보안 암호 액세스 정책 및 역할 만들기

아래 프로시저에 따라 DMS가 소스 및 대상 데이터베이스의 사용자 자격 증명에 액세스할 수 있도록 허용하는 보안 암호 액세스 정책 및 역할을 만듭니다.

Amazon RDS가 적절한 보안 암호에 액세스하기 위해 AWS Secrets Manager에 액세스하도록 허용하는 보안 암호 액세스 정책 및 역할을 만드는 방법

AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 AWS Identity and Access Management(IAM) 콘솔을 엽니다.
정책을 선택한 후 정책 생성을 선택합니다.

JSON을 선택하고 다음 정책을 입력하여 보안 암호에 대한 액세스 및 암호 해독을 활성화합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": secret_arn,
        },
        {
             "Effect": "Allow",
             "Action": [
                        "kms:Decrypt",
                        "kms:DescribeKey"
                      ],
             "Resource": kms_key_arn,
        }
     ]
}

여기서 secret_arn은 보안 암호의 ARN(상황에 따라 SecretsManagerSecretId에서 가져올 수 있음)이고, kms_key_arn은 다음 예시와 같이 보안 암호를 암호화하는 데 사용하는 AWS KMS 키의 ARN입니다.

참고

AWS Secrets Manager에서 생성한 기본 암호화 키를 사용하는 경우, kms_key_arn에 대한 AWS KMS 권한을 지정하지 않아도 됩니다.

정책에서 두 보안 암호에 대한 액세스를 제공하도록 하려면 다른 secret_arn에 대해 추가 JSON 리소스 객체를 지정하면 됩니다.

기억하기 쉬운 이름과 설명(선택 사항)이 있는 정책을 검토하고 생성합니다.
역할을 선택한 다음, 역할 생성을 선택합니다.
신뢰할 수 있는 엔터티 유형으로서 AWS 서비스를 선택합니다.
서비스 목록에서 DMS를 신뢰할 수 있는 서비스로 선택하고 다음: 권한을 선택합니다.
4단계에서 생성한 정책을 찾아 연결한 다음, 계속 진행하여 태그를 추가하고 역할을 검토합니다. 이때 해당 역할의 신뢰 관계를 편집하여 Amazon RDS 리전 서비스 위탁자를 신뢰할 수 있는 엔터티로 사용합니다. 이 보안 주체의 형식은 다음과 같습니다.
```
dms.region-name.amazonaws.com
```
여기서 region-name은 리전의 이름입니다(예: us-east-1). 따라서 이 리전의 Amazon RDS 리전 서비스 위탁자는 다음과 같습니다.
```
dms.us-east-1.amazonaws.com
dms-data-migrations.amazonaws.com
```

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

IAM 리소스 생성

DMS에 대한 IAM 역할 만들기