AWS 安全服務與資源

AWS 安全服務與資源是 AWS 提供的託管建構積木，讓客戶能偵測威脅、尋找漏洞、保護資料、控管網路流量，並管理加密金鑰，而不必自行維運這些工具。在 CLF-C02 考試中，Task 2.4 測驗你能否針對情境挑出正確的 AWS 安全服務——威脅偵測走 GuardDuty，漏洞掃描走 Inspector，S3 中的敏感資料探索走 Macie，DDoS 走 Shield，Web 弱點利用走 WAF，跨服務聚合走 Security Hub。

本頁會帶你走過 CLF-C02 藍圖中的每一項 AWS 安全服務，解釋最關鍵的三方陷阱（GuardDuty vs Inspector vs Macie），並演練考試中一定會遇到的必背事實。讀完之後，你就能在十秒內讀完情境、抓出被保護的物件，並比對出正確的 AWS 安全服務。

什麼是 AWS 安全服務與資源？

AWS 安全服務是一整組託管工具，從六大支柱保護在 AWS 上執行的工作負載：威脅偵測、漏洞評估、資料分類、網路防護、身分與密鑰，以及集中式聚合。每一項 AWS 安全服務都鎖定特定物件——日誌串流、EC2 執行個體、S3 儲存貯體、Web 請求、金鑰或密鑰——而 CLF-C02 考試幾乎一定會在情境中點名該物件作為提示。

Cloud Practitioner 考試不會要求你去設定這些 AWS 安全服務。它要求你辨識出哪一項 AWS 安全服務能解決哪一個問題，並避開 GuardDuty、Inspector 與 Macie 之間的經典陷阱。由於領域 2 現在佔考試 30%（比 CLF-C01 的 25% 更多），熟練 AWS 安全服務每小時讀書所帶來的效益幾乎勝過其他所有主題。

AWS 安全服務在責任共擔模型中的位置

每一項 AWS 安全服務都位於責任共擔模型中「雲端『內』的安全」這一側——AWS 提供工具，你決定要不要開啟、以及如何處理發現項目。GuardDuty、Inspector 與 Macie 預設不會執行。你必須在帳戶層級啟用；若為 AWS Organizations 主帳戶，你可以一次對所有成員帳戶啟用這些 AWS 安全服務。

為什麼 CLF-C02 考試特別愛考 AWS 安全服務

針對 20 個社群來源的 Explorer 研究顯示，「依使用情境選擇安全服務」是出現頻率最高的考試訊號（提及 95 次，趨勢 +18%）。考生也反映 GuardDuty vs Inspector vs Macie 的混淆，是領域 2 中最常被提到的單一陷阱。這使 AWS 安全服務成為整張考卷中讀書投報率最高的主題。

白話文解釋 AWS Security Services

把你的 AWS 帳戶想像成一間飯店。AWS 安全服務就是飯店僱用來保護房客安全的不同專家。每位專家盯著不同的東西，CLF-C02 考試要你知道該叫哪一位專家過來。

類比一——飯店保全團隊（餐飲／旅宿業類比）

想像一間五星級飯店。GuardDuty 是監控走廊的 CCTV 團隊，會標記可疑行為——例如有人對同一扇門試開五十次、或是有陌生人搬走一台電視。它不檢查房間本身；它觀察行動（CloudTrail API 呼叫、VPC Flow Logs、DNS 日誌）。Inspector 是維修巡檢員，走進每一個房間（每一台 EC2 執行個體或容器映像），檢查門鎖、煙霧警報與水管有沒有符合法規——這就是漏洞評估。Macie 是保險箱稽核員，打開每一個保險箱（每一個 S3 儲存貯體），確保沒有護照影本或信用卡號碼隨意放著被清潔人員看到。

