도메인 5(데이터 보호, ~18%)와 도메인 6(관리·거버넌스, ~14%)는 시험의 마지막 묶음이다. 관계는 이렇다 — 데이터 보호는 "데이터를 어떻게 암호화·격리·보존하는가"를, 거버넌스는 "그 통제를 다계정 규모로 어떻게 강제·검증·유지하는가"를 다룬다. Specialty 답안은 *"한 계정에서 옳은 통제를, Organizations 전체에 자동으로 강제하라"*는 형태가 많다. 오늘은 KMS 중심의 데이터 보호와 Organizations 중심의 거버넌스를 하나의 통제 전파 모델로 묶는다.
| 키 유형 | 키 자료 통제 | 로테이션 | 비용/용도 |
|---|---|---|---|
| AWS managed key | AWS | 자동(1년) | 무료, 서비스 기본 |
| Customer managed key(CMK) | 고객(정책·grant) | 선택 자동/수동 | 키 정책 제어 필요 시 |
| Imported key material | 고객 반입(BYOK) | 수동 재반입 | 키 출처 통제 필요 |
| CloudHSM-backed(custom key store) | 고객 HSM(FIPS 140-2 L3) | — | 규제·전용 HSM |
💡 관련 이론: KMS의 핵심은 *envelope encryption(봉투 암호화)*다