AWS 자격 증명 / 권한 / 보안

이 문서에서는 AWS Solutions Architect Associate 시험에서 자주 등장하는 자격 증명, 권한 관리 및 보안 관련 서비스들을 정리합니다. 다음 용어와 개념들에 대해 간략히 알아보겠습니다.

• IAM
• Identity Center
• STS
• Cognito
• CloudTrail
• AWS Config
• Secrets Manager
• Systems Manager Parameter Store
• KMS
• ACM
• WAF
• Shield
• GuardDuty
• Macie

---

IAM (Identity And Access Management)

AWS 리소스에 접근할 권한들을 관리하는 서비스

주요 기능 및 개념

• IAM 사용자 User

  • AWS 서비스를 사용할 특정 사용자 또는 애플리케이션을 의미합니다.
  • **장기 자격 증명(Access Key)**을 발급받아 사용합니다.
  • Access Key는 만료 기간이 없어 유출 시 보안에 치명적일 수 있습니다. 따라서 최근에는 IAM 사용자 대신 IAM 역할 사용을 권장합니다.

• IAM 역할 Role

  • AWS 리소스에 대한 접근 권한이 없는 사용자나 서비스에게 임시 권한을 부여합니다.
  • Access Key와 같은 장기 자격 증명을 공유할 필요가 없어 보안상 안전합니다.
  • 언제든지 역할을 해제하거나 권한을 회수할 수 있어 유연한 관리가 가능합니다.

Identity Center

여러 AWS 계정의 로그인과 권한을 중앙에서 관리하기 위한 서비스

주요 기능

• 로그인 처리: 사용자 인증을 한 곳에서 일괄적으로 처리 (Single Sign-On)
• 권한 인가: 사용자/그룹에 Permission Set(허용할 권한 템플릿)을 부여하여 관리
• 그룹 단위 권한 부여: 사용자를 그룹으로 묶어 권한을 부여하므로 관리가 편리
• 외부 IdP 연동: Google Workspace, Microsoft Entra ID, 온프레미스 AD 등 외부 자격 증명 제공자와 연동 가능
• MFA 강제: 보안을 위해 모든 계정에 다중 요소 인증(MFA) 사용을 강제할 수 있음

STS (Security Token Service)

임시 보안 자격 증명(Access Key, Token 등)을 발급해주는 서비스

STS에서 발급한 토큰은 만료 기간이 있어 유출되더라도 비교적 안전합니다. 주로 IAM 역할(Role)이나 연합 자격 증명(Federation) 구현 시 사용됩니다.

Cognito

웹/모바일 애플리케이션의 로그인, 회원가입(인증 및 인가)을 담당하는 서비스

• JWT 기반: JSON Web Token을 사용하여 인증을 처리합니다.
• 사용자 풀(User Pool): 회원가입, 로그인 등 사용자 디렉터리 관리
• 자격 증명 풀(Identity Pool): 인증된 사용자에게 AWS 리소스에 접근할 수 있는 권한 부여

CloudTrail

AWS 계정에서 발생하는 모든 API 호출(이벤트)을 기록하는 서비스

누가, 언제, 어떤 AWS 리소스에 대해 어떤 작업을 수행했는지 로그를 남겨 감시(Auditing), 규정 준수(Compliance), 문제 해결 용도로 사용합니다.

AWS Config

AWS 리소스의 설정(Configuration) 변경 내역을 기록하고 검사하는 서비스

AWS 리소스의 구성(설정)이 시간에 따라 어떻게 변했는지(History)를 추적하고, 회사의 보안 **규정을 준수하고 있는지(Compliance)**를 자동으로 감사(Audit)하는 서비스입니다.