繼續這個類比：Detective 是事件發生後到場的鑑識調查員，從建築物裡每一台攝影機調出影帶，重建「誰、做了什麼、何時做」的完整脈絡。Security Hub 是保全主任辦公室牆上那面儀表板，由每位專家的資料匯流而成——單一窗口檢視。Shield 是在入口處把一群暴民擋下的保鑣（L3／L4 DDoS）。WAF 是櫃台接待員，逐一檢查每位訪客的入館申請表是否有可疑之處（L7 Web 請求）。KMS 是總鑰匙櫃。Secrets Manager 則是幫員工保管房卡、並每個班次自動換鎖的禮賓部。

類比二——夜市攤販的開架考場（考試類比）

把情境換成一場有監考的開書考——這是理解 AWS 安全服務很適合的比喻，因為大多數服務的運作方式，其實是「讀取你已經有的東西」。GuardDuty 讀取你既有的 CloudTrail、VPC Flow 與 DNS 日誌——你不是為了 GuardDuty 才去寫新日誌；它是你手邊筆記的聰明閱讀者。Inspector 讀取你執行中的 EC2 與容器映像，就像監考老師拿著評分表（CVE 資料庫）對照你的答案卷，找出寫錯的題目（漏洞）。Macie 讀取你的 S3 物件，就像監考老師掃視有沒有違禁品——它是對照 PII 規則做模式比對。Detective 則讀取來自 GuardDuty 與 CloudTrail 的聚合發現項目，重建整場考試的時間軸。重點是：AWS 安全服務都是「讀取者」。你不必為它們多寫一行日誌。你只要啟用，它們就會讀取既有的資料。

類比三——電力供應系統（基礎建設類比）

把你的工作負載想像成一座城市，AWS 安全服務就是維持城市安全的各種公用設施。Shield 是每一座變電所的避雷針與突波保護器——在大規模電流突波（L3／L4 大流量攻擊）到達你的大樓之前就吸收掉。WAF 是大樓內的配電盤，只要某個電路出現異常用電模式（L7 SQL 注入、XSS）就跳脫。KMS 是整座城市每一個上鎖配電箱的金鑰基礎建設——你發放鑰匙，KMS 追蹤誰用了哪把鑰匙。CloudHSM 則是專為必須符合更嚴格法規的政府機關所設立的金庫級鑰匙房。Secrets Manager 是員工用來開啟保全空間的輪替總鑰匙服務——它會依排程自動換鑰匙。GuardDuty 是電網監控中心，發現異常負載模式（某一座變電所突然拉到正常電流的 100 倍＝很可能是挖礦程式）。這些 AWS 安全服務結合起來就形成縱深防禦：邊界（Shield／WAF）、身分（IAM）、監控（GuardDuty）、回應（Detective）與金鑰保管（KMS／Secrets Manager）。

核心運作原理——以 AWS 安全服務打造縱深防禦

AWS 安全服務是刻意分層設計的。沒有任何單一 AWS 安全服務能涵蓋所有威脅——考試就是要測驗你是否理解這種分層。

第 1 層——邊界防護（Shield + WAF）

在架構的邊界，AWS Shield 擋下 L3／L4 的 DDoS 洪水攻擊，AWS WAF 檢查 L7 HTTP／HTTPS 請求中的惡意模式。Shield Standard 免費且自動啟用；Shield Advanced 額外提供 24／7 DDoS 回應團隊與費用保障。WAF 可掛載到 CloudFront、ALB、API Gateway 與 AppSync。

第 2 層——網路控制（Security Groups + NACLs）

在 VPC 內部，Security Groups 是具狀態的執行個體層級防火牆，NACLs 則是無狀態的子網路層級防火牆。這些內容屬於 network-services 主題，但會與邊界的 AWS 安全服務搭配運作。

第 3 層——威脅偵測（GuardDuty + Detective）

GuardDuty 持續分析 CloudTrail、VPC Flow Logs 與 DNS 日誌，比對已知的惡意模式。Detective 則把這些發現項目之間的關聯視覺化，以進行根因分析。

