이번 주는 단일 계정 보안에서 조직 규모 거버넌스로 시야를 넓혔다. SCP로 권한의 천장을 정의하고(Day 1), Control Tower로 안전한 베이스라인을 자동으로 깔고(Day 2), Audit Manager로 규정 준수를 증명하며(Day 3), Firewall Manager·태그·비용·자동화로 일상 운영을 닫힌 루프로 만들었다(Day 4). 마지막 날은 이 조각들이 하나의 거버넌스 시스템으로 맞물리는 방식을 통합 시나리오로 복습한다.
조직 보안 거버넌스는 네 개의 평면이 겹쳐 동작한다. 시험 문제는 거의 항상 "어느 평면의 도구가 답인가"를 가린다.
① 권한 경계 평면 (무엇을 할 수 있나의 천장)
SCP / RCP — 권한 부여가 아니라 최대 경계
② 베이스라인 평면 (계정이 안전하게 태어나게)
Control Tower — 랜딩 존, 컨트롤(예방/탐지/능동), 계정 팩토리
③ 증명 평면 (지키고 있음을 증거로 보임)
Audit Manager ← Config / CloudTrail / Security Hub (증거 원천)
④ 운영 평면 (일상 강제·교정·대응)
Firewall Manager / 태그·비용 거버넌스 / EventBridge 자동 교정
이 위에 중앙 보안 계정 모델(관리 계정=결제·조직, Audit=탐지·증거·대응, Log Archive=불변 로그)이 공통 토대로 깔린다