# Other Services

1. **Health Dashboard**

2. **Trusted Advisor**

3. **GuardDuty**

4. **Macie**

5. **Secrets Manager **

6. **License Manager**

7. **Cost Allocation Tags**

8. **Data Protection**

9. **Network Protection**

---

# 1. Health Dashboard

### Service Health Dashboard

모든 리전의 모든 리소스가 어떤 상태인지 확인

- RSS로 알림을 받을 수 있다.

### Personal Health Dashboard (PHD)

내가 사용하고 있는 서비스의 이슈를 보여준다.

- 예) 너 EC2 하드웨어가 맛이 갔어 :)

- CW Events, Slack 등과 연동할 수 있다.

### IAM Key 노출 사고

IAM Key가 Github에 올라갔을 때 대처할 수 있는 파이프라인이다.

![Image](https://upload.cafenono.com/image/slashpageHome/20240820/134246_C3bqehjyFKq7rmv5jj?q=80&s=1280x180&t=outside&f=webp)

1. **PHD** : 자동으로 Github을 조사해서 노출된 IAM key를 찾는다.

2. **IAM** : IAM Key를 삭제한다.

3. **CloudTrail** : 해당 IAM Key의 모든 활동을 추적한다.

4. **SNS** : 관련자들에게 모두 보고 메일을 발송한다.

# 2. Trusted Advisor

AWS가 Well-Architecture Framework에 따라 잘 구성되었는지를 확인하는 서비스이다.

**예시 공부** :  

### **자동으로 check 갱신하기 **

제공해주는 API를 사용해, 하루 이상 지난 check를 갱신한다.

- refresh-trusted-advisor-check

- describle-trusted-advisor-check-result

# 3. GuardDuty

머신 러닝으로 CloudTrail Logs, VPC Flow Logs, DNS Logs 자료들을 분석해 위협을 찾아낸다. 찾아내면 CloudWatch Event로 알릴 수 있다. 암호화폐 공격을 막을 수 있다. 30일까지 무료

# 4. Macie

머신 러닝을 통해 S3가 **PII**** **(개인식별정보) 같은 민감한 정보를 가지고 있는지 찾는 서비스이다.

# 5. Secrets Manager

SSM Parameter와 달리 값을 무조건 KMS 키로 암호화해서 저장하는 서비스이다.

- 매 X일 마다 키 교체를 강제한다.

- Amazon RDS, Redshift, DocumentDB와 통합할 수 있다.

# 6. License Manager

윈도우 라이센스 같은 라이센스를 저장하고 어디에 적용했는지 추적해주는 서비스이다.

# 7. Cost Allocation Tags

그냥 태그지만, 요금 계산할 때만 표시되는 태그이다. 원하는 태그를 활성화하고, 해당 태그를 리소스에 붙이면, 태그별로 요금을 볼 수 있다.

- **AWS Generated** : `aws:`로 시작한다.

- **User tags** : `user:`로 시작한다.

# 8. Data Protection

- 모든 서비스는 HTTPS endpoint를 제공한다.

- Load Balancer에서 SSL 인증서를 붙일 수 있다.

### S3 암호화

- **SSE-S3**: Amazon S3가 제공하는 key로 암호화한다.

- **SSE-KMS**: 키 관리 서비스에서 관리하는 key로 암호화한다.

- **SSE-C:** 고객에 제공하는 키로 암호화한다. S3는 키를 저장하지 않고 고객이 HTTPS로 계속 제공해야 한다. 

- **Client Side Encryption** - 클라이언트에서 암호화해서 S3로 보낸다.

# 9. Network Protection

### AWS 외부

- **Direct Connect** : 온프레미스 서버와 AWS를 직접 연결

- **Site-to-Site VPN** : IPsec VPN 연결로 퍼블릭 인터넷을 통과하지만 안전하게 통신

### AWS 내부

stateful이란 한 요청을 허용하면, 해당 요청의 응답은 무조건 허용하는 것을 말한다.

- **Network ACL** : VPC 레벨에서 stateless 방화벽 제공

- **WAF** : 웹 보안 규칙 정함

- **Security Group** : 인스턴스에 stateful 방화벽 제공

- **System Firewall** : 인스턴스에 설치하는 내부 방화벽

For the site tree, see the [root Markdown](https://slashpage.com/kaonmir.md).