第 4 層——漏洞與資料（Inspector + Macie）

Inspector 掃描 EC2 執行個體、Lambda 函式與容器映像中的 CVE。Macie 則用機器學習掃描 S3 中的敏感資料（PII、PHI、憑證資料）。

第 5 層——身分與金鑰（IAM、KMS、CloudHSM、Secrets Manager、Parameter Store）

IAM 控管「誰能做什麼」。KMS 以大規模管理加密金鑰。CloudHSM 為受法規管制的工作負載提供專屬硬體金鑰模組。Secrets Manager 負責輪替密鑰。Parameter Store 則保存設定值。

第 6 層——聚合（Security Hub）

Security Hub 把 GuardDuty、Inspector、Macie、IAM Access Analyzer 與 AWS Config 的發現項目匯入單一窗口，並以 CSPM 風格計算合規分數。

Amazon GuardDuty——針對 CloudTrail、VPC Flow 與 DNS 的威脅偵測

Amazon GuardDuty 是一項以機器學習為基礎、持續運作的威脅偵測 AWS 安全服務。它不需要任何代理程式，即可吸收三個資料來源：CloudTrail 管理與資料事件、VPC Flow Logs，以及 Route 53 DNS 查詢日誌。GuardDuty 把這些來源與 AWS 威脅情資與機器學習模型比對，產生如 recon:IAMUser/MaliciousIPCaller 或 CryptoCurrency:EC2/BitcoinTool.B 的發現項目。

GuardDuty 會找到什麼

GuardDuty 專為威脅偵測而生，不負責漏洞評估。典型的發現項目包括：從異常地理位置使用的被盜用憑證、EC2 執行個體突然連線到已知挖礦池、針對 API 的偵察模式，以及資料外流到不尋常的目的地。如果情境提到「不尋常的 API 活動」、「被盜用帳戶」或「加密貨幣挖礦」，答案就是 GuardDuty。

GuardDuty 的計價方式

GuardDuty 依分析的 CloudTrail 事件數與 VPC Flow／DNS 日誌量計費。提供 30 天免費試用，讓你在正式承諾前先評估。在 AWS Organizations 架構中，你可以從委派管理員帳戶一次對所有帳戶啟用 GuardDuty。

GuardDuty 必背事實

資料來源＝CloudTrail + VPC Flow Logs + DNS 日誌。不需代理程式。屬於區域性服務——你必須在每個區域各自啟用 GuardDuty。發現項目原生整合到 Security Hub 與 EventBridge 以利自動化。

Amazon Inspector——針對 EC2、Lambda 與容器的漏洞評估

Amazon Inspector 是一項自動化的漏洞評估 AWS 安全服務。它持續掃描 EC2 執行個體、Amazon ECR 中的容器映像與 Lambda 函式，找出已知的 CVE 與非預期的網路暴露。Inspector 透過 EC2 上的 Systems Manager 代理程式讀取套件清單，並與公開 CVE 資料庫比對。

Inspector 會找到什麼

Inspector 找的是軟體漏洞——過時的 OpenSSL、存在 log4shell 風險的 Java 函式庫、少打的核心修補程式。它不監控即時威脅。它回答的是：「如果攻擊者真的出現，有什麼東西會被弱點利用？」

Inspector 與舊版 Inspector Classic 的差異

舊版 Inspector 需要你建立評估範本並排程掃描。Inspector（v2）則是永遠開啟，只要有新的 EC2 執行個體啟動、或有容器映像推送到 ECR，就會自動觸發。考試時請假設 Inspector 指的是持續、自動的 CVE 掃描。

Inspector 必背事實

目標＝EC2、ECR 容器映像、Lambda。在 EC2 上使用 Systems Manager 代理程式。每項漏洞輸出附有風險評分的發現項目。發現項目可送入 Security Hub 與 EventBridge。不是威脅偵測——那是 GuardDuty 的事。

