Performance Insights에 대한 액세스 정책 구성 - Amazon Relational Database Service

Performance Insights에 대한 액세스 정책 구성

성능 개선 도우미에 액세스하려면 AWS Identity and Access Management(IAM)의 적절한 권한이 있어야 합니다. 액세스 권한 부여 옵션은 다음과 같습니다.

  • AmazonRDSFullAccess 관리 정책을 IAM 사용자 또는 역할에 연결합니다.

  • 사용자 지정 IAM 정책을 생성해 IAM 사용자 또는 역할에 연결합니다.

또한 성능 개선 도우미를 활성화할 때 고객 관리형 키를 지정한 경우 계정의 사용자에게 KMS 키에 대한 kms:Decryptkms:GenerateDataKey 권한이 있는지 확인합니다.

IAM 보안 주체에 AmazonRDSFullAccess 정책 연결

AmazonRDSFullAccess는 모든 Amazon RDS API 작업에 대한 액세스 권한을 부여하는 AWS 관리형 정책입니다. 이 정책은 다음을 수행합니다.

  • Amazon RDS 콘솔에서 사용하는 관련 서비스에 대한 액세스 권한을 부여합니다. 예를 들어, 이 정책은 Amazon SNS를 사용하여 이벤트 알림에 대한 액세스 권한을 부여합니다.

  • Performance Insights 사용에 필요한 권한을 부여합니다.

AmazonRDSFullAccess를 IAM 사용자 또는 역할에 연결하면 수신자는 Performance Insights를 기타 콘솔 기능과 함께 사용할 수 있습니다.

Performance Insights를 위한 사용자 지정 IAM 정책 만들기

AmazonRDSFullAccess 정책이 포함된 완전한 액세스 권한이 없는 사용자의 경우, 사용자 관리형 IAM 정책을 생성 또는 수정하여 성능 개선 도우미에 대한 액세스 권한을 부여할 수 있습니다. IAM 사용자 또는 역할에 이 정책을 연결하면 수신자가 성능 개선 도우미를 사용할 수 있습니다.

사용자 지정 정책을 생성하는 방법

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 정책을 선택합니다.

  3. [Create policy]를 선택합니다.

  4. [Create Policy] 페이지에서 JSON 탭을 선택합니다.

  5. 다음 텍스트를 복사하여 붙여넣으세요. AWS 리전의 이름 대신 us-east-1을, 고객 계정 번호 대신 111122223333을 입력하세요.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "pi:*", "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*" }, { "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" } ] }
  6. 정책 검토(Review policy)를 선택합니다.

  7. 정책의 이름과 설명(선택 사항)을 지정한 다음 [Create policy]를 선택합니다.

이제 IAM 사용자 또는 역할에 해당 정책을 연결할 수 있습니다. 다음 절차에서는 이러한 목적에 사용할 수 있는 IAM 사용자가 이미 있다고 가정합니다.

IAM 사용자에게 정책을 연결하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 목록에서 기존 사용자를 선택합니다.

    중요

    성능 개선 도우미를 사용하려면 사용자 지정 정책 외에 Amazon RDS에 대한 액세스 권한이 있어야 합니다. 예를 들어 AmazonRDSReadOnlyAccess 사전 정의 정책은 Amazon RDS에 대한 읽기 전용 액세스를 제공합니다. 자세한 내용은 정책을 사용하여 액세스 관리 섹션을 참조하세요.

  4. [Summary] 페이지에서 [Add permissions]를 선택합니다.

  5. [Attach existing policies directly]를 선택합니다. [Search]에 다음과 같이 정책 이름의 첫 문자 몇 개를 입력합니다.

    
						정책 선택
  6. 정책을 선택하고 [Next: Review]를 선택합니다.

  7. [Add permissions]를 선택합니다.

성능 개선 도우미를 위한 AWS KMS 정책 구성

성능 개선 도우미는 AWS KMS key을(를) 사용하여 민감한 데이터를 암호화합니다. API 또는 콘솔을 통해 Performance Insights를 활성화하면 다음과 같은 옵션이 제공됩니다.

  • 기본값을 선택합니다.AWS 관리형 키

    Amazon RDS는 새 DB 인스턴스에 대해 AWS 관리형 키을(를) 사용합니다. Amazon RDS는 AWS 계정에 대해 AWS 관리형 키을(를) 생성합니다. AWS 계정에 각 AWS 리전의 Amazon RDS에 대한 다른 AWS 관리형 키이(가) 있습니다.

  • 고객 관리형 키를 선택합니다.

    고객 관리형 키를 지정하는 경우 성능 개선 도우미 API를 호출하는 계정의 사용자는 KMS 키에 대한 kms:Decryptkms:GenerateDataKey 권한이 필요합니다. IAM 정책을 통해 이러한 권한을 구성할 수 있습니다. 그러나 KMS 키 정책을 통해 이러한 권한을 관리하는 것이 좋습니다. 자세한 내용은 AWS KMS에서 키 정책 사용을 참조하세요.

다음 샘플 키 정책은 KMS 키 정책에 문을 추가하는 방법을 보여 줍니다. 이러한 문을 통해 Performance Insights에 액세스할 수 있습니다. KMS 키를 사용하는 방법에 따라 일부 제한 사항을 변경할 수 있습니다. 정책에 문을 추가하기 전에 모든 문을 제거하세요.

{ "Version" : "2012-10-17", "Id" : "your-policy", "Statement" : [ { //This represents a statement that currently exists in your policy. } ...., //Starting here, add new statement to your policy for Performance Insights. //We recommend that you add one new statement for every RDS instance { "Sid" : "Allow viewing RDS Performance Insights", "Effect": "Allow", "Principal": { "AWS": [ //One or more principals allowed to access Performance Insights "arn:aws:iam::444455556666:role/Role1" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition" : { "StringEquals" : { //Restrict access to only RDS APIs (including Performance Insights). //Replace region with your AWS Region. //For example, specify us-west-2. "kms:ViaService" : "rds.region.amazonaws.com" }, "ForAnyValue:StringEquals": { //Restrict access to only data encrypted by Performance Insights. "kms:EncryptionContext:aws:pi:service": "rds", "kms:EncryptionContext:service": "pi", //Restrict access to a specific RDS instance. //The value is a DbiResourceId. "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE" } } }