• 리소스 인벤토리 및 변경 기록: EC2, S3, RDS 등 리소스의 생성, 변경, 삭제 내역을 타임라인 형태로 기록합니다.
• 규정 준수(Compliance) 검사: "S3 버킷은 퍼블릭 액세스가 차단되어야 한다", "EBS 볼륨은 암호화되어야 한다" 같은 **규칙(Rule)**을 설정해두면, 위반 시 '비준수(Non-compliant)'로 표시하고 알림을 보냅니다.
• 자동 수정(Remediation): 규정을 위반한 리소스가 발견되면, Systems Manager(SSM) 문서를 트리거하여 자동으로 설정을 고칠 수 있습니다.

AWS 감시 및 보안 서비스 비교

서비스	주 목적	핵심 질문 (Key Question)	특징
AWS Config	구성(설정) 관리 및 감사	"리소스 설정이 어떻게 변했는가?" "규정을 준수하는가?"	구성 스냅샷, 타임라인, 규정 준수 여부 체크
CloudTrail	API 호출 기록 (감사 로그)	"누가, 언제 API를 호출했는가?"	계정 내 모든 활동(이벤트) 로그 기록. 법적 감사용.
CloudWatch	성능 모니터링 및 로깅	"리소스가 잘 작동하는가?"	CPU, 메모리, 에러 로그 모니터링 및 알람.
GuardDuty	지능형 위협 탐지	"해킹이나 공격 징후가 있는가?"	머신러닝으로 비정상적인 트래픽/활동 탐지.
Security Hub	보안 중앙 대시보드	"전반적인 보안 점수는 몇 점인가?"	Config, GuardDuty, Macie 등의 결과를 한 곳에서 통합해서 봄.

---

Secrets Manager

설정값/비밀값을 안전하게 저장하고 관리하는 서비스

데이터베이스 자격 증명, API 키, OAuth 토큰 등을 안전하게 저장합니다. 가장 큰 특징은 자동 순환(Rotation) 기능을 통해 비밀값을 주기적으로 자동 교체하여 보안을 강화할 수 있다는 점입니다.

Systems Manager Parameter Store

설정 데이터와 비밀 정보를 안전하게 저장하는 서비스

애플리케이션 설정, 환경 변수, 라이선스 코드 등을 계층 구조로 저장하고 관리합니다.

Secrets Manager vs Systems Manager Parameter Store

구분	Secrets Manager	Systems Manager Parameter Store
주 용도	보안에 민감한 비밀값(DB 암호 등) 관리	일반적인 설정값 및 비밀값 관리
자동 순환(Rotation)	지원함 (Lambda 함수 등을 이용해 자동 교체)	지원하지 않음
비용	상대적으로 비쌈	표준 파라미터는 무료, 고급 기능은 유료
특징	보안성 강화에 특화	설정 관리 및 계층적 구조 관리에 특화

KMS (Key Management Service)

데이터 암호화에 쓰이는 암호화 키(Key)를 생성하고 관리해주는 서비스

• 특징: 데이터를 직접 저장하는 것이 아니라, 데이터를 암호화/복호화하는 Key를 관리합니다.
• 자동 순환: 암호화 키를 주기적으로 자동 교체해주는 기능을 제공합니다.

ACM (AWS Certificate Manager)

SSL/TLS(HTTPS) 인증서를 발급하고 갱신해주는 서비스

AWS 서비스(ELB, CloudFront 등)와 통합되어 인증서를 쉽게 배포하고, 만료되기 전에 자동으로 갱신해줍니다.

주요 특징

• 무료 퍼블릭 인증서: AWS에서 발급하는 퍼블릭 SSL/TLS 인증서는 무료입니다.
• 자동 갱신: ACM에서 발급한 인증서는 만료 60일 전부터 자동으로 갱신을 시도합니다. (DNS 검증 사용 시 매우 편리)
• 통합 서비스: ELB, CloudFront, API Gateway, Elastic Beanstalk 등과 원활하게 연동됩니다.

SAA 시험 대비 핵심 포인트

시험에서 자주 함정으로 출제되는 내용들입니다.