Amazon Macie——針對 Amazon S3 的敏感資料探索

Amazon Macie 是一項資料安全與資料隱私 AWS 安全服務，使用機器學習與模式比對來探索並保護 Amazon S3 中的敏感資料。Macie 能辨識 PII（姓名、地址、身分證字號）、PHI、憑證資料（API 金鑰、權杖），以及財務資料（信用卡號、銀行帳戶號碼）。

Macie 會找到什麼

Macie 掃描 S3 物件與儲存貯體，產生像是「偵測到敏感資料：3 個物件包含信用卡號」或「儲存貯體可公開讀取且包含 PII」這類發現項目。Macie 也會評估儲存貯體層級的安全態勢（公開存取狀態、加密設定、對外部帳戶的複寫等）。

何時選擇 Macie

考試提示詞是「S3」加上「敏感資料」、「PII」或「合規掃描」。如果情境說「在 S3 中找出信用卡號」或「對 S3 進行資料分類」，答案就是 Macie。如果情境說「找 CVE」，答案是 Inspector。如果情境說「不尋常的活動」，答案是 GuardDuty。

Macie 必背事實

只針對 Amazon S3 運作——Macie 不掃描 EC2 檔案系統、RDS 資料庫或 EFS。使用託管資料識別項（預設）加上自訂識別項（你自己的 regex）。發現項目整合到 Security Hub 與 EventBridge。

Amazon Detective——事件調查與根因分析

Amazon Detective 是負責調查的 AWS 安全服務。它吸收來自 GuardDuty、CloudTrail 與 VPC Flow Logs 的資料，建構一張互動式圖譜，呈現資源關聯、網路行為與身分動作隨時間的變化。當 GuardDuty 發現項目觸發時，Detective 讓你點進去看事件期間的每一次 API 呼叫、每一條網路流量，以及牽涉到的每一個 IAM 主體。

Detective 與 GuardDuty 的差異

GuardDuty 說：「02:14 UTC 發生了不好的事。」Detective 則回答：「以下是導致它發生的完整圖譜、之後又發生了什麼，以及還有哪些資源被牽連。」Detective 本身不會產生發現項目——它視覺化 GuardDuty 的發現項目。考試時如果情境提到「調查」、「根因」或「牽涉哪位使用者」，答案就是 Detective。

Detective 必背事實

必須已啟用 GuardDuty。不取代 SIEM 解決方案，但提供 AWS 原生的事件圖譜。最佳搭配是和 Security Hub 一起使用，形成「偵測—調查—聚合」的完整工作流。

AWS Shield——L3／L4 的 DDoS 緩解

AWS Shield 是 DDoS 防護 AWS 安全服務，分成兩個層級。

Shield Standard——免費、永遠開啟

Shield Standard 對每位 AWS 客戶都自動啟用且完全免費。它防護最常見的網路層與傳輸層 DDoS 攻擊（SYN flood、UDP reflection），覆蓋所有 AWS 資源，並特別針對 CloudFront、Route 53 與 Global Accelerator 做最佳化。

Shield Advanced——付費、企業等級

Shield Advanced 每組織每月 US$3,000 加上資料傳輸費，提供：24／7 存取 AWS Shield Response Team（SRT）、加強型應用程式層攻擊偵測、費用保障（發生 DDoS 事件期間 AWS 退還擴展相關費用），以及免額外費用的 WAF 整合。

Shield 必背事實

Standard＝免費、L3／L4、自動啟用。Advanced＝每月 US$3,000、L3／L4／L7 回應團隊、費用保障。在邊界運作（CloudFront、Route 53、ALB、EC2 Elastic IP、Global Accelerator）。

AWS WAF——第 7 層 Web 應用程式防火牆

AWS WAF 是運作在 L7 的 Web 應用程式防火牆 AWS 安全服務。它檢查 HTTP／HTTPS 請求，並依你自訂的規則（SQL 注入、XSS、地理 IP、速率限制）或從 AWS Marketplace 訂閱的 AWS Managed Rules 進行封鎖。

