Week 4의 도구들은 CloudWatch와는 다른 질문에 답한다. CloudWatch가 "지금 무슨 일이 일어나고 있는가"를 실시간으로 보여준다면, 이번 주의 도구들은 "과거에 누가 무엇을 했고, 지금 상태가 규정을 준수하며, 그 증거를 외부 감사관에게 어떻게 제출하는가"라는 사후적·규범적 질문을 다룬다. 보안 사고 대응과 컴플라이언스는 실시간 탐지만큼이나 사후 추적과 증거 체계가 중요하다. 오늘은 CloudTrail, CloudTrail Lake, AWS Config, Audit Manager가 어떤 계층을 이루는지 재조명하고, 시험 빈출 시나리오 10개로 마무리한다.
[AWS API 호출 발생]
│
▼
[CloudTrail] ─→ Event History (90일 무료, 변경 불가)
│ │
│ ▼
│ [S3 Trail] ─→ Log File Validation (SHA-256 해시 체인)
│ │ → Athena 쿼리 분석
│ │ → SIEM 연동 (Splunk, Sumo Logic)
│ ▼
│ [CloudTrail Lake] ─→