메뉴
Amazon Relational Database Service
사용 설명서 (API Version 2014-10-31)

Amazon RDS에 대한 인증 및 액세스 제어

Amazon RDS에 액세스하려면 AWS가 요청을 인증하는 데 사용할 수 있는 자격 증명이 필요합니다. 이러한 자격 증명에는 AWS 리소스(예: Amazon RDS DB 인스턴스)에 액세스할 수 있는 권한이 있어야 합니다. 다음 단원에서는 리소스에 액세스할 수 있는 대상을 제어하여 리소스를 보호할 수 있도록 AWS Identity and Access Management(IAM) 및 Amazon RDS를 사용하는 방법에 대한 세부 정보를 제공합니다.

인증

다음과 같은 자격 증명 유형으로 AWS에 액세스할 수 있습니다.

  • AWS 계정 루트 사용자 – AWS에 가입할 때 AWS 계정과 연결된 이메일 주소 및 암호를 입력합니다. 이것은 AWS 계정 루트 사용자입니다. 이 사용자의 자격 증명은 모든 AWS 리소스에 대한 전체 액세스를 제공합니다.

    중요

    보안상 관리자, 즉 AWS 계정에 대한 전체 권한이 있는 IAM 사용자를 만들 때에만 루트 사용자를 사용하는 것이 좋습니다. 그런 다음 이 관리자 사용자를 사용하여 제한된 권한이 있는 다른 IAM 사용자 및 역할을 만들 수 있습니다. 자세한 내용은 IAM 사용 설명서IAM 모범 사례관리자 및 그룹 만들기를 참조하십시오.

  • IAM 사용자IAM 사용자는 특정 사용자 지정 권한(예: Amazon RDS에서 a DB instance을 만들 권한)이 있는 AWS 계정 내의 자격 증명일 뿐입니다. IAM 사용자 이름과 암호를 사용하여 AWS Management Console, AWS 토론 포럼 또는 AWS Support Center와 같은 보안 AWS 웹 페이지에 로그인할 수 있습니다.

     

    사용자 이름과 암호 외에도 각 사용자에 대해 액세스 키를 생성할 수 있습니다. 여러 SDK 중 하나를 통해 또는 AWS Command Line Interface(CLI)를 사용하여 AWS 서비스에 프로그래밍 방식으로 액세스할 때 이러한 키를 사용할 수 있습니다. SDK 및 CLI 도구는 액세스 키를 사용하여 암호화 방식으로 요청에 서명합니다. AWS 도구를 사용하지 않는 경우 요청에 직접 서명해야 합니다. Amazon RDS supports 는 인바운드 API 요청을 인증하기 위한 프로토콜인 서명 버전 4를 지원합니다. 요청 인증에 대한 자세한 내용은 AWS General Reference서명 버전 4 서명 프로세스를 참조하십시오.

     

  • IAM 역할IAM 역할은 계정에 만들 수 있는, 특정 권한을 지닌 또 다른 IAM 자격 증명입니다. IAM 사용자와 유사하지만, 특정 개인과 연결되지 않습니다. IAM 역할을 사용하면 AWS 서비스 및 리소스에 액세스하는 데 사용할 수 있는 임시 액세스 키를 얻을 수 있습니다. 임시 자격 증명이 있는 IAM 역할은 다음과 같은 상황에서 유용합니다.

     

    • 연합된 사용자 액세스 – IAM 사용자를 만드는 대신, AWS Directory Service의 기존 사용자 자격 증명, 엔터프라이즈 사용자 디렉터리 또는 웹 자격 증명 공급자를 사용할 수 있습니다. 이러한 사용자를 연합된 사용자라고 합니다. 자격 증명 공급자를 통해 액세스를 요청하면 AWS가 연합된 사용자에게 역할을 할당합니다. 연합된 사용자에 대한 자세한 내용은 IAM 사용 설명서연합된 사용자 및 역할을 참조하십시오.

       

    • 교차 계정 액세스 – 계정의 IAM 역할을 사용하여 다른 AWS 계정에 계정 리소스에 액세스할 권한을 부여할 수 있습니다. 예는 IAM 사용 설명서Tutorial: Delegate Access Across AWS Accounts Using IAM Roles 단원을 참조하십시오.

       

    • AWS 서비스 액세스 – 계정의 IAM 역할을 사용하여 AWS 서비스에 계정의 리소스에 액세스할 권한을 부여할 수 있습니다. 예를 들어 Amazon Redshift에서 사용자 대신 Amazon S3 버킷에 액세스하도록 허용하는 역할을 만든 후 그 버킷으로부터 데이터를 Amazon Redshift 클러스터로 로드할 수 있습니다. 자세한 내용은 IAM 사용 설명서Creating a Role to Delegate Permissions to an AWS Service 단원을 참조하십시오.

       

    • Amazon EC2에서 실행 중인 애플리케이션 – EC2 인스턴스에서 실행되고 AWS API 요청을 하는 애플리케이션의 임시 자격 증명을 IAM 역할을 사용하여 관리할 수 있습니다. 이것은 EC2 인스턴스 내에 액세스 키를 저장하는 경우에 바람직한 방법입니다. EC2 인스턴스에 AWS 역할을 할당하고 그 역할을 모든 애플리케이션에서 사용할 수 있도록 하려면 인스턴스에 연결된 인스턴스 프로파일을 만들어야 합니다. 인스턴스 프로파일에는 역할이 포함되어 있으며 EC2 인스턴스에서 실행되는 프로그램이 임시 자격 증명을 얻을 수 있습니다. 자세한 내용은 IAM 사용 설명서Amazon EC2에서 실행되는 애플리케이션의 역할 사용하기를 참조하십시오.

액세스 제어

요청을 인증하는 데 유효한 자격 증명이 있더라도 권한이 없다면 Amazon RDS 리소스를 생성하거나 액세스할 수 없습니다. 예를 들어, Amazon RDS DB 인스턴스를 추가하거나, DB 스냅샷을 생성하거나, 이벤트 구독을 추가하려면 권한이 있어야 합니다.

다음 단원에서는 Amazon RDS에 대한 권한을 관리하는 방법에 대해 설명합니다. 먼저 개요를 읽어 보면 도움이 됩니다.

이 페이지에서: