Skip to content

Chapter 09 - Security

本章目標

看完本章後,你應該可以回答:

  • KMS、Secrets Manager、ACM、WAF、Shield 各自解什麼問題?
  • CloudTrail、Config、GuardDuty 差在哪裡?
  • data encryption、audit、threat detection 題目怎麼拆?
  • Organizations / SCP 在多帳號治理裡做什麼?

一句話

Security 是把身分、資料、網路、應用、稽核和治理串在一起,不是單一服務能解完。

架構位置

Security 橫跨所有層:identity、network、data、application、monitoring、governance。

常見服務與概念

  • IAM
  • KMS
  • Secrets Manager
  • ACM
  • WAF
  • Shield
  • CloudTrail
  • AWS Config
  • GuardDuty
  • Security Hub
  • Organizations / SCP

PM 視角

PM 要能把 security requirement 問清楚:資料是否敏感?是否需要 encryption?誰能操作 production?是否要 audit trail?是否需要偵測異常活動?是否是多帳號環境?

Developer / DevOps 視角

工程師要知道:密碼不該寫在 env 或 code 裡,金鑰要交給 KMS 管,API 活動要用 CloudTrail 查,資源設定漂移要靠 Config。

考試怎麼問

常見題型會問:

  • 如何加密 S3 / EBS / RDS
  • 如何管理 database password rotation
  • 如何記錄誰改了 AWS resource
  • 如何偵測可疑 API 或網路活動
  • 如何限制 member account 可用服務

常見陷阱

陷阱正確方向
CloudWatch 和 CloudTrail 混淆CloudWatch 看 metrics/logs,CloudTrail 看 API audit
KMS 和 Secrets Manager 混淆KMS 管 key,Secrets Manager 管 secret 和 rotation
WAF 和 Security Group 混淆WAF 是 L7 web protection,SG 是 network access control
SCP 當 IAM policy 替代品SCP 是 account guardrail,不直接授權

Original learning content. Not official certification material.