메뉴
Amazon Relational Database Service
사용 설명서 (API 버전 2014-10-31)

IAM 역할을 Amazon Aurora MySQL DB 클러스터와 연결

Amazon Aurora DB 클러스터의 데이터베이스 사용자가 다른 AWS 서비스에 액세스하도록 허용하려면 Amazon Aurora에서 AWS 서비스에 액세스하도록 허용하는 IAM 역할 만들기에서 만든 역할을 해당 DB 클러스터와 연결합니다.

IAM 역할을 DB 클러스터와 연결하려면 다음 두 가지 작업을 수행합니다.

  • RDS 콘솔, add-role-to-db-cluster AWS CLI 명령 또는 AddRoleToDBCluster RDS API 작업을 사용하여 DB 클러스터에 연결된 역할 목록에 역할을 추가합니다.

    각 Aurora DB 클러스터에 대해 최대 다섯 개의 IAM 역할을 추가할 수 있습니다.

  • 관련 AWS 서비스에 대한 클러스터 수준 파라미터를 연결된 IAM 역할의 ARN으로 설정합니다.

    다음 표에는 다른 AWS 서비스에 액세스하는 데 사용되는 IAM 역할의 클러스터 수준 파라미터 이름이 나와 있습니다.

    클러스터 수준 파라미터 설명

    aws_default_lambda_role

    DB 클러스터에서 Lambda 함수를 호출하는 데 사용됩니다.

    aws_default_logs_role

    로그 데이터를 DB 클러스터에서 Amazon CloudWatch Logs로 내보낼 때 이 파라미터는 더 이상 필요하지 않습니다. 이제 Aurora MySQL은 필요한 권한에 서비스 연결 역할을 사용합니다. 서비스 연결 역할에 대한 자세한 내용은 Amazon RDS에 서비스 연결 역할 사용 단원을 참조하십시오.

    aws_default_s3_role

    DB 클러스터에서 LOAD DATA FROM S3, LOAD XML FROM S3 또는 SELECT INTO OUTFILE S3 문을 호출하는 데 사용됩니다.

    Aurora 버전 1.13 이상의 경우 적절한 문의 aurora_load_from_s3_role 또는 aurora_select_into_s3_role에 대해 IAM 역할이 지정되지 않은 경우에만 이 파라미터에 지정된 IAM 역할이 사용됩니다.

    이전 버전의 Aurora에서는 이 파라미터에 지정된 IAM 역할이 항상 사용됩니다.

    aurora_load_from_s3_role

    Aurora 버전 1.13 이상의 경우, DB 클러스터에서 LOAD DATA FROM S3 또는 LOAD XML FROM S3 문을 호출하는 데 사용됩니다. 이 파라미터에 대해 지정된 IAM 역할이 없는 경우 aws_default_s3_role에 지정된 IAM 역할이 사용됩니다.

    이전 버전의 Aurora에서는 이 파라미터를 사용할 수 없습니다.

    aurora_select_into_s3_role

    Aurora 버전 1.13 이상의 경우, DB 클러스터에서 SELECT INTO OUTFILE S3 문을 호출하는 데 사용됩니다. 이 파라미터에 대해 지정된 IAM 역할이 없는 경우 aws_default_s3_role에 지정된 IAM 역할이 사용됩니다.

    이전 버전의 Aurora에서는 이 파라미터를 사용할 수 없습니다.

Amazon RDS 클러스터가 사용자 대신 다른 AWS 서비스와 통신하도록 허용하는 IAM 역할을 연결하려면 다음 단계를 수행합니다.

콘솔을 사용하여 IAM 역할을 Aurora DB 클러스터와 연결하려면

  1. https://console.aws.amazon.com/rds/에서 RDS 콘솔을 엽니다.

  2. [Clusters]를 선택합니다.

  3. IAM 역할과 연결할 Aurora DB 클러스터를 선택한 다음 [Cluster actions]에서 [Manage IAM roles]를 선택합니다.

  4. [Manage IAM roles]의 [Add IAM roles to this cluster]에서 DB 클러스터에 연결할 역할을 선택합니다.

     IAM 역할을 DB 클러스터와 연결
  5. [Add role]을 선택합니다.

  6. (선택 사항) IAM 역할과 DB 클러스터의 연결을 중지하고 관련 권한을 제거하려면 해당 역할에 대해 Delete를 선택합니다.

  7. Done을 선택합니다.

  8. RDS 콘솔의 탐색 창에서 [Parameter groups]를 선택합니다.

  9. 이미 사용자 지정 DB 파라미터 그룹을 사용 중인 경우, 새 DB 클러스터 파라미터 그룹을 만드는 대신에 해당 그룹을 선택할 수 있습니다. 기본 DB 클러스터 파라미터 그룹을 사용 중인 경우, 다음 단계의 설명에 따라 새 DB 클러스터 파라미터 그룹을 만듭니다.