WAF 可掛載的位置

WAF 只能掛載在四項 AWS 服務上：Amazon CloudFront、Application Load Balancer、Amazon API Gateway 與 AWS AppSync。WAF 不能直接掛到 EC2、NLB 或 ECS 工作上。

WAF 規則類型

你可以撰寫自訂規則、使用 AWS Managed Rule Groups（OWASP Top 10、機器人、已知惡意輸入），或透過 AWS Marketplace 訂閱第三方託管規則。速率型規則可讓你自動封鎖在 5 分鐘內超過 N 個請求的 IP。

Shield vs WAF——經典搭檔

Shield 處理 L3／L4 大流量 DDoS。WAF 處理 L7 應用程式層的弱點利用與機器人管控。兩者通常一起運作：Shield 吸收洪水、WAF 封鎖每一個帶有惡意特徵的請求。Shield Advanced 還包含不限量的 WAF 使用，免額外費用。

AWS Security Hub——聚合與 CSPM 分數

AWS Security Hub 是聚合型的 AWS 安全服務。它將 GuardDuty、Inspector、Macie、IAM Access Analyzer、AWS Firewall Manager、AWS Config，以及第三方 AWS Marketplace 工具的發現項目，收進一個正規化格式（AWS Security Finding Format，ASFF）。Security Hub 也會對你的帳戶執行合規標準（AWS Foundational Security Best Practices、CIS AWS Foundations Benchmark、PCI DSS），並產生合規分數。

為什麼 Security Hub 在考試中很重要

當情境提到「中央儀表板」、「單一窗口」、「聚合 GuardDuty 與 Inspector 的發現項目」或「CIS 合規分數」時，答案就是 Security Hub。考生有時會把 Security Hub 與 GuardDuty 搞混，因為兩者都會顯示發現項目；請記住：GuardDuty 只顯示威脅偵測發現項目，Security Hub 則顯示所有 AWS 安全服務的發現項目加上合規分數。

Security Hub 必背事實

需逐區域啟用。原生整合 AWS Organizations。發現項目正規化為 ASFF。會自動執行合規標準（CIS、PCI DSS、FSBP）。

AWS KMS 與 AWS CloudHSM——加密金鑰管理

AWS KMS（Key Management Service）

AWS KMS 是預設的託管加密金鑰 AWS 安全服務。KMS 發行與管理對稱與非對稱金鑰，背後以 FIPS 140-2 Level 3 支撐。每一項提供加密功能的 AWS 服務（S3、EBS、RDS、DynamoDB、Lambda 環境變數）都與 KMS 整合。你按金鑰每月計費，再加上 API 呼叫次數。

AWS CloudHSM

CloudHSM 為需要 FIPS 140-2 Level 3 單租戶隔離的客戶（受法規管制的產業、支付處理）提供專屬的單租戶硬體安全模組。CloudHSM 比 KMS 更貴、也更需要維運——你必須自己管理叢集。

考試中的 KMS vs CloudHSM

預設選擇＝KMS。受法規要求必須使用專屬 HSM 時＝CloudHSM。金鑰跨區域複寫＝KMS Multi-Region Keys。

AWS Secrets Manager vs Systems Manager Parameter Store

兩項 AWS 安全服務都能儲存設定值，但只有一項是真正的密鑰管理服務。

AWS Secrets Manager

Secrets Manager 為資料庫密碼、API 金鑰、OAuth 權杖等密鑰而生。它支援透過 Lambda 函式自動輪替 RDS、Redshift 與 DocumentDB 的密鑰。按密鑰每月計費加上 API 呼叫費。需要輪替時首選。

