SAA 시험에서 보안 도메인(영역 1)은 전체의 30%로 가장 큰 비중을 차지한다. 그런데 많은 수험생이 이 도메인을 "IAM·KMS·WAF·GuardDuty 같은 서비스 이름 외우기"로 접근하다가 시나리오 문제에서 무너진다. 이유는 단순하다. 시험이 묻는 것은 서비스 이름이 아니라 **"이 요청이 허용되는가, 막히는가, 그리고 왜인가"**라는 판정 문제이기 때문이다. 그리고 그 판정은 거의 항상 하나의 알고리즘 — IAM 정책 평가 로직 — 으로 환원된다. 보안 도메인을 제대로 복습한다는 건 25개 키워드를 서비스에 매핑하는 동시에, 그 매핑 뒤에 깔린 평가 순서·신뢰 경계·암호화 계층 구조라는 세 축을 이해하는 것이다.
이 글은 도메인 1을 단순 암기표가 아니라 "요청 하나가 AWS에 도착했을 때 어떤 순서로 검문을 통과하는가"라는 흐름으로 다시 엮는다. 자격 증명(누구인가)에서 시작해 권한 평가(무엇을 할 수 있는가), 암호화(데이터를 어떻게 보호하는가), 네트워크 경계(어디까지 들어올 수 있는가), 그리고 탐지·대응(무엇이 잘못됐는가)까지를 하나의 검문 체인으로 따라간다. 시험의 함정 대부분은 이 체인의 어느 단계가 다른 단계를 이긴다는 우선순위 규칙을 헷갈리게 만드는 데서 나온다.
💡 관련 이론: 보안 설계의 근간에는 정보보안의 고전 모델인 CIA Triad(Confidentiality 기밀성·Integrity 무결성·Availability 가용성)가 있다