Chapter 09 - Security
本章目標
看完本章後,你應該可以回答:
- KMS、Secrets Manager、ACM、WAF、Shield 各自解什麼問題?
- CloudTrail、Config、GuardDuty 差在哪裡?
- data encryption、audit、threat detection 題目怎麼拆?
- Organizations / SCP 在多帳號治理裡做什麼?
一句話
Security 是把身分、資料、網路、應用、稽核和治理串在一起,不是單一服務能解完。
架構位置
Security 橫跨所有層:identity、network、data、application、monitoring、governance。
常見服務與概念
- IAM
- KMS
- Secrets Manager
- ACM
- WAF
- Shield
- CloudTrail
- AWS Config
- GuardDuty
- Security Hub
- Organizations / SCP
PM 視角
PM 要能把 security requirement 問清楚:資料是否敏感?是否需要 encryption?誰能操作 production?是否要 audit trail?是否需要偵測異常活動?是否是多帳號環境?
Developer / DevOps 視角
工程師要知道:密碼不該寫在 env 或 code 裡,金鑰要交給 KMS 管,API 活動要用 CloudTrail 查,資源設定漂移要靠 Config。
考試怎麼問
常見題型會問:
- 如何加密 S3 / EBS / RDS
- 如何管理 database password rotation
- 如何記錄誰改了 AWS resource
- 如何偵測可疑 API 或網路活動
- 如何限制 member account 可用服務
常見陷阱
| 陷阱 | 正確方向 |
|---|---|
| CloudWatch 和 CloudTrail 混淆 | CloudWatch 看 metrics/logs,CloudTrail 看 API audit |
| KMS 和 Secrets Manager 混淆 | KMS 管 key,Secrets Manager 管 secret 和 rotation |
| WAF 和 Security Group 混淆 | WAF 是 L7 web protection,SG 是 network access control |
| SCP 當 IAM policy 替代品 | SCP 是 account guardrail,不直接授權 |