Analogi dulu, definisi menyusul.

Bayangkan AWS seperti gedung perkantoran modern, AWS menjaga fondasi, lift, listrik, kamera gedung, dan petugas keamanan, sedangkan penyewa mengunci ruangannya, mengatur siapa boleh masuk, dan menjaga dokumen rahasia.

Dalam cloud, keamanan tidak berhenti saat resource berhasil dibuat. Setelah EC2, S3, database, jaringan, dan deployment aktif, pertanyaan berikutnya adalah: siapa boleh mengakses, data dienkripsi atau tidak, aplikasi tahan serangan umum atau tidak, aktivitas terekam atau tidak, dan bukti compliance bisa ditunjukkan atau tidak.

Untuk CLF-C02, modul ini penting karena Domain 2, Security and Compliance, menyumbang 30% konten ujian. Ini domain terbesar kedua (Domain 3 Cloud Technology & Services 34% adalah yang terbesar, lalu Domain 1 Cloud Concepts 24%, dan Domain 4 Billing/Pricing/Support 12%). Jadi hampir satu dari tiga soal datang dari materi modul ini. AWS tidak menuntut kamu menjadi penetration tester, tetapi kamu harus bisa memilih layanan keamanan yang tepat untuk skenario bisnis yang umum. Rincian bobot ada di Exam Guide CLF-C02.

Security of the cloud dan security in the cloud.

Shared Responsibility Model adalah pembagian tanggung jawab keamanan antara AWS dan pelanggan.

AWS bertanggung jawab atas security of the cloud, yaitu perlindungan infrastruktur yang menjalankan layanan AWS. Ini mencakup fasilitas fisik, hardware, networking global, virtualization layer, dan fondasi layanan. Pelanggan bertanggung jawab atas security in the cloud, yaitu konfigurasi dan data yang mereka pilih untuk jalankan di AWS.

Kenapa model ini sering keluar di ujian?

Soal CLF-C02 sering menanyakan siapa yang bertanggung jawab untuk sesuatu. Jawabannya tidak selalu sama karena bergantung pada layanan. Di EC2, kamu mengelola OS tamu, patching, aplikasi, security group, dan data. Di Lambda, AWS mengelola server dan OS runtime host, sedangkan kamu tetap mengelola kode, permission, konfigurasi, secret, dan data.

Pikirkan sebagai lapisan, bukan produk tunggal.

Keamanan AWS mirip sistem keamanan rumah, ada kunci pintu, pagar, kamera, alarm, brankas, buku tamu, dan dokumen bukti inspeksi.

Untuk pemula, susun layanan keamanan AWS menjadi beberapa lapisan. Lapisan ini membantu kamu mengingat fungsi layanan dan menjawab soal skenario dengan cepat.

Prinsip yang sering diuji

• Least privilege, beri izin minimum yang dibutuhkan, bukan akses admin karena mudah.
• Defense in depth, pakai beberapa lapisan proteksi, bukan mengandalkan satu kontrol.
• Encrypt by default, lindungi data saat disimpan dan saat transit.
• Centralize visibility, temuan keamanan lintas akun lebih mudah dipantau dari satu tempat.
• Automate evidence, audit lebih ringan bila bukti dikumpulkan otomatis dari layanan AWS.

Kunci data seperti kunci brankas, bukan seperti stiker rahasia.

Enkripsi adalah cara mengubah data menjadi bentuk yang tidak berguna tanpa kunci yang benar.

AWS sering membagi enkripsi menjadi dua konteks: encryption at rest untuk data yang sedang disimpan, dan encryption in transit untuk data yang sedang bergerak melalui jaringan. Untuk CLF-C02, kamu perlu mengenali layanan dan skenario, bukan menghafal algoritma kriptografi secara mendalam.

AWS KMS dalam bahasa sederhana

AWS Key Management Service atau AWS KMS membantu membuat, mengelola, dan menggunakan kunci kriptografi. Banyak layanan AWS terintegrasi dengan KMS, misalnya S3, EBS, RDS, CloudTrail, dan Secrets Manager. Dalam analogi, KMS adalah ruang kontrol kunci pusat. Kamu tidak menyimpan kunci utama sembarangan di aplikasi, tetapi meminta KMS melakukan operasi kriptografi atau membuat data key sesuai izin. Poin penting yang sering keliru: kunci KMS tidak pernah keluar dari KMS dalam bentuk plaintext, dan setiap penggunaannya bisa diaudit lewat CloudTrail.

