Amazon RDS에 대한 AWS 관리형 정책 - Amazon Relational Database Service

Amazon RDS에 대한 AWS 관리형 정책

권한 세트 및 역할에 권한을 추가하려면 정책을 직접 작성하는 것보다 AWS 관리형 정책을 사용하는 것이 편리합니다. 팀에 필요한 권한만 제공하는 IAM 고객 관리형 정책을 생성하려면 시간과 전문 지식이 필요합니다. 빠르게 시작하려면 AWS 관리형 정책을 사용하면 됩니다. 이 정책은 일반적인 사용 사례를 다루며 사용자의 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 정보는 IAM 사용 설명서에서 AWS 관리형 정책을 참조하세요.

AWS 서비스는 AWS 관리형 정책을 유지하고 업데이트합니다. AWS 관리형 정책에서는 권한을 변경할 수 없습니다. 서비스는 때때로 추가 권한을 AWS관리형 정책에 추가하여 새로운 기능을 지원합니다. 이 유형의 업데이트는 정책이 연결된 모든 자격 증명(권한 세트 및 역할)에 적용됩니다. 서비스는 새로운 기능이 시작되거나 새 태스크를 사용할 수 있을 때 AWS관리형 정책에 업데이트됩니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않기 때문에 정책 업데이트로 인해 기존 권한이 손상되지 않습니다.

또한 AWS(은)는 여러 서비스의 직무에 대한 관리형 정책을 지원합니다. 예를 들어 ReadOnlyAccess AWS 관리형 정책은 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. 서비스에서 새 기능을 시작하면 AWS가 새 작업 및 리소스에 대한 읽기 전용 권한을 추가합니다. 직무 정책의 목록과 설명은 IAM 사용 설명서직무에 관한 AWS 관리형 정책을 참조하세요.

AWS 관리형 정책: AmazonRDSReadOnlyAccess

이 정책은 AWS Management Console을 통해 Amazon RDS에 대한 읽기 전용 액세스를 허용합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • rds - 보안 주체가 Amazon RDS 리소스를 설명하고 Amazon RDS 리소스의 태그를 나열하도록 허용합니다.

  • cloudwatch - 보안 주체가 Amazon CloudWatch 지표 통계를 가져오도록 허용합니다.

  • ec2 - 보안 주체가 가용 영역 및 네트워킹 리소스를 설명하도록 허용합니다.

  • logs - 보안 주체가 로그 그룹의 CloudWatch Logs 로그 스트림을 설명하고 CloudWatch Logs 로그 이벤트를 가져오도록 허용합니다.

  • devops-guru - 보안 주체가 CloudFormation 스택 이름 또는 리소스 태그로 지정되는 Amazon DevOps Guru 적용 범위가 있는 리소스를 설명할 수 있습니다.

JSON 정책 문서를 포함하여 이 정책에 대한 자세한 내용은 AWS 관리형 정책 참조 안내서AmazonRDSReadOnlyAccess를 참조하세요.

AWS 관리형 정책: AmazonRDSFullAccess

이 정책은 AWS Management Console을 통해 Amazon RDS에 대한 전체 액세스 권한을 제공합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • rds – 보안 주체에게 Amazon RDS에 대한 전체 액세스 권한을 허용합니다.

  • application-autoscaling - 보안 주체가 Application Auto Scaling 크기 조정 대상 및 정책을 설명하고 관리하도록 허용합니다.

  • cloudwatch - 보안 주체가 CloudWatch 지표 통계를 가져오고 CloudWatch 경보를 관리하도록 허용합니다.

  • ec2 - 보안 주체가 가용 영역 및 네트워킹 리소스를 설명하도록 허용합니다.

  • logs - 보안 주체가 로그 그룹의 CloudWatch Logs 로그 스트림을 설명하고 CloudWatch Logs 로그 이벤트를 가져오도록 허용합니다.

  • outposts - 보안 주체가 AWS Outposts 인스턴스 유형을 가져오도록 허용합니다.