AWS Systems Manager Parameter Store

Parameter Store 保存設定參數，也可以放密鑰。標準參數免費；進階參數按參數計費。Parameter Store 本身不會原生輪替密鑰。需要低成本設定、且不需自動輪替時首選。

何時該選哪一個

必須每 30 天輪替的資料庫密碼 → Secrets Manager。功能旗標或不同環境的設定字串 → Parameter Store。只要情境出現「輪替」，答案永遠是 Secrets Manager。

輔助服務——ACM、Cognito、Firewall Manager、Network Firewall

AWS Certificate Manager（ACM）

ACM 發行並管理免費的公開 TLS 憑證，可用於 CloudFront、ALB、API Gateway 與 Elastic Beanstalk。內部 PKI 可使用 Private CA 功能，但另外計費。

Amazon Cognito

Cognito 為 Web 與行動應用程式提供使用者身分與認證——使用者集區（註冊／登入）與身分集區（聯合存取 AWS）。Cognito 與 IAM 不在同一層級；Cognito 給應用程式使用者用，IAM 給 AWS 主體用。

AWS Firewall Manager

Firewall Manager 在一個 AWS Organization 內集中管理 WAF 規則、Shield Advanced、Security Groups 與 Network Firewall 政策。

AWS Network Firewall

Network Firewall 是 VPC 層級的託管具狀態 L3-L7 防火牆。可以把它想成處理 VPC 之間或對外流量的託管 IDS／IPS 設備。

安全服務 vs 治理服務——範圍邊界

AWS 安全服務（Task 2.4）負責偵測、封鎖與分類。治理服務（Task 2.2）負責文件記錄、稽核與政策控管。

屬於 Task 2.4（安全服務）的

GuardDuty、Inspector、Macie、Detective、Shield、WAF、Security Hub、KMS、CloudHSM、Secrets Manager、ACM、Cognito、Firewall Manager、Network Firewall。

屬於 Task 2.2（治理與合規）的

AWS Config（設定記錄）、AWS Organizations（帳戶結構與 SCP）、AWS Control Tower（落地區）、AWS Artifact（合規報告）、AWS Audit Manager（稽核流程）、CloudTrail（API 稽核日誌）、CloudWatch（營運監控）。

考試有時會刻意模糊界線——在安全情境中出現 CloudTrail 或 Config 的題目並不少見。請記住原則：能偵測或封鎖的工具是安全服務；負責記錄或稽核的工具是治理服務。

常見考試陷阱——考生最容易失分的地方

陷阱 1——用 GuardDuty 找 EC2 的 CVE

錯。GuardDuty 是透過讀取日誌偵測威脅。它不會掃描 EC2 執行個體的軟體漏洞。CVE 掃描請用 Inspector。

陷阱 2——用 Macie 掃描 S3 以外的資料

錯。Macie 只掃描 Amazon S3。Macie 不掃描 EFS、EC2 檔案系統、DynamoDB 或 RDS。

陷阱 3——用 WAF 擋 L3／L4 DDoS

錯。WAF 只處理 L7。大流量的 L3／L4 DDoS 是 Shield 的地盤。

陷阱 4——Security Hub 會自己產生發現項目

錯。Security Hub 是聚合器。它從 GuardDuty、Inspector、Macie 等服務匯入發現項目——它不會自己產生威脅發現項目（雖然它會產生合規檢查類的發現項目，但考試慣例把 Security Hub 視為聚合層）。

