Amazon Relational Database Service
사용 설명서 (API 버전 2014-10-31)

Amazon Aurora PostgreSQL 보안

Amazon Aurora PostgreSQL 보안은 다음과 같이 세 가지 수준에서 관리됩니다.

  • Aurora DB 클러스터 및 DB 인스턴스에 대한 Amazon RDS 관리 작업자를 통제하려면 AWS Identity and Access Management(IAM)를 사용합니다. IAM 자격 증명을 사용하여 AWS에 연결할 때는 Amazon RDS 관리 작업에 필요한 권한을 부여할 수 있는 IAM 정책이 IAM 계정에 반드시 필요합니다. 자세한 내용은 Amazon RDS에 대한 인증 및 액세스 제어 단원을 참조하십시오.

    IAM 계정을 사용해 Amazon RDS 콘솔에 액세스하려면 먼저 IAM 계정으로 AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/rds에서 Amazon RDS 콘솔로 이동합니다.

  • Aurora DB 클러스터는 Amazon Virtual Private Cloud(VPC)에서 생성해야 합니다. VPC에서 Aurora DB 클러스터에 대한 DB 인스턴스의 엔드포인트 및 포트에 연결할 수 있는 디바이스와 Amazon EC2 인스턴스를 제어하려면 VPC 보안 그룹을 사용합니다. 이 엔드포인트와 포트는 Secure Sockets Layer(SSL) 방식으로 연결할 수 있습니다. 그 밖에도 기업의 방화벽 규칙을 통해 기업에서 이용하는 디바이스의 DB 인스턴스 연결 여부를 제어하는 것도 가능합니다. VPC에 대한 자세한 내용은 Amazon Virtual Private Cloud(VPC) 및 Amazon RDS 단원을 참조하십시오.

  • Amazon Aurora DB 클러스터 로그인 및 사용 권한을 인증하려면 독립형 PostgreSQL 인스턴스와 동일한 접근 방식을 취합니다.

    CREATE ROLE, ALTER ROLE, GRANT, REVOKE 등의 명령은 온프레미스 데이터베이스에서 작동하는 것과 마찬가지로 작동하며, 데이터베이스 스키마 테이블을 직접 수정할 때도 동일합니다. 자세한 내용은 PostgreSQL 설명서에서 Client Authentication을 참조하십시오.

Amazon Aurora PostgreSQL DB 인스턴스를 생성할 때 마스터 사용자는 다음과 같은 기본 권한을 갖습니다.

  • LOGIN

  • NOSUPERUSER

  • INHERIT

  • CREATEDB

  • CREATEROLE

  • NOREPLICATION

  • VALID UNTIL 'infinity'

DB 클러스터를 생성할 때는 각 DB 클러스터의 관리 서비스를 위해 rdsadmin 사용자가 만들어집니다. rdsadmin 계정을 삭제하려고 하거나, 계정 이름 및 암호를 변경하려고 하거나, 혹은 계정 권한을 변경하려고 하면 오류가 발생합니다.