  • pi - 보안 주체가 성능 개선 도우미 지표를 가져오도록 허용합니다.

  • sns - 보안 주체에게 Amazon Simple Notification Service(Amazon SNS) 구독 및 주제를 허용하고 Amazon SNS 메시지를 게시하도록 허용합니다.

  • devops-guru - 보안 주체가 CloudFormation 스택 이름 또는 리소스 태그로 지정되는 Amazon DevOps Guru 적용 범위가 있는 리소스를 설명할 수 있습니다.

JSON 정책 문서를 포함하여 이 정책에 대한 자세한 내용은 AWS 관리형 정책 참조 안내서AmazonRDSFullAccess를 참조하세요.

AWS 관리형 정책: AmazonRDSDataFullAccess

이 정책은 특정 AWS 계정의 Aurora Serverless 클러스터에서 데이터 API 및 쿼리 편집기를 사용할 수 있는 전체 액세스 권한을 허용합니다. 이 정책은 AWS 계정가 AWS Secrets Manager에서 암호 값을 가져오도록 허용합니다.

AmazonRDSDataFullAccess 정책을 IAM 보안 인증에 연결할 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • dbqms - 보안 주체에게 쿼리를 액세스, 생성, 삭제, 설명, 업데이트를 할 수 있도록 허용합니다. Database Query Metadata Service(dbqms)는 내부 전용 서비스입니다. Amazon RDS를 포함한 여러 AWS 서비스에 사용되는 AWS Management Console의 쿼리 편집기에 대해 최근 쿼리와 저장된 쿼리를 제공합니다.

  • rds-data - 보안 주체가 Aurora Serverless 데이터베이스에 SQL 문을 실행하도록 허용합니다.

  • secretsmanager - 보안 주체가 AWS Secrets Manager에서 암호 값을 가져오도록 허용합니다.

JSON 정책 문서를 포함하여 이 정책에 대한 자세한 내용은 AWS 관리형 정책 참조 안내서AmazonRDSDataFullAccess를 참조하세요.

AWS 관리형 정책: AmazonRDSEnhancedMonitoringRole

이 정책은 Amazon RDS Enhanced Monitoring을 위해 Amazon CloudWatch Logs 로그에 대한 액세스를 제공합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • logs - 보안 주체가 CloudWatch Logs 로그 그룹 및 보존 정책을 생성하고 로그 그룹의 CloudWatch Logs 로그 스트림을 생성 및 설명하도록 허용합니다. 또한 보안 주체가 CloudWatch Logs 로그 이벤트를 배치하고 가져오도록 허용합니다.

JSON 정책 문서를 포함하여 이 정책에 대한 자세한 내용은 AWS 관리형 정책 참조 안내서AmazonRDSEnhancedMonitoringRole을 참조하세요.

AWS 관리형 정책: AmazonRDSPerformanceInsightsReadOnly

이 정책은 Amazon RDS DB 인스턴스 및 Amazon Aurora DB 클러스터에 대한 Amazon RDS 성능 개선 도우미에 읽기 전용 액세스를 제공합니다.

이제 이 정책에 Sid(문 ID)가 정책 문의 식별자로 포함됩니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • rds - 보안 주체가 Amazon RDS DB 인스턴스와 Amazon Aurora DB 클러스터를 설명하도록 허용합니다.

  • pi - 보안 주체가 Amazon RDS 성능 개선 도우미 API를 호출하고 성능 개선 도우미 지표에 액세스하도록 허용합니다.

JSON 정책 문서를 포함하여 이 정책에 대한 자세한 내용은 AWS 관리형 정책 참조 안내서AmazonRDSPerformanceInsightsReadOnly를 참조하세요.

AWS 관리형 정책: AmazonRDSPerformanceInsightsFullAccess

이 정책은 Amazon RDS DB 인스턴스 및 Amazon Aurora DB 클러스터에 대해 Amazon RDS 성능 개선 도우미에 전체 액세스를 제공합니다.

