Skip to content

Chapter 09 - Security

本章目标

看完本章后,你应该可以回答:

  • KMS、Secrets Manager、ACM、WAF、Shield 各自解什么问题?
  • CloudTrail、Config、GuardDuty 差在哪里?
  • data encryption、audit、threat detection 题目怎么拆?
  • Organizations / SCP 在多账号治理里做什么?

一句话

Security 是把身份、数据、网络、应用、稽核和治理串在一起,不是单一服务能解完。

架构位置

Security 横跨所有层:identity、network、data、application、monitoring、governance。

常见服务与概念

  • IAM
  • KMS
  • Secrets Manager
  • ACM
  • WAF
  • Shield
  • CloudTrail
  • AWS Config
  • GuardDuty
  • Security Hub
  • Organizations / SCP

PM 视角

PM 要能把 security requirement 问清楚:数据是否敏感?是否需要 encryption?谁能操作 production?是否要 audit trail?是否需要检测异常活动?是否是多账号环境?

Developer / DevOps 视角

工程师要知道:密碼不该写在 env 或 code 里,金鑰要交给 KMS 管,API 活动要用 CloudTrail 查,资源设置漂移要靠 Config。

考试怎么问

常见题型会问:

  • 如何加密 S3 / EBS / RDS
  • 如何管理 database password rotation
  • 如何記錄谁改了 AWS resource
  • 如何检测可疑 API 或网络活动
  • 如何限制 member account 可用服务

常见陷阱

陷阱正确方向
CloudWatch 和 CloudTrail 混淆CloudWatch 看 metrics/logs,CloudTrail 看 API audit
KMS 和 Secrets Manager 混淆KMS 管 key,Secrets Manager 管 secret 和 rotation
WAF 和 Security Group 混淆WAF 是 L7 web protection,SG 是 network access control
SCP 当 IAM policy 替代品SCP 是 account guardrail,不直接授权

原创学习内容。非官方认证资料。