Envelope encryption

Saat data besar dienkripsi, praktik umum adalah memakai data key untuk mengenkripsi data, lalu data key itu dienkripsi oleh KMS key. Anggap saja kamu punya banyak kotak kecil, tiap kotak punya gembok sendiri, lalu semua kunci gembok disimpan dalam brankas utama yang dikontrol KMS. Kenapa berlapis seperti ini? Karena mengirim data berukuran besar bolak-balik ke KMS itu lambat dan mahal, sedangkan data key berukuran kecil. Jadi KMS cukup mengurus kunci kecil, sementara enkripsi data besar berjalan cepat secara lokal.

Key rotation dan biaya KMS

KMS bisa merotasi customer managed key secara otomatis agar kunci tidak dipakai selamanya. Sejak April 2024, periode rotasi bisa diatur fleksibel dari 90 hari sampai 2560 hari (sebelumnya tetap 365 hari), dan kamu juga bisa memicu on-demand rotation kapan saja. Detail biaya tidak diuji dalam, tetapi anchor berikut membantu intuisi.

Kapan memakai KMS?

AWS KMS vs AWS CloudHSM

Analogi dulu: KMS itu seperti brankas bank bersama yang dijaga ketat, banyak nasabah memakai gedung yang sama tetapi tiap kotak terpisah. AWS CloudHSM itu seperti menyewa satu ruang brankas khusus untuk perusahaanmu sendiri, hardware dedicated yang hanya kamu yang pegang kuncinya, bahkan AWS pun tidak bisa mengakses materi kuncimu.

KMS bersifat multi-tenant dan dikelola AWS, memakai HSM tervalidasi FIPS yang dibagi banyak pelanggan, terintegrasi dalam ke layanan AWS, dan murah. CloudHSM bersifat single-tenant, hardware HSM dedicated, kontrol penuh ada di tangan pelanggan, biasanya dipilih saat ada syarat compliance ketat atau ketika organisasi wajib memegang kendali penuh atas kunci tanpa akses AWS sama sekali.

Secret untuk aplikasi, config murah, sertifikat untuk koneksi aman.

Secret adalah benda yang tidak boleh ditaruh di papan pengumuman, sertifikat adalah kartu identitas digital agar koneksi HTTPS bisa dipercaya.

AWS Secrets Manager

AWS Secrets Manager membantu mengelola, mengambil, dan merotasi secret seperti kredensial database, API key, token OAuth, dan password aplikasi. Tujuannya sederhana: aplikasi tidak perlu menyimpan password langsung di source code, file konfigurasi publik, atau repository.

AWS Systems Manager Parameter Store

Analogi dulu: kalau Secrets Manager adalah brankas password kelas premium dengan layanan ganti gembok otomatis, Parameter Store adalah laci arsip serbaguna yang gratis untuk menyimpan nilai konfigurasi, dan bisa dikunci pakai SecureString bila isinya rahasia.

Parameter Store adalah bagian dari AWS Systems Manager. Parameter tipe standard gratis (hingga 10.000 per akun), sedangkan advanced parameter sekitar $0.05 per parameter per bulan. Tipe SecureString mengenkripsi nilai dengan KMS. Bedanya yang paling sering diuji: Parameter Store tidak punya rotasi otomatis bawaan, sedangkan Secrets Manager punya.

AWS Certificate Manager

AWS Certificate Manager atau ACM membantu membuat, menyimpan, dan memperbarui sertifikat SSL/TLS untuk aplikasi dan website AWS. Sertifikat ini dipakai agar user bisa mengakses aplikasi melalui HTTPS. ACM sering dipakai bersama CloudFront, Application Load Balancer, API Gateway, dan layanan terintegrasi lain. ACM juga memperbarui (auto-renew) sertifikat yang dikeluarkannya secara otomatis, sehingga kamu tidak perlu mengingat tanggal kedaluwarsa.

