☁️ Security & Compliance
IAM, Shared Responsibility Model, Shield, WAF, KMS
🤝 Shared Responsibility Model
Ответственность AWS ("Security OF the cloud"): Hardware, глобальная инфраструктура, датацентры, управляемые сервисы. Ответственность клиента ("Security IN the cloud"): патчи OS на EC2, код приложения, конфигурация IAM, шифрование данных, настройка сети.
🔐 AWS IAM (Identity and Access Management)
Users — отдельные пользователи. Groups — группы пользователей (для назначения политик). Roles — временные разрешения для сервисов AWS или внешних идентификаторов. Policies — документы разрешений в формате JSON. Principle of Least Privilege — предоставляйте только необходимые разрешения.
🛡️ AWS Shield & WAF
AWS Shield Standard — бесплатно, защита от DDoS (layer 3/4). AWS Shield Advanced — платно, DDoS уровня layer 7, поддержка 24/7 DRT (DDoS Response Team). AWS WAF — Web Application Firewall, защита от SQL injection, XSS и других веб-атак.
🔑 AWS KMS & Encryption
AWS KMS (Key Management Service) — управление ключами шифрования. Encryption at rest: шифрование данных S3, EBS, RDS. Encryption in transit: SSL/TLS. CloudHSM — выделенный аппаратный модуль безопасности.
📊 Shared Responsibility: AWS vs Клиент
| Сервис | Ответственность AWS | Ответственность клиента |
|---|---|---|
| EC2 (IaaS) | Hardware, Hypervisor, Network | Патчи OS, приложение, настройка Firewall, данные |
| RDS (PaaS) | Hardware, OS, патчи DB engine | Конфигурация БД, пользователи, шифрование данных |
| S3 (Managed) | Hardware, Durability, Availability | Bucket policy, ACL, versioning, шифрование |
| Lambda (Serverless) | Инфраструктура, патчи Runtime | Код, IAM roles, переменные окружения |
💡 Ключевые моменты
- AWS — безопасность инфраструктуры, Вы — безопасность данных и конфигурации
- IAM: Users, Groups, Roles, Policies
- Least Privilege Principle — всегда минимальные разрешения
- Shield Standard: бесплатная защита от DDoS, Shield Advanced: платная
- KMS: управление ключами шифрования
- MFA — обязательно для Root account и пользователей IAM
🎯 Советы для экзамена
- "Security OF the cloud" = ответственность AWS (hardware, AZ, глобальная инфраструктура)
- "Security IN the cloud" = ваша ответственность (IAM, данные, OS, конфигурация)
- IAM Role vs IAM User: для EC2/Lambda всегда используйте Role, никогда не используйте учётные данные User
- CloudTrail = кто что сделал (журнал аудита), CloudWatch = метрики и мониторинг — РАЗЛИЧИЕ ВАЖНО!
- MFA для Root account — экзамен всегда спрашивает об этом
⚠️ Частые ошибки
- Думать, что клиент управляет патчами OS в RDS — Неверно! RDS управляемый, OS обслуживает AWS
- Путать CloudTrail и CloudWatch: Trail=аудит, Watch=метрики
- Принимать IAM Policy за IAM Role. Policy = разрешения, Role = временный идентификатор
🧠 Для запоминания: "OF vs IN": AWS = Security OF the cloud (инфраструктура), Вы = Security IN the cloud (данные+конфигурация)
Проверьте себя по теме «Security & Compliance»
Бесплатные интерактивные тесты, пробный экзамен и полные уроки — на платформе CertMaster.
Начать бесплатно →