메뉴
Amazon Relational Database Service
사용 설명서 (API Version 2014-10-31)

IAM 역할을 DB 클러스터와 연결

Amazon Aurora DB 클러스터의 데이터베이스 사용자가 다른 AWS 서비스에 액세스하도록 허용하려면 Amazon Aurora에서 AWS 서비스에 액세스하도록 허용하는 IAM 역할 만들기에서 만든 역할을 해당 DB 클러스터와 연결합니다.

IAM 역할을 DB 클러스터와 연결하려면 다음 두 가지 작업을 수행합니다.

  • RDS 콘솔, add-role-to-db-cluster AWS CLI 명령 또는 AddRoleToDBCluster RDS API 작업을 사용하여 DB 클러스터에 연결된 역할 목록에 역할을 추가합니다.

    각 Aurora DB 클러스터에 대해 최대 다섯 개의 IAM 역할을 추가할 수 있습니다.

  • 관련 AWS 서비스에 대한 클러스터 수준 파라미터를 연결된 IAM 역할의 ARN으로 설정합니다.

    다음 표에는 다른 AWS 서비스에 액세스하는 데 사용되는 IAM 역할의 클러스터 수준 파라미터 이름이 나와 있습니다.

    클러스터 수준 파라미터 설명

    aws_default_lambda_role

    DB 클러스터에서 Lambda 함수를 호출하는 데 사용됩니다.

    aws_default_s3_role

    DB 클러스터에서 LOAD DATA FROM S3, LOAD XML FROM S3 또는 SELECT INTO OUTFILE S3 문을 호출하는 데 사용됩니다.

    Aurora 버전 1.13 이상의 경우 적절한 문의 aurora_load_from_s3_role 또는 aurora_select_into_s3_role에 대해 IAM 역할이 지정되지 않은 경우에만 이 파라미터에 지정된 IAM 역할이 사용됩니다.

    이전 버전의 Aurora에서는 이 파라미터에 지정된 IAM 역할이 항상 사용됩니다.

    aurora_load_from_s3_role

    Aurora 버전 1.13 이상의 경우, DB 클러스터에서 LOAD DATA FROM S3 또는 LOAD XML FROM S3 문을 호출하는 데 사용됩니다. 이 파라미터에 대해 지정된 IAM 역할이 없는 경우 aws_default_s3_role에 지정된 IAM 역할이 사용됩니다.

    이전 버전의 Aurora에서는 이 파라미터를 사용할 수 없습니다.

    aurora_select_into_s3_role

    Aurora 버전 1.13 이상의 경우, DB 클러스터에서 SELECT INTO OUTFILE S3 문을 호출하는 데 사용됩니다. 이 파라미터에 대해 지정된 IAM 역할이 없는 경우 aws_default_s3_role에 지정된 IAM 역할이 사용됩니다.

    이전 버전의 Aurora에서는 이 파라미터를 사용할 수 없습니다.

Amazon RDS 클러스터가 사용자 대신 다른 AWS 서비스와 통신하도록 허용하는 IAM 역할을 연결하려면 다음 단계를 수행합니다.

콘솔을 사용하여 IAM 역할을 Aurora DB 클러스터와 연결하려면

  1. https://console.aws.amazon.com/rds/에서 RDS 콘솔을 엽니다.

  2. [Clusters]를 선택합니다.

  3. IAM 역할과 연결할 Aurora DB 클러스터를 선택한 다음 [Manage IAM Roles]를 선택합니다.

     DB 클러스터에 대한 IAM 역할 관리
  4. [Manage IAM Roles]에서 [Available roles]의 DB 클러스터와 연결할 역할을 선택합니다.

     IAM 역할을 DB 클러스터와 연결
  5. (선택 사항) IAM 역할과 DB 클러스터의 연결을 중지하고 관련 권한을 제거하려면 해당 역할에 대해 Delete를 선택합니다.

  6. [Done]을 선택합니다.

  7. RDS 콘솔의 탐색 창에서 [Parameter Groups]를 선택합니다.

  8. 이미 사용자 지정 DB 파라미터 그룹을 사용 중인 경우, 새 DB 클러스터 파라미터 그룹을 만드는 대신에 해당 그룹을 선택할 수 있습니다. 기본 DB 클러스터 파라미터 그룹을 사용 중인 경우, 다음 단계의 설명에 따라 새 DB 클러스터 파라미터 그룹을 만들어야 합니다.

