식 3가지 (Access Methods)
시험에는 무조건 3가지가 나옵니다. 영어 약자와 한글 의미를 꼭 기억하세요.
1. Console
웹사이트 접속
🔑 ID + Password
2. CLI (Command Line Interface)
"명령줄 인터페이스"
마우스 없이 검은 화면(터미널)에서 타자로 명령을 내리는 도구입니다.
🔑 Access Key
3. SDK (Software Development Kit)
"소프트웨어 개발 키트"
파이썬(Python), 자바(Java) 같은 프로그래밍 언어(코드) 안에서 AWS를 조작할 때 쓰는 도구 모음입니다.
🔑 Access Key
Create user (실제 설정 화면)
※ CLI와 SDK는 같은 'Access Key'를 쓰기 때문에 설정 화면에서는 하나로 묶여 있습니다.
✔
Programmatic access (CLI & SDK)
✔
AWS Management Console access (Console)
4 / 10
4. MFA (Multi-Factor Authentication)
"비밀번호(아는 것) + 스마트폰(가진 것)" = 보안 2배
Assign MFA device
QR
Google Authenticator로 스캔하세요.
❓ 왜 코드를 2개나 입력하나요?
"동기화(Sync)를 맞추기 위해서입니다!"
MFA 코드는 30초마다 바뀝니다. AWS 서버 시간과 내 핸드폰 시간이 정확히 맞는지 확인하기 위해, 연속된 두 개의 코드를 입력받아 확실하게 검증하는 것입니다.
💡 시험 팁: Root User는 무조건 MFA를 켜야 한다.
5 / 10
5. Encryption: KMS vs CloudHSM & S3 Options
🔍 KMS vs CloudHSM 비교 (기업 예시)
| 구분 | AWS KMS (Key Management Service) | AWS CloudHSM (Hardware Security Module) |
|---|---|---|
| 방식 | 멀티 테넌트 (Multi-tenant) 하나의 하드웨어를 여러 회사가 나눠 씀 (논리적 분리) |
싱글 테넌트 (Single-tenant) 나만 쓰는 전용 하드웨어 장비 |
| 특징 | 사용하기 쉽고, AWS 서비스들과 자동 연동됨. | 관리가 어렵고 비쌈. AWS 직원조차 접근 불가능. |
| 기업 예시 |
🏢 스타트업, 일반 기업 (당근마켓, 배민 등) "안전하면 되고 관리가 편한 게 좋아." |
🏦 금융권, 국방부, 정부 (은행, 군대) "법적으로 암호화 키가 전용 장비에만 있어야 해." |
🔒 S3 암호화 옵션 설명
- SSE-S3: "기본형". S3가 알아서 암호화 키를 만들고 관리함. (가장 간편, 무료)
- SSE-KMS: "고급형". KMS 서비스를 써서 '누가 언제 키를 썼는지' 추적 가능.
- DSSE-KMS: "이중 잠금". 최신 옵션으로, 서버 측에서 두 번 암호화함.
![[여기에 사용자가 올린 S3 암호화 옵션 사진이 들어갑니다. 없으면 s3_encrypt.png 확인]](s3_encrypt.png)
6 / 10
📌 시험 대비 핵심 요약
IAM & Access
- Root User: MFA 필수, 평소 사용 금지.
- IAM Role: EC2가 S3 접근할 때 (서비스용).
- CLI: 터미널 (Access Key).
- SDK: 코드/개발 (Access Key).
Encryption
- KMS: 일반적인 키 관리 서비스.
- CloudHSM: 규제 준수용 전용 하드웨어.
- Audit (감사): KMS를 쓰면 사용 기록 추적 가능.
7 / 10
Practice Exam (Questions 1-3)
1. Which AWS credential is required for a developer to access AWS services using the AWS Command Line Interface (CLI)?
(개발자가 AWS CLI를 사용하여 AWS 서비스에 액세스하려면 어떤 자격 증명이 필요합니까?)
A) User name and Password
B) Access Key ID and Secret Access Key
C) MFA Token
D) SSH Key Pair
Answer: B
CLI and SDK use Access Keys. (Passwords are for the Console).
CLI and SDK use Access Keys. (Passwords are for the Console).
2. What is the recommended best practice for securing the AWS root user account?
(AWS 루트 사용자 계정을 보호하기 위한 권장 모범 사례는 무엇입니까?)
A) Share the password with the admin team
B) Use the root user for daily administrative tasks
C) Enable Multi-Factor Authentication (MFA)
D) Create access keys for the root user
Answer: C
Root user should have MFA enabled and should NOT be used for daily tasks.
Root user should have MFA enabled and should NOT be used for daily tasks.
3. An application running on an Amazon EC2 instance needs to access an Amazon S3 bucket. What is the most secure way to grant permissions?
(EC2 인스턴스에서 실행되는 애플리케이션이 S3 버킷에 액세스해야 합니다. 가장 안전한 권한 부여 방법은 무엇입니까?)
A) Store Access Keys in the application code
B) Create an IAM User for the EC2 instance
C) Attach an IAM Role to the EC2 instance
D) Make the S3 bucket public
Answer: C
Use IAM Roles for AWS services (like EC2) to access other services. Never hard-code keys.
Use IAM Roles for AWS services (like EC2) to access other services. Never hard-code keys.
8 / 10
Practice Exam (Questions 4-6)
4. Which service allows you to create and manage encryption keys and control the use of encryption across a wide range of AWS services?
(암호화 키를 생성 및 관리하고 다양한 AWS 서비스에서 암호화 사용을 제어할 수 있는 서비스는 무엇입니까?)
A) AWS Certificate Manager (ACM)
B) AWS CloudHSM
C) AWS Key Management Service (AWS KMS)
D) AWS Secrets Manager
Answer: C
AWS KMS is the primary service for managed encryption keys. (CloudHSM is for dedicated hardware compliance).
AWS KMS is the primary service for managed encryption keys. (CloudHSM is for dedicated hardware compliance).
5. Which IAM principle dictates that you should grant only the permissions required to perform a task?
(작업을 수행하는 데 필요한 권한만 부여해야 한다는 IAM 원칙은 무엇입니까?)
A) Least Privilege
B) Root Access
C) Power User Access
D) Multi-Factor Authentication
Answer: A
Least Privilege (최소 권한) means granting only necessary permissions.
Least Privilege (최소 권한) means granting only necessary permissions.
6. Under the AWS Shared Responsibility Model, which of the following is the customer's responsibility regarding encryption?
(AWS 공동 책임 모델에 따라 암호화와 관련하여 고객의 책임은 무엇입니까?)
A) Physical security of the data center
B) Encryption of data at rest and in transit (Client-side)
C) Disposal of storage devices
D) Patching the hypervisor
Answer: B
Customers are responsible for encrypting their own data (Security IN the cloud). AWS handles the hardware (Security OF the cloud).
Customers are responsible for encrypting their own data (Security IN the cloud). AWS handles the hardware (Security OF the cloud).
9 / 10
수고하셨습니다!
Security is Job Zero
발표 요약:
1. IAM: 최소 권한, Role 사용, Root 봉인
2. Access: CLI/SDK는 Access Key, 콘솔은 PW
3. Encryption: KMS(일반) vs HSM(전용)
10 / 10