陷阱 5——輪替要選 Secrets Manager 還是 Parameter Store

Parameter Store 本身不會原生輪替密鑰。情境只要提到自動輪替，就選 Secrets Manager。

AWS 安全服務的關鍵數字與必背事實

這是背誦區塊。預期考題會卡在這些精確的數字上。

GuardDuty 事實

三個資料來源：CloudTrail、VPC Flow Logs、DNS 日誌。無代理程式。30 天免費試用。區域性服務。

Inspector 事實

三個目標：EC2、ECR 映像、Lambda。在 EC2 上使用 Systems Manager 代理程式。持續自動掃描。

Macie 事實

一個目標：Amazon S3。使用託管與自訂資料識別項。30 天免費試用。

Shield 事實

Standard＝免費、自動。Advanced＝每組織每月 US$3,000 加上資料傳輸費。

WAF 事實

掛載於 CloudFront、ALB、API Gateway、AppSync。不掛 NLB 或直接 EC2。

Security Hub 事實

正規化為 AWS Security Finding Format（ASFF）。執行 CIS、PCI DSS 與 Foundational Security Best Practices。

KMS 與 Secrets Manager 事實

KMS＝FIPS 140-2 Level 3 多租戶。CloudHSM＝FIPS 140-2 Level 3 單租戶。Secrets Manager 透過 Lambda 輪替；Parameter Store 不原生輪替。

AWS 安全服務與相關概念——對照表

為了強化差異化，請把下面這段唸出聲音來。

威脅 vs 漏洞 vs 資料

GuardDuty＝威脅。Inspector＝漏洞。Macie＝資料。請背「物件」。

日誌 vs 機器 vs 貯體

GuardDuty 看日誌。Inspector 掃機器。Macie 掃貯體。不同物件、不同 AWS 安全服務。

邊界 L4 vs 邊界 L7

Shield＝L3／L4 DDoS。WAF＝L7 弱點利用。不同層、不同 AWS 安全服務。

聚合器 vs 調查員

Security Hub＝聚合器（多個發現項目、一個窗口）。Detective＝調查員（單一事件、完整圖譜）。

預設金鑰 vs 專屬 HSM

KMS＝預設託管金鑰。CloudHSM＝專屬單租戶硬體。合規不硬性要求時一律選 KMS。

密鑰 vs 參數

Secrets Manager＝輪替。Parameter Store＝低成本設定。需要輪替時就選 Secrets Manager。

練習題連結——Task 2.4 對應演練

準備好練題時，用 topic_slug=security-services-resources 篩選 CLF-C02 題庫。重點演練應該涵蓋：

練習組 1——三方選擇

10 道題強迫你從模稜兩可的情境中選出 GuardDuty、Inspector 或 Macie。上考場前目標正確率 90% 以上。

練習組 2——邊界防護

5 道題關於 Shield Standard vs Shield Advanced vs WAF 可掛載位置。重點在哪一項 AWS 安全服務可以掛在哪個資源上。

練習組 3——聚合與調查

5 道題關於 Security Hub vs Detective。背下「聚合器 vs 調查員」的分工。

練習組 4——加密與密鑰

5 道題關於 KMS vs CloudHSM、Secrets Manager vs Parameter Store。這兩組是領域 2 中最一致出現的 AWS 安全服務配對。

FAQ——AWS 安全服務熱門問題

Q1——GuardDuty、Inspector、Macie 要分別啟用嗎？還是一鍵全開？

每一項 AWS 安全服務都要分別啟用，而且要在每一個你想覆蓋的區域各自啟用。AWS Organizations 會有所幫助——你可以從委派管理員帳戶對每個成員帳戶啟用 GuardDuty、Inspector 與 Macie，但決策仍然是「一項服務、一個區域」各自處理。

Q2——如果我有 Security Hub，還需要 GuardDuty 嗎？

需要。Security Hub 是聚合器，本身不會產生威脅偵測發現項目。沒有 GuardDuty，Security Hub 就沒有威脅資料可聚合。標準架構是 GuardDuty ＋ Inspector ＋ Macie ＋ Security Hub。

Q3——哪些 AWS 安全服務是免費的？

Shield Standard 永遠免費。Trusted Advisor 核心檢查免費。其他大多數 AWS 安全服務（GuardDuty、Inspector、Macie、Security Hub、WAF、Shield Advanced、KMS 自訂金鑰、Secrets Manager、CloudHSM）都要付費，不過 GuardDuty、Inspector 與 Macie 首次啟用時各自提供 30 天免費試用。