    1. [Create Parameter Group]을 선택합니다.

       DB 클러스터 파라미터 그룹 만들기

      [Parameter Group Family]에서 aurora5.6을 선택합니다.

    2. [Type]에서 DB cluster parameter group을 선택합니다.

    3. [Group Name]에 새 DB 클러스터 파라미터 그룹의 이름을 입력합니다.

    4. [Description]에 새 DB 클러스터 파라미터 그룹에 대한 설명을 입력합니다.

    5. [Create]를 선택합니다.

  9. DB 클러스터 파라미터 그룹을 선택하고 [Edit Parameters]를 선택합니다.

  10. 적절한 클러스터 수준 파라미터를 관련 IAM 역할 ARN 값으로 설정합니다. 예를 들어, aws_default_s3_role 파라미터는 arn:aws:iam::123456789012:role/AllowAuroraS3Role로 설정할 수 있습니다.

  11. [Save Changes]를 선택합니다.

  12. [Instances]를 선택한 다음 Aurora DB 클러스터에 대해 기본 인스턴스를 선택합니다.

  13. [Instance Actions]를 선택하고 [Modify]를 선택합니다.

  14. [DB Cluster Parameter Group]을 생성한 새 DB 클러스터 파라미터 그룹으로 설정합니다. [Apply Immediately]를 선택합니다. [Continue]를 선택합니다.

  15. 변경 사항을 확인한 다음 [Modify DB Instance]를 선택합니다.

  16. 인스턴스 목록에서 DB 클러스터에 대해 기본 인스턴스가 선택됩니다. [Instance Actions]를 선택한 다음 [Reboot]를 선택합니다.

    인스턴스가 재부팅되면 IAM 역할이 DB 클러스터와 연결됩니다.

    클러스터 파라미터 그룹에 대한 자세한 내용은 DB 클러스터와 DB 인스턴스 파라미터을(를) 참조하십시오.

AWS CLI를 사용하여 IAM 역할을 DB 클러스터와 연결하려면

  1. 다음과 같이 AWS CLI에서 add-role-to-db-cluster 명령을 호출하여 DB 클러스터에 IAM 역할의 ARN을 추가합니다.

    Copy
    PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraS3Role PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraLambdaRole
  2. 기본 DB 클러스터 파라미터 그룹을 사용 중인 경우, 새 DB 클러스터 파라미터 그룹을 만들어야 합니다. 이미 사용자 지정 DB 파라미터 그룹을 사용 중인 경우, 새 DB 클러스터 파라미터 그룹을 만드는 대신에 해당 그룹을 사용할 수 있습니다.

    새 DB 클러스터 파라미터 그룹을 만들려면 다음과 같이 AWS CLI에서 create-db-cluster-parameter-group 명령을 호출하십시오.

    Copy
    PROMPT> aws rds create-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \ --db-parameter-group-family aurora5.6 --description "Allow access to Amazon S3 and AWS Lambda"
  3. 다음과 같이 DB 클러스터 파라미터 그룹에서 적절한 클러스터 수준 파라미터 및 관련 IAM 역할 ARN 값을 설정합니다.

    Copy
    PROMPT> aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \ --parameters "name=aws_default_s3_role,value=arn:aws:iam::123456789012:role/AllowAuroraS3Role,method=pending-reboot" \ --parameters "name=aws_default_lambda_role,value=arn:aws:iam::123456789012:role/AllowAuroraLambdaRole,method=pending-reboot"
  4. 다음과 같이 새 DB 클러스터 파라미터 그룹을 사용하도록 DB 클러스터를 수정한 다음 클러스터를 재부팅합니다.

    Copy
    PROMPT> aws rds modify-db-cluster --db-cluster-identifier my-cluster --db-cluster-parameter-group-name AllowAWSAccess PROMPT> aws rds reboot-db-instance --db-instance-identifier my-cluster-primary

    인스턴스가 재부팅되면 IAM 역할이 DB 클러스터와 연결됩니다.

    클러스터 파라미터 그룹에 대한 자세한 내용은 DB 클러스터와 DB 인스턴스 파라미터을(를) 참조하십시오.