Amazon RDS-DB 액세스 제어
Amazon RDS DB 인스턴스에 액세스하려면 사용자에게 특정 권한이 필요합니다. 이는 AWS IAM (ID 및 액세스 관리)을 사용하여 구성됩니다. 이 튜토리얼에서 우리는이 구성이 어떻게 수행되는지 볼 것입니다.
구성은 두 부분으로 구성됩니다.
Authentication
액세스 제어
여기에는 사용자 이름, 암호 및 사용자의 액세스 키 생성이 포함됩니다. 액세스 키를 사용하면 AWS RDS 서비스에 프로그래밍 방식으로 액세스 할 수 있습니다. SDK 및 CLI 도구는 액세스 키를 사용하여 요청과 함께 암호화 방식으로 로그인합니다.
또한 IAM 역할을 사용하여 사용자를 인증 할 수 있습니다. 그러나 역할은 특정 사용자에게 연결되지 않고 모든 사용자가 일시적으로 역할을 맡고 필요한 작업을 완료 할 수 있습니다. 작업이 끝나면 역할을 취소 할 수 있으며 사용자는 인증 기능을 잃게됩니다.
사용자가 인증되면 해당 사용자에게 연결된 정책에 따라 사용자가 수행 할 수있는 작업 유형이 결정됩니다. 다음은 DB Engine MySQL 용 t2.micro 인스턴스에서 RDS DB 인스턴스 생성을 허용하는 정책의 예입니다.
{
"Version": "2018-09-11",
"Statement": [
{
"Sid": "AllowCreateDBInstanceOnly",
"Effect": "Allow",
"Action": [
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:123456789012:db:test*",
"arn:aws:rds:*:123456789012:og:default*",
"arn:aws:rds:*:123456789012:pg:default*",
"arn:aws:rds:*:123456789012:subgrp:default"
],
"Condition": {
"StringEquals": {
"rds:DatabaseEngine": "mysql",
"rds:DatabaseClass": "db.t2.micro"
}
}
}
]
}
모든 RDS 리소스에 대한 작업
아래 예에는 RDS 리소스에 대한 설명 작업을 허용하는 정책이 있습니다. * 기호는 모든 리소스를 나타내는 데 사용됩니다.
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowRDSDescribe",
"Effect":"Allow",
"Action":"rds:Describe*",
"Resource":"*"
}
]
}
DB 인스턴스 삭제 금지
아래 정책은 사용자가 특정 DB 인스턴스를 삭제하는 것을 허용하지 않습니다.
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyDelete1",
"Effect":"Deny",
"Action":"rds:DeleteDBInstance",
"Resource":"arn:aws:rds:us-west-2:123456789012:db:my-mysql-instance"
}
]
}