    1. [Create Parameter Group]을 선택합니다.

    2. 파라미터 그룹 Family에 대해, Aurora MySQL 5.6 호환 DB 클러스터의 경우 aurora5.6를 선택하거나 Aurora MySQL 5.7 호환 DB 클러스터의 경우 aurora-mysql5.7을 선택합니다.

    3. [Type]에서 [DB Cluster Parameter Group]을 선택합니다.

    4. [Group name]에 새 DB 클러스터 파라미터 그룹의 이름을 입력합니다.

    5. [Description]에 새 DB 클러스터 파라미터 그룹에 대한 설명을 입력합니다.

       DB 클러스터 파라미터 그룹 만들기
    6. Create를 선택합니다.

  10. [Parameter groups] 페이지에서 DB 클러스터 파라미터 그룹을 선택하고 [Parameter group actions]에서 [Edit]를 선택합니다.

  11. [Edit parameters]를 선택합니다.

  12. 적절한 클러스터 수준 파라미터를 관련 IAM 역할 ARN 값으로 설정합니다. 예를 들어, aws_default_s3_role 파라미터는 arn:aws:iam::123456789012:role/AllowAuroraS3Role로 설정할 수 있습니다.

  13. [Save changes]를 선택합니다.

  14. [Instances]를 선택한 다음 Aurora DB 클러스터에 대해 기본 인스턴스를 선택합니다.

  15. [Instance actions]를 선택하고 [Modify]를 선택합니다.

  16. [Database options]로 스크롤하여 [DB cluster parameter group]을 생성한 새 DB 클러스터 파라미터 그룹으로 설정합니다. [Continue]를 선택합니다.

  17. 변경 사항을 확인한 다음 [Apply immediately]를 선택합니다.

  18. [Modify DB Instance]를 선택합니다.

  19. 인스턴스 목록에서 DB 클러스터에 대해 기본 인스턴스가 계속 선택되어 있습니다. 인스턴스 작업을 선택한 후 재부팅을 선택합니다.

    인스턴스가 재부팅되면 IAM 역할이 DB 클러스터와 연결됩니다.

    클러스터 파라미터 그룹에 대한 자세한 내용은 Amazon Aurora MySQL 파라미터 단원을 참조하십시오.

AWS CLI를 사용하여 IAM 역할을 DB 클러스터와 연결하려면

  1. 다음과 같이 AWS CLI에서 add-role-to-db-cluster 명령을 호출하여 DB 클러스터에 IAM 역할의 ARN을 추가합니다.

    PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraS3Role PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraLambdaRole
  2. 기본 DB 클러스터 파라미터 그룹을 사용 중인 경우, 새 DB 클러스터 파라미터 그룹을 만듭니다. 이미 사용자 지정 DB 파라미터 그룹을 사용 중인 경우, 새 DB 클러스터 파라미터 그룹을 만드는 대신에 해당 그룹을 사용할 수 있습니다.

    새 DB 클러스터 파라미터 그룹을 만들려면 다음과 같이 AWS CLI에서 create-db-cluster-parameter-group 명령을 호출하십시오.

    PROMPT> aws rds create-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \ --db-parameter-group-family aurora5.6 --description "Allow access to Amazon S3 and AWS Lambda"

    Aurora MySQL 5.7 호환 DB 클러스터의 경우 --db-parameter-group-family에 대해 aurora-mysql5.7을 선택합니다.

  3. 다음과 같이 DB 클러스터 파라미터 그룹에서 적절한 클러스터 수준 파라미터 및 관련 IAM 역할 ARN 값을 설정합니다.

    PROMPT> aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \ --parameters "ParameterName=aws_default_s3_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraS3Role,method=pending-reboot" \ --parameters "ParameterName=aws_default_lambda_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraLambdaRole,method=pending-reboot"
  4. 다음과 같이 새 DB 클러스터 파라미터 그룹을 사용하도록 DB 클러스터를 수정한 다음 클러스터를 재부팅합니다.

    PROMPT> aws rds modify-db-cluster --db-cluster-identifier my-cluster --db-cluster-parameter-group-name AllowAWSAccess PROMPT> aws rds reboot-db-instance --db-instance-identifier my-cluster-primary

    인스턴스가 재부팅되면 IAM 역할이 DB 클러스터와 연결됩니다.

    클러스터 파라미터 그룹에 대한 자세한 내용은 Amazon Aurora MySQL 파라미터 단원을 참조하십시오.