Pagar aplikasi dan perlindungan banjir traffic.

Kalau internet adalah jalan raya, WAF adalah satpam yang memeriksa isi permintaan HTTP, sedangkan Shield adalah perlindungan saat jalan dibanjiri traffic serangan DDoS.

AWS WAF

AWS WAF adalah web application firewall untuk memantau dan mengontrol request HTTP(S) yang menuju resource aplikasi. Kamu membuat web ACL, menambahkan rule, lalu mengaitkannya ke resource seperti CloudFront distribution, Application Load Balancer, API Gateway REST API, AppSync GraphQL API, Cognito user pool, App Runner, Verified Access, dan Amplify. WAF bekerja di Layer 7, ia bisa memeriksa isi request: blokir SQL injection dan XSS, rate limiting, filter IP atau geografi, sampai memakai managed rule group siap pakai dari AWS.

AWS Shield

AWS Shield membantu melindungi aplikasi dari Distributed Denial of Service atau DDoS. Shield Standard tersedia otomatis dan gratis untuk semua pelanggan AWS, melindungi dari serangan DDoS umum pada Layer 3 dan 4 (network dan transport). Tidak perlu opt-in atau bayar untuk tier ini. Shield Advanced adalah tier berbayar untuk organisasi yang butuh perlindungan lebih tinggi, mitigasi Layer 3, 4, dan 7, visibilitas tambahan, akses 24/7 ke Shield Response Team (SRT), serta DDoS cost protection berupa kredit tagihan saat usage melonjak pada resource yang dilindungi.

Deteksi, konsolidasi, dan investigasi yang saling melengkapi.

Setelah pintu dikunci dan pagar dipasang, kamu tetap butuh kamera, alarm, pemeriksaan celah, ruang kontrol yang menggabungkan laporan, dan detektif yang menelusuri akar masalah.

Kelima layanan ini paling sering tertukar di ujian karena namanya mirip dan semua terdengar seperti keamanan. Kunci membedakannya bukan menghafal fitur, tetapi menjawab satu pertanyaan: layanan ini menjawab pertanyaan keamanan yang mana?

Lima layanan dan pertanyaan yang dijawabnya

GuardDuty

Amazon GuardDuty terus memantau dan menganalisis log AWS untuk menemukan aktivitas mencurigakan. Data source dasarnya tidak perlu setup tambahan: CloudTrail management events, VPC Flow Logs, dan DNS query logs. Contoh temuan: akses API tidak biasa, komunikasi dengan domain atau IP berbahaya, atau pola yang menunjukkan kredensial mungkin disalahgunakan. Protection plan opsional bisa menambah cakupan, misalnya S3 Protection, EKS Protection, Runtime Monitoring, Malware Protection, RDS Protection, dan Lambda Protection.

Inspector

Amazon Inspector berfokus pada kerentanan. Jika kamu ingin tahu apakah EC2, image container di ECR, atau fungsi Lambda punya paket rentan (CVE) atau paparan jaringan yang tidak disengaja, pikirkan Inspector. Ia menghasilkan finding yang bisa diprioritaskan untuk perbaikan. Sejak Juni 2025 Inspector menambah code security, yaitu memindai source code, dependency, dan Infrastructure as Code dengan integrasi GitHub dan GitLab, sehingga cakupannya meluas dari sekadar EC2/ECR/Lambda.

Macie

Amazon Macie berfokus pada data sensitif di S3. Misalnya organisasi ingin mendeteksi apakah bucket menyimpan informasi identitas pribadi, nomor kartu, kredensial, atau pola data sensitif lain, memakai machine learning dan pattern matching. Macie bukan firewall dan bukan vulnerability scanner. Ada free trial 30 hari yang mencakup automated sensitive data discovery gratis.

Security Hub

AWS Security Hub menggabungkan temuan dan security check agar tim tidak membuka banyak console satu per satu. Ia cocok untuk melihat posture keamanan lintas akun dan integrasi, lalu mendorong remediasi lewat workflow lain. AWS Config adalah mesin di balik sebagian besar cek control Security Hub.

