퍼블릭 클라우드 관련/AWS
AWS Security Specialty 헷갈리기 쉬운 개념쌍 TOP 10
호레
2025. 10. 22. 13:57
반응형
# 개념쌍 혼동 포인트 구분 기준 & 핵심 문장 예시 문제 포인트
| 1 | Service Catalog 🆚 CloudFormation StackSets | 둘 다 표준 인프라 배포로 보임 | 🔹 Service Catalog → 개발자가 “무엇을 실행할 수 있는지 제한” (승인된 제품만) 🔹 StackSets → 관리자가 “어디에 배포할지 자동화” (조직 전체 배포) |
“승인된 소프트웨어만 실행하게 제한해야 한다” → Service Catalog |
| 2 | SCP 🆚 IAM Policy | 둘 다 권한 제어 정책 | 🔹 SCP → “최대 허용 한도” (deny는 강제) 🔹 IAM Policy → “개별 권한 부여” |
“조직 전체에서 특정 서비스 사용 금지” → SCP |
| 3 | IAM Permission Policy 🆚 Trust Policy | 둘 다 Role에 붙는 JSON이라 헷갈림 | 🔹 Trust Policy → “누가 역할을 맡을 수 있는가” 🔹 Permission Policy → “맡은 역할로 무엇을 할 수 있는가” |
“MFA 인증 후만 AssumeRole 허용” → Trust Policy |
| 4 | VPC Endpoint 🆚 NAT Gateway | 둘 다 Private Subnet에서 외부 접근용 | 🔹 VPC Endpoint → AWS 내부 서비스(S3, STS 등) 전용 🔹 NAT Gateway → 인터넷 외부로 나가는 트래픽 |
“S3 접근은 내부망에서만 허용” → VPC Endpoint |
| 5 | KMS Auto Rotation 🆚 Imported Key Manual Rotation | 둘 다 키 교체 관련 | 🔹 Managed Key → 1년 주기 자동 회전 가능 🔹 Imported Key → 수동 교체만 가능, alias 변경으로 대체 |
“Imported key를 자동 회전 설정” → ❌ |
| 6 | CloudWatch Alarm 🆚 EventBridge Rule | 둘 다 이벤트 기반 | 🔹 Alarm → “Metric 기반 감지” 🔹 EventBridge → “Event 기반 자동화” |
“EC2 Stop 이벤트 발생 시 자동 Lambda 실행” → EventBridge |
| 7 | Config Rule 🆚 Security Hub | 둘 다 규정 준수 모니터링 | 🔹 Config Rule → 리소스의 구성 상태 점검 🔹 Security Hub → 여러 서비스의 보안 결과 통합 대시보드 |
“S3 공개 버킷 탐지 후 자동 알림” → Config Rule |
| 8 | GuardDuty 🆚 Security Hub | 둘 다 보안 탐지 서비스 | 🔹 GuardDuty → 위협 탐지 (비정상 트래픽, API 호출 등) 🔹 Security Hub → GuardDuty 등 여러 탐지 결과 통합 및 규정 준수 평가 |
“조직 전체 위협 탐지 통합” → Security Hub + GuardDuty 조합 |
| 9 | CloudTrail 🆚 CloudWatch Logs | 둘 다 로그 관련 | 🔹 CloudTrail → “누가, 언제, 무엇을 했는가” (API 로그) 🔹 CloudWatch Logs → “어떤 일이 일어났는가” (시스템 로그, 애플리케이션 로그) |
“API 호출 이력 추적” → CloudTrail |
| 10 | Detective 🆚 Config / CloudTrail | 둘 다 관계 그래프 분석처럼 보임 | 🔹 Detective → CloudTrail, VPC Flow Logs, GuardDuty 데이터를 분석해 보안 관계 추적 🔹 Config → 단순히 리소스 구성 상태 추적 |
“이상 트래픽과 연관된 계정 활동을 시각화” → Detective |
🧠 빠른 암기 팁 — “문제 문장 속 단서 단어”로 구분하기
단서 단어정답 경향
| “승인된 리소스만 실행” | ✅ Service Catalog |
| “조직 전체에 배포” | ✅ StackSets |
| “모든 계정에 제한 적용” | ✅ SCP |
| “특정 이벤트 발생 시 자동 대응” | ✅ EventBridge |
| “규정 위반 탐지 / 검사” | ✅ Config Rule |
| “민감 데이터 식별” | ✅ Macie |
| “키 자동 회전 설정” | ✅ KMS Managed Key |
| “MFA 인증 시에만 Role Assume 가능” | ✅ Trust Policy |
| “위협 감지” / “탐지 결과 통합” | ✅ GuardDuty / Security Hub |
| “행동 경로 분석” | ✅ Detective |
📘 요약 문장 1줄씩 (시험 직전용)
1️⃣ Service Catalog → 승인된 것만
2️⃣ StackSets → 조직 전체 배포
3️⃣ SCP → 최대 허용 한도
4️⃣ IAM Policy → 실제 권한
5️⃣ Trust Policy → 역할 맡기 조건
6️⃣ VPC Endpoint → AWS 내부
7️⃣ NAT Gateway → 외부 인터넷
8️⃣ Config → 상태 점검
9️⃣ GuardDuty → 위협 탐지
🔟 Security Hub → 결과 통합
반응형