콘텐츠 도메인 4: 데이터 보안 및 거버넌스

기술 4.1.1: VPC 보안 그룹 업데이트

기술 4.1.2: AWS Identity and Access Management(AWS IAM) 그룹, 역할, 엔드포인트 및 서비스 생성 및 업데이트

기술 4.1.3: 암호 관리를 위한 자격 증명 만들기 및 회전(예: AWS Secrets Manager)

기술 4.1.4: 액세스를 위한 IAM 역할 설정(예: AWS Lambda, Amazon API Gateway, AWS CLI, AWS CloudFormation)

기술 4.1.5: 역할, 엔드포인트 및 서비스에 IAM 정책 적용(예: S3 Access Points, AWS PrivateLink)

기술 4.1.6: 관리형 서비스와 비관리형 서비스의 차이점 설명

기술 4.1.7: SageMaker Unified Studio의 도메인, 도메인 단위 및 프로젝트 사용

기술 4.2.1: 관리형 정책이 요구 사항을 충족하지 못하면 사용자 지정 IAM 정책 만들기

기술 4.2.2: 애플리케이션 및 데이터베이스 자격 증명 저장(예: Secrets Manager 및 AWS Systems Manager Parameter Store)

기술 4.2.3: 데이터베이스 사용자, 그룹 및 역할에 데이터베이스 액세스와 권한 제공(예: Amazon Redshift)

기술 4.2.4: AWS Lake Formation을 통해 권한 관리(Amazon Redshift, Amazon EMR, Amazon Athena, Amazon S3)

기술 4.2.5: 비즈니스 요구 사항을 해결하는 권한 부여 방법 적용(역할 기반, 태그 기반 및 속성 기반)

기술 4.2.6: 최소 권한의 원칙을 충족하는 사용자 지정 정책 구성

기술 4.3.1: 규정 준수 법률 또는 회사 정책에 따른 데이터 마스킹 및 익명화 적용

기술 4.3.2: 암호화 키를 사용하여 데이터 암호화하거나 암호 해독(예: AWS Key Management Service(AWS KMS))

기술 4.3.3: AWS 계정 경계 간에 암호화 구성

기술 4.3.4: 전송 중 또는 전송 전 데이터 암호화 사용

기술 4.4.1: AWS CloudTrail을 사용하여 API 호출 추적

기술 4.4.2: Amazon CloudWatch Logs를 사용하여 애플리케이션 로그 저장

기술 4.4.3: 중앙 집중식 로깅 쿼리에 AWS CloudTrail Lake 사용

기술 4.4.4: AWS 서비스를 사용하여 로그 분석(예: Athena, CloudWatch Logs Insights, Amazon OpenSearch Service)

기술 4.4.5: 다양한 AWS 서비스를 통합하여 로깅 수행(예: 대용량 로그 데이터의 경우 Amazon EMR)

기술 4.5.1: 데이터 공유 권한 부여(예: Amazon Redshift의 데이터 공유)

기술 4.5.2: PII 식별 구현(예: Lake Formation을 사용하는 Amazon Macie)

기술 4.5.3: 허용되지 않는 AWS 리전으로의 데이터 백업 또는 복제를 방지하기 위해 데이터 프라이버시 전략 구현

기술 4.5.4: 계정에서 발생한 구성 변경 보기(예: AWS Config)

기술 4.5.5: 데이터 주권 유지 관리

기술 4.5.6: Amazon SageMaker Catalog 프로젝트를 통해 데이터 액세스 관리

기술 4.5.7: 거버넌스 데이터 프레임워크 및 데이터 공유 패턴 설명