Chapter 09 - Security
本章目标
看完本章后,你应该可以回答:
- KMS、Secrets Manager、ACM、WAF、Shield 各自解什么问题?
- CloudTrail、Config、GuardDuty 差在哪里?
- data encryption、audit、threat detection 题目怎么拆?
- Organizations / SCP 在多账号治理里做什么?
一句话
Security 是把身份、数据、网络、应用、稽核和治理串在一起,不是单一服务能解完。
架构位置
Security 横跨所有层:identity、network、data、application、monitoring、governance。
常见服务与概念
- IAM
- KMS
- Secrets Manager
- ACM
- WAF
- Shield
- CloudTrail
- AWS Config
- GuardDuty
- Security Hub
- Organizations / SCP
PM 视角
PM 要能把 security requirement 问清楚:数据是否敏感?是否需要 encryption?谁能操作 production?是否要 audit trail?是否需要检测异常活动?是否是多账号环境?
Developer / DevOps 视角
工程师要知道:密碼不该写在 env 或 code 里,金鑰要交给 KMS 管,API 活动要用 CloudTrail 查,资源设置漂移要靠 Config。
考试怎么问
常见题型会问:
- 如何加密 S3 / EBS / RDS
- 如何管理 database password rotation
- 如何記錄谁改了 AWS resource
- 如何检测可疑 API 或网络活动
- 如何限制 member account 可用服务
常见陷阱
| 陷阱 | 正确方向 |
|---|---|
| CloudWatch 和 CloudTrail 混淆 | CloudWatch 看 metrics/logs,CloudTrail 看 API audit |
| KMS 和 Secrets Manager 混淆 | KMS 管 key,Secrets Manager 管 secret 和 rotation |
| WAF 和 Security Group 混淆 | WAF 是 L7 web protection,SG 是 network access control |
| SCP 当 IAM policy 替代品 | SCP 是 account guardrail,不直接授权 |