1. 리전(Region) 제약 사항 (가장 중요)

• ALB/NLB, API Gateway에 적용할 인증서
  • 리소스가 위치한 **"동일한 리전"**에서 인증서를 요청/발급받아야 합니다.
  • 예: 서울 리전의 ALB에는 서울 리전의 ACM 인증서만 적용 가능.
• CloudFront에 적용할 인증서
  • 반드시 "us-east-1 (버지니아 북부)" 리전에서 발급받아야 합니다.
  • CloudFront는 글로벌 서비스이므로, 글로벌 인증서 저장소 역할인 us-east-1을 사용합니다.

2. EC2 인스턴스 직접 설치 불가

• ACM 퍼블릭 인증서의 **Private Key(개인 키)**는 보안상 사용자가 직접 다운로드하거나 볼 수 없습니다.
• 따라서 EC2 인스턴스 내부의 웹 서버(Nginx, Apache 등)에 직접 ACM 인증서를 설치할 수 없습니다.
• 해결책: EC2 앞단에 **ELB(로드 밸런서)**나 CloudFront를 배치하여 해당 리소스에 ACM 인증서를 적용하고, SSL 종료(Termination)를 수행해야 합니다.

3. 인증서 갱신 (Renewal)

• ACM 발급 인증서: DNS 검증을 사용하고 있다면 자동으로 갱신됩니다.
• 외부 가져오기(Import) 인증서: 외부 기관(GoDaddy, Symantec 등)에서 구매하여 ACM에 Import한 인증서는 자동 갱신되지 않습니다. 만료 전에 수동으로 새 인증서를 다시 Import해야 합니다.

혼동하기 쉬운 개념

• ACM Public vs Private CA
  • ACM Public Cert: 일반적인 인터넷 서비스(HTTPS)용. 무료. 인증서의 신뢰성이 브라우저에 의해 보장됨.
  • AWS Private CA: 기업 내부망, VPN, IoT 기기 식별 등을 위한 사설 인증 기관. 유료(비쌈).
• 도메인 검증 방식
  • DNS 검증: Route 53에 CNAME 레코드를 추가하여 소유권 증명. (자동 갱신에 유리하여 권장됨)
  • 이메일 검증: 도메인 관리자 이메일로 온 링크 클릭. (자동 갱신 시 매번 이메일 승인 필요할 수 있음)

---

WAF (Web Application Firewall)

웹 애플리케이션 앞단에서 악성 트래픽을 차단하는 보안 서비스

주로 CloudFront, ALB, API Gateway 앞단에 배치되어 L7(애플리케이션 계층) 레벨의 공격을 방어합니다.

주요 기능

• IP 기반 차단/허용: 특정 IP, IP 대역 또는 국가(Geo-blocking) 차단
• 공격 방어: SQL Injection, XSS(Cross-Site Scripting) 등 일반적인 웹 공격 방어
• 제약 사항: TCP/UDP 레벨(L4) 공격은 방어할 수 없음 (이는 Shield의 역할)

Shield

DDoS 공격을 자동으로 탐지하고 방어해주는 서비스

• Shield Standard: 모든 AWS 고객에게 무료로 제공되며, 일반적인 네트워크/전송 계층(L3/L4) DDoS 공격을 방어합니다.
• Shield Advanced: 유료 서비스로, 더 정교한 대규모 DDoS 공격에 대한 보호와 비용 보호 기능을 제공합니다.

GuardDuty

지능형 위협 탐지 및 모니터링 서비스

AWS 계정, 워크로드, S3에 저장된 데이터에 대한 악의적인 활동이나 비정상적인 동작을 지속적으로 모니터링합니다. CloudTrail 로그, VPC Flow Logs, DNS 쿼리 로그 등을 분석하여 위협을 탐지합니다. 직접적인 차단/대응은 하지 않고 탐지 및 경고가 주 목적입니다.

Macie

기계 학습(ML)을 활용해 S3에 저장된 민감한 데이터를 자동으로 식별하고 보호하는 서비스

S3 버킷을 스캔하여 개인 식별 정보(PII), 금융 데이터 등 민감한 정보(Privacy)가 노출되어 있는지 확인하고 경고합니다.