Detective

Amazon Detective adalah langkah investigasi setelah deteksi. Ia membangun behavior graph dari CloudTrail logs, VPC Flow Logs, EKS audit logs, dan finding dari GuardDuty, Security Hub, dan Inspector, lalu memakai machine learning dan graph theory untuk membantu menelusuri akar masalah sebuah temuan. Kalau GuardDuty bertanya apakah ada masalah, Detective bertanya kenapa masalah ini terjadi dan apa hubungannya antar resource sepanjang waktu.

Bukti, kontrol, evaluasi konfigurasi, dan aturan main.

Compliance bukan hanya menjadi aman, tetapi juga bisa menunjukkan bukti bahwa kontrol keamanan berjalan.

AWS Artifact

AWS Artifact menyediakan akses on-demand ke laporan keamanan dan compliance AWS (SOC, PCI DSS, ISO, dan lainnya) serta agreement tertentu seperti Business Associate Addendum (BAA). Ini seperti lemari dokumen resmi dari pengelola gedung. Penting: Artifact mendokumentasikan compliance milik AWS, bukan compliance aplikasimu. Saat auditor bertanya tentang sertifikasi atau laporan AWS, Artifact adalah tempat untuk mencari dokumen AWS yang relevan.

AWS Audit Manager

AWS Audit Manager membantu mengotomatisasi pengumpulan evidence untuk assessment berbasis framework, dengan memetakan konfigurasi resource, aktivitas pengguna, dan hasil compliance check terhadap framework bawaan dan custom (misalnya CIS, PCI DSS, GDPR, HIPAA, SOC 2). Ini seperti asisten audit yang mengumpulkan bukti dari layanan AWS. Audit Manager tidak menggantikan auditor manusia, tetapi mengurangi pekerjaan manual menyiapkan bukti tentang lingkunganmu sendiri.

AWS Config

Analogi dulu: Config seperti kamera CCTV yang merekam riwayat perubahan setiap resource, plus inspektur yang terus mengecek apakah konfigurasi masih sesuai aturan. AWS Config merekam konfigurasi resource, menyimpan configuration history, dan mengevaluasi resource terhadap rule untuk kepatuhan. Ia menjawab pertanyaan seperti: seperti apa konfigurasi resource ini bulan lalu, apakah ada drift dari desired state, dan apakah resource ini melanggar aturan. Config adalah mesin di balik sebagian besar control check di Security Hub CSPM.

Standar compliance yang sering disebut

CLF-C02 menyebut beberapa standar compliance secara umum. Kamu tidak perlu hafal isi tiap standar, cukup tahu di mana AWS membantu.

Governance di AWS

Governance adalah cara organisasi memastikan banyak akun dan resource tetap mengikuti aturan. Contohnya, memakai AWS Organizations untuk struktur akun, SCP untuk guardrail izin, AWS Config untuk evaluasi konfigurasi, tagging untuk kepemilikan dan biaya, serta Trusted Advisor untuk rekomendasi best practice tertentu.

Melihat layanan sebagai sistem terpadu.

Keamanan yang baik biasanya tidak berdiri sendiri, tetapi mengikuti alur user, aplikasi, data, monitoring, dan bukti audit.

Membaca diagram

Pengguna masuk melalui internet. CloudFront atau ALB memakai sertifikat dari ACM untuk HTTPS. WAF memeriksa request HTTP(S), Shield membantu proteksi DDoS, aplikasi mengambil secret dari Secrets Manager (atau config dari Parameter Store), data disimpan di S3 atau database dengan enkripsi KMS, aktivitas terekam di CloudTrail dan CloudWatch, lalu GuardDuty, Inspector, dan Macie menghasilkan temuan. Security Hub mengonsolidasikan temuan, Detective membantu menyelidiki akar masalah, sedangkan Config, Artifact, dan Audit Manager menutup sisi compliance.

Walkthrough aman tanpa harus menghafal klik console.

Latihan ini bukan untuk menghafal tombol, tetapi untuk membangun intuisi keamanan yang benar.

