VPC 엔드포인트(VPC Endpoint) 는 **VPC와 AWS 서비스 간의 프라이빗 통신을 위한 “집합 개념”**이고,그 안에 Gateway Endpoint와 Interface Endpoint(PrivateLink)가 포함되어 있습니다. VPC Endpoint ├─ Gateway Endpoint → 라우트 기반 (S3, DynamoDB 전용) ├─ Interface Endpoint → ENI 기반 (대부분의 AWS 서비스) └─ Gateway Load Balancer Endpoint → 트래픽 미러링/보안장비용즉,➡️ VPC Endpoint = Gateway Endpoint + Interface Endpoint (+ GWLB Endpoint)라고 보면 정확합니다.🔍 각 유형 비교 요약항목..

# 개념쌍 혼동 포인트 구분 기준 & 핵심 문장 예시 문제 포인트1Service Catalog 🆚 CloudFormation StackSets둘 다 표준 인프라 배포로 보임🔹 Service Catalog → 개발자가 “무엇을 실행할 수 있는지 제한” (승인된 제품만) 🔹 StackSets → 관리자가 “어디에 배포할지 자동화” (조직 전체 배포)“승인된 소프트웨어만 실행하게 제한해야 한다” → Service Catalog2SCP 🆚 IAM Policy둘 다 권한 제어 정책🔹 SCP → “최대 허용 한도” (deny..

✅ Amazon Inspector의 역할현재(2023 이후 기준) Amazon Inspector는ECR 이미지 푸시 시 자동 스캔 (push scanning)ECR 내 모든 이미지에 대한 주기적 스캔 (continuous scanning)을 자동으로 수행합니다.ECR의 기본 스캐닝(ECR Basic Scanning) 은 단순히 푸시 시점 1회성 검사였지만,Inspector는 지속적 스캔 + 취약점 심각도별 결과를 중앙집중화합니다.결과는 Security Hub로 자동 연동되어, 다른 보안 서비스 결과(GuardDuty, Macie 등)와 함께 통합 대시보드에서 볼 수 있습니다.🧠 핵심 포인트 요약항목 Amazon Inspector ..

✅ SNS로 직접 푸시 가능한 대표 서비스Amazon EventBridge: 규칙의 타깃으로 SNS 지정 가능.Amazon CloudWatch Alarms: 알람의 알림 대상으로 SNS 지정.Amazon S3 이벤트 알림: 객체 생성/삭제 등 버킷 이벤트를 SNS로 직접 전송.AWS Config: 규칙/컴플라이언스 변경 알림을 SNS로 직접 전송 가능.AWS CloudFormation: 스택 이벤트 알림을 SNS로 보낼 수 있음.Amazon RDS / ElastiCache 등 일부 서비스 이벤트: SNS 구독 기반 이벤트 알림 제공.Auto Scaling: 스케일링 이벤트 SNS 알림 지원.AWS CloudTrail(로그 전달 완료 알림 한정): “로그 파일이 S3에 배달되었음”을 SNS로 알림(이건 이..

🔑 1️⃣ 개념 비교 요약구분 대칭형 KMS 키 비대칭형 KMS 키암호화 방식동일한 키로 암호화/복호화공개키로 암호화, 개인키로 복호화대표 알고리즘AES-256RSA 2048/3072/4096, ECC자동 회전✅ 지원❌ 지원 안 함주 사용 목적데이터 암호화디지털 서명(Sign/Verify), 암호화 키 교환, 서명 검증예시 사용처EBS, S3, RDS, Secrets Manager, Lambda 환경 변수CodeSigning, TLS 인증서, 데이터 검증용 서명성능빠름 (하드웨어 가속 가능)느림 (비대칭 연산) 🧱 2️⃣ AWS 서비스별 KMS ..

🔸 A. 조직/정책 관련 혼동#개념쌍헷갈리는 이유구분 핵심기억 문장1SCP 🆚 IAM Policy둘 다 권한 JSON 문법SCP는 “최대 한도(Guardrail)”, IAM은 “실제 권한”“SCP는 브레이크, IAM은 엑셀”2IAM Permission Policy 🆚 Trust Policy둘 다 Role에 붙음Trust는 AssumeRole 조건, Permission은 행동 권한“MFA 조건은 Trust에 넣는다”3SCP 🆚 Resource Policy둘 다 Account 밖 접근 제한 가능해 보임SCP는 계정 수준 제어, Resource Policy는 리소스 단위 제어“SCP는 전체 계정, Resource Policy는 버킷 하나”4Service Catalog 🆚 StackSets둘 다 표준 ..

{ "AccessKeyId": "ASIAXXXXX", "SecretAccessKey": "XXXXX", "SessionToken": "XXXX", "Expiration": "2025-10-17T12:00:00Z"}🧩 요약 한 줄로구분역할한 줄 설명사용자 풀 (User Pool)“로그인 시스템”사용자의 ID(이메일·비밀번호, Google 로그인 등)를 관리하는 인증(Authentication) 기능ID 풀 (Identity Pool)“권한 부여 시스템”로그인한 사용자가 AWS 리소스(S3, DynamoDB 등)에 접근할 수 있게 권한 부여(Authorization) 해주는 기능1️⃣ Cognito 사용자 풀 (User Pool)“사용자가 누구인지 인증(Authenticate)하는 곳”💡 기능사용..

항목 설명신뢰 정책(Trust Policy)어떤 주체(Principal)가 이 역할을 Assume할 수 있는지를 정의권한 정책(Permissions Policy)역할을 Assume한 엔티티가 어떤 AWS API를 호출할 수 있는지를 정의 🧩 IAM 역할(Role)의 두 개의 정책 구조정책 종류 위치 역할 요약🧾 신뢰 정책 (Trust Policy)IAM 역할 안의 “신뢰 관계(Tr..

🧩 1. AWS Verified Access — 네트워크 및 접근 제어 계층핵심 역할:기업 내부 애플리케이션(예: 인트라넷, 사내 웹앱 등)에 VPN 없이 안전한 접근을 제공하는 서비스입니다.즉, “누가, 어떤 기기에서, 어떤 조건으로” 애플리케이션에 접근 가능한가를 제어합니다.주요 특징제로 트러스트 접근 제어 (Zero Trust Network Access, ZTNA)AWS Identity Center, Okta, Azure AD 등 IdP(Identity Provider) 연동 가능CrowdStrike, Jamf 등 디바이스 신뢰도 평가 시스템과 통합 가능애플리케이션 앞단에 프록시처럼 배치되어, 사용자 인증 후 트래픽을 허용정책은 Verified Access policy로 JSON 형태로 정의 (예..

1️⃣ CloudFormation Stack Policy항목설명적용 대상하나의 스택 내부 리소스목적스택 내 특정 리소스(예: 데이터베이스, 보안 그룹 등)가 수정/삭제되지 않도록 보호예시 용도“DB 인스턴스는 스택 업데이트 시 절대 교체하지 마라”형태JSON 정책으로, 리소스별로 Allow/Deny 업데이트 정의범위단일 스택 수준 (조직 전체 적용 불가)주요 한계잘못된 리소스 생성/구성 자체를 “사전 방지”하지는 못함. 이미 배포된 스택 내 보호만 수행예시{ "Statement": [ { "Effect": "Deny", "Action": "Update:*", "Principal": "*", "Resource": "LogicalResourceId/MyDatabas..