이제 이 정책에 Sid(문 ID)가 정책 문의 식별자로 포함됩니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • rds - 보안 주체가 Amazon RDS DB 인스턴스와 Amazon Aurora DB 클러스터를 설명하도록 허용합니다.

  • pi - 보안 주체가 Amazon RDS 성능 개선 도우미 API를 호출하고 성능 분석 보고서를 생성, 확인 및 삭제하도록 허용합니다.

  • cloudwatch - 보안 주체가 모든 Amazon CloudWatch 지표를 나열하고 지표 데이터와 통계를 가져오도록 허용합니다.

JSON 정책 문서를 포함하여 이 정책에 대한 자세한 내용은 AWS 관리형 정책 참조 가이드AmazonRDSPerformanceInsightsFullAccess를 참조하세요.

AWS 관리형 정책: AmazonRDSDirectoryServiceAccess

이 정책은 Amazon RDS에서 AWS Directory Service를 호출하도록 허용합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ds - 보안 주체가 AWS Directory Service 디렉터리를 설명하고 AWS Directory Service 디렉터리에 대한 권한 부여를 제어하도록 허용합니다.

JSON 정책 문서를 포함하여 이 정책에 대한 자세한 내용은 AWS 관리형 정책 참조 안내서AmazonRDSDirectoryServiceAccess를 참조하세요.

AWS 관리형 정책: AmazonRDSServiceRolePolicy

AmazonRDSServiceRolePolicy 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Amazon RDS에 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 연결 역할에 연결됩니다. 자세한 내용은 Amazon RDS에 대한 서비스 연결 역할 권한 단원을 참조하십시오.

AWS 관리형 정책: AmazonRDSCustomServiceRolePolicy

AmazonRDSCustomServiceRolePolicy 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Amazon RDS에 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 연결 역할에 연결됩니다. 자세한 내용은 Amazon RDS Custom에 대한 서비스 연결 역할 권한 단원을 참조하십시오.

AWS 관리형 정책: AmazonRDSCustomInstanceProfileRolePolicy

AmazonRDSCustomInstanceProfileRolePolicy를 IAM 엔터티에 연결하면 안 됩니다. Amazon RDS Custom DB 인스턴스에 다양한 자동화 작업 및 데이터베이스 관리 작업을 수행할 수 있는 권한을 부여하는 데 사용되는 인스턴스 프로파일 역할에만 연결해야 합니다. RDS Custom 인스턴스 생성 중에 인스턴스 프로파일을 custom-iam-instance-profile 파라미터로 전달하면 RDS Custom에서 해당 인스턴스 프로파일을 DB 인스턴스에 연결합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ssm, ssmmessages, ec2messages ‐ RDS Custom이 Systems Manager를 통해 DB 인스턴스에서 통신하고, 자동화를 실행하고, 에이전트를 유지 관리할 수 있도록 허용합니다.

  • ec2, s3 ‐ RDS Custom이 특정 시점 복원 기능을 제공하는 DB 인스턴스에서 백업 작업을 수행할 수 있도록 허용합니다.

  • secretsmanager ‐ RDS Custom이 RDS Custom으로 만든 DB 인스턴스별 암호를 관리할 수 있도록 허용합니다.

  • cloudwatch, logs ‐ RDS Custom이 CloudWatch 에이전트를 통해 DB 인스턴스 지표와 로그를 CloudWatch에 업로드할 수 있도록 허용합니다.

  • events, sqs ‐ RDS Custom이 DB 인스턴스에 대한 상태 정보를 보내고 받을 수 있도록 허용합니다.

  • kms ‐ RDS Custom이 인스턴스별 KMS 키를 사용하여 RDS Custom이 관리하는 암호 및 S3 개체의 암호화를 수행할 수 있도록 허용합니다.

JSON 정책 문서를 포함하여 이 정책에 대한 자세한 내용은 AWS 관리형 정책 참조 가이드의 AmazonRDSCustomInstanceProfileRolePolicy를 참조하세요.