Kasus: online shop sederhana

Kamu punya aplikasi online shop skincare. Aplikasi publik menerima traffic HTTPS, membaca katalog dari database, menyimpan gambar produk di S3, dan memakai API key payment gateway. Targetnya: aman untuk pemula, realistis, dan mudah dijelaskan ke stakeholder.

Lab aman: tiga langkah hemat biaya di console

Kalau kamu ingin benar-benar menekan tombol tanpa risiko tagihan, tiga langkah berikut aman dan langsung memperkuat postur keamanan. Tetap perhatikan free trial dan matikan layanan trial bila tidak dilanjutkan.

Pertanyaan refleksi

• Apakah ada password yang masih ditaruh di repository?
• Apakah bucket S3 yang berisi data pelanggan punya public access yang tidak sengaja terbuka?
• Apakah aplikasi punya sertifikat TLS yang dikelola baik?
• Apakah ada tempat terpusat untuk melihat temuan keamanan, dan cara menyelidiki akar masalahnya?
• Apakah tim bisa menunjukkan bukti compliance tanpa mencari manual di banyak akun?

Latihan mengenali kata kunci.

Di ujian, kamu jarang ditanya definisi kosong. Kamu diberi masalah, lalu diminta memilih layanan yang paling tepat.

Yang sering terlihat aman, padahal belum tentu.

Banyak insiden cloud terjadi bukan karena AWS tidak aman, tetapi karena konfigurasi pelanggan terlalu longgar atau proses operasional belum matang.

Kata kunci mirip, jawaban berbeda.

Bagian ini membantu kamu menghindari jawaban yang terdengar benar tetapi tidak paling tepat.

Latihan cepat

• Threat detection lintas log AWS = GuardDuty.
• Investigasi akar masalah finding = Detective.
• Vulnerability scan workload (CVE) = Inspector.
• Data sensitif di S3 = Macie.
• Central findings dan posture = Security Hub (CSPM).
• Evaluasi konfigurasi dan drift = Config.
• Compliance reports dan agreements = Artifact.
• Audit evidence collection = Audit Manager.
• Keys = KMS, HSM dedicated = CloudHSM, secrets + rotasi = Secrets Manager, config gratis = Parameter Store, certificates = ACM.

Peta akhir untuk Domain 2 CLF-C02.

Keamanan AWS adalah kombinasi pembagian tanggung jawab, kontrol akses, perlindungan data, proteksi aplikasi, deteksi ancaman, governance, dan bukti compliance.

Pemetaan ke domain CLF-C02

Checklist menjelang ujian

• Bisa menjelaskan security of the cloud vs security in the cloud dengan contoh EC2, RDS, S3, dan Lambda.
• Bisa membedakan KMS vs CloudHSM, dan Secrets Manager vs Parameter Store, tanpa tertukar.
• Bisa membedakan ACM dari KMS, dan ingat ACM gratis untuk cert terintegrasi vs exportable cert berbayar.
• Bisa membedakan WAF (L7) dan Shield (DDoS), serta Shield Standard (gratis) vs Advanced (berbayar + SRT).
• Bisa membedakan GuardDuty, Inspector, Macie, Security Hub, dan Detective dari jenis temuan dan langkah (detect vs investigate).
• Bisa membedakan Artifact, Audit Manager, dan Config dari kebutuhan compliance.
• Bisa memilih layanan paling sederhana yang langsung menjawab skenario soal.

Rujukan resmi untuk belajar lanjut

• AWS CLF-C02 Content Domain 2: Security and Compliance
• AWS Shared Responsibility Model
• Choosing AWS security, identity, and governance services
• AWS KMS Developer Guide
• AWS CloudHSM User Guide
• AWS Secrets Manager User Guide
• AWS Systems Manager Parameter Store
• AWS Certificate Manager User Guide
• AWS WAF Developer Guide
• AWS Shield Pricing (Standard vs Advanced)
• Amazon GuardDuty User Guide
• Amazon Inspector User Guide
• Amazon Macie User Guide
• AWS Security Hub User Guide
• Amazon Detective User Guide
• AWS Config Developer Guide
• AWS Artifact User Guide
• AWS Audit Manager User Guide