Amazon RDS-DB 액세스 제어

Amazon RDS DB 인스턴스에 액세스하려면 사용자에게 특정 권한이 필요합니다. 이는 AWS IAM (ID 및 액세스 관리)을 사용하여 구성됩니다. 이 튜토리얼에서 우리는이 구성이 어떻게 수행되는지 볼 것입니다.

구성은 두 부분으로 구성됩니다.

  • Authentication

  • 액세스 제어

여기에는 사용자 이름, 암호 및 사용자의 액세스 키 생성이 포함됩니다. 액세스 키를 사용하면 AWS RDS 서비스에 프로그래밍 방식으로 액세스 할 수 있습니다. SDK 및 CLI 도구는 액세스 키를 사용하여 요청과 함께 암호화 방식으로 로그인합니다.

또한 IAM 역할을 사용하여 사용자를 인증 할 수 있습니다. 그러나 역할은 특정 사용자에게 연결되지 않고 모든 사용자가 일시적으로 역할을 맡고 필요한 작업을 완료 할 수 있습니다. 작업이 끝나면 역할을 취소 할 수 있으며 사용자는 인증 기능을 잃게됩니다.

사용자가 인증되면 해당 사용자에게 연결된 정책에 따라 사용자가 수행 할 수있는 작업 유형이 결정됩니다. 다음은 DB Engine MySQL 용 t2.micro 인스턴스에서 RDS DB 인스턴스 생성을 허용하는 정책의 예입니다.

{
    "Version": "2018-09-11",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:og:default*",
                "arn:aws:rds:*:123456789012:pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ],
            "Condition": {
                "StringEquals": {
                    "rds:DatabaseEngine": "mysql",
                    "rds:DatabaseClass": "db.t2.micro"
                }
            }
        }
    ]
}

모든 RDS 리소스에 대한 작업

아래 예에는 RDS 리소스에 대한 설명 작업을 허용하는 정책이 있습니다. * 기호는 모든 리소스를 나타내는 데 사용됩니다.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowRDSDescribe",
         "Effect":"Allow",
         "Action":"rds:Describe*",
         "Resource":"*"
      }
   ]
}

DB 인스턴스 삭제 금지

아래 정책은 사용자가 특정 DB 인스턴스를 삭제하는 것을 허용하지 않습니다.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyDelete1",
         "Effect":"Deny",
         "Action":"rds:DeleteDBInstance",
         "Resource":"arn:aws:rds:us-west-2:123456789012:db:my-mysql-instance"
      }
   ]
}