Q4——Macie 只支援 S3——那要怎麼掃 RDS 或 EFS 裡的敏感資料？

Macie 是 S3 專用。RDS 要靠資料庫層級的稽核功能（RDS enhanced monitoring、database activity streams）加上 CloudTrail。EFS 目前沒有 AWS 原生的 PII 掃描工具——要嘛用第三方工具，要嘛先把資料複製到 S3 再給 Macie 掃。考試不會深挖這點，但請記住：Macie ＝只支援 S3。

Q5——考試中 Shield Standard 與 Shield Advanced 的差別？

Standard＝免費、自動、L3／L4、常見攻擊。Advanced＝每組織每月 US$3,000、24／7 Shield Response Team、費用保障、不限量 WAF，以及 L7 攻擊支援。情境關鍵字：「DDoS 期間的費用保障」＝Shield Advanced。

Q6——什麼情況要選 CloudHSM 而不是 KMS？

預設永遠是 KMS。只有當法規明確要求專屬硬體模組（FIPS 140-2 Level 3 單租戶，特定金融或政府工作負載）時才選 CloudHSM。CloudHSM 更貴、維運更重——叢集要自己管。

Q7——AWS Config vs Security Hub，該選哪一個？

Config 記錄 AWS 資源的設定變更隨時間的歷程（治理）。Security Hub 聚合安全發現項目與合規分數（安全）。兩者可以整合：Security Hub 會吸收 Config conformance pack 的發現項目。考試時若題目說「追蹤設定變更」就選 Config；若題目說「集中安全發現項目」就選 Security Hub。

Q8——AWS WAF 可以搭配任何 Load Balancer 嗎？

不行。WAF 只能掛載於 Application Load Balancer（ALB）、CloudFront、API Gateway 與 AppSync。Network Load Balancer（NLB）不支援 WAF，因為 NLB 運作在 L4，而 WAF 需要 L7 的請求內容。

延伸閱讀——AWS 安全服務的官方文件

想超越 CLF-C02 的範圍做更深入研究，以下 AWS 安全服務指南是權威來源：GuardDuty User Guide、Inspector User Guide、Macie User Guide、Detective User Guide、Shield Developer Guide、WAF Developer Guide、Security Hub User Guide、KMS Developer Guide、Secrets Manager User Guide。把這些加到書籤即可，不必從頭讀到尾——CLF-C02 只需要每項 AWS 安全服務的「What is ...」與「Use cases」頁面。

AWS Security Blog（aws.amazon.com/blogs/security）每週發布深入文章，可加速你理解這些 AWS 安全服務如何協同運作。AWS Well-Architected Security Pillar 白皮書則是整個領域 2 最佳實務思維的基石——必讀。

總結——AWS 安全服務速查表

考試當天，當你看到安全情境時，在腦中跑這條判斷路徑：

1. 情境中的物件是什麼？日誌、機器、貯體、請求、金鑰、密鑰，還是發現項目？
2. 日誌（CloudTrail、VPC Flow、DNS）→ GuardDuty。
3. 機器（EC2、Lambda、容器映像）→ Inspector。
4. 貯體（含 PII 的 S3）→ Macie。
5. 請求（HTTP／HTTPS、L7）→ WAF。
6. 洪水（L3／L4 大流量）→ Shield。
7. 發現項目聚合 → Security Hub。事件圖譜 → Detective。
8. 加密金鑰 → KMS（預設）或 CloudHSM（受法規管制）。
9. 會輪替的密鑰 → Secrets Manager。靜態設定 → Parameter Store。

把這九個分支練熟，你就能答對 Task 2.4 上所有 AWS 安全服務題目。AWS 安全服務獎勵的是「辨識」而不是「推理」——研究物件，正確的 AWS 安全服務就會自動浮現。