Amazon S3 버킷에 대한 액세스 권한 설정
Amazon S3 버킷을 식별한 다음 버킷에 액세스할 수 있는 권한을 DB 클러스터 작업에 부여합니다.
내보낼 Amazon S3 버킷 식별
DB 클러스터 데이터를 내보낼 Amazon S3 버킷을 식별합니다. 기존 S3 버킷을 사용하거나 새 S3 버킷을 생성합니다.
참고
S3 버킷이 DB 클러스터와 동일한 AWS 리전에 있어야 합니다.
Amazon S3 버킷 작업에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서에서 다음을 참조하세요.
IAM 역할을 사용하여 Amazon S3 버킷에 대한 액세스 권한 제공
DB 클러스터 데이터를 Amazon S3로 내보내기 전에 내보내기 작업에 Amazon S3 버킷에 대한 쓰기-액세스 권한을 부여하십시오.
이 권한을 부여하려면 버킷에 대한 액세스 권한을 부여하는 IAM 정책을 생성한 다음 IAM 역할을 생성하고 정책을 역할에 연결해야 합니다. 나중에 DB 클러스터 내보내기 작업에 IAM 역할을 할당할 수 있습니다.
중요
AWS Management Console을 사용하여 DB 클러스터를 내보내려는 경우 DB 클러스터를 내보낼 때 IAM 정책 및 역할을 자동으로 생성하도록 선택할 수 있습니다. 지침은 DB 클러스터 내보내기 작업 생성 단원을 참조하십시오.
작업에 Amazon S3에 대한 액세스 권한을 부여하는 방법
-
IAM 정책을 생성합니다. 이 정책은 DB 클러스터 내보내기 작업에서 Amazon S3 액세스를 허용하는 버킷 및 객체 권한을 제공합니다.
정책에 다음 필수 작업을 포함하여 Amazon Aurora에서 S3 버킷으로의 파일 전송을 허용합니다.
-
s3:PutObject*
-
s3:GetObject*
-
s3:ListBucket
-
s3:DeleteObject*
-
s3:GetBucketLocation
정책에 다음 리소스를 포함하여 버킷에 있는 S3 버킷과 객체를 식별합니다. 다음 리소스 목록은 Amazon S3에 액세스하기 위한 Amazon 리소스 이름(ARN) 형식을 보여 줍니다.
-
arn:aws:s3:::
amzn-s3-demo-bucket
-
arn:aws:s3:::
amzn-s3-demo-bucket
/*
Amazon Aurora에 대한 IAM 정책을 생성하는 방법에 대한 자세한 내용은 IAM 데이터베이스 액세스를 위한 IAM 정책 생성 및 사용 섹션을 참조하세요. IAM 사용 설명서의 자습서: 첫 번째 고객 관리형 정책 생성 및 연결도 참조하세요.
다음 AWS CLI 명령은 이 옵션으로
ExportPolicy
라는 IAM 정책을 만듭니다.amzn-s3-demo-bucket
이라는 버킷에 대한 액세스 권한을 부여합니다.참고
정책을 생성한 후 정책의 ARN을 기록해 둡니다. IAM 역할에 정책을 연결할 때 이후 단계에 ARN이 필요합니다.
aws iam create-policy --policy-name ExportPolicy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "ExportPolicy", "Effect": "Allow", "Action": [ "s3:PutObject*", "s3:ListBucket", "s3:GetObject*", "s3:DeleteObject*", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::
amzn-s3-demo-bucket
", "arn:aws:s3:::amzn-s3-demo-bucket
/*" ] } ] }' -
-
Aurora가 사용자 대신 이 IAM 역할을 수임하여 Amazon S3 버킷에 액세스할 수 있도록 IAM 역할을 만듭니다. 자세한 내용은 IAM 사용 설명서의 IAM 사용자에게 권한을 위임하기 위한 역할 생성을 참조하세요.
다음 예제에서는 AWS CLI 명령을 사용해
rds-s3-export-role
이라는 역할을 생성하는 방법을 보여줍니다.aws iam create-role --role-name rds-s3-export-role --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "export.rds.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }'
-
생성한 IAM 역할에 생성한 IAM 정책을 연결합니다.
다음 AWS CLI 명령은 앞서 생성한 정책을
rds-s3-export-role
이라는 역할에 연결합니다.
을 이전 단계에서 기록해 둔 정책 ARN으로 바꿉니다.your-policy-arn
aws iam attach-role-policy --policy-arn
your-policy-arn
--role-name rds-s3-export-role
교차 계정 Amazon S3 버킷 사용하기
S3 버킷 교차 AWS 계정을 사용할 수 있습니다. 자세한 내용은 교차 계정 Amazon S3 버킷 사용하기 단원을 참조하십시오.