접근 제어
User/Group/Role/Policy. Policy는 Identity 또는 Resource 기반.
임시 자격증명
AssumeRole로 STS 임시 credential 발급. 최소 권한·회전 용이.
중앙 SSO
Organizations 전체 SSO. SAML/OIDC 외부 IdP 연동.
권한 분석
외부 공유 자원·과도 권한 탐지. Zelkova 기반.
온프레미스 임시 자격
X.509 인증서로 온프레 서버에 AWS 임시 credential 발급.
앱 사용자 인증
User Pool(회원가입) + Identity Pool(AWS 자격증명 교환).
임시 보안 자격증명
AssumeRole·AssumeRoleWithSAML·AssumeRoleWithWebIdentity.
계정 수준 정책
OU/계정에 deny 중심 정책. IAM보다 상위.
키 관리
AWS/Customer Managed Key. 봉투 암호화. CMK 1년 자동 회전.
리전 간 키
동일 key material을 여러 리전에 복제. DR·cross-region 서비스.
일시 권한 위임
IAM Policy 없이 리소스 수명에 따른 임시 권한. Lambda 등 동적 위임.
전용 HSM
FIPS 140-2 Level 3. 고객 전용 하드웨어. 규제 산업 필수 시.
TLS 인증서
무료 공인 인증서 발급·갱신. ELB/CloudFront/API GW 통합.
사설 CA
내부 서비스용 사설 인증서 발급. EKS·IoT mTLS.
시크릿 관리
DB 자격증명·API 키. 자동 회전 (Lambda 템플릿 내장).
구성 저장소
Standard (무료) / Advanced ($0.05). SecureString + KMS.
위협 탐지
ML 기반. VPC Flow Logs·CloudTrail·DNS·S3·EKS·Malware 분석.
중앙 대시보드
GuardDuty/Inspector/Macie/Config 집계. CIS/PCI/NIST 기준.
조사 분석
GuardDuty Finding 근본 원인 그래프 분석.
취약점 스캔
EC2·ECR·Lambda CVE 자동 스캔. Agent 불필요.
민감 데이터 탐지
S3 PII/PHI/PCI ML 분류·알림.
감사 자동화
SOC/PCI/HIPAA/GDPR 등 프레임워크 기반 증거 자동 수집.
웹 방화벽
L7 공격 차단 (SQLi·XSS·Bot). ALB/CloudFront/API GW/AppSync.
DDoS 방어
Standard 무료. Advanced 유료 + DRT + 비용 보호 + WAF 포함.
VPC IDS/IPS
Suricata 규칙·도메인 필터. TGW/Inspection VPC 경로.
중앙 WAF/Shield 관리
Organizations 전체 WAF/Shield/Network FW/SG 일괄.
인스턴스 방화벽
Stateful. Allow only. 5개/ENI 60 규칙/SG.
서브넷 방화벽
Stateless (ephemeral ports 주의). Allow/Deny.
트래픽 로그
ENI/Subnet/VPC 수준. REJECT 탐색으로 SG/NACL 진단.
프라이빗 서비스
Interface Endpoint로 AWS/SaaS 프라이빗 접근.
DNS 필터
악성 도메인 요청 차단. GuardDuty threat list 연동.
API 감사 로그
Management/Data/Insights Events. Organization Trail로 중앙 집계.
로그 무결성
digest file로 변조 탐지. 포렌식 필수.
WORM
Governance/Compliance 모드. Compliance는 root도 삭제 불가.
구성 추적
리소스 변경 이력·컴플라이언스 평가·자동 수정.
로그 집계
Metric Filter + Alarm으로 보안 이벤트 탐지.
Bastion 없이 쉘
IAM + SSM Agent + VPC Endpoint. CloudTrail 감사.
OS 패치
Patch Baseline + Maintenance Window. 자동 보안 패치.
다단계 워크플로
Config Remediation Action으로 위반 자동 수정.
이벤트 버스
GuardDuty Finding → Lambda/SSM 자동 대응 트리거.