도메인 3(인프라 보안, ~20%)과 도메인 4(IAM, ~16%)는 시험에서 가장 점수 비중이 큰 묶음이다. 둘의 관계는 명확하다 — 인프라 보안은 "어디로 갈 수 있는가(네트워크 경로)"를, IAM은 "무엇을 할 수 있는가(권한)"를 통제한다. Specialty 답안은 거의 항상 *"네트워크 경계로 막고, 최소 권한 IAM으로 다시 막는다"*는 이중 통제를 요구한다. 오늘은 이 두 차원을 하나의 접근 통제 모델로 묶는다.
| 통제 | 상태성 | 적용 단위 | 핵심 특징 |
|---|---|---|---|
| Security Group | stateful | ENI/인스턴스 | 허용 규칙만. 응답 자동 허용 |
| NACL | stateless | 서브넷 | 허용+거부. 인/아웃 별도. 응답 포트 명시 |
| VPC Endpoint (Gateway) | — | S3/DynamoDB | 라우팅 테이블. 무료 |
| VPC Endpoint (Interface/PrivateLink) | — | 대부분 서비스 | ENI+프라이빗 IP. SG로 통제 |
| Network Firewall | stateful | inspection VPC | IPS·도메인·Suricata |
💡 관련 이론: SG는 stateful이라 인바운드를 허용하면 응답이 자동으로 나간다