암호화는 데이터의 상태에 따라 둘로 나뉜다. 디스크·스토리지에 머무는 데이터를 보호하는 저장 암호화(encryption at rest), 네트워크를 이동하는 데이터를 보호하는 **전송 중 암호화(encryption in transit)**다. SCS-C03는 "어느 서비스가 어떤 방식으로 저장 암호화하는가", "전송 암호화를 어떻게 강제하는가", "키 회전이 어떻게 동작하는가"를 구체적으로 묻는다. 오늘은 이 셋을 서비스별로 정리한다.
전송 암호화의 사실상 표준은 TLS다. 중요한 것은 "TLS를 지원하는 것"과 "평문 연결을 거부하는 것"이 다르다는 점이다. 보안 시험은 항상 **강제(enforce)**를 묻는다.
aws:SecureTransport: false인 요청을 Deny해 HTTP를 차단한다.{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": ["arn:aws:s3:::my-bucket", "arn:aws:s3:::my-bucket/*"],
"Condition": { "Bool": { "aws:SecureTransport": "false" } }
}